EU AI Act & MDR: Doppel-Compliance für HealthTech-Startups — effizienter als Sie denken
Daniel Kleiboldt — Legal Engineer
Änderungshistorie (2) ▾
- 2026-04-19Review der inhaltlichen Aktualität und GEO-Optimierung (April 2026)
- 2026-05-20Digital-Omnibus-Fristen differenziert (Dez 2027 / Aug 2028), ISO 42001 eingearbeitet, Pudding-Migration (Kurzantwort, Synergiekarten, Timeline-Karten, Phasen-Stepper, FAQ-Accordion, Inline-CTA), CTA auf Erstgespräch-Kalender umgestellt
Auf einen Blick
- 01MDR und EU AI Act haben signifikante Schnittmengen: Risikomanagement, Dokumentation, Post-Market Surveillance
- 02Ein integriertes QMS (ISO 13485 + ISO 42001) reduziert den Compliance-Aufwand erheblich gegenüber zwei parallelen Systemen
- 03Früh starten lohnt sich: Nachträgliches Retrofitting kostet erfahrungsgemäß ein Vielfaches der initialen Integration
Kurzantwort
Ja, KI-basierte Medizinsoftware muss MDR und EU AI Act gleichzeitig erfüllen. Beide Regulierungen greifen kumulativ, nicht alternativ. Die gute Nachricht: Risikomanagement, technische Dokumentation und Post-Market Surveillance überschneiden sich so stark, dass ein integriertes Compliance-System erheblich effizienter ist als zwei parallele.
Die Hochrisiko-Anforderungen des AI Act greifen nach dem Digital Omnibus voraussichtlich ab Dezember 2027 (Anhang-III-Systeme) bzw. August 2028 (MDR-Route). Verbotene Praktiken und die KI-Kompetenz-Pflicht (Art. 4, Art. 5) gelten bereits seit Februar 2025.
Anbieter von KI-basierter Medizinsoftware stehen vor einer doppelten regulatorischen Herausforderung: Ihre Produkte müssen sowohl die Anforderungen der Medizinprodukteverordnung (MDR) als auch die des EU AI Act erfüllen. Beide Regulierungen treten nicht alternativ, sondern kumulativ in Kraft. Für Startups und mittelständische Unternehmen kann das den Unterschied zwischen Markterfolg und regulatorischem Scheitern bedeuten.
Beide Regulierungen teilen wesentliche Grundprinzipien. Wer die Überschneidungen früh identifiziert und ein integriertes Compliance-System aufbaut, kann erheblich Zeit und Ressourcen sparen und gleichzeitig eine robustere regulatorische Basis schaffen.
Anforderungsvergleich: MDR vs. EU AI Act
Die folgende Tabelle stellt die zentralen Anforderungsbereiche gegenüber und zeigt, wo sich Synergien für ein integriertes Compliance-System ergeben:
| Anforderungsbereich | MDR | EU AI Act (Hochrisiko) | Synergie |
|---|---|---|---|
| Risikomanagement | ISO 14971, Anhang I GSPR | Art. 9 Risikomanagement-System | Hoch |
| Technische Dokumentation | Anhang II und III MDR | Art. 11, Anhang IV AI Act | Hoch |
| Qualitätsmanagementsystem | Art. 10 MDR, ISO 13485 | Art. 17 QMS-Pflicht | Hoch |
| Post-Market Surveillance | Art. 83–86 MDR, PMCF | Art. 72 Post-Market Monitoring | Hoch |
| Daten & Datenqualität | Klinische Bewertung, Anhang XIV | Art. 10 Trainings-, Validierungs-, Testdaten | Mittel |
| Transparenz | Gebrauchsanweisung, EUDAMED | Art. 13 Transparenzpflichten, EU-Datenbank | Mittel |
| Menschliche Aufsicht | Zweckbestimmung, IFU | Art. 14 Human Oversight | Mittel |
| Konformitätsbewertung | Benannte Stelle (ab Klasse IIa) | Art. 43, bei MDR-Produkten durch Benannte Stelle | Hoch |
Gemeinsame Anforderungen: Die drei Synergiekerne
Drei Bereiche bilden den Kern der Überschneidung zwischen MDR und EU AI Act. Wer diese richtig aufsetzt, hat den größten Teil der Doppel-Compliance bereits abgedeckt.
