Suche
E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Unternehmensnews
Stellenmarkt
Firmenverzeichnis
Advertorials
Who is Who
Köpfe und Karrieren
Kalender
Blogs
Verbände
App des Monats
Links
Aktuelle Ausgabe
Downloads
E-HEALTH-COM App
Mediadaten
Abonnement
ePaper
Newsletter
Suche

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Top-Thema |

EU AI ACT: Was kommt auf Anbieter und Betreiber Medizinischer KI-Systeme zu?

Der Europäische Artificial Intelligence Act (EU AI Act) ist August letzten Jahres in Kraft getreten. Damit stellen sich für Anbieter wie auch Betreiber medizinischer KI-Systeme neue Herausforderungen. Was ist dabei alles zu beachten und wie können Compliance-Anforderungen – auch im Rahmen weiterer regulatorischer Entwicklungen – erfüllt werden? Ein Überblick.

Handyscreen mit Website von EU AI Act

Bild: © Koshiro K – stock.adobe.com, 833177209, Stand.-Liz.

In der Medizin wird eine ständig zunehmende Anzahl von Systemen Künstlicher Intelligenz (KI) als Medizinprodukte zugelassen und angewendet. Bis Dezember 2024 hat die Food and Drug Administration (FDA) 1 016 KI-basierte Medizinprodukte für den US-amerikanischen Markt zugelassen (vgl. Webseite „Artificial Intelligence and Machine Learning (AI/ML)-Enabled Medical Devices“). Mit 76 Prozent der Produkte führt die Radiologie das Feld der medizinischen Anwendungsfelder mit deutlichem Vorsprung vor der Kardiologie (10 Prozent) und der Neurologie (4 Prozent) an. Für den europäischen Markt listet die Webseite „Health AI Register“ 118 CE-gekennzeichnete KI-Systeme für die Radiologie auf (März 2025).

 

Europäischer Rechtsrahmen für Medizinprodukte

In Europa unterliegen KI-Systeme mit einer medizinischen Zweckbestimmung (beispielsweise Unterstützung bei Diagnostik oder Therapie von Erkrankungen) wie klassische Software der Regulierung durch die Europäischen Verordnungen 2017/745 über Medizinprodukte (MDR) und 2017/746 über In-vitro-Diagnostika (IVDR). Im weiteren Verlauf dieses Abschnitts werden vor allem gesetzliche Regelungen in der MDR diskutiert.
Die Anforderungen für Hersteller von Medizinprodukten sind in Art. 10 MDR festgelegt und beinhalten u. a. die Erstellung einer technischen Dokumentation, das Errichten eines Qualitäts- und Risikomanagementsystems sowie die Durchführung einer klinischen Bewertung. Softwarespezifische Anforderungen sind in der MDR in den Abschnitten 14.2(d), 14.5 und 17.1 bis 17.4 von Anhang I enthalten. Spezifische Anforderungen, die den technischen Besonderheiten der unterschiedlichen KI-Technologien Rechnung tragen, fehlen bislang. 


Auch die Medical Device Coordination Group (MDCG), als zuständige Experten-Gruppe der EU-Kommission, hat bisher keine einschlägige Richtlinie über KI-basierte Medizinprodukte veröffentlicht. Im Rahmen der Konformitätsbewertung von KI-basierten Medizinprodukten hat dies die Interessengemeinschaft der Benannten Stellen für Medizinprodukte in Deutschland (IG-NB) und die European Association of Medical Devices Notified Bodies (Team-NB) veranlasst, das Dokument „Questionnaire Artificial Intelligence (AI) in medical devices“ mit Fragen zu Verantwortlichkeiten, Zuständigkeiten, Zweckbestimmung, Softwareanforderungen, Datenmanagement, Entwicklung von KI-Modellen, Produktentwicklung und Überwachung nach dem Inverkehrbringen zu veröffentlichen.


Die Pflichten von Medizinprodukte-Betreibern werden in Deutschland durch die Medizinprodukte-Betreiberverordnung (MPBetreibV) festgelegt. Als Betreiber wird derjenige angesehen, der für den Betrieb eines Medizinproduktes in einer Gesundheitseinrichtung (beispielsweise Kliniken, medizinische Versorgungszentren, Pflegeeinrichtungen oder Arztpraxen) verantwortlich ist. Der Betreiber verantwortet die sichere und ordnungsgemäße Anwendung von Medizinprodukten.

