DiGA & KI: Was Digitale Gesundheitsanwendungen mit KI bei der Zulassung beachten müssen

Digitale Gesundheitsanwendungen (DiGA) mit KI-Komponenten stehen vor einem regulatorischen Parcours, der über die Standardanforderungen des DiGA-Verzeichnisses hinausgeht. Neben den bekannten BfArM-Prüfkriterien und den BSI-Sicherheitsanforderungen der TR-03161 kommen KI-spezifische Herausforderungen hinzu: Modelldrift, Erklärbarkeit und Datenqualität müssen nicht nur technisch gelöst, sondern auch regulatorisch nachgewiesen werden.

Dieser Artikel gibt DiGA-Entwicklern einen strukturierten Überblick über alle Anforderungsebenen und eine praktische Checkliste für den Zulassungsprozess.

BfArM-Prüfverfahren: Überblick

Das BfArM prüft DiGA-Anträge in einem strukturierten Verfahren, das sich in drei Hauptbereiche gliedert:

• Produkteigenschaften: Sicherheit und Funktionstauglichkeit, Datenschutz, Informationssicherheit, Interoperabilität, Qualität medizinischer Inhalte, Patientensicherheit und Gebrauchstauglichkeit.
• Positive Versorgungseffekte: Nachweis eines medizinischen Nutzens oder patientenrelevanter Struktur- und Verfahrensverbesserungen durch eine vergleichende Studie.
• Herstelleranforderungen: Qualitätsmanagementsystem, Konformitätsbewertung nach MDR, technische Dokumentation.

Für KI-basierte DiGA ist entscheidend: Das BfArM bewertet nicht nur die Funktionalität zum Zeitpunkt der Antragstellung, sondern verlangt Konzepte für die kontinuierliche Sicherstellung der Leistungsfähigkeit. Bei lernenden Systemen, die sich nach Inverkehrbringung verändern, sind die Anforderungen an das Änderungsmanagement besonders streng. Das Produkt muss als Software as a Medical Device (SaMD) MDR-konform sein.

BSI TR-03161: Sicherheitsanforderungen im Detail

Die Technische Richtlinie BSI TR-03161 definiert Sicherheitsanforderungen speziell für Gesundheitsanwendungen. Sie gliedert sich in drei Teile:

• TR-03161 Teil 1: Mobile Anwendungen – Anforderungen an die App-Sicherheit, sichere Datenspeicherung auf dem Gerät, Schutz der Kommunikation.
• TR-03161 Teil 2: Webanwendungen – Server-Sicherheit, Authentifizierung, Session-Management, Schutz gegen gängige Angriffsvektoren.
• TR-03161 Teil 3: Hintergrundsysteme – Backend-Sicherheit, API-Sicherheit, Datenbankschutz, Logging und Monitoring.

Für KI-basierte DiGA ergeben sich zusätzliche Sicherheitsanforderungen, die über den Standard-Scope der TR-03161 hinausgehen:

• Modellsicherheit: Schutz des KI-Modells vor Adversarial Attacks, Model Extraction und Data Poisoning.
• Datenpipeline-Sicherheit: Integrität der Trainings- und Inferenzdaten, sichere Modellaktualisierung.
• Inferenz-Sicherheit: Schutz der Ein- und Ausgabedaten während der Modellausführung, insbesondere bei Cloud-basierter Inferenz.

KI-spezifische Herausforderungen für die DiGA-Zulassung

Modelldrift

KI-Modelle können über die Zeit an Genauigkeit verlieren, wenn sich die Eingabedaten von den Trainingsdaten unterscheiden (Data Drift) oder sich die Beziehung zwischen Eingabe und Ergebnis verändert (Concept Drift). Für DiGA-Hersteller bedeutet das:

• Implementierung eines kontinuierlichen Performance-Monitorings mit definierten Schwellwerten
• Klare Drift-Detection-Algorithmen und Eskalationsprozesse
• Dokumentiertes Verfahren für Modellaktualisierungen einschließlich Re-Validierung
• Abgrenzung: Ab wann ist eine Modelländerung eine "wesentliche Änderung" im Sinne der MDR?

Erklärbarkeit (Explainability)

Das BfArM erwartet, dass Anwender – Ärzte wie Patienten – die Entscheidungslogik einer KI-gestützten DiGA nachvollziehen können. Das betrifft sowohl den EU AI Act (Art. 13 Transparenz) als auch die praktische Gebrauchstauglichkeit:

• Globale Erklärbarkeit: Wie funktioniert das Modell grundsätzlich? Welche Daten fließen ein, welche Methodik wird verwendet?
• Lokale Erklärbarkeit: Warum hat das Modell in diesem konkreten Fall diese Empfehlung gegeben? Methoden wie SHAP, LIME oder Attention-Visualisierung können hier helfen.
• