KI in Medizinprodukten: Die neuen EU-Pflichten
8 Min. Lesezeit
93 Prozent der 13.500 deutschen Medizintechnik-Hersteller gehören zum Mittelstand. Viele ihrer KI-Systeme in Diagnose- oder Therapieprodukten müssen künftig zusätzlich zu MDR und IVDR die Hochrisiko-Anforderungen des EU AI Act erfüllen. Die Regeln greifen ab 2027 beziehungsweise 2028. Hersteller müssen jetzt Lücken bei Daten, Dokumentation und Überwachung schließen.
Das Wichtigste in Kürze
- 93 Prozent Mittelstand: Von 13.500 deutschen Medizintechnik-Herstellern haben die meisten weniger als 250 Mitarbeiter. Sie trifft der AI Act zusätzlich zu MDR und IVDR.
- Zwei Termine im Blick: Die Hochrisiko-Pflichten sollten ab August 2027 greifen, das Digital-Omnibus-Paket verschiebt sie voraussichtlich auf August 2028.
- Jetzt Lücken schließen: Daten-Governance, Bias-Nachweise, Logging und ein post-market monitoring plan lassen sich in bestehende MDR-Strukturen integrieren statt doppelt aufzubauen.
Verwandt:Fördermittel bremsen den Mittelstand / PSD3: Was Finanzchefs jetzt wissen müssen
Wann KI in Medizinprodukten als hochrisikoreich gilt
Ein KI-System gilt unter dem AI Act als hochrisikoreich, wenn zwei Bedingungen erfüllt sind. Es muss Sicherheitskomponente eines Produkts oder selbst ein Produkt sein, das unter harmonisierte EU-Rechtsvorschriften wie MDR oder IVDR fällt. Zusätzlich muss das Produkt oder das KI-System selbst eine Konformitätsbewertung durch eine Benannte Stelle erfordern.
Die MDCG-Leitlinie 2025-6 vom Juni 2025 stellt dies klar. MDR-Klasse-IIa-, -IIb- und -III-Produkte sowie die meisten IVDR-Klassen B, C und D mit KI fallen unter die Hochrisiko-Regeln. Reine selbstzertifizierte MDR-Klasse-I-Produkte ohne Benannte Stelle oder reine In-house-Produkte nach Artikel 5 Absatz 5 MDR/IVDR gelten in der Regel nicht als hochrisikoreich unter dem AI Act.
Die Klassifizierung nach MDR oder IVDR bestimmt die Einstufung unter dem AI Act. Umgekehrt ändert der AI Act die MDR/IVDR-Klasse nicht. Beide Regelwerke gelten parallel und ergänzen sich. Die MDCG-Leitlinie nennt die betroffenen Systeme Medical Device Artificial Intelligence (MDAI). Sie umfasst auch Zubehör und bestimmte Anhang-XVI-Produkte.
Fristen und Verschiebungen bis 2028
Der EU AI Act trat am 1. August 2024 in Kraft. Verbotene Praktiken gelten seit Februar 2025. Die Pflichten für hochrisikoreiche KI-Systeme in regulierten Produkten wie Medizinprodukten sollten ursprünglich am 2. August 2027 greifen.
Das Europäische Parlament billigte am 16. Juni 2026 und der Rat am 29. Juni 2026 das Digital Omnibus-Paket. Danach sollen die Hochrisiko-Pflichten für in Produkten eingebettete Systeme (Annex I, darunter MDR/IVDR) auf den 2. August 2028 verschoben werden. Die Veröffentlichung im Amtsblatt der Europäischen Union steht unmittelbar bevor. Bis dahin bleibt der ursprüngliche Zeitplan rechtlich maßgeblich. Hersteller sollten beide Termine im Blick behalten.
Transparenzpflichten nach Artikel 50 greifen teilweise bereits 2026. Die Verschiebung gibt Zeit für Standards und Benannte Stellen, entlastet aber nicht von der Vorbereitung.
Kernzahlen zum Risiko und zur Betroffenheit
- 13.500 Medizintechnik-Hersteller in Deutschland (2023), davon 93 Prozent mit weniger als 250 Mitarbeitern (GTAI-Daten).
- Bei Verstößen gegen Hochrisiko-Pflichten drohen Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes (höherer Betrag). Verbotene Praktiken: bis zu 35 Millionen Euro oder 7 Prozent (Artikel 99 der Verordnung (EU) 2024/1689).
Neue Anforderungen an Daten, Dokumentation und Überwachung
Der AI Act fügt MDR/IVDR-spezifische Anforderungen hinzu. Dazu gehören eine detaillierte Daten-Governance mit Nachweis zur Qualität, Repräsentativität und Bias-Minderung der Trainings-, Validierungs- und Testdaten. Hersteller müssen Logging-Funktionen für Rückverfolgbarkeit vorsehen.
Technische Dokumentation muss Anhang-IV-Anforderungen des AI Act erfüllen. Sie kann in die bestehende MDR/IVDR-Dokumentation integriert werden. Ein einheitliches technisches Dossier und eine gemeinsame Konformitätserklärung sind möglich (Artikel 11 Absatz 2).
Weitere Pflichten umfassen Maßnahmen zur menschlichen Aufsicht, Anforderungen an Genauigkeit, Robustheit und Cybersicherheit sowie einen post-market monitoring plan. Dieser muss Interaktionen mit anderen KI-Systemen, Leistungsdrift und vorhersehbare Fehlnutzung adressieren. Für adaptive Systeme sind vordefinierte Änderungspläne relevant.
Die MDCG-Leitlinie 2025-6 betont die komplementäre Anwendung. Risikomanagement und Qualitätsmanagementsystem müssen die KI-spezifischen Gefahren abdecken.
Konformitätsbewertung und praktische Integration
Die Konformitätsbewertung erfolgt in der Regel durch dieselbe Benannte Stelle, sofern diese entsprechend akkreditiert ist. Eine separate Bewertung ist nicht zwingend erforderlich. Artikel 8 Absatz 2 des AI Act erlaubt die Integration der erforderlichen Prüfungen, Berichte und Dokumente in bestehende MDR/IVDR-Prozesse.
Hersteller müssen sicherstellen, dass alle AI-Act-Anforderungen nachweisbar erfüllt sind. Die MDCG-Leitlinie empfiehlt eine einheitliche Vorgehensweise bei Änderungen und post-market surveillance. Benannte Stellen prüfen zunehmend AI-spezifische Aspekte bereits bei MDR/IVDR-Audits.
In Deutschland bleibt das BfArM für die Marktüberwachung von KI-basierten Medizinprodukten zuständig. Der Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) bestätigt diese Rolle. Allgemeine AI-Act-Aufsicht liegt bei der Bundesnetzagentur.
Risiken für Mittelständler und konkrete Vorbereitung
Mittelständische Hersteller tragen bereits hohe Lasten aus der MDR-Umsetzung. Benannte Stellen sind knapp. Zusätzliche Anforderungen an Datenqualität und Logging erhöhen den Aufwand. Fehlende Ressourcen für Regulatory Affairs und KI-Expertise verstärken das Risiko von Verzögerungen oder Bußgeldern.
Gleichzeitig enthalten der AI Act und die MDCG-Leitlinie Erleichterungen. Vereinfachte technische Dokumentation für kleine und Kleinstunternehmen ist vorgesehen. Die Integration in bestehende Systeme vermeidet Doppelarbeit.
Konkrete Schritte für Hersteller
- Klassifizierung aller KI-haltigen Produkte gegen die Tabelle in MDCG 2025-6 prüfen und Benannte-Stelle-Beteiligung dokumentieren.
- Gap-Analyse des Qualitätsmanagementsystems und der technischen Dokumentation gegen Kapitel III des AI Act sowie die MDCG-FAQ durchführen.
- Daten-Governance-Prozess aufbauen: Trainingsdatensätze, Bias-Tests und Repräsentativität nachweisbar dokumentieren.
- Logging-Funktionen, menschliche Aufsichtskonzepte und post-market monitoring plan für KI-spezifische Risiken (Drift, Interaktionen) definieren und in die bestehende Überwachung einbinden.
- Frühzeitig mit der Benannten Stelle abstimmen, ob eine integrierte Konformitätsbewertung möglich ist. Ressourcen für die Umsetzung bis 2027/2028 einplanen.
Hersteller, die diese Schritte systematisch angehen, reduzieren Risiken und nutzen die verbleibende Zeit für eine belastbare Umsetzung. Die Anforderungen sind konkret und überprüfbar. Sie bauen auf bestehenden MDR/IVDR-Strukturen auf.
Häufige Fragen
Wann gilt ein KI-Medizinprodukt als hochrisikoreich?
Wenn es unter MDR oder IVDR fällt und eine Konformitätsbewertung durch eine Benannte Stelle braucht. Das betrifft laut MDCG-Leitlinie 2025-6 die MDR-Klassen IIa, IIb und III sowie die meisten IVDR-Klassen B, C und D.
Ändert der AI Act die Risikoklasse nach MDR?
Nein. Die MDR- oder IVDR-Klasse bestimmt die Einstufung unter dem AI Act, nicht umgekehrt. Beide Regelwerke gelten parallel und ergänzen sich.
Wie hoch sind die Bußgelder bei Verstößen?
Bei Verstößen gegen Hochrisiko-Pflichten bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. Bei verbotenen Praktiken bis zu 35 Millionen Euro oder 7 Prozent.
Braucht es eine separate Konformitätsbewertung für die KI?
In der Regel nicht. Artikel 8 des AI Act erlaubt es, die erforderlichen Prüfungen und Dokumente in die bestehenden MDR- und IVDR-Prozesse zu integrieren, meist über dieselbe Benannte Stelle.
Gibt es Erleichterungen für kleine Hersteller?
Ja. Der AI Act sieht eine vereinfachte technische Dokumentation für kleine und Kleinstunternehmen vor. Die Integration in bestehende Systeme vermeidet zusätzlich Doppelarbeit.
Weiterlesen auf MyBusinessFuture
MyBusinessFutureFördermittel bremsen den MittelstandMyBusinessFuturePSD3: Was Finanzchefs jetzt wissen müssenMyBusinessFutureProzessoptimierung ohne DauerprojektMehr aus dem MBF Media Netzwerk
- cloudmagazin: Cloud-Trends für den Mittelstand
- Digital Chiefs: IT-Strategie für Entscheider
- SecurityToday: Security-Lage kompakt
Bildquelle: KI-generiert (Juli 2026)
