KI-Verordnung: Hochrisiko-KI-Anforderungen für KI-basierte Medizinprodukte

KI-basierte Medizinprodukte stehen durch die KI-Verordnung zunehmend im Fokus. Für Hersteller ist die Einordnung besonders praxisrelevant, weil entsprechende Produkte regelmäßig sowohl im Anforderungsbereich der Medizinprodukteverordnung (MDR) als auch in dem der KI-Verordnung (KI-VO) stehen.

Die Bundesnetzagentur hat im Mai 2026 eine Roadmap für KI in Medizinprodukten veröffentlicht, die Unternehmen eine Orientierung zu den gesetzlichen Anforderungen aus der KI-Verordnung und ihrem Zusammenspiel mit der Medizinprodukteverordnung geben soll. Die Roadmap ist Ergebnis eines Pilotprojekts zur Simulation eines KI-Reallabors, mit dem praktische Erfahrungen aus medizinischen KI-Anwendungsfällen regulatorisch ausgewertet wurden.

Ausgangspunkt ist die Frage, ob das KI-basierte Medizinprodukt als Hochrisiko-KI-System einzuordnen ist. Die Bundesnetzagentur stellt in ihrer Roadmap klar, dass die Betrachtung aus Sicht der KI-Verordnung erfolgt und die KI-spezifischen Anforderungen zusätzlich zu den umfassenden Anforderungen der MDR zu prüfen sind. Zugleich handelt es sich nicht um eine abschließende Darstellung. Für Hersteller bleibt daher eine produkt- und einzelfallbezogene Prüfung erforderlich.

Diese Einordnung ist entscheidend, weil Hochrisiko-KI-Systeme einem eigenständigen Pflichtenkatalog unterliegen. Dazu zählen insbesondere Anforderungen an Risikomanagement, Daten und Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz sowie an Qualitätsmanagement, Anbieterpflichten und Betreiberpflichten.

Ein zentrales Element ist das Risikomanagementsystem. Nach der Roadmap müssen KI-spezifische Risiken im Rahmen eines Risikomanagementsystems betrachtet und geeignete Maßnahmen umgesetzt werden. Diese Prozesse können Bestandteil bereits vorhandener Risikomanagementprozesse sein oder in diese integriert werden. Für Hersteller KI-basierter Medizinprodukte ist dies praktisch bedeutsam, weil vorhandene MDR-Strukturen nicht ersetzt, aber um KI-spezifische Anforderungen ergänzt werden müssen.

Besondere Bedeutung haben auch Daten und Daten-Governance. Hochrisiko-KI-Systeme müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die den Qualitätsanforderungen der KI-Verordnung entsprechen. Die Roadmap nennt insoweit insbesondere Anforderungen an Datenverwaltung, Datenerhebung, Datenaufbereitung, Bias-Untersuchungen sowie an Relevanz, Korrektheit und Vollständigkeit der Daten. Werden personenbezogene Daten verarbeitet, sind zudem insbesondere die DSGVO zu berücksichtigen.

Die technische Dokumentation muss vor dem Inverkehrbringen oder der Inbetriebnahme erstellt und aktuell gehalten werden. Aus ihr muss hervorgehen, wie das Hochrisiko-KI-System die einschlägigen Anforderungen erfüllt. Für MDR-Hochrisiko-KI-Systeme sieht die Roadmap vor, dass nur eine technische Dokumentation erstellt wird. Die KI-spezifischen Inhalte sind daher in die MDR-Dokumentation zu integrieren.

Die KI-Verordnung erweitert auch die Informations- und Transparenzanforderungen. Nach der Roadmap müssen die bereitgestellten Informationen klar, vollständig und umsetzbar sein. Bei KI-Systemen ist insbesondere zu berücksichtigen, dass deren Ausgaben anders funktionieren können als klassische Software. Deshalb müssen Fähigkeiten, Grenzen und Risiken des Systems angemessen nachvollziehbar gemacht werden.

Hochrisiko-KI-Systeme müssen zudem so konzipiert und entwickelt werden, dass sie während ihrer Verwendung wirksam durch natürliche Personen beaufsichtigt werden können. Betreiber müssen das System bestimmungsgemäß verwenden, den Betrieb überwachen, mit dem System befasste Personen informieren und sicherstellen, dass diese über die erforderliche Kompetenz verfügen.

Die KI-Verordnung begründet für KI-basierte Medizinprodukte eigenständige Hochrisiko-Anforderungen, die neben die MDR treten und teilweise an bestehende Prozesse anknüpfen können. Hersteller sollten daher frühzeitig prüfen, welche KI-spezifischen Anforderungen für ihr Produkt einschlägig sind und wie diese rechtssicher in Risikomanagement, technische Dokumentation, Qualitätsmanagement, Transparenzkonzept und Betreiberkommunikation integriert werden können. Die laufenden Reformüberlegungen zum Digital Omnibus und zur MDR können perspektivisch Entlastungen bringen; bis dahin bleibt die sorgfältige Einzelfallprüfung maßgeblich.

Die Roadmap der Bundesnetzagentur kann Herstellern dabei als praxisnahe Orientierung dienen. die rechtliche Bewertung und Umsetzung der Hochrisiko-Anforderungen bleibt jedoch stets am konkreten KI-basierten Medizinprodukt auszurichten. Gerne unterstützen wir Sie bei der rechtlichen Einordnung und Umsetzung der regulatorischen Anforderungen.