·
Technologieadoption
Gesundheitswesen
Gesundheits-IT / CIO
EU-Vorschriften für KI im Gesundheitswesen: MDR, DSGVO und KI-Verordnung
Navigieren Sie durch die EU-Vorschriften für klinische KI. Verstehen Sie die MDR-Anforderungen für Medizinprodukte, den DSGVO-Datenschutz und die Compliance-Pflichten der KI-Verordnung für Gesundheitseinrichtungen

KI im Gesundheitswesen in Europa unterliegt nicht einem einzigen Regulierungsrahmen. Sie fällt vielmehr gleichzeitig unter drei verschiedene Rahmenwerke, jedes mit eigener Zuständigkeit, eigenen Compliance-Verpflichtungen und eigenen Durchsetzungsmechanismen. Ein klinisches KI-Tool, das diagnostische Entscheidungen unterstützt, benötigt möglicherweise eine CE-Kennzeichnung als Medizinprodukt, muss Patientendaten gemäß der Datenschutz-Grundverordnung (DSGVO) verarbeiten und wird wahrscheinlich gemäß dem EU-KI-Gesetz als Hochrisikosystem eingestuft. Diese Rahmenwerke gelten parallel und greifen auf eine Weise ineinander, die nicht immer eindeutig ist. Für Gesundheitseinrichtungen, die KI evaluieren oder einsetzen, ist das Verständnis dieser Regulierungslandschaft Voraussetzung für eine verantwortungsvolle Beschaffung und einen sicheren klinischen Einsatz.
Welche drei regulatorischen Säulen muss jedes Gesundheits-KI-Unternehmen verstehen?
Drei verschiedene EU-Rahmenwerke regeln den Einsatz klinischer KI. Jedes verfolgt ein anderes Hauptanliegen.
Die EU-Medizinprodukteverordnung (EU-MDR) 2017/745 regelt Sicherheit und Leistung. Ihr Fokus liegt darauf, ob ein Produkt, einschließlich Software, für seinen vorgesehenen klinischen Zweck sicher ist und ob es validiert wurde.
Die DSGVO regelt den Datenschutz. Sie legt fest, wie personenbezogene Daten, insbesondere Gesundheitsdaten, erhoben, verarbeitet, gespeichert und weitergegeben werden und dass Einzelpersonen bedeutsame Rechte über ihre Informationen behalten.
Das EU-KI-Gesetz (Verordnung (EU) 2024/1689, in Kraft seit 1. August 2024) regelt systemische Risiken. Es stellt sicher, dass KI-Systeme transparent, rechenschaftspflichtig und einer angemessenen menschlichen Aufsicht unterliegen, insbesondere wenn diese Systeme Grundrechte oder sicherheitskritische Entscheidungen betreffen.
Wie eine gemeinsame FAQ der Medical Device Coordination Group (MDCG) und des EU-KI-Gremiums (MDCG 2025-6) im Jahr 2025 bestätigte, müssen KI-Systeme, die als Medizinprodukte qualifiziert sind, sowohl der EU-MDR/IVDR als auch dem KI-Gesetz gleichzeitig entsprechen. Die Einhaltung eines Rahmenwerks ersetzt nicht die Einhaltung eines anderen.
Wann qualifiziert sich Gesundheits-KI als Medizinprodukt gemäß EU-MDR?
Gemäß EU-MDR 2017/745 ist die zentrale Frage, ob ein Software-Tool einen medizinischen Zweck hat. Das heißt, ob der Hersteller beabsichtigt, es zur Diagnose, Prävention, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten einzusetzen. Software, die diese Definition erfüllt, wird als Software als Medizinprodukt (SaMD) klassifiziert und muss dem vollständigen EU-MDR-Regime entsprechen.
Der vorgesehene Zweck ist der entscheidende Faktor. Ein Dokumentationstool, das klinische Notizen transkribiert, ohne klinische Entscheidungen zu interpretieren oder zu beeinflussen, befindet sich in einer anderen regulatorischen Position als ein KI-System, das abnorme Befunde kennzeichnet, Diagnosen vorschlägt oder die Patiententriage priorisiert. Letzteres wird mit weitaus größerer Wahrscheinlichkeit als SaMD eingestuft.
