Risikobewertungen

-

AI Act und MDR– viele Probleme und Fragezeichen

Bis August 2026 müssen die EU-Mitgliedstaaten die Verordnung zur Künstlichen Intelligenz (KI), den sogenannten AI Act, umsetzen. Er zielt darauf ab, KI-Anwendungen nach ihrem Risikopotenzial zu kategorisieren und für besonders risikoreiche Systeme entsprechend strenge Anforderungen zu schaffen, unter anderem für Medizinprodukte.

Doch Unklarheiten, regulatorische Widersprüche sowie Überschneidungen mit anderen geltenden Rechtsakten machen die Umsetzung zu einem schwierigen Unterfangen. Die Bertelsmann Stiftung hat untersucht, wie der AI Act mit bestehenden (digitalen) Regelungen wie der Datenschutz-Grundverordnung (DSGVO), dem Digital Services Act (DSA) oder der Medizinprodukteverordnung (MDR) interagiert. Die rechtwissenschaftliche Analyse von Professor Dr. Philipp Hacker von der Europa-Universität Viadrina Frankfurt (Oder) listet auf, in welchen Bereichen Konflikte drohen. Und was die Folgen wären.

Unklarheiten können demnach nicht nur die Effizienz der Regulierung beeinträchtigen, sondern auch zu einer Fragmentierung der Auslegungen und Zuständigkeiten führen. Oder Unternehmen nutzten die uneinheitlichen Vorgaben als Schlupflöcher aus, um sich strengeren Anforderungen zu entziehen, warnt er.

Was Medizinprodukte betrifft, entstehen durch den AI Act in puncto Risikomanagement und Dokumentation Doppelverpflichtungen mit MDR. Zudem verfolgt die neue KI-Verordnung andere Risikobewertungen als die MDR und führt zu Abgrenzungsschwierigkeiten.

Während sich die MDR primär auf die Sicherheit und Effektivität von Medizinprodukten konzentriert, will der AI Act die Risiken in Sachen Diskriminierung, Intransparenz und IT-Sicherheit von KI-Systemen minimieren. Eine Nutzen-Risiko-Abwägung sehe der neue Rechtsakt hingegen nicht vor, heißt es. So offenbare sich bereits »eine erhebliche Differenz in der Methodik der Bewertung.«

Eine weitere zentrale Frage: Welche Anforderungen haben Vorrang, wenn ein KI-System gleichzeitig als Medizinprodukt und als Hochrisiko-KI eingestuft wird? Zur Veranschaulichung nennt die Studie einige Beispiele.

So fällt ein KI-System, das zur Krebsdiagnose eingesetzt wird, unter der MDR in die Risikoklasse IIa oder sogar IIb. Auch der AI Act würde es als Hochrisiko-KI-System einstufen. Aus beiden ergeben sich strenge Anforderungen an Qualitätsmanagement, Risikomanagement und technische Dokumentation. Diese Doppelregulierung könne jedoch zu »erheblichen bürokratischen Hürden führen, insbesondere für kleine und mittelständische Unternehmen (KMU)«, so der Autor. Durch eine bessere Abstimmung ließe sich aber Doppelarbeit vermeiden. Auch mit Blick auf die ohnehin schon überlasteten Konformitätsbewertungsstellen.