 

Neue Herausforderungen durch den Europäischen Artificial Intelligence Act

Ein wichtiger Meilenstein zur Umsetzung des europäischen Ansatzes zur künstlichen Intelligenz war das Inkrafttreten der Verordnung (EU) 2024/1689 für künstliche Intelligenz (Artificial Intelligence Act, AI Act) am 1. August 2024. Wie es in Abbildung 1  dargestellt ist, sind die Bestimmungen des AI Acts stufenweise anwendbar.

 

 

Abbildung 1: Zeitachse für das Inkrafttreten und den Geltungsbeginn einzelner Bestandteile des AI Acts.
Abbildung 1: Zeitachse für das Inkrafttreten und den Geltungsbeginn einzelner Bestandteile des AI Acts. Quelle: © Dr. Thorsten Prinz, VDE

 

Die folgenden Gruppen und Personen sind im Anwendungsbereich des AI Acts:

  • Anbieter, die in der Union KI-Systeme in Verkehr bringen oder in Betrieb nehmen oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind,

  • Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden,

  • Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich dort befinden, wenn die vom KI-System hervorgebrachte Ausgabe in der Union verwendet wird,

  • Einführer und Händler von KI-Systemen,

  • Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen,

  • Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind sowie

  • betroffene Personen, die sich in der Union befinden.


Im Zusammenhang mit dem Anwendungsbereich wird nicht der Begriff „Hersteller“ sondern der Begriff „Anbieter“ verwendet, der im Art. 3 (3) AI Act als „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich“ definiert ist. Weiterhin wird der „Betreiber“ definiert als „natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“ (Art. 3 (4) AI Act). Zu beachten ist, dass auch Händler, Einführer, Betreiber oder sonstige Dritte zu Anbietern werden können, wenn sie beispielsweise wesentliche Änderungen an einem bereits in Verkehr gebracht oder in Betrieb genommenen Hochrisiko-KI-System vornehmen (Art. 25 AI Act).


Der AI Act definiert in Art. 3 (1) ein KI-System als „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können“. Diese einigermaßen breite Definition hat die EU-Kommission kürzlich in einer Guide­line näher erläutert.


Wie in Abbildung 2 dargestellt, werden KI-Systeme gemäß dem AI Act Risikoklassen mit unterschiedlichen gesetzlichen Auflagen zugeordnet.

Abbildung 2: Zuordnung von KI-Systemen zu AI Act Risikokategorien sowie entsprechende Anforderungen. Abkürzung: GPAI, General Purpose Artificial Intelligence.
Abbildung 2: Zuordnung von KI-Systemen zu AI Act Risikokategorien sowie entsprechende Anforderungen. Abkürzung: GPAI, General Purpose Artificial Intelligence. Quelle: © Dr. Thorsten Prinz, VDE

 

Sicherheit von HochRisiko-KI-Systemen als gemeinschaftliche Aufgabe von Anbietern und Betreibern

Handelt es sich beim KI-System um ein eigenständiges Produkt oder die Sicherheitskomponente eines Produktes im Anwendungsbereich der Europäischen Verordnungen 2017/745 über Medizinprodukte (MDR) und 2017/746 über In-vitro-Diagnostika (IVDR), welche außerdem einem Konformitätsbewertungsverfahren durch Dritte unterzogen werden müssen, erfolgt gemäß Art. 6 (1) AI die Zuordnung zu den Hochrisiko-KI-Systemen.
Sowohl Anbieter als auch Betreiber von Hochrisiko-KI-Systemen sind zum Aufbau von ausreichender KI-Kompetenz verpflichtet (Art. 4 AI Act). Diese wird in Art. 3 (56) AI Act definiert als „Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden“. Insbesondere sollten Betreiber sicherstellen, dass „die Personen, denen die Umsetzung der Betriebsanleitungen und die menschliche Aufsicht […] übertragen wurde, über die erforderliche Kompetenz verfügen, insbesondere über ein angemessenes Niveau an KI-Kompetenz, Schulung und Befugnis, um diese Aufgaben ordnungsgemäß zu erfüllen“ (Erwägungsgrund 91).