Integriertes Risikomanagement
Die MDR verlangt Risikomanagement nach ISO 14971 über den gesamten Produktlebenszyklus. Der EU AI Act fordert in Art. 9 ein kontinuierliches iteratives Risikomanagementsystem für Hochrisiko-KI. In der Praxis lässt sich ein einziges Framework aufbauen, das beide Anforderungen bedient. KI-spezifische Risiken (Bias, Modelldrift, Robustheit) werden als zusätzliche Risikokategorien in das bestehende ISO-14971-Framework integriert, statt ein paralleles System aufzubauen.
Technische Dokumentation
Beide Regulierungen verlangen umfangreiche technische Dokumentation und folgen einer ähnlichen Logik: Systembeschreibung, Zweckbestimmung, Risikobewertung, Verifizierung und Validierung. Der AI Act ergänzt KI-spezifische Elemente (Trainingsmethodik, Datengovernance, Performance-Metriken). Ein modularer Dokumentationsansatz, bei dem KI-spezifische Module an die MDR-Kernstruktur andocken, vermeidet Redundanz.
Post-Market Surveillance / Monitoring
Die MDR fordert kontinuierliche Marktüberwachung (PMS) einschließlich Post-Market Clinical Follow-up (PMCF). Der AI Act verlangt Post-Market Monitoring mit Fokus auf KI-Performance (Art. 72). Beide lassen sich in einem Monitoring-Framework zusammenführen, das sowohl klinische Sicherheitssignale als auch KI-Performance-Metriken erfasst und auswertet.
Für Software as a Medical Device (SaMD) ist der modulare Dokumentationsansatz besonders effizient, weil SaMD-Produkte regelmäßig sowohl MDR-Klasse IIa oder höher als auch Hochrisiko nach AI Act sind.
Konkret werden
Doppel-Compliance für Ihr Produkt?
Im Erstgespräch klären wir in 30 Minuten, wo Ihre MDR- und AI-Act-Anforderungen überlappen, welche Synergien Sie nutzen können und welcher Compliance-Pfad zu Ihrem Produkt passt.
Der effiziente Compliance-Pfad: Integriertes QMS
Für Startups ist der praktikabelste Ansatz ein integriertes Qualitätsmanagementsystem, das von Anfang an beide Regulierungen berücksichtigt. Die fünf Module:
Kern-QMS nach ISO 13485
Bildet das Fundament und erfüllt die MDR-Anforderung an ein dokumentiertes QMS (Art. 10 MDR).
KI-Erweiterungsmodul (ISO 42001)
Ergänzt KI-spezifische Prozesse für Datengovernance, Modellmanagement, Bias-Monitoring und Robustheitstests. ISO 42001 (AI Management System) liefert den Rahmen und adressiert gleichzeitig Art. 17 AI Act (QMS für Hochrisiko-KI).
Integriertes Risikomanagement
Ein Framework, das ISO 14971 mit den KI-Risikokategorien des AI Act verbindet.
Einheitliche Dokumentenstruktur
Modulare technische Dokumentation mit MDR-Kerndokumenten und KI-spezifischen Anhängen.
Gemeinsames PMS/Monitoring
Ein System für klinische Sicherheit und KI-Performance-Überwachung.
Timeline: Wann müssen Sie was erfüllen?
Die zeitliche Staffelung von MDR und EU AI Act ergibt ein konkretes Handlungsfenster. Nach dem Digital Omnibus (Einigung 7. Mai 2026) gelten zwei getrennte Fristen für Hochrisiko-Systeme:
Bereits in Kraft
MDR
Vollständig in Kraft. Alle Medizinprodukte müssen MDR-konform sein. Übergangsfristen für Bestandsprodukte laufen schrittweise aus.
Seit Feb 2025
AI Act: Art. 4 + Art. 5
Verbotene Praktiken (Art. 5) und KI-Kompetenz-Pflicht (Art. 4) gelten bereits. Jeder, der ein KI-System einsetzt, muss die Funktionsweise nachweislich kennen.
Voraussichtlich Dez 2027
Anhang-III-Systeme
Standalone-Hochrisiko-KI nach Anhang III (z.B. biometrische Identifikation, HR-Screening). Für Startups relevant, wenn ihr KI-System auch standalone-Hochrisiko-Merkmale aufweist.
Voraussichtlich Aug 2028
Eingebettete Hochrisiko-KI (MDR-Route)
KI-Systeme, die als Sicherheitskomponente eines Medizinprodukts dienen oder selbst Medizinprodukte sind. Konformitätsbewertung durch Benannte Stelle (Art. 43 AI Act).
