Darstellung der Karte von Europa in digitalem Format
Amgun / stock.adobe.com
05.06.2023 Fachinformation

Zulassung von KI-basierten Medizinprodukten in Europa

Welche regulatorischen Anforderungen gibt die MDR für KI-basierte Medizinprodukte vor? Hier finden Sie Informationen und Vorgehensweisen für Europa.
Kontakt
Dr. Thorsten Prinz
Themen
Health
Medizintechnik
Künstliche Intelligenz KI

Mit einer medizinischen Zweckbestimmung unterliegen Systeme der künstlichen Intelligenz (KI-Systeme) in der Medizin genauso wie klassische Software der Regulierung durch die Europäischen Verordnungen 2017/745 über Medizinprodukte (MDR) und 2017/746 über In-vitro-Diagnostika (IVDR). Weiterhin ist in Bezug auf den Lebenszyklus von medizinische KI-Systemen die Anwendung von regulatorischen Prozessen gemäß den etablierten Normen für die Medizintechnik zu empfehlen. In diesem Blog-Beitrag wollen wir genauer betrachten, welche weiteren Anforderungen für diese Produkte gegenwärtig gelten und wo Hersteller Hilfestellungen bei der Einhaltung der Vorschriften finden können. Der Fokus liegt hierbei auf Medizinprodukte im Geltungsbereich der MDR. 

Gegenwärtige gesetzliche und normative Anforderungen

Wie bei jeder Software, ist auch bei medizinischen KI-Systemen zunächst zu klären, ob es sich um ein Medizinprodukt im Sinne der MDR handelt. Diese sog. „Qualifizierung als Medizinprodukt“ erfolgt in Bezug auf die Zweckbestimmung des jeweiligen medizinischen KI-Systems nach den Kriterien, wie sie in dem Dokument MDCG 2019-11 beschrieben werden. Der zweite Schritt ist die Risikoklassifizierung, die ebenfalls gemäß der Vorgehensweise im Dokument MDCG 2019-11 erfolgt. In Bezug auf Software ist hier insbesondere die Anwendung der Regel 11 im Anhang VIII MDR von Belang. Auf der Webseite „AI for Radiology“ werden für das Anwendungsfeld „Radiologie“ zahlreiche Beispiele von medizinischen KI-Systemen mit entsprechenden Informationen zur Risikoklassifizierung gemäß MDR und FDA, Zertifikaten sowie Produktspezifikationen aufgelistet. Grundsätzlich unterliegen Hersteller von medizinischen KI-Systemen wie andere Medizintechnik-Hersteller den Anforderungen aus Art. 10 MDR. In diesem Blog-Beitrag werden die zuvor genannten Punkte für Software als Medizinprodukt noch einmal ausführlich zusammengefasst. 

Spezielle Anforderungen für Software als Medizinprodukt finden sich in der MDR in den Abschnitten 14.2(d), 14.5 sowie 17.1 bis 17.4 von Anhang I Kapitel II und diese sind auch für medizinische KI-Systeme einschlägig. In Bezug auf die regulatorischen Prozesse während des Software-Lebenszyklus wird bei medizinischen KI-Systemen die Norm EN 62304 angewendet. Bei eigenständiger KI-basierter Software, die nicht Teil eines Medizingerätes ist, wird ergänzend die Norm EN 82304-1 herangezogen. Weder in der MDR noch in den genannten Normen finden sich KI-spezifische Anforderungen in Bezug auf die Sicherheit und Leistungsfähigkeit.  

Um Herstellern eine Hilfestellung bzgl. der Frage zu geben, welche KI-spezifischen Inhalte in der technischen Dokumentation des Herstellers enthalten sein sollen, veröffentlichte die Interessengemeinschaft der Benannten Stellen für Medizinprodukte in Deutschland (IG-NB) das Dokument „Questionnaire Artificial Intelligence (AI) in medical devices“. Dieses enthält für den Hersteller zahlreiche Fragen in Bezug auf Verantwortlichkeiten, Kompetenzen, Zweckbestimmung, Software-Anforderungen, Daten-Management, KI-Modell-Entwicklung, Produktentwicklung und Überwachung nach dem Inverkehrbringen. Das Dokument „Good practices for health applications of machine learning: Considerations for manufacturers and regulators” der International Telecommunication Union (ITU) ähnelt sehr dem IGNB-Dokument und kann zur Erläuterung einzelner Anforderungen herangezogen werden.  

Sofern bei der Entwicklung und Anwendung von KI-Systemen personenbezogene Daten verarbeitet werden, findet die Europäische Datenschutzgrundverordnung (DSGVO) Anwendung. Sie hat auch auf KI-Systeme einen signifikanten Einfluss. Ein paar wichtige Aspekte werden nachfolgend diskutiert. Hersteller und Anwender müssen die in Art. 5 DSGVO genannten Prinzipien zur Datenverarbeitung anwenden. Weiterhin muss der Hersteller schon in der Entwicklungsphase technische und organisatorische Maßnahmen zum Datenschutz umsetzen (Art. 25 DSGVO). Da Art. 22 DSGVO im Wesentlichen die automatisierte Entscheidungsfindung einschließlich Profiling verbietet, müssen Hersteller von autonomen KI-Systemen die im Gesetz geforderten Maßnahmen ergreifen. Für neue Technologien wie KI, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen, ist vorsorglich eine Datenschutzfolgenabschätzung erforderlich (Art. 35 (1) DSGVO). Eine ausführliche juristische Auseinandersetzung zum Thema wurde von Schreitmüller veröffentlicht. 