Anbieter von Hochrisiko-KI-Systemen unterliegen grundsätzlich den Bestimmungen von Art. 16 AI Act. ­Einige der dort beschriebenen Anforderungen sind Herstellern von Medizinprodukten bereits aus der MDR bekannt: die Erstellung einer technischen Dokumentation, die Errichtung eines Qualitäts- und Risikomanagementsystems, die Durchführung einer Konformitätsbewertung inklusive der Erstellung einer EU-Konformitätserklärung und der CE-Kennzeichnung, die ­Registrierung sowie die Durchführung der Überwachung nach dem Inverkehrbringen und der Vigilanz. Allerdings sind auch hier KI-spezifische Aspekte durch den Hersteller entsprechend zu berücksichtigen. Dagegen (überwiegend) neu sind Daten- und Daten-Governance-Anforderungen (Art. 10 AI Act), Anforderungen an die Entwicklung insbesondere hinsichtlich der Genauigkeit, Robustheit und Cybersicherheit (Art. 15 AI Act) sowie die Verpflichtung zur Schaffung einer Mensch-Maschine-Schnittstelle zur menschlichen Aufsicht (Art. 14 AI Act) und zur automatischen Erzeugung von Protokollen (Art. 19 AI Act). Der AI Act verfolgt den Ansatz „Compliance by Design“, d. h. die Anbieter sollen ihre Produkte von vorneherein gesetzeskonform entwickeln, in dem die regulatorischen Anforderungen früh in der Produktentwicklung berücksichtigt werden. Ein besonderes Augenmerk legt der Gesetzgeber auf die Transparenz und Bereitstellung von Informationen für die Betreiber durch den Anbieter (Art. 13 und 50 AI Act). 


Für die Erfüllung der AI-Act-Anforderungen sieht der Gesetzgeber die Anwendung von harmonisierten Normen vor (Art. 40 AI Act). 


Die Pflichten der Betreiber von Hochrisiko-KI-Systemen sind im Art. 26 AI Act zusammengefasst. Betreiber von Hochrisiko-KI-Systemen müssen „geeignete technische und organisatorische Maßnahmen [treffen], um sicherzustellen, dass sie solche Systeme entsprechend der den Systemen beigefügten Betriebsanleitungen“ und gemäß der sonstigen Betreiberpflichten nach Unionsrecht oder nationalem Recht sowie den Aufbewahrungspflichten für automatisch erzeugte Protokolle verwenden (Art. 26 (1) AI Act). Ein besonderes Augenmerk müssen Betreiber auf die korrekte Verwendung von „ausreichend repräsentativen“ Eingabedaten gemäß der Zweckbestimmung legen (Art. 26 (4) AI Act).


Weiterhin haben Betreiber die menschliche Aufsicht durch Personen mit entsprechender KI-Kompetenz sicherzustellen, das System im Betrieb zu überwachen sowie Arbeitnehmervertreter und betroffene Arbeitnehmer über die Verwendung des Hochrisiko-KI-Systems zu unterrichten (Art. 26 (2, 5, 7) AI Act). Wie genau eine menschliche Aufsicht praktisch umgesetzt werden soll, ist bislang nicht bekannt. Eine Kombination von technischen Maßnahmen seitens des Anbieters (z. B. Alarme bei Fehlfunktionen sowie eine Not-Aus-Funktionalität) und von Prozessen beim Betreiber, welche die konkreten Aufgaben und Zuständigkeiten regeln, wäre ein vielversprechender Ansatz. 


Datenschutzrechtliche Anforderungen ergeben sich gleichermaßen für Anbieter und Betreiber aus der europäischen Datenschutz-Grundverordnung (DSGVO). [1]

 