Wenn ein Tool als Medizinprodukt klassifiziert wird, muss der Hersteller:
Eine Konformitätsbewertung durchführen, die der Risikoklassifizierung des Produkts entspricht (Klasse I bis III)
Umfassende technische Dokumentation erstellen und pflegen
Ein Qualitätsmanagementsystem (QMS) implementieren
Die CE-Kennzeichnung erhalten, bevor das Produkt auf den EU-Markt gebracht wird
Die Marktüberwachung nach dem Inverkehrbringen aufrechterhalten und schwerwiegende Vorfälle melden
Eine Analyse von King & Spalding der MDCG 2025-6-Leitlinien identifiziert fünf zentrale operative Bereiche, in denen sich EU-MDR- und KI-Gesetz-Verpflichtungen überschneiden: Managementsysteme, Data Governance, technische Dokumentation, Transparenz und menschliche Aufsicht sowie Cybersicherheit und Genauigkeit. Hersteller sollten diese als integrierte Anforderungen betrachten.
Eine praktische Komplikation ist der Mangel an benannten Stellen, also unabhängigen Konformitätsbewertungsorganisationen, die für höhere Risikoklassifizierungen von Produkten erforderlich sind. Baker McKenzie hat darauf hingewiesen, dass dieser Engpass in Kombination mit einer erheblichen Lücke bei harmonisierten Standards für KI-spezifische Risiken wie algorithmische Verzerrung und Modelldrift echte Verzögerungen für Hersteller schafft, die Marktzugang suchen.
Was gilt als besondere Kategorie von Daten gemäß DSGVO und warum ist das wichtig?
Gesundheitsdaten, die von KI-Systemen verarbeitet werden, werden gemäß Artikel 9 der DSGVO als besondere Kategorie von Daten eingestuft und genießen das höchste im EU-Datenschutzrecht verfügbare Schutzniveau. Diese Klassifizierung gilt unabhängig davon, ob das KI-System der primäre Verantwortliche oder ein nachgelagerter Auftragsverarbeiter ist. Die Art der Daten, nicht die Rolle des Verarbeiters, bestimmt die Klassifizierung.
Für den Einsatz klinischer KI hat dies mehrere direkte Auswirkungen.
Rechtsgrundlage. Die Verarbeitung besonderer Kategorien von Gesundheitsdaten erfordert sowohl eine Rechtsgrundlage gemäß Artikel 6 als auch eine zusätzliche Bedingung gemäß Artikel 9. In klinischen Kontexten sind die am häufigsten anwendbaren Bedingungen gemäß Artikel 9: Verarbeitung, die für die medizinische Diagnose oder die Bereitstellung von Gesundheitsversorgung erforderlich ist (Artikel 9(2)(h)), Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (Artikel 9(2)(i)) und, wenn keine der beiden zutrifft, ausdrückliche Einwilligung (Artikel 9(2)(a)). Die Einwilligung ist in klinischen Umgebungen selten die am besten geeignete Grundlage, angesichts des inhärenten Machtungleichgewichts zwischen Patienten und Gesundheitsdienstleistern.
Datenminimierung und Zweckbindung. KI-Systeme dürfen nur die Daten verarbeiten, die für ihren angegebenen Zweck erforderlich sind. Diese Daten dürfen nicht ohne eine neue Rechtsgrundlage für andere Zwecke verwendet werden. Dies führt zu besonderen Herausforderungen, wenn Anbieter klinische Daten für das Modelltraining oder die Verbesserung nutzen möchten – eine Verwendung, die sich typischerweise vom ursprünglichen klinischen Zweck unterscheidet.
Rechte der betroffenen Person. Patienten behalten Rechte auf Zugang, Berichtigung und unter bestimmten Umständen Löschung, auch wenn ihre Daten von KI-Systemen verarbeitet wurden. Gesundheitseinrichtungen müssen in der Lage sein, auf diese Anfragen in Bezug auf Daten zu reagieren, die von KI-Anbietern Dritter gehalten oder verarbeitet werden.
Eine Überprüfung von Datenschutz- und Governance-Rahmenwerken für KI-gestützte Gesundheitsgeräte hob hervor, dass die DSGVO-Konformität in KI-fähigen klinischen Umgebungen nicht nur technische Kontrollen, sondern auch laufende Governance-Strukturen erfordert, einschließlich Datenschutz-Folgenabschätzungen (DPIAs), Verzeichnisse von Verarbeitungstätigkeiten und klar definierte Auftragsverarbeitungsverträge.
Wie funktionieren Datenhaltung und grenzüberschreitende Datenflüsse in der EU-Gesundheits-KI?
