KI-Verordnung trifft MDR: Hochrisiko-KI-Anforderungen für Medizinprodukte
Das Dokument adressiert Hersteller, die ein bestehendes MDR-konformes Medizinprodukt um eine KI-Komponente erweitern und damit unter die Hochrisiko-KI-Kategorie (HRKI) der KI-VO fallen.
Die KI-Verordnung beschreibt den Zweck eines Dokuments, das die Anforderungen der EU-KI-Verordnung (AI Act) für Hochrisiko-KI-Systeme – zu denen in der Regel auch KI-basierte Medizinprodukte zählen – aus KI-VO-Perspektive mit den Anforderungen der MDR verknüpft.
Dabei werden zwei Kategorien von Überschneidungen unterschieden: Erstens Bereiche, in denen bestehende MDR-Prozesse (z. B. technische Dokumentation, QMS, Risikomanagement, PMS, Meldepflichten) direkt als Grundlage für die Umsetzung der KI-spezifischen Anforderungen genutzt werden können. Zweitens zusätzliche KI-spezifische Anforderungen – etwa zu Datenqualität, Transparenz, Robustheit und Cybersicherheit – für die die MDR zwar Anknüpfungspunkte bietet, diese aber nicht hinreichend KI-technisch ausführt.
Ziel der KI-Verordnung ist es, einen strukturierten Überblick über die über die MDR hinausgehenden HRKI-Anforderungen der KI-VO zu geben und dabei auch auf relevante Normen, Leitlinien und weiterführende Quellen hinzuweisen.
Wesentliche Inhalte
- Risikomanagement (Art. 9 KI-VO): KI-spezifische Risiken müssen in einem kontinuierlichen System erfasst und bewertet werden. Die Prozesse können in bestehende MDR-Risikomanagementsysteme integriert werden.
- Daten-Governance (Art. 10 KI-VO): Anforderungen an Trainings-, Validierungs- und Testdatensätze sind zusätzlich zur MDR zu erfüllen, da die MDR Daten primär aus dem Blickwinkel der klinischen Bewertung betrachtet.
- Technische Dokumentation (Art. 11 KI-VO): KI-spezifische Angaben sind in die bestehende MDR-Dokumentation zu integrieren. Vereinfachungen für KMU nach KI-VO gelten nicht automatisch für die MDR-Dokumentation.
- Transparenz und menschliche Aufsicht (Art. 13 und 14 KI-VO): Betriebsanleitungen müssen KI-spezifische Inhalte umfassen, einschliesslich Leistungsgrenzen, Erklärbarkeit von Ausgaben und Massnahmen zur menschlichen Überwachung.
- Genauigkeit, Robustheit, Cybersicherheit (Art. 15 KI-VO): Hersteller müssen explizit Genauigkeitsschwellen definieren, KI-spezifische Robustheitsmethoden anwenden und gegen Angriffe wie Data Poisoning oder Adversarial Examples absichern.
- QMS und Aufbewahrung (Art. 17 und 18 KI-VO): Ein einziges QMS muss beide Rechtsakte abdecken. Dokumentationsfristen betragen nach KI-VO mindestens zehn Jahre, nach MDR für Implantate bis zu 15 Jahre. Empfehlung: einheitlich den Maximalzeitraum anwenden.
- KI-Kompetenz (Art. 4 KI-VO): Anbieter und Betreiber müssen sicherstellen, dass alle mit KI-Systemen befassten Personen ein ausreichendes Mass an KI-Kompetenz vorweisen. Die MDR sieht keine vergleichbare Anforderung vor.
Bottom Line
Hersteller von KI-gestützten Medizinprodukten sollten ihre bestehenden QMS-, Risikomanagement- und Dokumentationsprozesse gezielt auf KI-spezifische Anforderungen der KI-VO prüfen. Wo Synergien mit der MDR bestehen, können bestehende Prozesse erweitert werden. In mehreren Bereichen, insbesondere Daten-Governance, Logging und KI-Kompetenz, sind jedoch neue Massnahmen ohne MDR-Entsprechung erforderlich.