Transparenz von HochRisiko-KI-Systemen

Sowohl die Transparenz als auch die Erklärbarkeit von KI-Systemen dienen dazu, dem Black-Box-Phänomen von komplexen KI-Systemen entgegenzuwirken. Die Transparenz von KI-Systemen bezieht sich auf die „Bereitstellung von Daten, Funktionen, Algorithmen, Trainingsmethoden und Qualitätssicherungsprozessen zur externen Überprüfung durch einen Interessenvertreter“ (ISO/IEC TR 24028). Im Erwägungsgrund 27 des AI Acts interpretiert der Gesetzgeber die im AI Act geforderte Transparenz dahingehend, dass „KI-Systeme so entwickelt und verwendet werden, dass sie angemessen nachvollziehbar und erklärbar sind, wobei den Menschen bewusst gemacht werden muss, dass sie mit einem KI-System kommunizieren oder interagieren, und dass die Betreiber ordnungsgemäß über die Fähigkeiten und Grenzen des KI-Systems informieren und die betroffenen Personen über ihre Rechte in Kenntnis setzen müssen“. Gegenüber den zuständigen Behörden und den Benannten Stellen gewährleisten Dokumente des Anbieters zur Entwicklung und technischen Bewertung (gemeinhin auch als Testen oder Validierung bezeichnet) von KI-Systemen die Transparenz, wohingegen dies gegenüber Anwender:innen, Patient:innen und Gesundheitsdienstleister:innen durch eine technische Beschreibung und eine Transparenz-Information sowie die Gebrauchs- oder Betriebsanweisung erreicht wird. [2] Anbieter und Betreiber haben gemeinschaftlich dafür Sorge zu tragen, dass Anwender:innen und Patient:innen die entsprechenden Informationen erhalten und gemäß ihrem Ausbildungsstand nachvollziehen können.


Ziel der Erklärbarkeit von KI-Systemen ist das Verständnis dafür, wie das KI-basierte System zu einem bestimmten Ergebnis gekommen ist (ISO/IEC TR 29119-11). Dies wird durch die Implementierung technischer Lösungen erreicht, z. B. in Form von Saliency Maps zur Hervorhebung von Bereichen in CT-Bildern, die für die Krankheitsdiagnose von Erkrankungen durch das KI-System herangezogen werden. [3]

 

Kontinuierliches Lernen von KI-Systemen 

Mittels eines erneuten Durchlaufens des Lernprozesses (kontinuierliches Lernen) können sich KI-Systeme weiterentwickeln. Alle bislang in den USA und Europa in Verkehr gebrachten medizinischen KI-Systeme befinden sich in einem „eingefrorenen Zustand“, d. h. ein nicht determiniertes kontinuierliches Lernen ist ausgeschlossen. Im AI Act ist die Möglichkeit des determinierten kontinuierlichen Lernens vorgesehen: „[…] Änderungen, die den Algorithmus und die Leistung von KI-Systemen betreffen, die nach dem Inverkehrbringen oder der Inbetriebnahme weiterhin dazulernen – d. h. sie passen automatisch an, wie die Funktionen ausgeführt werden –, sollten jedoch keine wesentliche Veränderung darstellen, sofern diese Änderungen vom Anbieter vorab festgelegt und zum Zeitpunkt der Konformitätsbewertung bewertet wurden“ (Erwägungsgrund 128). Dabei ist entscheidend, dass im Rahmen des determinierten kontinuierlichen Lernens keine Änderung der Zweckbestimmung erfolgt und bei einer antizipierenden CE-Konformitätsbewertung die vorgesehenen Änderungen des KI-Modells geplant und durch die Benannte Stelle begutachtet werden.  [4] Ein determiniertes kontinuierliches Lernen eines KI-Modells mit neuen Datensätzen sollte auch die Generalisierbarkeit und Robustheit verbessern. Durch ein determiniertes kontinuierliches Lernen mit Datensätzen aus anderen Kliniken kann die Qualität dieser KI-Systeme entscheidend verbessert werden.

Abbildung 3: Prozesse zur Integration und Außerbetriebnahme von KI-Systemen im klinischen Umfeld unter Beteiligung von Anbieter und Betreiber.
Abbildung 3: Prozesse zur Integration und Außerbetriebnahme von KI-Systemen im klinischen Umfeld unter Beteiligung von Anbieter und Betreiber. Quelle: © Dr. Thorsten Prinz, VDE

 

Zusammenfassung und Empfehlungen

Der AI Act stellt Anbieter und Betreiber von medizinischen KI-Systemen vor weitere Herausforderungen. Andererseits bieten die konkreten Anforderungen sowie zukünftigen Richtlinien und Normen mehr Sicherheit insbesondere für Anwender:innen und Patient:innen. Gemäß Art. 96 AI Act erarbeitet die Kommission Leitlinien für die praktische Umsetzung des AI Acts und Art. 41 AI Act ermächtigt die Kommission zur Festlegung gemeinsamer Spezifikationen. Außerdem sollen die europäischen Normungsorganisationen bis 2026 neue Normen zur Erfüllung einzelner AI-Act-Anforderungen bereitstellen. Auch zukünftige Anpassungen des Verordnungstextes sind grundsätzlich möglich. Deshalb muss eine kontinuierliche Überwachung der regulatorischen Entwicklung des AI Acts, z. B. im Rahmen eines internen Compliance-Projektes, erfolgen.


