industryArticlemaschinenlesbar

Medizinprodukte-Hersteller: AI Act, Data Act & DSGVO-Pflichten

MenschMarkdown öffnen

Medizinprodukte-Hersteller, die KI einsetzen (Diagnostik-KI, Therapie-Unterstützung, Patientenüberwachung, Bildgebung), sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente/Selbstständiges Medizinprodukt) PLUS Medizinprodukte-VO (MDR — Verordnung (EU) 2017/745). Pflichten: volles Art. 8–15-Pflichtenbündel PLUS MDR (klinische Bewertung, Risikoklassifizierung I/IIa/IIb/III, benannte Stelle, CE nach MDR, Vigilanz, Post-Market-Surveillance). Eine CE deckt beide Regime ab (Art. 47 Abs. 2–4) — doppelte Konformitätsbewertung durch eine notifizierte Stelle (MDR+AI Act). Besonderheiten: kontinuierliches Lernen (Updates nach Art. 12), Bias an Patientenkohorten (Art. 10), Cybersecurity (Art. 15), menschliche ärztliche Letztverantwortung (Art. 14). Aufsichtlich: BfArM/PEI (DE), Kommission, AI Office. Überlagert: MDR, DSGVO Art. 9 (Gesundheitsdaten), Berufsrecht, KVG/SGB V.

Rechtliche Klarheit entsteht, wenn Definition, Artikelbezug, Quelle und eigene Einordnung zusammenkommen.
Steve Baka
anwendbarkeit

Hochrisiko nach Anhang I + MDR

Medizinprodukte-Hersteller mit KI sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente oder selbstständiges Medizinprodukt nach MDR) PLUS MDR. KI wird zum Medizinprodukt, wenn sie medizinischen Zweck hat (Diagnose, Prävention, Überwachung, Behandlung, Linderung von Krankheit — Art. 2 MDR). Beispiele: KI-gestützte Bildgebung (Tumor-Erkennung im MRT), EKG-KI (AFib-Erkennung), Diagnostik-KI (Hautkrebs-Screening), Patientenüberwachung (Sturzerkennung), Therapie-Unterstützung (Dosis-Berechnung). Pflichtenbündel: Art. 8–15 (Risikomanagement, Daten-Governance, technische Dokumentation, Aufzeichnung, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersecurity, QMS) PLUS MDR (klinische Bewertung, Risikoklassifizierung, benannte Stelle, CE, Vigilanz).

praxis

Praxis: Doppelte CE und Klinik-Tests

Praktisch: (1) Doppelte CE — notifizierte Stelle prüft MDR + AI Act, CE deckt beide Regime (Art. 47 Abs. 2–4); (2) klinische Bewertung nach MDR (klinische Daten, Performance, Sicherheit) PLUS AI-Act-Risikoanalyse/-Tests (Bias an Patientenkohorten, Robustheit, Cybersecurity); (3) kontinuierliches Lernen — Updates nach Art. 12 aufzeichnen, Konformität erhalten; (4) menschliche ärztliche Letztverantwortung (Art. 14) — KI unterstützt Ärztin/Arzt, entscheidet nicht; (5) Vigilanz (MDR) PLUS Vorfallsmeldung (AI Act Art. 73) — kumulierte Meldungen an BfArM/PEI und Marktüberwachung; (6) DSGVO Art. 9 (Gesundheitsdaten — Verarbeitung nur unter engen Ausnahmen, Einwilligung/Gesundheitsfürsorge, DSFA); (7) Berufsrecht (ärztliche Schweigepflicht, ärztliche Verantwortung), SGB V/Versorgungsrecht (Erstattung). Aufsichtlich: BfArM/PEI (DE, Medizinprodukte-Sicherheit), Marktüberwachungsbehörden (AI Act), AI Office bei grenzüberschreitend. Die Kombination MDR + AI Act + DSGVO ist komplex — spezialisierte Medizinprodukte-/AI-Act-Beratung ist ratsam. Die klinische Bewertung ist der anspruchsvollste Teil (Patientenstudien, Kohorten-Daten).