Die DSGVO erlegt strenge Beschränkungen für die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR) auf. Für klinische KI-Anbieter bedeutet dies, dass, wenn Patientendaten auf einer Infrastruktur außerhalb des EWR verarbeitet oder gespeichert werden – einschließlich Cloud-Plattformen, die in den USA oder anderswo gehostet werden –, spezifische Übermittlungsmechanismen vorhanden sein müssen.
Die wichtigsten Mechanismen sind:
Angemessenheitsbeschlüsse, bei denen die Europäische Kommission festgestellt hat, dass ein Drittland ein gleichwertiges Datenschutzniveau bietet (derzeit nur für eine begrenzte Anzahl von Rechtsordnungen)
Standardvertragsklauseln (SCCs), die vertragliche Verpflichtungen sowohl für den Datenexporteur als auch für den Importeur auferlegen
Verbindliche interne Datenschutzvorschriften (BCRs), die hauptsächlich innerhalb multinationaler Unternehmensgruppen verwendet werden
Für Gesundheitseinrichtungen ist die praktische Frage nicht nur, ob ein Anbieter SCCs unterzeichnet hat, sondern wo Daten tatsächlich verarbeitet und gespeichert werden. Datenhaltung in der EU bedeutet, dass Patientendaten auf einer Infrastruktur verarbeitet und gespeichert werden, die sich physisch innerhalb des EWR befindet. Dies macht grenzüberschreitende Übermittlungsmechanismen überflüssig und vereinfacht die DSGVO-Konformität erheblich. Gesundheitseinrichtungen sollten von Anbietern verlangen, dies in der vertraglichen Dokumentation festzuhalten.
Eine vergleichende Politikanalyse der Cybersicherheitsregulierung im digitalen Gesundheitswesen in den USA, der EU und Indien stellte fest, dass der Ansatz der EU zur Datensouveränität im Gesundheitswesen deutlich präskriptiver ist als in anderen Rechtsordnungen – ein Faktor, der beeinflusst, wie globale KI-Anbieter ihre Produkte für europäische Märkte konzipieren.
Wie klassifiziert das EU-KI-Gesetz Gesundheits-KI und was bedeutet Hochrisiko in der Praxis?
Das EU-KI-Gesetz etabliert ein risikobasiertes Klassifizierungssystem mit vier Stufen: unannehmbares Risiko (verboten), Hochrisiko, begrenztes Risiko und minimales Risiko. Die meisten klinischen KI-Tools, einschließlich diagnostischer Unterstützungssysteme, Triage-Tools und klinischer Dokumentationsassistenten, die Versorgungspfade beeinflussen, fallen wahrscheinlich in die Hochrisikokategorie.
Gemäß Artikel 6(1) und Anhang I des KI-Gesetzes werden KI-Systeme, die selbst als Medizinprodukte gemäß EU-MDR oder IVDR reguliert sind, automatisch als Hochrisiko-KI-Systeme eingestuft. CE-gekennzeichnetes SaMD unterliegt daher sowohl den EU-MDR-Konformitätsanforderungen als auch dem vollständigen Hochrisiko-KI-Gesetz-Konformitätsregime.
Die Analyse von Hunton Andrews Kurth zur Anwendung des KI-Gesetzes auf Medizinprodukte legt die wichtigsten Verpflichtungen für Hochrisiko-KI-Systeme dar:
Technische Dokumentation: Detaillierte Aufzeichnungen über Systemdesign, Trainingsdaten, Validierungsmethodik und bekannte Einschränkungen
Risikomanagement: Ein laufendes Risikomanagementsystem, das KI-spezifische Risiken abdeckt, einschließlich algorithmischer Verzerrung und Modelldrift
Data Governance: Anforderungen an Trainings-, Validierungs- und Testdatensätze, einschließlich Verzerrungserkennung und Datenqualitätskontrollen
Transparenz und Gebrauchsanweisungen: Klare Dokumentation, damit Anwender und Nutzer die Fähigkeiten und Einschränkungen des Systems verstehen können
Menschliche Aufsicht: Technische und organisatorische Maßnahmen, die sicherstellen, dass Menschen KI-Ausgaben effektiv überwachen, übersteuern und eingreifen können
Konformitätsbewertung: Formale Bewertung vor dem Inverkehrbringen mit laufender Marktüberwachung nach dem Inverkehrbringen
Registrierung: Hochrisiko-KI-Systeme müssen in der EU-Datenbank für KI-Systeme registriert werden
Das KI-Gesetz führt zudem KI-Kompetenz-Verpflichtungen ein, die ab Februar 2025 gelten und von Anbietern und Anwendern verlangen, dass Mitarbeitende, die mit KI-Systemen arbeiten, ein ausreichendes Verständnis der Fähigkeiten und Einschränkungen der Technologie haben. Taylor Wessing weist darauf hin, dass diese Verpflichtung für Gesundheitseinrichtungen gilt, die KI-Tools einsetzen, nicht nur für die Anbieter, die sie liefern.
