MDR und EU AI Act parallel: Doppelte Konformitätsbewertung

Die Doppelregulierung von KI-Medizinprodukten wird oft als bürokratische Zumutung beschrieben. In der Praxis ist sie vor allem ein Planungsproblem. Wer die Schnittmengen früh erkennt, baut eine Compliance-Architektur, die beide Regelwerke gleichzeitig bedient. Wer sie ignoriert, produziert zwei getrennte Aktenberge mit redundantem Inhalt und einem hohen Risiko innerer Widersprüche.

Zwei Regelwerke, ein Produkt

Ein KI-System, das als Medizinprodukt in Verkehr gebracht wird, unterliegt zwei europäischen Verordnungen gleichzeitig. Die Medical Device Regulation (Verordnung (EU) 2017/745) regelt das Inverkehrbringen von Medizinprodukten. Der EU AI Act (Verordnung (EU) 2024/1689) regelt KI-Systeme nach Risikoklassen. Beide Verordnungen adressieren denselben Anbieter, verfolgen aber unterschiedliche Schutzzwecke.

Die MDR schützt die Sicherheit und Leistungsfähigkeit des Medizinprodukts. Der AI Act schützt Grundrechte und adressiert spezifische KI-Risiken wie Datenqualität, Transparenz und die Beherrschbarkeit autonomer Entscheidungslogik. Ein KI-Medizinprodukt, das Sicherheitskomponente eines MDR-Produkts ist oder selbst als Medizinprodukt zertifiziert wird, gilt nach Art. 6 EU AI Act als Hochrisiko-KI. Damit kumulieren die Anforderungen beider Regime auf demselben Produkt.

Wo die Synergien liegen

Der entscheidende Hebel ist, dass beide Verordnungen auf weitgehend deckungsgleiche Managementprozesse zurückgreifen. Vier Bausteine tragen den größten Teil der Synergie.

Risikomanagement nach ISO 14971

Die MDR verlangt ein durchgängiges Risikomanagement nach ISO 14971. Der AI Act verlangt in Art. 9 ein eigenes Risikomanagementsystem für Hochrisiko-KI. Beide Anforderungen lassen sich in einem integrierten Risikomanagement abbilden, das die KI-spezifischen Risiken als eigene Kategorie in den bestehenden ISO-14971-Prozess aufnimmt. Doppelte Risikoakten entstehen nur, wenn man die beiden Stränge künstlich trennt.

Integriertes QMS nach ISO 13485

Das Qualitätsmanagementsystem nach ISO 13485 ist das Rückgrat der MDR-Konformität. Der AI Act verlangt in Art. 17 ein QMS für Anbieter von Hochrisiko-KI, dessen Inhalte sich stark mit ISO 13485 überschneiden. Ein erweitertes QMS, das die AI-Act-spezifischen Verfahren als zusätzliche Kapitel integriert, deckt beide Anforderungen ab und vermeidet zwei parallele Managementsysteme mit eigenen Audits.

Technische Dokumentation

Sowohl Anhang II und III der MDR als auch Anhang IV des AI Act verlangen eine technische Dokumentation. Große Teile überschneiden sich, etwa die Produktbeschreibung, die Auslegung, die Verifizierungs- und Validierungsdaten. Eine modular aufgebaute Dokumentation mit gemeinsamem Kern und regimespezifischen Anhängen reduziert den Pflegeaufwand erheblich und verhindert, dass dieselbe Information in zwei Versionen auseinanderläuft.

Harmonisierte Post-Market Surveillance

Die MDR verlangt eine Post-Market Surveillance und ein Vigilanzsystem. Der AI Act verlangt in Art. 72 eine Beobachtung nach dem Inverkehrbringen sowie eine Meldepflicht für schwerwiegende Vorfälle nach Art. 73. Eine gemeinsame Überwachungsstrategie, die Felddaten einmal erhebt und für beide Meldewege auswertet, ist der wohl klarste Synergiehebel, weil die Datenquelle identisch ist.

Wo die Bewertungen formal getrennt bleiben

So weit die Prozesse zusammenlaufen, so klar bleibt die formale Trennung der beiden Konformitätsbewertungen. Die MDR-Bewertung führt zur CE-Kennzeichnung als Medizinprodukt. Die AI-Act-Konformität ist ein eigener Nachweis, der die spezifischen Hochrisiko-Anforderungen abdeckt. Der AI Act sieht für Produkte, die bereits einer sektoralen Konformitätsbewertung unterliegen, eine integrierte Bewertung über dieselbe Benannte Stelle vor, sofern diese auch für den AI Act notifiziert ist.

