Die Integration künstlicher Intelligenz (KI) ist bei einem breiten Spektrum von Medizinprodukten inzwischen ein Must-have. KI unterstützt bei der Diagnostik und bietet medizinischen Fachkreiszugehörigen Entscheidungshilfen für Therapien und Medikamentation an. Medizinische Apps erlangen oftmals erst durch den Einsatz von KI volle Funktionalität.
Für die Hersteller von KI-basierten Medizinprodukten stellt sich die Frage, welchen regulatorischen Anforderungen ihre Medizinprodukte entsprechen müssen, wenn sie KI einsetzen möchten, und wie die Regelwerke Verordnung (EU) 2017/745 über Medizinprodukte (MDR) und Verordnung (EU) 2017/746 über In-vitro-Diagnostika (IVDR) in Verbindung mit der künftigen europäische Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO), derzeit vorliegend als finaler Entwurf (KI-VO‑E), anzuwenden sind.
Keine klare Definition
Weder MDR noch IVDR beinhalten eine Definition des Begriffs „künstliche Intelligenz“ bzw „KI“. Auch eine klare Definition des Begriffs „Software“ findet sich nicht. Grundsätzlich stellt Software gemäß MDR und IVDR aber ein Medizinprodukt oder IVD dar, wenn sie vom Hersteller dazu bestimmt ist, einen spezifischen medizinischen Zweck zu erfüllen.
Der KI-VO‑E definiert dagegen den Begriff des „Systems der künstlichen Intelligenz“, kurz „KI-System“, als „eine Software, die mit einer oder mehreren der in Anhang I [des KI-VO‑E ] aufgeführten Techniken und Konzepte entwickelt worden ist und im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren“. Anhang I des KI-VO‑E beschreibt wiederum Techniken und Konzepte der KI, insbesondere Konzepte des maschinellen Lernens einschließlich des Deep Learnings, logik- und wissensgestützte Konzepte sowie statistische Ansätze und Schätz‑, Such- und Optimierungsmethoden
Schnittmenge: KI-basierte Medizinprodukte als Hochrisiko-KI-Systeme
Überschneidungen der Regelwerke ergeben sich bei Vorliegen KI-basierter Medizinprodukte, also für Software, die nach der Bestimmung des Herstellers der Erfüllung eines medizinischen Zwecks dient und mit einem der in Anhang I des KI-VO‑E bezeichneten Konzepte und Techniken entwickelt wurde, um bestimmte Ergebnisse zu erzielen. Im Hinblick auf KI-basierte Medizinprodukte sind grundsätzlich sowohl MDR bzw. IVDR und KI-VO von Relevanz, zumal eine Vielzahl KI-basierter Medizinprodukte im Sinne der MDR/IVDR gleichzeitig als sogenannte „Hochrisiko-KI-Systeme“ im Sinne der KI-VO zu qualifizieren sein werden:
Als „Hochrisiko-KI-Systeme“ gelten nach Art. 6 Abs. 1 KI-VO‑E KI-Systeme, die selbst als Produkt unter eine im Anhang II der KI-VO aufgeführte Harmonisierungsrechtsvorschrift fallen oder die eine „Sicherheitskomponente“ eines Produkts darstellen, das seinerseits unter den Geltungsbereich eines in Anhang II genannten Regelwerkes fällt. Voraussetzung ist zudem, dass im jeweiligen Fall nach den dort genannten Vorschriften eine „Konformitätsbewertung durch Dritte“ vorgegeben ist. MDR und IVDR sind von Anhang II erfasste Harmonisierungsrechtsvorschriften. Handelt es sich also um ein KI-basiertes Medizinprodukt, das nach Regel 11 der Risikoklasse IIa oder höher zuzuordnen ist, und ist der Einbezug einer Benannten Stelle ins Konformitätsbewertungsverfahren zwingend, stellt das KI-basierte Medizinprodukt bzw. die Software als Medizinprodukt gleichzeitig auch ein Hochrisiko-KI-System im Sinne des KI-VO‑E dar.
Besondere regulatorische Anforderungen an Hochrisiko-KI-Systeme
Der KI-VO‑E beschreibt eine Fülle regulatorischer Anforderungen, die sowohl von Herstellern KI-basierter Medizinprodukte als auch Anbietern und Nutzern sowie Einführern, Händlern und Bevollmächtigten zu erfüllen sein werden. So beinhaltet Kapitel 2 des KI-VO‑E unter anderem wesentliche Voraussetzungen hinsichtlich
- Risikomanagement,
- Daten-Governance,
- technischer Dokumentation und Aufzeichnungspflichten,
- Transparenz und Bereitstellung von Informationen für die Nutzer,
- Genauigkeit, Robustheit und Cybersicherheit für Hochrisiko-KI-Systeme.
Auffällig ist dabei, dass auch MDR und IVDR bereits detaillierte Anforderungen zu den meisten dieser Aspekte vorsehen. Das Aufrechterhalten einer Technischen Dokumentation oder die Implementierung eines Qualitäts- bzw. Risikomanagementsystems sind nicht neu. Jedoch gilt es, um als Hersteller eines KI-basierten Medizinprodukts auch den Anforderungen der künftigen KI-VO zu entsprechen, die besonderen Aspekte zur Qualitätssicherung der KI-Komponente oder zur Evaluation des spezifischen Risikopotenzials im Rahmen der Konformitätsbewertung „mitzudenken“ und von der Entwicklung über die Herstellung und Produkt-/Nutzerinformation bis zur Produktbeobachtung einzubeziehen.
Handlungsempfehlung für Hersteller KI-basierter Medizinprodukte
- Stellen Sie sicher, dass die verwendete KI-Technologie den Anforderungen von MDR bzw. IVDR an Software entspricht.
- Informieren Sie sich über die Anforderungen der KI-VO an Hochrisiko-KI-Systeme, die über die Anforderungen von MDR und IVDR hinausgehen.
- Führen Sie umfassende Risikoanalysen durch, um sicherzustellen, dass die Verwendung von KI in Ihren Medizinprodukten sicher ist und keine unerwünschten Auswirkungen hat.
- Ergänzen Sie die technische Dokumentation um Ausführungen zur Verwendung von KI in Ihren Medizinprodukten, einschließlich der genauen Art der verwendeten Technologie und ihrer Leistungsmerkmale.
- Arbeiten Sie eng mit akkreditierten Benannten bzw. notifizierten Stellen zusammen, die über die Expertise verfügen, die Konformitätsbewertung KI-basierter Medizinprodukte zu begleiten.
- Bleiben Sie auf dem Laufenden über die neuesten Entwicklungen in Bezug auf KI und Medizinprodukte – insbesondere auch hinsichtlich der Entwicklung des Haftungsregimes – und passen Sie Ihre Produkte und Prozesse entsprechend an.