MDR/IVDR, AI Act & Datenschutz – Das magische Dreieck

Regulatorische Überschneidungen in der Medizintechnik: MDR/IVDR, AI Act und Datenschutz im Fokus

Die Integration von Künstlicher Intelligenz (KI) in Medizinprodukte eröffnet neue Möglichkeiten – stellt Hersteller aber auch vor komplexe regulatorische Herausforderungen. Mit dem AI Act der Europäischen Union entsteht ein weiteres Regulierungsinstrument, das zusätzlich zu den bereits geltenden Vorgaben der MDR (Medical Device Regulation) und IVDR (In-vitro-Diagnostic Regulation) sowie der Datenschutz-Grundverordnung (DSGVO) beachtet werden muss.

In der Praxis ergibt sich daraus ein komplexes Zusammenspiel dreier Regelwerke, das eine sorgfältige strategische und operative Herangehensweise erfordert.

MDR/IVDR: Regulatorische Grundlage für Medizinprodukte

Die MDR (EU 2017/745) und IVDR (EU 2017/746) bilden den regulatorischen Rahmen für Medizinprodukte bzw. In-vitro-Diagnostika in der EU. Auch Medizinprodukte mit integrierter KI müssen diesen Vorgaben uneingeschränkt entsprechen. Die wichtigsten Anforderungen betreffen:

  • Die klinische Bewertung und Leistungsbewertung

  • Die Risikoklassifizierung, insbesondere bei selbstlernenden Algorithmen

  • Die Softwarevalidierung unter Berücksichtigung aktueller Normen (z. B. IEC 62304, ISO 14971)

Gerade bei KI-basierten Produkten stellt sich regelmäßig die Frage, ob es sich um ein „festgelegtes Verhalten“ handelt oder ob die KI selbstständig neue Entscheidungslogiken entwickelt. Letzteres kann direkte Auswirkungen auf die Klassifizierung und die Zulassung haben.

AI Act: Neue Anforderungen für KI-Systeme

Mit dem Entwurf des AI Act schafft die EU erstmals ein eigenständiges Regelwerk zur Regulierung von Künstlicher Intelligenz. Medizinprodukte mit KI zählen in der Regel zu den sogenannten „Hochrisiko-KI-Systemen“ und unterliegen damit einer Reihe zusätzlicher Pflichten.

Zentrale Anforderungen des AI Act umfassen:

  • Strikte Anforderungen an Transparenz: Die Funktionsweise der KI muss nachvollziehbar sein.

  • Datensätze und Trainingsdaten müssen qualitativ hochwertig und repräsentativ sein.

  • Es müssen Mechanismen für eine menschliche Aufsicht über automatisierte Entscheidungen vorhanden sein.

  • Hersteller müssen ein KI-spezifisches Risikomanagement implementieren.

Diese Anforderungen überschneiden sich teilweise mit bestehenden MDR-Vorgaben, führen aber auch zu neuen Bewertungs- und Nachweispflichten – etwa im Hinblick auf Bias, Nachvollziehbarkeit oder systemische Risiken der KI.


Datenschutz: Anforderungen der DSGVO bleiben bestehen

Neben MDR/IVDR und dem AI Act ist die Datenschutz-Grundverordnung (DSGVO) weiterhin vollumfänglich anwendbar – insbesondere da KI-basierte Systeme häufig auf sensiblen Gesundheitsdaten basieren.

Für Medizintechnik-Hersteller gilt:

  • Privacy by Design muss von Beginn an in die Entwicklung eingebettet sein.

  • Verarbeitung personenbezogener Daten bedarf einer klaren Rechtsgrundlage, meist in Form einer informierten Einwilligung.

  • Automatisierte Entscheidungen mit rechtlicher oder ähnlicher Wirkung sind besonders kritisch (Art. 22 DSGVO).

Zudem besteht bei der Verwendung von Trainingsdaten die Gefahr, dass Rückschlüsse auf Einzelpersonen gezogen werden können. Hersteller müssen durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Datenverarbeitung konform mit der DSGVO erfolgt.


Herausforderungen durch überlappende Regularien

Die gleichzeitige Anwendung von MDR/IVDR, AI Act und DSGVO kann zu inhaltlichen und prozessualen Überschneidungen führen – mit potenziellen Zielkonflikten:

  • Die MDR fordert eine hohe Leistungsfähigkeit und Zweckbestimmung des Produkts, während der AI Act die erklärbare Funktion und Nachvollziehbarkeit in den Vordergrund stellt.

  • KI-basierte Systeme können ihre Logik dynamisch anpassen, was die Validierung nach MDR erschwert.

  • Gleichzeitig erfordert die DSGVO strenge Anforderungen an die Einwilligung und Transparenz bei der Datenverarbeitung – Anforderungen, die sich teilweise nur schwer mit selbstlernenden Systemen vereinbaren lassen.

Wie DeviceMed analysiert, stellt sich in der Praxis oft die Frage, welcher Rechtsrahmen „überwiegt“. Eine klare gesetzliche Hierarchie existiert nicht – daher liegt es am Hersteller, die Anforderungen in einem konsistenten, dokumentierten Gesamtsystem abzubilden.


Was Hersteller jetzt tun sollten

  • Frühzeitige Integration des AI Act: Anforderungen an KI sollten bereits in der frühen Entwicklungsphase berücksichtigt werden.

  • Ganzheitlicher Ansatz im Qualitätsmanagement: Die regulatorischen Anforderungen aus MDR/IVDR, AI Act und DSGVO müssen harmonisiert im Qualitätsmanagementsystem (QMS) abgebildet werden.

  • Interdisziplinäre Teams: Die Integration von Datenschutz, Technik, klinischer Bewertung und regulatorischen Anforderungen sollte nicht getrennt, sondern im Dialog erfolgen.

  • Dokumentationsstrategie überdenken: Unternehmen sollten prüfen, wie sie ihre technische Dokumentation strukturieren, um Mehrfachnutzung für verschiedene regulatorische Anforderungen zu ermöglichen.


Fazit: Regulatorische Resilienz stärken

Das Zusammenspiel aus MDR/IVDR, AI Act und DSGVO verlangt von MedTech-Herstellern ein hohes Maß an regulatorischer Resilienz, strategischem Denken und technischer Exzellenz. Unternehmen, die frühzeitig integrierte Compliance-Strategien entwickeln und ihre Prozesse entsprechend aufstellen, sichern sich klare Vorteile beim Marktzugang und im internationalen Wettbewerb.

MEDAGENT unterstützt Hersteller bei der sicheren und regelkonformen Integration von KI in Medizinprodukten – von der Strategie bis zur konkreten Umsetzung im Qualitätsmanagement.

Bei Fragen rund um MDR, AI Act oder Datenschutz stehen unsere Expertenteams bereit.

Neueste Beiträge

Inhaltsverzeichnis

Jetzt Kontakt aufnehmen
Nach oben scrollen