Vier Phasen zum integrierten Compliance-System
Der integrierte Ansatz erfordert anfänglich mehr Planung, zahlt sich aber durch erhebliche Effizienzgewinne gegenüber dem sequenziellen Aufbau separater Compliance-Systeme aus. Für Startups, die mit begrenzten Ressourcen arbeiten, ist dieser Effizienzgewinn oft entscheidend.
Regulatorische Analyse
- ›Klassifizierung des Produkts nach MDR (Regel 11 für Software) und AI Act (Hochrisiko-Prüfung)
- ›Gap-Analyse: Wo stehen Sie heute, was fehlt für beide Regulierungen?
- ›Identifikation der Synergien und produktspezifischen Anforderungen
QMS-Aufbau
- ›ISO 13485-basiertes QMS mit KI-Erweiterungsmodul (ISO 42001) aufsetzen
- ›Integriertes Risikomanagement-Framework implementieren
- ›Dokumentenstrukturen für Doppel-Compliance definieren
Wenn das Produkt auch als DiGA vertrieben werden soll: frühzeitig DiGA-spezifische Anforderungen einbeziehen.
Implementierung und Nachweise
- ›Technische Dokumentation erstellen (modularer Ansatz)
- ›Klinische Bewertung und KI-Validierung durchführen
- ›PMS/Monitoring-System aufsetzen
- ›Konformitätsbewertungsverfahren bei Benannter Stelle einleiten
Zertifizierung und Markteinführung
- ›Audit durch Benannte Stelle (MDR und perspektivisch AI Act)
- ›EU-Konformitätserklärung für beide Regulierungen
- ›Registrierung in EUDAMED und EU-KI-Datenbank
- ›Go-to-Market mit vollständiger regulatorischer Compliance
Häufige Fragen
Muss KI-basierte Medizinsoftware sowohl MDR als auch EU AI Act erfüllen?
+
Ja, beide Regulierungen gelten kumulativ. KI-basierte Software, die als Medizinprodukt eingestuft wird, muss die MDR-Anforderungen (CE-Kennzeichnung, klinische Bewertung) und die Hochrisiko-Anforderungen des EU AI Act gleichzeitig erfüllen. Die Hochrisiko-Pflichten greifen nach aktuellem Stand des Digital Omnibus voraussichtlich ab Dezember 2027 (Anhang-III-Systeme) bzw. August 2028 (in regulierte Produkte eingebettete KI, MDR-Route). Verbotene Praktiken nach Art. 5 gelten bereits seit Februar 2025.
Wo überschneiden sich MDR und EU AI Act am stärksten?
+
Die größten Synergien liegen im Risikomanagement (ISO 14971 / Art. 9 AI Act), der technischen Dokumentation (Anhang II MDR / Anhang IV AI Act) und der Post-Market Surveillance. Ein integriertes System für diese drei Bereiche reduziert den Compliance-Aufwand erheblich gegenüber dem sequenziellen Aufbau separater Systeme.
Brauche ich für MDR und AI Act zwei getrennte Qualitätsmanagementsysteme?
+
Nein. Ein integriertes QMS auf Basis von ISO 13485 mit einem KI-Erweiterungsmodul (ISO 42001) kann beide Anforderungen abdecken. Art. 17 AI Act verlangt ein QMS für Hochrisiko-KI, das sich in das bestehende MDR-QMS integrieren lässt.
Ab wann gelten die Hochrisiko-Anforderungen des EU AI Act für Medizinprodukte?
+
Nach aktuellem Stand des Digital Omnibus (Einigung 7. Mai 2026) gelten die Hochrisiko-Anforderungen voraussichtlich ab Dezember 2027 für Anhang-III-Systeme (standalone Hochrisiko-KI) und ab August 2028 für in regulierte Produkte eingebettete KI (MDR-Route). Verbotene Praktiken nach Art. 5 gelten bereits seit Februar 2025, die KI-Kompetenz-Pflicht nach Art. 4 ebenfalls.
Wie lange dauert der Aufbau eines integrierten MDR-AI-Act-Compliance-Systems?
+
Realistisch sind 12 bis 18 Monate: 2 Monate für die regulatorische Analyse, 4 Monate für den QMS-Aufbau, 6 Monate für Implementierung und Nachweise, dann Zertifizierung. Startups sollten frühzeitig beginnen, da nachträgliches Retrofitting erfahrungsgemäß ein Vielfaches der initialen Integration kostet.
30 Minuten, die Ihnen Monate sparen
Erstgespräch buchenWeiterlesen