Medizinprodukte-Hersteller: AI Act, Data Act & DSGVO-Pflichten
Medizinprodukte-Hersteller, die KI einsetzen (Diagnostik-KI, Therapie-Unterstützung, Patientenüberwachung, Bildgebung), sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente/Selbstständiges Medizinprodukt) PLUS Medizinprodukte-VO (MDR — Verordnung (EU) 2017/745). Pflichten: volles Art. 8–15-Pflichtenbündel PLUS MDR (klinische Bewertung, Risikoklassifizierung I/IIa/IIb/III, benannte Stelle, CE nach MDR, Vigilanz, Post-Market-Surveillance). Eine CE deckt beide Regime ab (Art. 47 Abs. 2–4) — doppelte Konformitätsbewertung durch eine notifizierte Stelle (MDR+AI Act). Besonderheiten: kontinuierliches Lernen (Updates nach Art. 12), Bias an Patientenkohorten (Art. 10), Cybersecurity (Art. 15), menschliche ärztliche Letztverantwortung (Art. 14). Aufsichtlich: BfArM/PEI (DE), Kommission, AI Office. Überlagert: MDR, DSGVO Art. 9 (Gesundheitsdaten), Berufsrecht, KVG/SGB V.
Steve Baka
Hochrisiko nach Anhang I + MDR
Medizinprodukte-Hersteller mit KI sind hochriskant nach Anhang I AI Act (KI als Sicherheitskomponente oder selbstständiges Medizinprodukt nach MDR) PLUS MDR. KI wird zum Medizinprodukt, wenn sie medizinischen Zweck hat (Diagnose, Prävention, Überwachung, Behandlung, Linderung von Krankheit — Art. 2 MDR). Beispiele: KI-gestützte Bildgebung (Tumor-Erkennung im MRT), EKG-KI (AFib-Erkennung), Diagnostik-KI (Hautkrebs-Screening), Patientenüberwachung (Sturzerkennung), Therapie-Unterstützung (Dosis-Berechnung). Pflichtenbündel: Art. 8–15 (Risikomanagement, Daten-Governance, technische Dokumentation, Aufzeichnung, Transparenz, menschliche Aufsicht, Genauigkeit/Robustheit/Cybersecurity, QMS) PLUS MDR (klinische Bewertung, Risikoklassifizierung, benannte Stelle, CE, Vigilanz).
Praxis: Doppelte CE und Klinik-Tests
Praktisch: (1) Doppelte CE — notifizierte Stelle prüft MDR + AI Act, CE deckt beide Regime (Art. 47 Abs. 2–4); (2) klinische Bewertung nach MDR (klinische Daten, Performance, Sicherheit) PLUS AI-Act-Risikoanalyse/-Tests (Bias an Patientenkohorten, Robustheit, Cybersecurity); (3) kontinuierliches Lernen — Updates nach Art. 12 aufzeichnen, Konformität erhalten; (4) menschliche ärztliche Letztverantwortung (Art. 14) — KI unterstützt Ärztin/Arzt, entscheidet nicht; (5) Vigilanz (MDR) PLUS Vorfallsmeldung (AI Act Art. 73) — kumulierte Meldungen an BfArM/PEI und Marktüberwachung; (6) DSGVO Art. 9 (Gesundheitsdaten — Verarbeitung nur unter engen Ausnahmen, Einwilligung/Gesundheitsfürsorge, DSFA); (7) Berufsrecht (ärztliche Schweigepflicht, ärztliche Verantwortung), SGB V/Versorgungsrecht (Erstattung). Aufsichtlich: BfArM/PEI (DE, Medizinprodukte-Sicherheit), Marktüberwachungsbehörden (AI Act), AI Office bei grenzüberschreitend. Die Kombination MDR + AI Act + DSGVO ist komplex — spezialisierte Medizinprodukte-/AI-Act-Beratung ist ratsam. Die klinische Bewertung ist der anspruchsvollste Teil (Patientenstudien, Kohorten-Daten).
Grenzen: Ärztliche Letztverantwortung und klinische Ethik
Die Grenze der Medizinprodukte-KI ist die ärztliche Letztverantwortung: die KI ist Werkzeug ärztlicher Tätigkeit, sie entscheidet nicht autonom. Vollautomatisierte Diagnosen/Therapieentscheidungen ohne menschliche Überprüfung sind unzulässig (Art. 14 menschliche Aufsicht, § 630e BGB Aufklärung, ärztliches Berufsrecht). Hersteller müssen menschliche Aufsicht technisch ermöglichen (Art. 14 — Alarme, Eingriffsmechanismen, Interpretationshilfen) und dokumentieren. Klinische Ethik: bei Hochrisiko-Medizin-KI sind Ethikkommissionen (bei Forschung/Pilot), Klinische Ethikkomitees (im Klinikalltag) und Patienteneinbindung etablierte Instrumente. Vulnerable Gruppen (Kinder, Demenz-Patientinnen/Patienten, Notfallpatientinnen/-patienten) brauchen besonderen Schutz. Kontinuierliches Lernen erfordert Versions-/Konformitäts-Management (Art. 12, 43). Eine KI, die ärztliche Verantwortung aushöhlt oder Patientenautonomie untergräbt, ist rechtswidrig und ethisch inakzeptabel — Compliance und Ethik sind im Medizin-KI-Bereich untrennbar.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. IT-Sicherheitsanforderungen für kritische Sektoren.
Digital Services Act (VO (EU) 2022/2065) — EUR-LexAmtsblatt der Europäischen Union. Plattformregulierung; Schnittstelle zu KI-Systemen.
Data Governance Act (VO (EU) 2022/868) — EUR-LexAmtsblatt der Europäischen Union. Rahmen für Datenvermittlung und -weitergabe.
Vorschlag AI Liability Directive (COM(2022)496)Europäische Kommission. Haftung für KI-verursachte Schäden (Vorschlag; Stand prüfen).
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland.
OECD AI PrinciplesOECD. Internationaler Referenzrahmen für vertrauenswürdige KI.
Council of Europe Framework Convention on AICouncil of Europe. Erstes völkerrechtliches Abkommen zu KI.
ISO/IEC 42001 — AI Management SystemISO/IEC. Internationaler Standard für KI-Managementsysteme (Compliance-relevant).
Häufige Fragen
Welche Risikostufe hat Medizinprodukt-KI?
Hochriskant nach Anhang I AI Act + MDR. Eine CE deckt beide Regime (Art. 47 Abs. 2–4). Plus DSGVO Art. 9 (Gesundheitsdaten).
Was ist die doppelte CE?
Notifizierte Stelle prüft MDR + AI Act. Klinische Bewertung nach MDR + AI-Act-Risikoanalyse/-Tests. CE deckt beide Regime.
Wer ist Aufsicht?
BfArM/PEI (DE, Medizinprodukte-Sicherheit), Marktüberwachungsbehörden (AI Act), AI Office bei grenzüberschreitend. Vigilanz + AI Act Vorfallsmeldung (kumuliert).
KI-Compliance für Medizinprodukte-Hersteller?
Wenn du im Sektor Medizinprodukte-Hersteller KI-Systeme einführst, entwickle ich mit dir die passende Strategie für AI Act, Data Act und DSGVO.