Wo überschneiden sich EU-MDR, DSGVO und das KI-Gesetz und wo geraten sie in Konflikt?
Die drei Rahmenwerke teilen mehrere gemeinsame Fäden. Alle erfordern Transparenz darüber, wie ein System funktioniert, welche Daten es verwendet und was seine Einschränkungen sind. Alle verlangen dokumentiertes Risikomanagement. Alle erlegen Verpflichtungen zur Marktüberwachung oder laufenden Überwachung auf. Wo die EU-MDR Marktüberwachung nach dem Inverkehrbringen und das KI-Gesetz Überwachung nach dem Inverkehrbringen fordert, können diese Verpflichtungen grundsätzlich durch einen einheitlichen Prozess erfüllt werden.
Eine peer-reviewte Analyse, die 2025 veröffentlicht wurde und den regulatorischen Nexus zwischen dem KI-Gesetz und EU-MDR/IVDR untersuchte, bestätigte, dass das gemäß EU-MDR erforderliche QMS als Grundlage für die KI-Gesetz-Konformität dienen kann und dass die technischen Dokumentationsanforderungen unter beiden Rahmenwerken integriert und nicht dupliziert werden können. Artikel 8 des KI-Gesetzes sieht diese Integration für KI-Medizinprodukte ausdrücklich vor.
Es bestehen jedoch echte Spannungen.
Datenspeicherung vs. Datenminimierung. Das KI-Gesetz fördert und erfordert in einigen Fällen die Aufbewahrung von Trainingsdaten, Validierungsdatensätzen und Protokollen für Audit- und Rechenschaftszwecke. Die Grundsätze der Datenminimierung und Speicherbegrenzung der DSGVO drängen in die entgegengesetzte Richtung. Anbieter müssen diese Spannung explizit bewältigen, typischerweise durch zweckspezifische Aufbewahrungsfristen und Anonymisierung, wo möglich.
Transparenz vs. kommerzielle Vertraulichkeit. Sowohl das KI-Gesetz als auch die DSGVO verlangen sinnvolle Transparenz darüber, wie KI-Systeme Daten verarbeiten und zu Ergebnissen gelangen. In der Praxis können sich Anbieter dagegen wehren, proprietäre Modellarchitekturen offenzulegen. Die Rahmenwerke lösen diese Spannung nicht vollständig auf.
Algorithmische Verzerrung und das Fairness-Prinzip der DSGVO. Die DSGVO verlangt, dass die automatisierte Verarbeitung fair ist, gibt aber nicht an, wie Fairness in KI-Systemen gemessen werden sollte. Das KI-Gesetz führt spezifischere Data-Governance-Anforderungen zur Verzerrungserkennung ein, aber akademische Kommentare haben darauf hingewiesen, dass keines der Rahmenwerke definitive methodische Leitlinien für Entwickler von Gesundheits-KI bietet.
Die Regulierungslandschaft selbst ist im Wandel. Zwei konkurrierende EU-Gesetzesvorschläge, der Digital Omnibus (geleitet von DG CONNECT) und die DG SANTE EU-MDR/IVDR-Änderung, versuchen beide, die Überschneidung von KI-Gesetz und EU-MDR zu vereinfachen. Eine Analyse des Petrie-Flom Center an der Harvard Law School äußert Bedenken, dass Vereinfachungsbemühungen unbeabsichtigt Schutzmaßnahmen für die menschliche Aufsicht schwächen könnten, insbesondere für Behandler und Patienten. Das Ergebnis dieser Vorschläge bleibt Mitte 2026 ungewiss.
Wer ist gemäß jedem Rahmenwerk verantwortlich: der Anbieter, das Krankenhaus oder beide?
Die regulatorische Verantwortung gemäß den drei Rahmenwerken ist verteilt und nicht singulär. Die Zuteilung unterscheidet sich je nachdem, welches Rahmenwerk gilt.
Gemäß EU-MDR liegt die primäre Verpflichtung beim Hersteller, typischerweise dem KI-Anbieter. Der Hersteller ist verantwortlich für die Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation und Marktüberwachung nach dem Inverkehrbringen. Eine Gesundheitseinrichtung, die ein CE-gekennzeichnetes SaMD ohne Modifikation einsetzt, handelt im Allgemeinen als Betreiber und nicht als Hersteller, mit begrenzteren Verpflichtungen.
