EU AI Act & MDR: Doppel-Compliance für HealthTech-Startups — effizienter als Sie denken

Anbieter von KI-basierter Medizinsoftware stehen vor einer doppelten regulatorischen Herausforderung: Ihre Produkte müssen sowohl die Anforderungen der Medizinprodukteverordnung (MDR) als auch die des EU AI Act erfüllen. Beide Regulierungen treten nicht alternativ, sondern kumulativ in Kraft. Für Startups und mittelständische Unternehmen kann das den Unterschied zwischen Markterfolg und regulatorischem Scheitern bedeuten.

Die gute Nachricht: Beide Regulierungen teilen wesentliche Grundprinzipien. Wer die Überschneidungen früh identifiziert und ein integriertes Compliance-System aufbaut, kann erheblich Zeit und Ressourcen sparen – und gleichzeitig eine robustere regulatorische Basis schaffen.

Anforderungsvergleich: MDR vs. EU AI Act

Die folgende Tabelle stellt die zentralen Anforderungsbereiche gegenüber und zeigt, wo sich Synergien für ein integriertes Compliance-System ergeben:

Gemeinsame Anforderungen: Die Synergiekerne

Drei Bereiche bilden den Kern der Überschneidung zwischen MDR und EU AI Act. Wer diese richtig aufsetzt, hat den größten Teil der Doppel-Compliance bereits abgedeckt:

1. Integriertes Risikomanagement

Die MDR verlangt ein Risikomanagement nach ISO 14971 über den gesamten Produktlebenszyklus. Der EU AI Act fordert in Art. 9 ein "kontinuierliches iteratives" Risikomanagementsystem für Hochrisiko-KI. In der Praxis lässt sich ein einziges Risikomanagement-Framework aufbauen, das beide Anforderungen bedient. Der Schlüssel liegt darin, die KI-spezifischen Risiken (Bias, Modelldrift, Robustheit) als zusätzliche Risikokategorien in das bestehende ISO-14971-Framework zu integrieren, statt ein paralleles System aufzubauen.

2. Technische Dokumentation

Beide Regulierungen verlangen umfangreiche technische Dokumentation – und beide folgen einer ähnlichen Logik: Beschreibung des Systems, Zweckbestimmung, Risikobewertung, Verifizierung und Validierung. Der AI Act ergänzt KI-spezifische Elemente wie die Beschreibung der Trainingsmethodik, Datengovernance und Performance-Metriken. Ein modularer Dokumentationsansatz, bei dem KI-spezifische Module an die MDR-Kernstruktur andocken, vermeidet Redundanz. Für Software as a Medical Device (SaMD) ist dieser Ansatz besonders effizient.

3. Post-Market Surveillance / Monitoring

Die MDR fordert kontinuierliche Marktüberwachung (PMS) einschließlich Post-Market Clinical Follow-up (PMCF). Der AI Act verlangt Post-Market Monitoring mit besonderem Fokus auf KI-Performance. Beide Systeme lassen sich in einem einzigen Monitoring-Framework zusammenführen, das sowohl klinische Sicherheitssignale als auch KI-Performance-Metriken erfasst und auswertet.

Der effiziente Compliance-Pfad: Integriertes QMS

Für Startups ist der praktikabelste Ansatz ein integriertes Qualitätsmanagementsystem, das von Anfang an beide Regulierungen berücksichtigt. Die Architektur:

• Kern-QMS nach ISO 13485: Bildet das Fundament und erfüllt die MDR-Anforderung an ein dokumentiertes QMS (Art. 10 MDR).
• KI-Erweiterungsmodul: Ergänzt KI-spezifische Prozesse für Datengovernance, Modellmanagement, Bias-Monitoring und Robustheitstests. Dieses Modul adressiert gleichzeitig Art. 17 AI Act (QMS für Hochrisiko-KI) und die AI-Act-spezifischen Anforderungen.
• Integriertes Risikomanagement: Ein Framework, das ISO 14971 mit den KI-Risikokategorien des AI Act verbindet.
• Einheitliche Dokumentenstruktur: Modulare technische Dokumentation mit MDR-Kerndokumenten und KI-spezifischen Anhängen.
• Gemeinsames PMS/Monitoring: Ein System für klinische Sicherheit und KI-Performance-Überwachung.

Timeline: Wann müssen Sie was erfüllen?

