Künstliche Intelligenz (KI) ist aus vielen modernen Medizinprodukten nicht mehr wegzudenken. Doch Unternehmen, die KI-Funktionen in ihre Produkte integrieren, unterschätzen oft die regulatorischen Anforderungen, mit erheblichen Risiken für das Geschäft. In diesem Beitrag zeigen wir, welche regulatorischen Herausforderungen es bei KI-gestützten Medizinprodukten gibt und wie sich Compliance-Lücken schließen lassen, um eine sichere Anwendung nachzuweisen.
Warum KI-Produkte besonders komplex sind
Medizinprodukte mit KI-Funktionalität bringen zusätzliche Komplexität mit sich, vor allem im Vergleich zu klassischer Software. Zwar teilen beide ähnliche Risiken, doch bei KI kommen neue Herausforderungen hinzu, die während des gesamten Produktlebenszyklus beachtet werden müssen, etwa:
- Wie wird das KI-Modell entwickelt, und welche Risiken entstehen dabei?
- Wie wird das System im realen Einsatz überwacht?
- Nach welchen Regeln erfolgt das Nachtrainieren (Retraining) und die Bewertung der Leistungsfähigkeit?
Die US-Behörde FDA war eine der ersten, die einen „Good Machine Learning Practices“-Ansatz (GMLP) entwickelt hat. Dieser betrachtet alle Phasen des Produktlebenszyklus und dient inzwischen weltweit als Grundlage. Auch das internationale Gremium IMDRF hat diesen Ansatz mit leichten Anpassungen übernommen. Aufbauend darauf hat die FDA weitere Leitlinien veröffentlicht, z. B. zu geplanten Änderungen (predetermined change control plans) und Transparenzanforderungen.
In Europa wurde mittlerweile der AI ACT verabschiedet. Ab 2027 gilt dieser für sogenannte „Hochrisiko-KI-Systeme“ – dazu zählen auch alle Medizinprodukte, die eine Konformitätsbewertung durch eine Benannte Stelle nach MDR oder IVDR durchlaufen müssen. Der AI ACT deckt ähnliche Bereiche ab wie die FDA Leitlinie erweitert diese jedoch um Themen wie Umweltwirkung und ethische Aspekte. Aktuell werden KI-fähige Medizinprodukte in Europa noch ausschließlich nach der MDR/IVDR bewertet. Dafür hat der Verband Team-NB einen Fragebogen veröffentlicht, mit dem Hersteller ihren Umsetzungs- und Dokumentationsbedarf erkennen können, inklusive Empfehlungen zu anwendbaren Normen.
Sobald der AI ACT greift, wird es eine gemeinsame Konformitätsbewertung für MDR/IVDR und den AI ACT geben. Die technische Dokumentation nach AI ACT wird dann in die bestehende MDR/IVDR-Dokumentation integriert. Ebenso müssen die Anforderungen an das Qualitätsmanagementsystem (QMS) aus dem AI ACT in das ISO-13485-basierte QMS der Hersteller aufgenommen werden.
Aktuell befinden sich mehrere unterstützende Normen für die AI-ACT-Konformität in der Entwicklung, etwa zu Themen wie QMS, Risikomanagement oder Usability-Validierung.
Da die Umsetzung zentraler AI-ACT-Vorgaben ins Stocken geraten ist und wichtige Fristen im Sommer anstehen, erwägt die EU-Kommission ein vorübergehendes Aussetzen („Stop-the-Clock“). Dies betrifft vor allem sogenannte General Purpose AI (GPAI)-Systeme. Ob und wie sich das auf Medizinprodukte mit Hochrisiko-KI auswirkt, ist derzeit noch offen.
Worauf es regulatorisch ankommt
Zentrale Elemente der Compliance sind Modellauswahl, Datensammlung und Datenmanagement. Diese beeinflussen direkt die Leistung des KI-Systems. Es ist entscheidend, ein Modell zu wählen, das zum vorgesehenen Zweck passt – und Trainingsdaten zu nutzen, die die Zielgruppe repräsentieren, etwa hinsichtlich Alter, Geschlecht oder Krankheitsbildern.
Regulierungsbehörden erwarten eine klare Trennung von Trainings-, Test- und Validierungsdaten. Meist wird ein Verhältnis von 80 % Trainingsdaten zu 20 % Test-/Validierungsdaten empfohlen, um eine unabhängige Leistungsprüfung zu gewährleisten. Auch alle Auswahlkriterien und Eigenschaften der Datensätze müssen sauber dokumentiert sein.
Diese Prozesse sollten im Rahmen eines QMS gesteuert, dokumentiert und überprüfbar sein, um eine kontrollierte Umsetzung sicherzustellen.
Ein weiterer Schlüsselbereich ist die Risikobewertung: KI-spezifische Risiken müssen in die allgemeine Risikobetrachtung des Medizinprodukts integriert werden. Eine wertvolle Hilfestellung ist der Standard BS/AAMI 34971, der die Anwendung von ISO 14971 auf KI und maschinelles Lernen überträgt, inklusive Praxisbeispielen für Risikoanalyse und -minderung.