Gemäß DSGVO hängt die Zuteilung davon ab, wer die Zwecke und Mittel der Verarbeitung bestimmt. Eine Gesundheitseinrichtung, die ein KI-System zur Verarbeitung von Patientenakten einsetzt, ist typischerweise der Verantwortliche und trägt die primäre Verantwortung für die Rechtsgrundlage, Patientenrechte und DPIA-Verpflichtungen. Der KI-Anbieter, der Daten im Auftrag der Organisation verarbeitet, ist typischerweise der Auftragsverarbeiter, gebunden durch einen Auftragsverarbeitungsvertrag (DPA), der den Umfang und die Bedingungen der Verarbeitung spezifiziert.
Gemäß dem EU-KI-Gesetz wird zwischen Anbietern (diejenigen, die KI-Systeme entwickeln oder auf den Markt bringen) und Betreibern (diejenigen, die KI-Systeme in einem professionellen Kontext nutzen) unterschieden. Anbieter tragen die primäre Compliance-Last für Hochrisiko-KI-Systeme, die technische Dokumentation, Konformitätsbewertung und Registrierung abdeckt. Betreiber tragen eigene Verpflichtungen: Implementierung von Maßnahmen zur menschlichen Aufsicht, Sicherstellung der KI-Kompetenz unter den Mitarbeitenden, Überwachung der Systemleistung im Einsatz und Aussetzung der Nutzung, wenn Sicherheitsbedenken auftreten.
Die Analyse von White & Case der Post-KI-Haftungsrichtlinien-Landschaft nach dem Rückzug dieser Richtlinie im Februar 2025 bestätigt, dass die überarbeitete Produkthaftungsrichtlinie nun Teil des Haftungsrahmens für KI-gestützte Medizinprodukte ist, mit Auswirkungen sowohl für Hersteller als auch für Betreiber, wenn Schäden aus einem fehlerhaften KI-System resultieren.
Ein Krankenhaus, das ein klinisches KI-Tool einsetzt, kann nicht davon ausgehen, dass die regulatorische Konformität vollständig in der Verantwortung des Anbieters liegt. Vertragliche Klarheit über Rollen, Verpflichtungen und Haftungszuteilung ist vor dem Einsatz unerlässlich.
Was sollten Gesundheitseinrichtungen KI-Anbieter vor dem Einsatz fragen?
Beschaffungsteams und klinische Leitungen, die KI-Tools für den klinischen Einsatz evaluieren, sollten klare, dokumentierte Antworten auf die folgenden Fragen einholen.
Zur EU-MDR und zum Medizinproduktstatus:
Ist dieses Produkt gemäß EU-MDR 2017/745 als Medizinprodukt klassifiziert?
Wenn ja, wie lautet seine Risikoklassifizierung und wurde die CE-Kennzeichnung erhalten?
Können Sie die Konformitätserklärung und die Zusammenfassung der Sicherheit und klinischen Leistung bereitstellen?
Wie wird die Marktüberwachung nach dem Inverkehrbringen durchgeführt und wie werden Vorfälle gemeldet?
Zur DSGVO und Datenverarbeitung:
Wo werden Patientendaten verarbeitet und gespeichert? Ist die Datenhaltung in der EU garantiert?
Werden Sie einen Auftragsverarbeitungsvertrag unterzeichnen, der mit Artikel 28 der DSGVO konform ist?
Ist eine Datenschutz-Folgenabschätzung zur Überprüfung verfügbar?
Werden Patientendaten für Modelltraining oder Verbesserung verwendet? Wenn ja, auf welcher Rechtsgrundlage?
Wie werden die Rechte der betroffenen Person (Zugang, Löschung, Berichtigung) gehandhabt?
Zum EU-KI-Gesetz:
Ist dieses System gemäß dem EU-KI-Gesetz als Hochrisiko-KI-System klassifiziert?
Welche Konformitätsbewertung wurde gemäß dem KI-Gesetz abgeschlossen oder ist geplant?
Welche technische Dokumentation ist verfügbar, die Trainingsdaten, Validierung und bekannte Einschränkungen abdeckt?
Welche Mechanismen zur menschlichen Aufsicht sind in das System integriert?
Ist das System in der EU-KI-Systemdatenbank registriert?
Zu Sicherheit und Audit:
Besitzt die Organisation eine ISO 27001-Zertifizierung und ist sie aktuell?