Diese Integration ist eine Erleichterung im Verfahren, keine Verschmelzung der Inhalte. Die materiellen Anforderungen des AI Act zu Datenqualität nach Art. 10, zu Transparenz nach Art. 13 und zu menschlicher Aufsicht nach Art. 14 müssen eigenständig nachgewiesen werden. Eine bestandene MDR-Bewertung ersetzt diesen Nachweis nicht, auch wenn sie viele Belege beisteuert. Die CE-Kennzeichnung dokumentiert am Ende die Konformität mit allen anwendbaren Rechtsakten gemeinsam.

Konfliktpunkte, die man früh klären sollte

Neben den Synergien gibt es Reibungspunkte, die in der Planung leicht übersehen werden. Die Begriffswelten der beiden Verordnungen sind nicht deckungsgleich. Was die MDR als Hersteller bezeichnet, heißt im AI Act Anbieter, und die Pflichtenkataloge überlappen, decken sich aber nicht eins zu eins. Wer die Rollen nicht sauber zuordnet, baut Lücken in die Dokumentation.

Auch die Zeitachsen unterscheiden sich. Nach der jüngsten Anpassung der AI-Act-Fristen gelten die Pflichten für KI in Medizinprodukten nach Anhang I des AI Act erst ab August 2028, während die MDR-Pflichten unverändert bestehen. Wer ein Produkt heute auf den Markt bringt, plant die AI-Act-Architektur vor, ohne sie verfrüht als abgeschlossen zu deklarieren. Ein weiterer Konfliktpunkt liegt in den Datenanforderungen, weil der AI Act in Art. 10 Vorgaben zur Trainingsdatenqualität macht, die in der klassischen MDR-Welt so nicht vorkommen und eigenständig erarbeitet werden müssen.

Empfehlung für ein integriertes Vorgehen

Der sinnvolle Weg ist ein integriertes Konformitätsbewertungsverfahren, das von Beginn an beide Regime mitdenkt. Praktisch heißt das, ein QMS aufzusetzen, das ISO 13485 und die AI-Act-Anforderungen aus Art. 17 in einer Struktur vereint, statt zwei Systeme zu betreiben.

Das Risikomanagement nach ISO 14971 wird um eine KI-Risikodimension erweitert, sodass Art. 9 AI Act ohne eigene Akte mitläuft. Die technische Dokumentation erhält einen gemeinsamen Kern mit regimespezifischen Anhängen für MDR und AI Act. Die Post-Market Surveillance wird als eine Datenerhebung mit zwei Auswertungspfaden konzipiert. Wer diese vier Bausteine integriert plant, hebt die Synergie tatsächlich, statt sie nur auf dem Papier zu behaupten.

Sinnvoll ist es außerdem, früh eine Benannte Stelle zu wählen, die sowohl für die MDR als auch für den AI Act notifiziert ist, weil sich nur dann das integrierte Bewertungsverfahren nutzen lässt. Wie sich die beiden Regelwerke im Detail verschränken, vertieft der Beitrag zur Verschränkung von EU AI Act und MDR.

Häufige Fragen

Reicht eine bestandene MDR-Zertifizierung für die AI-Act-Konformität?

Nein. Die MDR-Zertifizierung steuert viele Belege bei, ersetzt aber nicht den eigenständigen Nachweis der AI-Act-Anforderungen zu Datenqualität, Transparenz und menschlicher Aufsicht. Beide Bewertungen bleiben formal getrennt, auch wenn sie über eine integrierte Benannte Stelle laufen können.

Wie hoch ist der Mehraufwand durch den AI Act realistisch?

Bei integrierter Planung liegt der Mehraufwand gegenüber einer reinen MDR-Bewertung in einer überschaubaren Größenordnung, weil ein großer Teil der Prozesse ohnehin existiert. Wer dagegen ein zweites paralleles System aufbaut, vervielfacht den Aufwand. Die realistische Einsparung durch Integration liegt bei 30 bis 40 Prozent gegenüber der getrennten Abarbeitung.

Kann dieselbe Benannte Stelle beide Bewertungen durchführen?

Ja, sofern die Stelle sowohl für die MDR als auch für den AI Act notifiziert ist. Der AI Act sieht für Produkte mit sektoraler Konformitätsbewertung ausdrücklich eine integrierte Bewertung vor. Die Auswahl einer entsprechend notifizierten Stelle ist deshalb eine strategische Frühentscheidung.

Welche Frist gilt für KI in Medizinprodukten?

Nach der jüngsten Anpassung der AI-Act-Zeitachse gelten die Pflichten für KI als Sicherheitskomponente von Medizinprodukten nach Anhang I erst ab August 2028. Die MDR-Pflichten bestehen unabhängig davon weiter. Anbieter planen die AI-Act-Architektur deshalb vor, deklarieren sie aber nicht verfrüht als abgeschlossen.