KI-Software wird in der Medizintechnik nicht länger nur durch die Medical Device Regulation (MDR) oder die In-Vitro Diagnostic Regulation (IVDR) isoliert reguliert. Mit dem neuen Artificial Intelligence Act (AI Act) der EU tritt ein drittes, sich überschneidendes Framework auf den Plan.
Das Resultat ist ein regulatorisches Trilemma, bei dem Klassifizierungsentscheidungen in einem Regelwerk unmittelbare und kritische Konsequenzen im anderen nach sich ziehen.
Der entscheidende Trigger: Warum MDR/IVDR direkt in den AI Act führen
Die Zweckbestimmung der Software ist das Zünglein an der Waage. Sobald eine KI-Software nach den Klassifizierungsregeln der MDR (oft Regel 11) oder IVDR als Medizinprodukt der Klasse IIa oder höher eingestuft wird oder eine Benannte Stelle zur Konformitätsbewertung hinzugezogen werden muss, fällt sie unter dem AI Act fast ausnahmslos in die Hochrisiko-Kategorie (High-Risk AI).
Das bedeutet: Die Einstufung nach MDR/IVDR ist der direkte Trigger für die schärfsten Anforderungen des AI Acts. Die Regelwerke lassen sich nicht mehr getrennt betrachten.
Die Lücke: Von der Klassifizierung zur Umsetzung
Zu wissen, dass das eigene Produkt eine Hochrisiko-KI ist, ist leider nur der erste Schritt. Die weitaus komplexere Aufgabe für Hersteller besteht in der operativen Umsetzung. Der AI Act fordert in den Artikeln 8 bis 15 spezifische Maßnahmen, die weit über das klassische MDR-Verständnis hinausgehen:
- Data Governance: Strenge Anforderungen an die Trainingsdatensätze, Validierungsdatensätze und Testdatensätze, um Bias zu vermeiden.
- Transparency & Human Oversight: KI-Entscheidungen müssen für Anwender (Ärzte) nachvollziehbar bleiben und übersteuerbar sein (Explainable AI).
- Cybersecurity & Robustness: Signifikant höhere Anforderungen an die systematische Ausfallsicherheit der Modelle.
Diese Aspekte müssen nun nahtlos in das bestehende Risikomanagement (ISO 14971) und Qualitätsmanagementsystem (ISO 13485) integriert werden. Angesichts der verlängerten Deadlines wähnen sich viele Hersteller in Sicherheit, da die finale Anwendung für Hochrisiko-KI nach Annex I erst im Jahr 2028 greift.
Doch dieser Zeitraum ist kein Puffer zum Abwarten, sondern eine essenzielle Phase, in der Benannte Stellen ihre eigenen Prüfstandards erst noch finalisieren. Wer jetzt nicht mit der Gap-Analyse und einer sauberen Dokumentation (z.B. der Data Governance) beginnt, wird 2028 durch eine nicht auditierbare Systemarchitektur blockiert.