Welche Audit-Trail-Funktionen bietet das System?
Wie werden Cybersicherheitsschwachstellen nach dem Einsatz identifiziert und behoben?
Zur KI-Kompetenz:
Welche Schulungen oder Dokumentationen werden bereitgestellt, um die KI-Kompetenz-Verpflichtungen gemäß dem KI-Gesetz zu unterstützen?
Unvollständige oder ausweichende Antworten auf diese Fragen sollten als erhebliches Beschaffungsrisiko gewertet werden.
Wie entwickelt sich die Regulierungslandschaft: Was bis 2026 und darüber hinaus zu beachten ist
Das EU-KI-Gesetz trat im August 2024 in Kraft, aber seine Verpflichtungen gelten nach einem gestaffelten Zeitplan. Wichtige Meilensteine umfassen:
Februar 2025: Verbote von KI-Systemen mit unannehmbarem Risiko gelten. KI-Kompetenz-Verpflichtungen für Anbieter und Betreiber treten in Kraft
August 2026: Verpflichtungen für Hochrisiko-KI-Systeme gemäß Kapitel III gelten vollständig, einschließlich derjenigen für KI-Medizinprodukte gemäß Anhang I
August 2027: Vollständige Anwendbarkeit aller verbleibenden Bestimmungen
Der MDX CRO Compliance-Leitfaden weist darauf hin, dass Übergangsbestimmungen für KI-Systeme existieren, die bereits vor August 2026 rechtmäßig auf dem Markt waren, aber diese Bestimmungen sind zeitlich begrenzt und befreien Hersteller nicht von der späteren vollständigen Konformität.
Zwei weitere Entwicklungen verdienen besondere Aufmerksamkeit.
Die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS) trat am 26. März 2025 in Kraft. Der EHDS schafft einen Rahmen für die Sekundärnutzung von Gesundheitsdaten, einschließlich für KI-Entwicklung und Forschung, über EU-Mitgliedstaaten hinweg. Die offizielle Leitlinie der Europäischen Kommission zu KI im Gesundheitswesen identifiziert den EHDS als einen Schlüsselfaktor für die verantwortungsvolle Entwicklung klinischer KI, aber seine Interaktion mit dem Grundsatz der Zweckbindung der DSGVO wird fortlaufende Klärung erfordern, während die Umsetzung voranschreitet.
Konkurrierende Vereinfachungsvorschläge, der Digital Omnibus und die DG SANTE EU-MDR/IVDR-Änderung, versuchen beide, die Compliance-Last an der Schnittstelle von EU-MDR und KI-Gesetz zu reduzieren. Wie das Petrie-Flom Center der Harvard Law School beobachtet hat, könnte das Ergebnis dieser Vorschläge die Compliance-Landschaft für klinische KI erheblich verändern – entweder durch Straffung der doppelten Konformitätsanforderungen oder, falls Bestimmungen zur menschlichen Aufsicht geschwächt werden, durch Schaffung neuer Patientensicherheitsrisiken.
Unsicherheit über die Rechtmäßigkeit der KI-Nutzung in bestimmten klinischen Kontexten bleibt eine echte Herausforderung für Gesundheitsdienstleister, auch wenn Rahmenwerke existieren. Regulatorische Konformität in der klinischen KI ist kein einmaliges Beschaffungs-Kontrollkästchen. Sie erfordert eine fortlaufende Überwachung eines sich weiterentwickelnden regulatorischen Umfelds und eine Governance-Struktur, die in der Lage ist zu reagieren, wenn sich Verpflichtungen ändern.
Häufig gestellte Fragen
▶ Welche Regulierungsrahmen gelten für klinische KI in Europa?
Drei EU-Rahmenwerke gelten gleichzeitig für klinische KI. Die Medizinprodukteverordnung (EU-MDR) 2017/745 regelt Sicherheit und Leistung. Die Datenschutz-Grundverordnung (DSGVO) regelt, wie Patientendaten erhoben, verarbeitet und gespeichert werden. Das EU-KI-Gesetz (Verordnung (EU) 2024/1689), in Kraft seit 1. August 2024, regelt Transparenz, Rechenschaftspflicht und menschliche Aufsicht. Eine gemeinsame FAQ der Medical Device Coordination Group und des EU-KI-Gremiums bestätigte 2025, dass die Einhaltung eines Rahmenwerks nicht die Einhaltung eines anderen ersetzt.
▶ Wann qualifiziert sich ein klinisches KI-Tool als Medizinprodukt gemäß EU-MDR?