Die Zusammenarbeit in interdisziplinären Teams mit Mediziner:innen, Ingenieur:innen und Softwareentwickler:innen sollte sich über den gesamten Lebenszyklus von medizinischen KI-Systemen erstrecken. [5]


Bereits während der Entwicklung identifizieren und berücksichtigen Anbieter die Bedürfnisse, Kenntnisse und Anforderungen der Anwender:innen. [6] State of the Art  klinische Prüfungen gemäß ISO 14155 unter Berücksichtigung von KI-spezifischen Aspekten ermöglichen eine verlässliche Bewertung der Sicherheit oder Leistung des jeweiligen KI-Systems. Bei der Inbetriebnahme und der weiteren Nutzung von KI-Systemen etablieren Anbieter und Betreiber gemeinsame Prozesse zur Schulung der Anwender:innen auf Basis der Betriebsanweisung und weiterer Transparenz-Dokumente sowie zur Überwachung und zum Umgang mit Updates (Abb. 3). Zum Ende des KI-Lebenszyklus sorgen Anbieter und Betreiber für eine geplante und sichere Außerbetriebnahme (Abb. 3). 

 

Referenzen

[1] European Parliamentary Research Service, Ed., “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence”, Jun. 2020. [Online]. Available: www.europarl.europa.eu/thinktank/en/document/EPRS_STU(2020)641530
[2] T. Prinz, “How to comply with transparency requirements for AI-based medical devices”, Biomed. Eng. Biomed. Tech., vol. 69, no. s2, pp. 48–49, Dec. 2024, doi: 10.1515/bmt-2024-1002.
[3] E. Marcus and J. Teuwen, “Artificial intelligence and explanation: How, why, and when to explain black boxes”, Eur. J. Radiol., vol. 173, p. 111393, Apr. 2024, doi: 10.1016/j.ejrad.2024.111393.
[4] T. Prinz, Z. Schreitmüller, and B. Handorn, “Marktzugang von kontinuierlich-lernenden KI-Systemen in der Medizin”, Jul. 2023. [Online]. Available: www.vde.com/de/dgbmt/publikationen/dgbmt-positionspapiere/empfehlung-marktzugang-ki-systeme
[5] “Generating evidence for artificial intelligence-based medical devices: a framework for training, validation and evaluation”, World Health Organization, 2021. [Online]. Available: iris.who.int/bitstream/handle/10665/349093/9789240038462-eng.pdf
[6] H. Chen, C. Gomez, C.-M. Huang, and M. Unberath, “Explainable medical imaging AI needs human-centered design: guidelines and evidence from a systematic review”, Npj Digit. Med., vol. 5, no. 1, Art. no. 1, Oct. 2022, doi: 10.1038/s41746-022-00699-2.

 

Autor

Dr. Thorsten Prinz
VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.
Kontakt: thorsten.prinz(at)vde.com

Meistgelesen

Blog
Jetzt schlägts ePA
Unternehmensnews
Doctolib startet neue KI-Praxissoftware: Deutschlandweite Vernetzung von Ärzt:innen und Patient:innen entlang des gesamten Behandlungswegs
Unternehmensnews
Medizinische Hochschule Hannover realisiert weltweit erste Integration von GE HealthCare- und AliveCor-Technologien für eine verbesserte Herzversorgung
Unternehmensnews
Corti und S3 Praxiscomputer treiben Digitalisierung in deutschen Arztpraxen voran - KI-gestützte Dokumentation entlastet Ärzte

Cookies auf e-health-com.de

Diese Website nutzt Cookies, um ihre Dienste anbieten zu können und Zugriffe zu analysieren. Dabei ist uns der Datenschutz sehr wichtig.

Legen Sie hier Ihre Cookie-Einstellungen fest. Sie können Sie jederzeit auf der Seite Cookie-Informationen ändern.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts