Wer bringt die CE-Kennzeichnung an?

Der Hersteller, also der Anbieter im Sinne des AI Act. Er unterzeichnet die EU-Konformitätserklärung und übernimmt die Verantwortung dafür, dass das System allen Anforderungen entspricht. Eine Benannte Stelle ist bei Klasse IIa, IIb und III sowie bei Hochrisiko-KI nach AI Act in das Verfahren eingebunden.

Was prüft die Benannte Stelle?

Die Benannte Stelle prüft das Qualitätsmanagementsystem, die technische Dokumentation, die klinische Bewertung und die Konformität des Produkts mit den anwendbaren Vorschriften. Für KI-SaMD prüft sie zusätzlich die AI-Act-spezifischen Anforderungen wie Risikomanagement, Datenqualität und Human-Oversight-Vorbereitung.

Kann ich eine Konformitätsbewertung für MDR und AI Act zusammenlegen?

Teilweise ja. Die Bewertungen müssen formal getrennt erfolgen, weil sie unterschiedliche Rechtsgrundlagen haben. Die zugrunde liegenden Prozesse, etwa Risikomanagement, Dokumentation und Post-Market Surveillance, können aber synergetisch aufgesetzt werden. Eine integrierte Bewertung reduziert Aufwand um schätzungsweise 30 bis 40 Prozent.

CE-Kennzeichnung für KI im Gesundheitswesen: Was Healthcare-Anbieter wissen müssen

Konformitätskennzeichnung, die bestätigt, dass ein Produkt die Anforderungen der relevanten EU-Verordnungen erfüllt.

Definition

Die CE-Kennzeichnung ist die Konformitätskennzeichnung, mit der ein Hersteller erklärt, dass sein Produkt allen anwendbaren EU-Vorschriften entspricht. Sie ist eine eigene Rechtshandlung des Herstellers, kein behördliches Zertifikat. Mit Anbringung der CE-Kennzeichnung übernimmt der Hersteller die Verantwortung für die Konformität.

Für Medizinprodukte verlangt die CE-Kennzeichnung den Nachweis der MDR-Konformität. Für Hochrisiko-KI verlangt sie zusätzlich den Nachweis der AI-Act-Konformität. Bei Software, die unter beide Regime fällt, ist die Doppelkennzeichnung Realität.

Rechtliche Verankerung

Die MDR regelt die CE-Kennzeichnung für Medizinprodukte in Art. 20 sowie Art. 52 und 53. Der Anbringung muss eine erfolgreiche Konformitätsbewertung vorausgehen. Bei Klasse IIa, IIb und III ist die Einbindung einer Benannten Stelle verpflichtend, die das Qualitätsmanagementsystem und die technische Dokumentation prüft.

Der EU AI Act regelt die CE-Kennzeichnung für Hochrisiko-KI in Art. 48 und 49. Auch hier ist die Konformitätsbewertung Voraussetzung. Für KI-Systeme, die als Sicherheitskomponente eines Medizinprodukts gelten, wird die AI-Act-Konformitätsbewertung in das MDR-Verfahren integriert (Art. 43 Abs. 3).

Konsequenzen für KI-Anbieter im Healthcare

Wer KI-basierte Medizinprodukt-Software in Verkehr bringt, durchläuft zwei Konformitätsbewertungen, die sich überlappen. Die MDR-Bewertung prüft Sicherheit, Wirksamkeit und klinischen Nutzen. Die AI-Act-Bewertung prüft Risikomanagement, Datenqualität, Transparenz und Cybersicherheit. Die zugrunde liegenden Prozesse können integriert aufgesetzt werden.

Die operative Empfehlung ist eindeutig. Ein integriertes Qualitätsmanagementsystem, das ISO 13485 für die MDR mit den AI-Act-Anforderungen verbindet, eine technische Dokumentation, die sowohl Anhang II MDR als auch Anhang IV AI Act bedient, und eine Post-Market-Strategie, die beide Pflichten harmonisiert.

Häufige Fehler

Der häufigste Fehler ist die CE-Kennzeichnung ohne ausreichende klinische Bewertung. Die klinische Performance der KI muss mit Daten belegt sein, die die Zielpopulation realistisch abbilden. Ein Modell, das auf US-Daten trainiert und nicht auf europäischer Population validiert wurde, hat ein Compliance-Problem.

Der zweithäufigste Fehler ist die fehlende Update-Strategie. KI-Modelle ändern sich, durch Retraining, Fine-Tuning oder neue Versionen. Jede wesentliche Änderung verlangt eine Re-Bewertung der Konformität. Wer ein KI-System unter der CE-Kennzeichnung von 2024 bis 2026 dreimal substanziell verändert hat, hat ein dokumentationsrechtliches Problem.

Der dritthäufigste Fehler ist die mangelnde Abgrenzung der Komponenten. Eine KI-PVS besteht aus mehreren Modulen, von denen einige Medizinprodukt sind und andere nicht. Die CE-Kennzeichnung gilt nur für die Module mit medizinischem Zweck. Wer die ganze PVS CE-kennzeichnet, übernimmt unnötig Pflichten und Haftungsrisiken.

Konsequenzen für Betreiber

Für Praxen und MVZ ist die CE-Kennzeichnung ein wichtiges Auswahlkriterium bei der KI-Beschaffung. Eine fehlende CE-Kennzeichnung bei einem Tool, das offensichtlich diagnostisch oder therapeutisch eingesetzt wird, ist ein Warnsignal. Der Einsatz eines solchen Tools verschiebt das Compliance-Risiko vollständig auf den Betreiber, der dann nach Art. 25 EU AI Act faktisch in die Anbieterrolle rutscht.

Eine vorhandene CE-Kennzeichnung entlastet den Betreiber nicht von seinen eigenen Pflichten aus Art. 26 EU AI Act. Sie ist die Voraussetzung dafür, dass der Betreiber sich auf die Anbieterkonformität verlassen darf, und sie ist der Ausgangspunkt für die eigene Compliance-Arbeit.

Sanktionen bei fehlender oder unrechtmäßiger CE-Kennzeichnung

Wer ohne CE-Kennzeichnung ein Medizinprodukt oder Hochrisiko-KI in Verkehr bringt, riskiert Marktverbot, Rückrufpflicht und Bußgelder. Nach MDR drohen je nach nationalem Recht erhebliche Geldbußen. Nach AI Act bis zu 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes. Hinzu kommt die zivilrechtliche Haftung gegenüber Anwendern und Patienten, deren Verteidigungslast ohne CE-Kennzeichnung erheblich erhöht ist.

CE-Kennzeichnung

Auf einen Blick