Ein klinisches KI-Tool qualifiziert sich als Medizinprodukt, wenn sein Hersteller beabsichtigt, es zur Diagnose, Prävention, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten einzusetzen. Software, die diese Definition erfüllt, wird als Software als Medizinprodukt (SaMD) klassifiziert. Ein Dokumentationstool, das klinische Notizen transkribiert, ohne klinische Entscheidungen zu beeinflussen, befindet sich in einer anderen regulatorischen Position als ein KI-System, das abnorme Befunde kennzeichnet oder die Patiententriage priorisiert. Letzteres wird mit weitaus größerer Wahrscheinlichkeit als SaMD eingestuft und muss die CE-Kennzeichnung erhalten, bevor es auf den EU-Markt gebracht wird.
▶ Wie gilt die DSGVO für Gesundheitsdaten, die von KI-Systemen verarbeitet werden?
Gesundheitsdaten, die von KI-Systemen verarbeitet werden, werden gemäß Artikel 9 der DSGVO als besondere Kategorie von Daten eingestuft und genießen das höchste im EU-Datenschutzrecht verfügbare Schutzniveau. Ihre Verarbeitung erfordert sowohl eine Rechtsgrundlage gemäß Artikel 6 als auch eine zusätzliche Bedingung gemäß Artikel 9. In klinischen Kontexten sind die am häufigsten anwendbaren Bedingungen die Verarbeitung, die für die medizinische Diagnose oder die Bereitstellung von Gesundheitsversorgung erforderlich ist, und die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit. KI-Systeme müssen auch Datenminimierung anwenden, was bedeutet, dass sie nur Daten verarbeiten dürfen, die für ihren angegebenen Zweck erforderlich sind. Diese Daten dürfen nicht ohne eine neue Rechtsgrundlage für andere Zwecke verwendet werden.
▶ Was bedeutet Datenhaltung in der EU für klinische KI-Anbieter?
Datenhaltung in der EU bedeutet, dass Patientendaten auf einer Infrastruktur verarbeitet und gespeichert werden, die sich physisch innerhalb des Europäischen Wirtschaftsraums (EWR) befindet. Die DSGVO erlegt strenge Beschränkungen für die Übermittlung personenbezogener Daten außerhalb des EWR auf. Wenn ein Anbieter Daten auf einer Infrastruktur verarbeitet, die sich in den USA oder anderswo befindet, müssen spezifische Übermittlungsmechanismen vorhanden sein, wie z. B. Standardvertragsklauseln. Die Datenhaltung in der EU macht diese Mechanismen überflüssig und vereinfacht die DSGVO-Konformität erheblich. Gesundheitseinrichtungen sollten von Anbietern verlangen, Datenhaltungsvereinbarungen in der vertraglichen Dokumentation festzuhalten.
▶ Wie klassifiziert das EU-KI-Gesetz Gesundheits-KI-Tools?
Das EU-KI-Gesetz etabliert ein risikobasiertes Klassifizierungssystem mit vier Stufen: unannehmbares Risiko (verboten), Hochrisiko, begrenztes Risiko und minimales Risiko. Die meisten klinischen KI-Tools, einschließlich diagnostischer Unterstützungssysteme, Triage-Tools und klinischer Dokumentationsassistenten, die Versorgungspfade beeinflussen, fallen wahrscheinlich in die Hochrisikokategorie. Gemäß Artikel 6(1) und Anhang I des KI-Gesetzes werden KI-Systeme, die als Medizinprodukte gemäß EU-MDR reguliert sind, automatisch als Hochrisiko-KI-Systeme eingestuft, wodurch sie sowohl den EU-MDR-Konformitätsanforderungen als auch dem vollständigen Hochrisiko-KI-Gesetz-Konformitätsregime unterliegen.
▶ Wo überschneiden sich EU-MDR, DSGVO und das EU-KI-Gesetz oder geraten in Konflikt?
Alle drei Rahmenwerke erfordern Transparenz, dokumentiertes Risikomanagement und laufende Überwachungsverpflichtungen. Eine peer-reviewte Analyse, die 2025 veröffentlicht wurde, bestätigte, dass das gemäß EU-MDR erforderliche Qualitätsmanagementsystem als Grundlage für die KI-Gesetz-Konformität dienen kann und dass die technischen Dokumentationsanforderungen unter beiden Rahmenwerken integriert und nicht dupliziert werden können. Es bestehen jedoch echte Spannungen. Das KI-Gesetz fördert die Aufbewahrung von Trainingsdaten und Protokollen für Auditzwecke, während die Grundsätze der Datenminimierung und Speicherbegrenzung der DSGVO in die entgegengesetzte Richtung drängen. Anbieter müssen diese Spannung explizit bewältigen, typischerweise durch zweckspezifische Aufbewahrungsfristen und Anonymisierung, wo möglich.
