KI in der medizinischen Diagnostik: Risikoklasse und Pflichten im EU-KI-Recht
KI in der medizinischen Diagnostik ist je nach Funktion unterschiedlich reguliert. Ist die KI ein Medizinprodukt (Software mit medizinischem Zweck nach MDR 2017/745) und trifft diagnostische/therapeutische Entscheidungen, ist sie HOCHRISKANT nach Anhang I AI Act (Sicherheitsbestandteil regulierter Produkte) und unterliegt spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem AI-Act-Pflichtenbündel aus Art. 8–15 PLUS der Medizinprodukte-Verordnung (Konformität über notifizierte Stelle, CE). Reine Unterstützungs- oder Informationswerkzeuge ohne Diagnosezweck (z. B. Patienten-Chatbots zur Terminvereinbarung) sind oft minimal/begrenzt riskant. Die Grenze „medizinischer Zweck" ist entscheidend — sie wird von der MDR definiert, nicht vom AI Act selbst.
Steve Baka
Einordnung: Medizinprodukt + Hochrisiko
KI in der medizinischen Diagnostik ist in der Regel ein Medizinprodukt (Software mit medizinischem Zweck nach Art. 2 MDR 2017/745). Als solches ist sie nach Anhang I AI Act ein „Sicherheitsbestandteil eines regulierten Produkts" und damit HOCHRISKANT. Sie unterliegt kumulativ dem AI Act (Art. 8–15) UND der MDR (Konformitätsbewertung über eine notifizierte Stelle, CE-Kennzeichnung nach MDR, klinische Bewertung, Vigilanz). Eine einzige CE-Kennzeichnung deckt beide Regime ab (Art. 47 Abs. 2–4); das strengere Verfahren ist anzuwenden. Beispiele: KI-Röntgenbildauswertung, Hautkrebs-Screening, Mammographie-CAD.
Pflichten und Aufsicht
Vollständiges AI-Act-Pflichtenbündel: Risikomanagement (Art. 9, hier klinisches Risikomanagement nach MDR ISO 14971), Daten-Governance (Art. 10, repräsentative Patientendaten, Bias-Prüfung), technische Dokumentation (Art. 11, hier MDR-Technische Dokumentation), Aufzeichnung (Art. 12), menschliche Aufsicht durch Ärztinnen/Ärzte (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15), QMS (Art. 17). Aufsicht: BfArM,DIMDI und benannte Stellen nach MDR; AI-Act-Marktüberwachung. Hohes Risiko von Fehldiagnosen erfordert strenge Validierung an repräsentativen Kohorten, Bias-Prüfung an Untergruppen und klare klinische Evaluierung.
Grenzfälle und Patienten-Kommunikation
Nicht-medizinische KI im Gesundheitsbereich (Termin-Chatbots, Wartelisten-Optimierung, reine Dokumentationshilfe) ist oft minimal/begrenzt riskant — keine MDR-Pflicht, ggf. Art. 50 Transparenz. Wearable-Datenanalyse zur reinen Selbstverfolgung (Fitness, nicht Diagnose) fällt ebenfalls nicht unter MDR/Hochrisiko. Abgrenzung entscheidend: „medizinischer Zweck" (Diagnose, Behandlung, Überwachung) = Medizinprodukt + Hochrisiko; Wellness/Selbstoptimierung = minimal. Patientenaufklärung über den Unterstützungscharakter („KI unterstützt, entscheidet nicht allein") und ärztliche Letztverantwortung sind ethisch-rechtliche Leitplanken. Die ärztliche Aufsicht (Art. 14) ist keine Formalie, sondern materielle Verantwortung.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist Diagnostik-KI immer hochriskant?
Ja, wenn sie ein Medizinprodukt mit medizinischem Zweck ist (Anhang I AI Act). Sie unterliegt kumulativ AI Act und MDR — eine CE deckt beide ab.
Wer ist zuständige Aufsicht?
BfArM und benannte Stellen nach MDR (Konformität), plus AI-Act-Marktüberwachung. BSI bei IT-Sicherheit kritischer Systeme.
Was gilt für Fitness-Wearables?
Reine Selbstverfolgung (nicht Diagnose) ist meist minimal/begrenzt riskant — keine MDR-Pflicht. Sobald es Diagnosezweck hat, wird es Medizinprodukt + Hochrisiko.
Rechtskonforme Umsetzung für KI in der medizinischen Diagnostik?
Wenn du KI in der medizinischen Diagnostik rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.