Ab dem 2. August 2026 muss jedes KI-System, das in ein Medizinprodukt eingebettet ist und unter die EU MDR 2017/745 oder IVDR 2017/746 fällt, die vollständigen Hochrisiko-Pflichten des EU AI Act 2024/1689 erfüllen. Dies gilt parallel zur MDR und nicht als Ersatz. Hersteller müssen beide regulatorische Rahmenwerke in einem einzigen Konformitätsbewertungsverfahren erfüllen.
Warum KI-Medizinprodukte automatisch als Hochrisiko gelten
AI Act Artikel 6(1) stuft KI-Systeme als Hochrisiko ein, wenn sie Sicherheitskomponenten von Produkten sind, die unter die in Anhang I aufgeführte EU-Harmonisierungsgesetzgebung fallen. Sowohl die MDR 2017/745 als auch die IVDR 2017/746 sind in diesem Anhang aufgeführt.
Das bedeutet, dass jede Software als Medizinprodukt (SaMD) der Risikoklassen IIa, IIb oder III automatisch ein Hochrisiko-KI-System gemäss dem AI Act ist. Eine separate Klassifizierungsanalyse ist nicht erforderlich. Klasse-I-Produkte können ebenfalls betroffen sein, wenn sie eine KI-Komponente enthalten, die als Sicherheitskomponente fungiert.
| MDR-Klasse | AI-Act-Klassifizierung | Begründung |
|---|---|---|
| III | Hochrisiko (automatisch) | Gelistete Harmonisierungsgesetzgebung in Anhang I |
| IIb | Hochrisiko (automatisch) | Dasselbe |
| IIa | Hochrisiko (automatisch) | Dasselbe |
| I | Potenziell Hochrisiko | Wenn KI als Sicherheitskomponente fungiert |
Was der AI Act über die MDR hinaus fordert
Die MDR verlangt bereits ein Qualitätsmanagementsystem, eine klinische Bewertung und eine Überwachung nach dem Inverkehrbringen. Der AI Act fügt spezifische Anforderungen für die KI-Komponente hinzu, die über die MDR-Vorgaben hinausgehen:
Risikomanagement für KI (AI Act Artikel 9): Ein KI-spezifischer Risikomanagementprozess, der über den gesamten Lebenszyklus des KI-Systems dokumentiert und aufrechterhalten wird. Dieser muss in Ihre bestehende ISO 14971-Risikomanagementakte integriert werden, adressiert jedoch KI-spezifische Risiken wie Bias, Verteilungsverschiebung und Fehlermodi in Grenzfällen.
Datengovernance (AI Act Artikel 10): Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen. Sie müssen die Methoden der Datenerhebung dokumentieren, mögliche Verzerrungen adressieren und sicherstellen, dass die Datensätze für den Verwendungszweck relevant, repräsentativ und vollständig sind.
Transparenz (AI Act Artikel 13): Nutzer (Betreiber) müssen in der Lage sein, die Ausgabe des KI-Systems zu interpretieren und seine Grenzen zu verstehen. Die Gebrauchsanweisungen müssen das Niveau der Genauigkeit, Robustheit und Cybersicherheit angeben, das das System erreicht.
Menschliche Aufsicht (AI Act Artikel 14): Das System muss so konzipiert sein, dass ein Mensch seinen Betrieb wirksam überwachen, seine Fähigkeiten und Grenzen verstehen und bei Bedarf eingreifen oder übersteuern kann.
Genauigkeit, Robustheit, Cybersicherheit (AI Act Artikel 15): Das System muss ein angemessenes Mass an Genauigkeit erreichen, gegenüber Fehlern und Inkonsistenzen widerstandsfähig sein und gegen unbefugte Manipulation geschützt werden.
Technische Dokumentation: doppelte Anforderungen
Ihre technische Akte wird sowohl anhand der MDR- als auch der AI-Act-Anforderungen bewertet. In der Praxis bedeutet dies, dass Ihre bestehende technische Dokumentation gemäss MDR Anhang II/III durch die technische Dokumentation gemäss AI Act Anhang IV ergänzt werden muss.
| MDR-Technische Akte | AI Act Anhang IV Ergänzung |
|---|---|
| Produktbeschreibung und Zweckbestimmung | Detaillierte Beschreibung der KI-Systemelemente und des Entwicklungsprozesses |
| Risikomanagement (ISO 14971) | KI-spezifisches Risikomanagement mit Bias- und Robustheitsanalyse |
| Klinische Bewertung (MDR Anhang XIV) | Datengovernance-Dokumentation, Trainings-/Validierungsdatensätze |
| Software-Lebenszyklus (IEC 62304) | Algorithmus-Design, Trainingsmethodik, Leistungskennzahlen |
| Verifizierung und Validierung | KI-spezifische Tests einschliesslich Grenzfälle und adversariale Eingaben |
| Plan zur Überwachung nach dem Inverkehrbringen | KI-Leistungsüberwachung, Plan zur Drifterkennung |
Konformitätsbewertung: ein Verfahren, zwei Rahmenwerke
AI Act Artikel 43(1) legt fest, dass die Konformitätsbewertung für Hochrisiko-KI-Systeme, die in Medizinprodukte eingebettet sind, dem bereits unter der MDR festgelegten Verfahren folgt. Ihre Benannte Stelle bewertet sowohl die MDR- als auch die AI-Act-Konformität in einem einzigen Prozess.