▶ Wer ist für die regulatorische Konformität verantwortlich: der KI-Anbieter oder die Gesundheitseinrichtung?
Die Verantwortung ist über alle drei Rahmenwerke verteilt. Die Zuteilung unterscheidet sich je nachdem, welches Rahmenwerk gilt. Gemäß EU-MDR liegt die primäre Verpflichtung beim Hersteller, typischerweise dem KI-Anbieter, der für CE-Kennzeichnung, technische Dokumentation und Marktüberwachung nach dem Inverkehrbringen verantwortlich ist. Gemäß DSGVO ist die Gesundheitseinrichtung, die das KI-System einsetzt, typischerweise der Verantwortliche und trägt die primäre Verantwortung für die Rechtsgrundlage und Patientenrechte, während der Anbieter als Auftragsverarbeiter fungiert. Gemäß dem EU-KI-Gesetz tragen Anbieter als Bereitsteller die Hauptlast der Konformität für Hochrisiko-KI-Systeme, aber einsetzende Organisationen tragen eigene Verpflichtungen, einschließlich der Implementierung menschlicher Aufsicht und der Sicherstellung der KI-Kompetenz der Mitarbeitenden. Ein Krankenhaus, das ein klinisches KI-Tool einsetzt, kann nicht davon ausgehen, dass die regulatorische Konformität vollständig in der Verantwortung des Anbieters liegt.
▶ Welche Fragen sollten Gesundheitseinrichtungen KI-Anbietern vor dem Einsatz stellen?
Beschaffungsteams sollten Anbieter bitten zu bestätigen, ob das Produkt eine CE-Kennzeichnung als Medizinprodukt besitzt und wie seine Risikoklassifizierung lautet. Zum Datenschutz sollten sie fragen, wo Patientendaten verarbeitet und gespeichert werden, ob die Datenhaltung in der EU garantiert ist und ob Patientendaten für Modelltraining verwendet werden und auf welcher Rechtsgrundlage. Zum EU-KI-Gesetz sollten sie fragen, ob das System als Hochrisiko klassifiziert ist, welche Konformitätsbewertung abgeschlossen wurde und welche Mechanismen zur menschlichen Aufsicht integriert sind. Zur Sicherheit sollten sie fragen, ob der Anbieter eine aktuelle ISO 27001-Zertifizierung besitzt. Unvollständige oder ausweichende Antworten sollten als erhebliches Beschaffungsrisiko gewertet werden.
▶ Wann treten die EU-KI-Gesetz-Verpflichtungen für klinische Hochrisiko-KI-Systeme vollständig in Kraft?
Das EU-KI-Gesetz trat am 1. August 2024 in Kraft, aber seine Verpflichtungen gelten nach einem gestaffelten Zeitplan. Verbote von KI-Systemen mit unannehmbarem Risiko und KI-Kompetenz-Verpflichtungen für Anbieter und Betreiber traten im Februar 2025 in Kraft. Verpflichtungen für Hochrisiko-KI-Systeme gemäß Kapitel III, einschließlich derjenigen für KI-Medizinprodukte, gelten ab August 2026 vollständig. Die vollständige Anwendbarkeit aller verbleibenden Bestimmungen folgt im August 2027. Übergangsbestimmungen existieren für KI-Systeme, die bereits vor August 2026 rechtmäßig auf dem Markt waren, aber diese sind zeitlich begrenzt und befreien Hersteller nicht von der späteren vollständigen Konformität.
▶ Was ist der Europäische Gesundheitsdatenraum und wie wirkt er sich auf klinische KI aus?
Die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS) trat am 26. März 2025 in Kraft. Sie schafft einen Rahmen für die Sekundärnutzung von Gesundheitsdaten, einschließlich für KI-Entwicklung und Forschung, über EU-Mitgliedstaaten hinweg. Die Europäische Kommission identifiziert den EHDS als einen Schlüsselfaktor für die verantwortungsvolle Entwicklung klinischer KI. Seine Interaktion mit dem Grundsatz der Zweckbindung der DSGVO, der die Umwidmung von Daten ohne eine neue Rechtsgrundlage einschränkt, wird fortlaufende Klärung erfordern, während die Umsetzung voranschreitet.