AI Act und MDR– viele Probleme und Fragezeichen |
 |  | Jennifer Evans |
 |
02.01.2025 16:00 Uhr |
Sorgt die KI jetzt für noch mehr Bürokratie? Aus verschiedenen Rechtsakten ergeben sich Doppelregulierungen- auch für Medizinprodukte. / © Adobe Stock/peshkova
Bis August 2026 müssen die EU-Mitgliedstaaten die Verordnung zur Künstlichen Intelligenz (KI), den sogenannten AI Act, umsetzen. Er zielt darauf ab, KI-Anwendungen nach ihrem Risikopotenzial zu kategorisieren und für besonders risikoreiche Systeme entsprechend strenge Anforderungen zu schaffen, unter anderem für Medizinprodukte.
Doch Unklarheiten, regulatorische Widersprüche sowie Überschneidungen mit anderen geltenden Rechtsakten machen die Umsetzung zu einem schwierigen Unterfangen. Die Bertelsmann Stiftung hat untersucht, wie der AI Act mit bestehenden (digitalen) Regelungen wie der Datenschutz-Grundverordnung (DSGVO), dem Digital Services Act (DSA) oder der Medizinprodukteverordnung (MDR) interagiert. Die rechtwissenschaftliche Analyse von Professor Dr. Philipp Hacker von der Europa-Universität Viadrina Frankfurt (Oder) listet auf, in welchen Bereichen Konflikte drohen. Und was die Folgen wären.
Unklarheiten können demnach nicht nur die Effizienz der Regulierung beeinträchtigen, sondern auch zu einer Fragmentierung der Auslegungen und Zuständigkeiten führen. Oder Unternehmen nutzten die uneinheitlichen Vorgaben als Schlupflöcher aus, um sich strengeren Anforderungen zu entziehen, warnt er.
Was Medizinprodukte betrifft, entstehen durch den AI Act in puncto Risikomanagement und Dokumentation Doppelverpflichtungen mit MDR. Zudem verfolgt die neue KI-Verordnung andere Risikobewertungen als die MDR und führt zu Abgrenzungsschwierigkeiten.
Während sich die MDR primär auf die Sicherheit und Effektivität von Medizinprodukten konzentriert, will der AI Act die Risiken in Sachen Diskriminierung, Intransparenz und IT-Sicherheit von KI-Systemen minimieren. Eine Nutzen-Risiko-Abwägung sehe der neue Rechtsakt hingegen nicht vor, heißt es. So offenbare sich bereits »eine erhebliche Differenz in der Methodik der Bewertung.«
Eine weitere zentrale Frage: Welche Anforderungen haben Vorrang, wenn ein KI-System gleichzeitig als Medizinprodukt und als Hochrisiko-KI eingestuft wird? Zur Veranschaulichung nennt die Studie einige Beispiele.
So fällt ein KI-System, das zur Krebsdiagnose eingesetzt wird, unter der MDR in die Risikoklasse IIa oder sogar IIb. Auch der AI Act würde es als Hochrisiko-KI-System einstufen. Aus beiden ergeben sich strenge Anforderungen an Qualitätsmanagement, Risikomanagement und technische Dokumentation. Diese Doppelregulierung könne jedoch zu »erheblichen bürokratischen Hürden führen, insbesondere für kleine und mittelständische Unternehmen (KMU)«, so der Autor. Durch eine bessere Abstimmung ließe sich aber Doppelarbeit vermeiden. Auch mit Blick auf die ohnehin schon überlasteten Konformitätsbewertungsstellen.
Ein KI-System, das zur Erstellung von Arztbriefen verwendet wird, würde gemäß MDR wohl in die Risikoklasse I eingeordnet und nur geringe Kontrollen erfordern. Dieser Einschätzung folgt grundsätzlich auch der AI Act, sofern keine Zertifizierungen durch externe Stellen notwendig sind. Doch in diesem Fall liegt die Herausforderung laut der Studie darin, sicherzustellen, dass der Einsatz der Arztbrief-KI nicht indirekt in medizinische Entscheidungen eingreift. »Damit entsteht ein Graubereich, in dem Hersteller nachweisen müssen, dass die KI keine wesentlichen medizinischen Entscheidungsprozesse beeinflusst«, schreibt Hacker. Dies führe letztlich zu Unsicherheiten in der Einstufung nach MDR und AI Act.
Im Gegensatz dazu wirkt ein KI-gestützter Terminkalender angesichts der Anforderungen zunächst als eindeutig einstufbar. Doch ist er mit einem Algorithmus ausgestattet, der eine automatische Priorisierung basierend auf medizinischen Daten vornimmt, sieht das schon wieder ganz anders aus. Denn was Triage betrifft, greifen zumindest bei der Notfallversorgung sowohl im AI Act als auch der MDR strengere Vorschriften. Gelten diese aber auch für den regulären Praxisbetrieb?
Das Fazit der Studie: Der AI Act ergänzt zwar sektorale Regelungen und weitere Digitalgesetze, ist jedoch nur unzureichend auf diese abgestimmt. »Kurzfristig muss eine bessere Verzahnung bestehender Regelwerke erfolgen, um Doppelungen zu vermeiden und die Effizienz zu steigern«, heißt es. Auch mittel- und langfristige Handlungsempfehlungen zielen darauf ab, die KI-Verordnung zu vereinfachen, Kooperationen zu verstärken sowie evidenzbasierte Evaluationen zu ermöglichen.
Ressourcen zu sparen ist auch deshalb angezeigt, weil der AI Act aufgrund seiner internationalen Reichweite alle 690 in den USA bei der Food and Drug Administration (FDA) zugelassenen Medizinprodukte-Anbieter betreffen würde. Von diesen seien fast alle auch in der EU aktiv, hebt Hacker hervor.
Generell kann die Umsetzung des AI Acts laut Bertelsmann Stiftung nur dann gelingen, wenn alle relevanten Akteure in Europa und den Mitgliedstaaten – von Gesetzgebern und Aufsichtsbehörden bis hin zu Unternehmen und der Zivilgesellschaft – gemeinsam am Puzzlebild arbeiten.
