Endlich ist es soweit: Der AI Act ist veröffentlicht und tritt zwanzig Tage nach seiner Veröffentlichung in Kraft. Damit endet ein holpriger Weg hin zu einer europäischen KI-Verordnung, der bereits 2021 begonnen hatte. Für Hersteller von KI-basierten Medizinprodukten bedeutet dies, dass sie neben der MDR/IVDR, der DSGVO, dem Data Governance Act, dem Data Act und der Netz- und Informationssicherheitsrichtlinie auch den AI Act einhalten müssen.
Der AI Act für Medizinproduktehersteller: Regulierung und Innovation im Gleichgewicht
Alles schlechte Nachrichten für Medizinproduktehersteller? Nicht unbedingt. Es ist nicht unvernünftig, ein gewisses Maß an Kontrolle über die Entwicklung und Nutzung von KI-Systemen zu fordern, und in der Tat hinken die MDR/IVDR in dieser Hinsicht etwas hinterher. Aber rechtfertigt dies die Entwicklung einer eigenen KI-Verordnung? Wenn man nur den medizinischen Bereich betrachtet, vielleicht nicht, aber es wurde beschlossen, eine horizontale Verordnung einzuführen. Die meisten Produktanforderungen, die durch den AI Act eingeführt werden, sind keine Überraschung und sollten/können bereits in den aktuellen MDR/IVDR enthalten sein; sie werden durch den AI Act nur expliziter gemacht. Da der AI Act eine einzige Benannte Stelle zur Bewertung von AI Act und MDR/IVDR vorschlägt, kann ein einzige technische Dokumentation erstellt werden, die einem einzigen Qualitätsmanagementsystem (QMS) unterliegt.
Im Laufe des Entwurfsprozesses wurden zahlreiche Verbesserungen gegenüber früheren Versionen des Textes vorgenommen. Die Definition eines KI-Systems wurde geändert, um besser mit bestehenden Normen übereinzustimmen, und statistische Ansätze werden nicht mehr automatisch als KI-Systeme betrachtet. Die QMS-Anforderungen für KI-Systeme können zusätzlich zum bestehenden ISO 13485 QMS implementiert werden, indem Abschnitte hinzugefügt werden, in denen die Anforderungen noch nicht abgedeckt sind. Die Definition von Risiko wurde hinzugefügt und mit ISO 14971 abgestimmt. Neu eingeführt wurde die Anforderung, in der Konformitätserklärung anzugeben, dass das KI-Produkt auch der DSGVO entspricht.
Zeitplan und Konformitätsanforderungen für den AI Act
Der AI Act wird mit einigen Ausnahmen 24 Monate nach seinem Inkrafttreten anwendbar:
- Sechs Monate für allgemeine Bestimmungen und verbotene KI-Praktiken;
- Zwölf Monate für Hochrisiko-KI-Systeme in Bezug auf Benannte Stellen, allgemeine KI-Modelle, Governance, Sanktionen für Anbieter allgemeiner KI-Modelle;
- 36 Monate für Klassifizierungsregeln für Hochrisiko-KI-Systeme und damit verbundene Verpflichtungen.
Darüber hinaus werden Verhaltenskodizes als zentrales Instrument zur ordnungsgemäßen Erfüllung der Verpflichtungen aus dieser Verordnung für Anbieter allgemeiner KI-Modelle definiert, die neun Monate nach Inkrafttreten vorliegen müssen.
Die meisten KI-Produkte (MDSW) im Gesundheitswesen werden als Hochrisiko-KI-Produkte eingestuft und müssen alle Anforderungen des AI Act erfüllen. Eingebettete KI-Software kann ebenfalls als Hochrisikoprodukt eingestuft werden, wenn die KI als Sicherheitskomponente des Produkts verwendet wird und die Produktklassifizierung höher als I (MDR) oder A (IVDR) ist.
Gesundheitssoftware, Medizinprodukte der Klasse I und In-vitro-Diagnostika der Klasse A gelten nicht als Hochrisikoprodukte, es sei denn, sie werden verwendet:
- zur Bewertung und Klassifizierung von Notrufen durch natürliche Personen;
- zur Disposition oder Priorisierung bei der Disposition von Notfalldiensten
- als Triage-Systeme für Notfallpatienten.
Sie dürfen kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen darstellen, einschließlich der Tatsache, dass sie das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflussen. KI-Systeme gelten immer dann als hochriskant, wenn das KI-System ein Profiling natürlicher Personen vornimmt.
KI-Systeme – Risikoklassifizierung
Unzulässiges Risiko
z.B. soziale Bewertung: Verboten
Hohes Risiko
z.B. Personalbeschaffung, Medizinprodukt: Erlaubt
vorbehaltlich von Anforderungen, Konformitätsbewertung
Transparenzrisiko
z.B. Chatbots, Deepfakes: Erlaubt
vorbehaltlich von Informations-/Transparenzpflichten
Geringes oder kein Risiko: Erlaubt
ohne Einschränkungen
Die größte Herausforderung für Hersteller von KI-Medizinprodukten ist die Einhaltung der spezifischen harmonisierten Standards, die im Rahmen des AI Act entwickelt werden.
Das offizielle Dokument können Sie hier herunterladen..
Möchten Sie mehr über den AI Act erfahren?
Qserve organisiert ein zweitägiges Trainingsprogramm am 25. und 26. September in Amsterdam, Niederlande. Nehmen Sie an diesem KI-Trainingsprogramm teil und lernen Sie die neuesten Entwicklungen, praktischen Anwendungen und strategischen Einblicke der Künstlichen Intelligenz in unseren von Experten geleiteten Sitzungen kennen. Weitere Informationen zur Veranstaltung finden Sie auf der Website.