Allen voran die internationalen Normungsorganisationen International Organization for Standardization (ISO) und International Electrotechnical Commission (IEC) sowie auch die Association for the Advancement of Medical Instrumentation (AAMI) und das Institute of Electrical and Electronics Engineers (IEEE) haben Normen in Bezug auf KI-Technologien veröffentlicht. Standards Australia hat eine gute Übersicht zu den ISO/IEC-Normen erstellt. Auch wenn zum gegenwärtigen Zeitpunkt die meisten Dokumente konkreten Produktanforderungen enthalten und sie sich nicht auf Medizinprodukte beziehen, können Hersteller hierin wichtige Information in Hinsicht auf die Erstellung von regulatorischen Prozessen finden. 

CE-Konformitätsbewertung von KI-Systemen 

Die IG-NB äußert sich im Abschnitt A ihres Dokumentes zur Zertifizierbarkeit von kontinuierlich-lernenden KI-Systemen wie folgt: „Static AI (AI that has learned and operates in a learned state) is in principle certifiable. Dynamic AI (AI that continues to learn in the field) is not certifiable in principle, as the system must be verified and validated (among other things, the functionality must be validated against the intended use)”. Nach Ansicht der IG-NB muss also ein definierter Entwicklungsstand zum Zeitpunkt der Verifizierungs- und Validierungsaktivitäten gegeben sein. Demzufolge sind kontinuierlich-lernende KI-Systeme in der Medizin, die keinen definierten technischen Entwicklungsstand aufweisen, grundsätzlich nicht zertifizierbar. Der Fachausschuss „Regulatory Affairs“ der VDE-DGBMT hat kürzlich eine Empfehlung für den Marktzugang von kontinuierlich-lernenden KI-Systemen in der Medizin herausgegeben. In der Empfehlung wird dargelegt, dass es unter dem derzeitigen Rechtsrahmen der MDR keinen rechtlichen Grund gibt, kontinuierlich-lernende KI-Systeme nicht zu zertifizieren. Weiterhin wird im Zusammenhang mit kontinuierlich-lernenden KI-Systemen gefordert, den von der FDA vorgeschlagenen Predetermined Change Control Plan (PCCP) im Rahmen einer antizipierenden Konformitätsbewertung auch in Europa zu übernehmen. 

Aber auch für statische KI-Systeme (nicht kontinuierlich-lernend) mit einem Blackbox-Verhalten (das System erklärt nicht, wie es zu einem bestimmten Ergebnis gekommen ist) kann im Einzelfall keine erfolgreiche CE-Konformitätsbewertung durchgeführt werden, wie die IG-NB ebenfalls im Abschnitt A ihres Dokumentes darlegt. Sie verweist hierzu auf die Art. 22 und 35 DSGVO, die Abschnitte 17.2 Anhang I MDR und 16.2 Anhang I IVDR sowie das Dokument MDCG 2020-1

Zukünftiger europäischer Artificial Intelligence Act (AIA) 

Zur Schaffung eines einheitlichen horizontalen Rechtsrahmens für die Entwicklung, Vermarktung und Verwendung künstlicher Intelligenz veröffentlichte die EU-Kommission am 21.04.2021 einen Entwurf für den Artificial Intelligence Act (kurz: AIA, Gesetz über Künstliche Intelligenz). Medizinprodukte werden als sog. Hoch-Risiko-Produkte in den Anwendungsbereich des AIA fallen. Hoch-Risiko-Produkte müssen die Anforderungen der Artikel 8 bis 15 aus Kapitel 2 „Requirements for high-risk AI systems“ erfüllen. Darunter sind zum Beispiel die Verpflichtungen zur Errichtung eines Risikomanagementsystems und zur Erstellung einer technischen Dokumentation, welche Hersteller bereits aus der MDR kennen. Aber auch neue KI-spezifische Anforderungen in Hinsicht auf verwendeten Daten oder die menschliche Aufsicht sind im AIA-Entwurf enthalten. Im Kapitel 3 „Obligations of providers and users of high-risk AI systems and other parties“ werden in den Art. 16 bis 29 sowohl aus der MDR bekannte Anforderungen wie Errichtung eines Qualitätsmanagementsystems als auch neue Anforderungen wie die Verpflichtung zur Aufbewahrung automatischer Protokolle formuliert. Das Gesetzgebungsverfahren dauert gegenwärtig an. Es hat inzwischen zahlreiche Änderungen gegenüber dem ursprünglichen Entwurf gegeben und weitere sind nicht auszuschließen. 

Regulatorischer Ansatz BAIM zur Erfüllung der regulatorischen Anforderungen  

Der VDE hat den regulatorischen Ansatz „BAIM - Boost AI to Market“ entwickelt, um Hersteller bei der Erfüllung der komplexen gesetzlichen und regulatorischen Anforderungen zu unterstützen. BAIM erweitert im Wesentlichen existierende Prozesse beim Hersteller zu den Themen Software-Lebenszyklus, Risikomanagement, Usability Engineering, klinische Bewertung/Nachbeobachtung und Überwachung nach dem Inverkehrbringen/Vigilanz um KI-spezifische Aspekte. 

Fazit

Da sich der technische und regulatorische State-of-the-Art bei medizinischen KI-Systemen fortlaufend ändert, müssen Hersteller die Änderungen überwachen und zeitnah in ihre regulatorischen Prozesse integrieren. In unseren zahlreichen Veranstaltungen und Blog-Beiträgen sorgen wir dafür, dass Sie keine wesentlichen regulatorischen Neuerungen verpassen! 

Anmeldung zum Newsletter

Hand eines Arztes mit modernem PC-Interface
everythingpossible / Fotolia
15.08.2023

Aktuelle Infos zu unseren Fachbeiträgen und Fachveranstaltungen zur Zulassung von Medizinprodukten und Software.

Jetzt registrieren!
Folgen Sie uns
© 2024 VDE Verband der Elektrotechnik Elektronik Informationstechnik e.V.