grenzen verantwortung

Grenzen: Ärztliche Letztverantwortung und klinische Ethik

Die Grenze der Medizinprodukte-KI ist die ärztliche Letztverantwortung: die KI ist Werkzeug ärztlicher Tätigkeit, sie entscheidet nicht autonom. Vollautomatisierte Diagnosen/Therapieentscheidungen ohne menschliche Überprüfung sind unzulässig (Art. 14 menschliche Aufsicht, § 630e BGB Aufklärung, ärztliches Berufsrecht). Hersteller müssen menschliche Aufsicht technisch ermöglichen (Art. 14 — Alarme, Eingriffsmechanismen, Interpretationshilfen) und dokumentieren. Klinische Ethik: bei Hochrisiko-Medizin-KI sind Ethikkommissionen (bei Forschung/Pilot), Klinische Ethikkomitees (im Klinikalltag) und Patienteneinbindung etablierte Instrumente. Vulnerable Gruppen (Kinder, Demenz-Patientinnen/Patienten, Notfallpatientinnen/-patienten) brauchen besonderen Schutz. Kontinuierliches Lernen erfordert Versions-/Konformitäts-Management (Art. 12, 43). Eine KI, die ärztliche Verantwortung aushöhlt oder Patientenautonomie untergräbt, ist rechtswidrig und ethisch inakzeptabel — Compliance und Ethik sind im Medizin-KI-Bereich untrennbar.

Sources

Quellen

Verordnung (EU) 2024/1689 (AI Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.

EU AI Office

Europäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.

Verordnung (EU) 2023/2854 (Data Act) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.

Datenschutz-Grundverordnung (DSGVO) — EUR-Lex

Amtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.

AI Act — konsolidierter Lesetext (ai-act-law.eu)

Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.

European Data Protection Supervisor (EDPS)

EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.

European Data Protection Board (EDPB)

EDPB. EU-Datenschutzgremium mit KI-Leitlinien.

EU AI Pact

Europäische Kommission. Freiwillige Frühumsetzung des AI Act.

Cyber Resilience Act (VO (EU) 2024/2847) — EUR-Lex

Amtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).

Richtlinie (EU) 2022/2555 (NIS2) — EUR-Lex

Amtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.

Digital Services Act (VO (EU) 2022/2065) — EUR-Lex

Amtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.

Data Governance Act (VO (EU) 2022/868) — EUR-Lex

Amtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.

Vorschlag AI Liability Directive (COM(2022)496)

Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).

Bundesamt für Sicherheit in der Informationstechnik (BSI)

BSI. IT-Sicherheitsbehörde Deutschland.

OECD AI Principles

OECD. Internationaler Referenzrahmen für vertrauenswürdige KI.

Council of Europe Framework Convention on AI

Council of Europe. Erstes völkerrechtliches Abkommen zu KI.

ISO/IEC 42001 — AI Management System

ISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).

FAQ

Häufige Fragen

Welche Risikostufe hat Medizinprodukt-KI?

Hochriskant nach Anhang I AI Act + MDR. Eine CE deckt beide Regime (Art. 47 Abs. 2–4). Plus DSGVO Art. 9 (Gesundheitsdaten).

Was ist die doppelte CE?

Notifizierte Stelle prüft MDR + AI Act. Klinische Bewertung nach MDR + AI-Act-Risikoanalyse/-Tests. CE deckt beide Regime.

Wer ist Aufsicht?

BfArM/PEI (DE, Medizinprodukte-Sicherheit), Marktüberwachungsbehörden (AI Act), AI Office bei grenzüberschreitend. Vigilanz + AI Act Vorfallsmeldung (kumuliert).

Beratung für deinen Sektor

KI-Compliance für Medizinprodukte-Hersteller?

Wenn du im Sektor Medizinprodukte-Hersteller KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.

Jetzt beraten lassen
Related