Mehr als 3 Jahre nach der Vorstellung des Entwurfs wurde der Europäische Artificial Intelligence Act (kurz: AIA) am 12.7.2024 als Verordnung (EU) 2024/1689 im Amtsblatt der Europäischen Union veröffentlicht. In diesem Blog-Beitrag beantworten wir Fragen, die sich durch den AIA für Medizintechnik-Hersteller ergeben.
kras99 / stock.adobe.com
Herausforderungen für KI-basierte Medizinprodukte durch den EU Artificial Intelligence Act (AIA)
Welcher Risikokategorie können Medizinprodukte im AIA zugeteilt werden?
Gemäß Art. 6 (1) AIA werden KI-Systeme als eigenständige Produkte oder Sicherheitskomponenten von Produkten, die den Verordnungen (EU) 2017/745 über Medizinprodukte (Medical Device Regulation, MDR) oder (EU) 2017/746 über In-Vitro-Diagnostika (In-vitro Diagnostics Regulation, IVDR), sowie einer Konformitätsbewertung durch Dritte unterliegen, den Hochrisiko-KI-Systemen zugeordnet. Vereinfacht gesagt, handelt es sich dabei um alle KI-basierten Medizinprodukte der Risikoklassen IIa-III sowie In-Vitro-Diagnostika der Risikoklassen B-D.
Welche konkreten Anforderungen ergeben sich in Bezug auf Medizinprodukte?
Im Gegensatz zu MDR und IVDR enthält der AIA die Produktanforderungen nicht in einem Anhang, sondern beschreibt diese detailliert im Gesetzestext. Anbieter von Hochrisiko-KI-Systemen unterliegen grundsätzlich den Bestimmungen von Art. 16 AIA. Die folgende Tabelle listet Anforderungen auf, welche für Medizinprodukte als Hochrisikoprodukte im Sinne des AIA gelten und – sofern vorhanden - die jeweiligen Entsprechungen in der MDR:
Anforderung | Referenz AIA | Referenz MDR | Grad der Übereinstimmung zwischen AIA und MDR |
Risikomanagementsystem | Art. 9 | Art. 10 (2) | überwiegend |
Daten und Daten-Governance | Art. 10 | --- | keine |
Technische Dokumentation | Art. 11 | Art. 10 (4), Anhang II/III | teilweise |
Aufzeichnungspflichten | Art. 12 | --- | keine |
Transparenz und Bereitstellung von Informationen für die Betreiber | Art. 13 | Art. 10 (11) | teilweise in Bezug auf Gebrauchsanweisung |
Menschliche Aufsicht | Art. 14 | --- | keine |
Genauigkeit, Robustheit und Cybersicherheit | Art. 15 | Anhang II/III | teilweise |
Kennzeichnungsvorschriften | --- | Anhang I | keine |
Qualitätsmanagementsystem | Art. 17 | Art. 10 (9) | teilweise |
Dokumentenführung | --- | Art. 10 (8) | teilweise |
Automatisch erzeugte Protokolle | Art. 19 | --- | keine |
Konformitätsbewertung | Art. 43 | Art. 10 (6) | teilweise |
EU-Konformitätserklärung | Art. 47 | Art. 10 (6) | teilweise |
CE-Kennzeichnung | Art. 48 | Art. 10 (6) | überwiegend |
Registrierung | Art. 49 (1) | Art. 10 (7) | teilweise |
Korrekturmaßnahmen und Informationspflicht sowie Zusammenarbeit | Art. 20 | Art. 10 (12) | überwiegend |
Konformitätsnachweis gegenüber der zuständigen nationalen Behörde | --- | Art. 10 (14) | teilweise |
Pflichten der Betreiber | Art. 26 | --- | keine |
Marktüberwachung und Kontrolle von KI-Systemen auf dem Unionsmarkt (Marktüberwachungsbehörden) | Art. 74 | Art. 93 | teilweise mit Ausnahme der umfangreichen Befugnisse gemäß AIA |
Überwachung nach dem Inverkehrbringen und Vigilanz (Anbieter) | Art. 72, 73 | Art. 10 (10, 12, 13) | überwiegend |
Bei KI-basierten Medizinprodukten muss die technische Dokumentation zum Nachweis der Einhaltung der gesetzlichen Anforderungen sowohl Anhang IV AIA als auch den Anhängen II und III MDR entsprechen und vom Anbieter über einen bestimmten Zeitraum bereitgehalten werden (Art.11, 18). Für KMU und Start-ups ist eine vereinfachte Bereitstellung der technischen Dokumentation gemäß Anhang IV AIA vorgesehen (Art. 11 (1)). Allerdings muss hierfür ein Formular verwendet werden, welches erst noch durch die Europäische Kommission bereitgestellt werden muss. Die Anbieter von KI-basierten Medizinprodukten haben die Möglichkeit, die Umsetzung der Bestimmung des AIA in ihre jeweiligen MDR-Prozesse und -Dokumentationen zu integrieren (Art. 8 (2) AIA). Für Medizinprodukte und IVD soll eine einheitliche technische Dokumentation erstellt werden, die zugleich den Anforderungen aus den sektorspezifischen Rechtsakten und aus dem AIA gerecht wird (Art. 11 (2)).
Vor allem die Artikel 10 und 15 AIA enthalten KI-spezifische Anforderungen, die Medizinprodukteherstellern aus der MDR nicht bekannt sind. Diese Anforderungen überschneiden sich weitgehend mit denen aus dem gemeinsamen Fragenkatalog „Artificial Intelligence (AI) in Medical Devices“ von IG-NB und Team-NB. Deshalb ist es für Anbieter (Hersteller) umso wichtiger, die Anforderungen des Fragenkatalogs konsequent umzusetzen, um für den AIA gerüstet zu sein (AIA-Ready). Teilweise gehen die Anforderungen des Fragenkatalogs über die maßgeblichen gesetzlichen Anforderungen hinaus.