Das bedeutet nicht weniger Aufwand. Es bedeutet, dass Ihre Benannte Stelle die zusätzlichen AI-Act-Anforderungen im selben Audit bewertet. Rechnen Sie mit längeren Prüfungszyklen und zusätzlichen Fragen zu Datengovernance, Algorithmus-Validierung und Bias-Minderung.
Wichtige Fristen
| Datum | Anforderung |
|---|---|
| 2. August 2026 | Hochrisiko-KI-Pflichten gelten vollständig für neue KI-Medizinprodukte, die auf dem EU-Markt bereitgestellt werden |
| 2. August 2027 | Vollständige Konformität erforderlich für KI-Medizinprodukte, die bereits vor August 2026 auf dem Markt waren |
| Laufend | Überwachung nach dem Inverkehrbringen muss KI-Leistungsverfolgung, Drifterkennung und Meldung von Vorkommnissen umfassen |
Hersteller, die neue KI-basierte SaMD nach dem 2. August 2026 auf dem EU-Markt bereitstellen, müssen die Konformität mit sowohl der MDR als auch dem AI Act vom ersten Tag an nachweisen. Für neue Produkte gibt es keine Übergangsfrist.
So bereiten Sie sich jetzt vor
- Ihre KI-Komponenten erfassen: Identifizieren Sie jedes KI/ML-Element in Ihrem Produkt und dokumentieren Sie seine Rolle bei der klinischen Entscheidungsfindung
- Ihr Risikomanagement erweitern: Fügen Sie eine KI-spezifische Risikoanalyse (Bias, Verteilungsverschiebung, adversariale Robustheit) zu Ihrer ISO 14971-Akte hinzu
- Ihre Datenpipeline dokumentieren: Erfassen Sie Datenquellen, Vorverarbeitung, Kennzeichnung, Aufteilungen und Qualitätskriterien für alle Trainings- und Validierungsdaten
- Leistungskennzahlen definieren: Legen Sie Benchmarks für Genauigkeit, Sensitivität, Spezifität und Robustheit mit klaren Akzeptanzkriterien fest
- Überwachung planen: Bauen Sie ein System zur KI-Leistungsüberwachung nach dem Inverkehrbringen auf, das Modell-Drift und Leistungsabnahme im Zeitverlauf erkennt
- Frühzeitig Ihre Benannte Stelle einbeziehen: Besprechen Sie die AI-Act-Bereitschaft jetzt mit Ihrer Benannten Stelle, da die Auditkapazitäten bereits ausgelastet sind
Suchen Sie das richtige Tool für regulatorische Intelligenz? Lesen Sie unseren Leitfaden zur Bewertung von Plattformen für regulatorische Intelligenz.
Wichtigste Erkenntnisse
- Alle KI-basierten SaMD der MDR-Klassen IIa bis III sind automatisch Hochrisiko-Systeme gemäss dem EU AI Act
- Der AI Act gilt parallel zur MDR und nicht als Ersatz
- Neue Pflichten betreffen Datengovernance, Transparenz, menschliche Aufsicht und KI-spezifisches Risikomanagement
- Die technische Dokumentation muss sowohl MDR Anhang II/III als auch AI Act Anhang IV erfüllen
- Eine Konformitätsbewertung deckt beide Rahmenwerke ab und wird von Ihrer Benannten Stelle durchgeführt
- Neue Produkte müssen ab dem 2. August 2026 konform sein; bestehende Produkte bis zum 2. August 2027
- Beginnen Sie jetzt mit der Vorbereitung, da die Kapazitäten der Benannten Stellen bereits begrenzt sind
Wie RegAid hilft
RegAid deckt den vollständigen Text des EU AI Act 2024/1689 neben der MDR 2017/745 und allen MDCG-Leitlinien zu Software und KI ab. Stellen Sie die Frage „Welche Anforderungen an die Datengovernance gelten für meine KI-Diagnostik gemäss dem AI Act?" und erhalten Sie eine quellenbasierte Antwort, die die Anforderungen von Artikel 10 mit Ihren MDR-Pflichten zur technischen Dokumentation verknüpft.