Die zeitliche Staffelung von MDR und EU AI Act ergibt ein konkretes Handlungsfenster:

• MDR: Bereits vollständig in Kraft. Alle Medizinprodukte, die in der EU in Verkehr gebracht werden, müssen MDR-konform sein. Übergangsfristen für Bestandsprodukte laufen schrittweise aus.
• EU AI Act – Verbotene Praktiken (Art. 5): Seit Februar 2025 in Kraft.
• EU AI Act – Hochrisiko-Anforderungen: Gelten ab August 2026 für KI-Systeme, die als Sicherheitskomponente eines Medizinprodukts dienen oder selbst Medizinprodukte sind.
• EU AI Act – Vollständige Anwendung: Ab August 2027 für alle verbleibenden Bestimmungen.

Praktische Schritte für Startups

Phase 1: Regulatorische Analyse (Monat 1-2)

• Klassifizierung des Produkts nach MDR (Regel 11 für Software) und AI Act (Hochrisiko-Prüfung)
• Gap-Analyse: Wo stehen Sie heute, was fehlt für beide Regulierungen?
• Identifikation der Synergien und produktspezifischen Anforderungen

Phase 2: QMS-Aufbau (Monat 2-6)

• ISO 13485-basiertes QMS mit KI-Erweiterungsmodul aufsetzen
• Integriertes Risikomanagement-Framework implementieren
• Dokumentenstrukturen für Doppel-Compliance definieren
• Wenn das Produkt auch als DiGA vertrieben werden soll: frühzeitig DiGA-spezifische Anforderungen einbeziehen

Phase 3: Implementierung und Nachweise (Monat 6-12)

• Technische Dokumentation erstellen (modularer Ansatz)
• Klinische Bewertung und KI-Validierung durchführen
• PMS/Monitoring-System aufsetzen
• Konformitätsbewertungsverfahren bei Benannter Stelle einleiten

Phase 4: Zertifizierung und Markteinführung (Monat 12-18)

• Audit durch Benannte Stelle (MDR und perspektivisch AI Act)
• EU-Konformitätserklärung für beide Regulierungen
• Registrierung in EUDAMED und EU-KI-Datenbank
• Go-to-Market mit vollständiger regulatorischer Compliance

Der integrierte Ansatz erfordert anfänglich mehr Planung, zahlt sich aber durch Effizienzgewinne von 30-40% gegenüber dem sequenziellen Aufbau separater Compliance-Systeme aus. Für Startups, die mit begrenzten Ressourcen arbeiten, ist dieser Effizienzgewinn oft entscheidend für den Erfolg.

Häufig gestellte Fragen (FAQ)

Muss KI-basierte Medizinsoftware sowohl MDR als auch EU AI Act erfüllen?

Ja, beide Regulierungen gelten kumulativ. KI-basierte Software, die als Medizinprodukt eingestuft wird, muss die MDR-Anforderungen (CE-Kennzeichnung, klinische Bewertung) und ab August 2026 die Hochrisiko-Anforderungen des EU AI Act gleichzeitig erfüllen.

Wo überschneiden sich MDR und EU AI Act am stärksten?

Die größten Synergien liegen im Risikomanagement (ISO 14971 / Art. 9 AI Act), der technischen Dokumentation (Anhang II MDR / Anhang IV AI Act) und der Post-Market Surveillance. Ein integriertes System für diese Bereiche spart bis zu 40 % Aufwand.

Brauche ich für MDR und AI Act zwei getrennte Qualitätsmanagementsysteme?

Nein. Ein integriertes QMS auf Basis von ISO 13485 mit einem KI-Erweiterungsmodul kann beide Anforderungen abdecken. Art. 17 AI Act verlangt ein QMS für Hochrisiko-KI, das sich in das bestehende MDR-QMS integrieren lässt.

Ab wann gelten die Hochrisiko-Anforderungen des EU AI Act für Medizinprodukte?

Die Hochrisiko-Anforderungen gelten ab August 2026 für KI-Systeme, die als Sicherheitskomponente eines Medizinprodukts dienen oder selbst Medizinprodukte sind. Verbotene Praktiken gelten bereits seit Februar 2025.

Wie lange dauert der Aufbau eines integrierten MDR-AI-Act-Compliance-Systems?

Realistisch sind 12 bis 18 Monate: 2 Monate für die regulatorische Analyse, 4 Monate für den QMS-Aufbau, 6 Monate für Implementierung und Nachweise, dann Zertifizierung. Startups sollten frühzeitig beginnen, da Retrofitting 5–10x teurer ist.