Ein Qualitätsmanagementsystem gemäß Art. 17 AIA ist für Medizinproduktehersteller grundsätzlich keine neue Anforderung. In der Regel wird in diesem Zusammenhang die ISO 13485 angewendet, wenngleich dies auch nicht alle Anforderungen der EU-Medizinprodukteverordnung (MDR) erfüllt. Gemäß TÜV AI.LAB sind viele Vorgaben aus Artikel 17 AIA bereits umfassend durch die ISO 13485 adressiert. Das betrifft etwa die Entwicklung, Qualitätssicherung oder Kommunikation. KI-spezifische Aspekte wie Datenmanagement oder KI-spezifisches Risikomanagement sind nicht abgedeckt.
Welche Anforderungen bestehen für kontinuierlich-lernende KI-Systeme?
Der Umgang mit Änderungen an Hochrisiko-KI-Systemen, die bereits eine Konformitätsbewertungsverfahren durchlaufen haben, ist in Art. 43 (4) AIA geregelt. Im Falle einer wesentlichen Änderung werden diese „einem neuen Konformitätsbewertungsverfahren unterzogen, unabhängig davon, ob das geänderte System noch weiter in Verkehr gebracht oder vom derzeitigen Betreiber weitergenutzt werden soll“. Weiterhin heißt es: „Bei Hochrisiko-KI-Systemen, die nach dem Inverkehrbringen oder der Inbetriebnahme weiterhin dazulernen, gelten Änderungen des Hochrisiko-KI-Systems und seiner Leistung, die vom Anbieter zum Zeitpunkt der ursprünglichen Konformitätsbewertung vorab festgelegt wurden und in den Informationen der technischen Dokumentation gemäß Anhang IV Nummer 2 Buchstabe f enthalten sind, nicht als wesentliche Veränderung“. Die Festlegung der Änderungen des Hochrisiko-KI-Systems und seiner Leistung zum Zeitpunkt der ursprünglichen Konformitätsbewertung, sowie die Identifikation damit einhergehender Risiken, könnte ähnlich dem Pre-determined Change Control Plan (PCCP) der FDA erfolgen, welches kürzlich in einer VDE-DGBMT Empfehlung vorgestellt wurde.
Wie wechselwirken MDR/IVDR und AIA?
Die MDCG hat die Guideline 2025-6 mit FAQs zur Wechselwirkung zwischen MDR/IVDR und AIA veröffentlicht. Nachfolgend wird eine Auswahl wichtiger Punkte aufgelistet:
Medizinprodukte als Hochrisiko-KI-Systeme (MPKI) unterliegen sowohl MDR/IVDR als auch AIA.
Der AIA führt strenge Vorgaben für MPKI zur Datenqualität, Transparenz und Nachvollziehbarkeit von KI-Systemen ein und verlangt Nachweise zu Genauigkeit, Robustheit und Cybersicherheit. Beides führt zur Erweiterung der bestehenden technischen Dokumentation sowie des Qualitätsmanagements.
Im Rahmen des Risikomanagementsystems sollen die identifizierten und bewerteten Risiken reduziert werden. Dies bezieht sich nicht nur auf organisatorische Maßnahmen, sondern auch auf spezifische Maßnahmen, die schon während der Entwicklung ergriffen werden (Compliance-by-Design).
AIA-spezifische Inhalte müssen auch in die Post-Market Surveillance (Post-Market Monitoring) integriert werden.
Anbieter von KI-Systemen müssen ähnlich der „verantwortlichen Person“ gemäß MDR auch für den AIA die Verantwortlichkeiten in der Organisation regeln.
Das International Medical Device Regulators Forum (IMDRF) erarbeitet eine Richtlinie zum PCCP, die voraussichtlich als Grundlage für künftige Richtlinien unter dem AIA zu diesem Thema dienen werden.
Die Sicherheit, Leistungsfähigkeit und gegebenenfalls der klinische Nutzen von MPKI müssen durch klinische Daten gestützt werden. Wenn ein MPAI einer klinischen Prüfung unterzogen wird, handelt es sich dabei um eine Prüfung unter realen Bedingungen gemäß dem AIA.
Die menschliche Aufsicht kann als Maßnahme dafür angesehen werden, dass Risiken für die Gesundheit, Sicherheit oder Grundrechte verhindert oder minimiert werden, wenn ein Hoch-Risiko KI-System bestimmungsgemäß oder unter Bedingungen eines vernünftigerweise vorhersehbaren Missbrauchs verwendet wird.
Längere Entwicklungszyklen sind aufgrund der zusätzlichen Regulierungen nicht ausgeschlossen.
Zusammenfassung und Empfehlungen
Hersteller von KI-basierten Medizinprodukten müssen den erhöhten Aufwand in der technischen Dokumentation und durch die erweiterte Konformitätsbewertung zügig sowohl in Bezug auf organisatorische und finanzielle Ressourcen berücksichtigen. Diesbezüglich empfehlen wir die Teilnahme an unserem Hands-on Training „Artificial Intelligence (AI) in Medical Devices“, sowie die VDE Empfehlung „MD CoDe – Compliance by Design as a key concept for meeting the European regulatory requirements for medical devices”. Weiterhin sollten zukünftig erscheinende einschlägige Guidelines für den AIA und die MDR beachtet werden.
