Am 21.04.2021 veröffentlichte die EU-Kommission einen Entwurf für den Artificial Intelligence Act (kurz: AIA, Gesetz über Künstliche Intelligenz), welcher einen einheitlichen Rechtsrahmen insbesondere für die Entwicklung, Vermarktung und Verwendung künstlicher Intelligenz schaffen soll. Dieses wäre die erste EU-Verordnung dieser Art zur übergreifenden Regulierung von Produkten basierend auf Künstlicher Intelligenz (KI)-Technologie. Von ein paar Ausnahmen abgesehen, würde sie für die meisten KI-Systeme gelten, also auch im Bereich der Medizin. Im Folgenden geben wir einen Überblick zu den geplanten Inhalten und erläutern, welche Auswirkungen der AIA für Medizinprodukte-Hersteller in der jetzigen Form haben würde.
Übersicht zum Inhalt
Der AIA gliedert sich in 12 übergeordnete Titel mit 10 untergeordneten Kapiteln und 85 Artikeln sowie 9 Anhänge:
- Titel I (Art. 1-4): Gegenstand und Anwendungsbereich der Verordnung sowie Begriffsbestimmungen
- Titel II (Art. 5): Liste verbotener KI-Praktiken
- Titel III (Art. 6-51): Spezifische Vorschriften für KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen
- Titel IV (Art. 52): Spezifische Manipulationsrisiken bestimmter KI-Systeme
- Titel V (Art. 53-55): Maßnahmen zur Innovationsförderung
- Titel VI (Art. 56-59): Vorgaben für die Leitungsstrukturen auf Unionsebene und nationaler Ebene
- Titel VII (Art. 60): Einrichtung einer unionsweiten Datenbank für eigenständige Hochrisiko-KI-Systeme
- Titel VIII (Art. 61-68): Beobachtungs- und Meldepflichten für die Anbieter von KI-Systemen ohne ein hohes Risiko
- Titel IX (Art. 69): Grundlagen zur Schaffung von Verhaltenskodizes für Anbietern von KI-Systemen
- Titel X (Art. 70-72): Vertraulichkeit und Sanktionen
- Titel XI (Art. 73-74): Befugnisübertragung und Ausschussverfahren
- Titel XII (Art. 75-85): Schlussbestimmungen
Hinweise:
- Der Gesetzestext beginnt in der deutschen PDF-Datei erst ab Seite 20.
- Die insgesamt 89 Erwägungsgründe zu Beginn des Gesetzestextes enthalten überwiegend Erläuterungen zum Sinn und Zweck dieses Verordnungsentwurfes und werden von Juristen auch zu Interpretationszwecken herangezogen.
Wichtige Inhalte und Neuerungen im Detail
Im Art 2 AIA wird der Anwendungsbereich definiert:
- Anbieter, die KI-Systeme in der Union in Verkehr bringen oder in Betrieb nehmen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind,
- Nutzer von KI-Systemen, die sich in der Union befinden sowie
- Anbieter und Nutzer von KI-Systemen, die in einem Drittland niedergelassen oder ansässig sind, wenn das vom System hervorgebrachte Ergebnis in der Union verwendet wird.
In den weiteren Absätzen finden sich Einschränkungen des Anwendungsbereichs, z. B. für militärische Zwecke. Im Zusammenhang mit dem Anwendungsbereich wird nicht der Begriff „Hersteller“ sondern der Begriff „Anbieter“ verwendet, und dieser ist im Art. 3 (2) AIA wie folgt definiert: „Eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke – entgeltlich oder unentgeltlich – in Verkehr zu bringen oder in Betrieb zu nehmen.“ Weiterhin wird der „Nutzer“ (Art. 3 (4) AIA) definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“. Folglich sind sowohl Hersteller von KI-basierten Medizinprodukten als auch Nutzer wie Kliniken vom AIA betroffen.
Wesentlichen Einfluss auf die Anforderungen an die Produkte und deren Anbieter hat die Klassifizierung als Hochrisiko-KI-Systeme, welche die folgenden Bedingungen erfüllen müssen (Art. 6 AIA):
- das KI-System soll als Sicherheitskomponente eines unter die in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder ist selbst ein solches Produkt und
- das Produkt, dessen Sicherheitskomponente das KI-System ist, oder das KI-System selbst als Produkt muss einer Konformitätsbewertung durch Dritte im Hinblick auf das Inverkehrbringen oder die Inbetriebnahme dieses Produkts gemäß den in Anhang II aufgeführten Harmonisierungsrechtsvorschriften der Union unterzogen werden.
Unter Punkt 11 und 12 von Anhang II AIA sind die Verordnungen (EU) 2017/745 (MDR) und 2017/746 (IVDR) aufgelistet. Somit ist die erste Anforderung für Medizinprodukte inkl. In-vitro-Diagnostika (IVD) erfüllt. Im weiteren Verlauf des Blog-Beitrags wird nur auf Anforderungen der MDR im Vergleich mit dem AIA eingegangen.
Aufgrund der neuen Klassifizierungsregeln in der MDR, wird Software zukünftig weitestgehend den Risikoklassen IIa und höher zugeordnet. Dies hat ein Konformitätsbewertungsverfahren unter Beteiligung Benannter Stellen zur Folge und damit wäre auch die zweite Bedingung erfüllt. Zusammenfassend werden auch Produkte mit mittlerem Risiko gemäß MDR den Hochrisiko-KI-Systemen im AIA zugeordnet. Darüber hinaus werden die in Anhang III AIA genannten KI-Systeme ausdrücklich als Hochrisikosysteme eingestuft. Die folgende Abbildung stellt die Klassifizierung in der Übersicht dar: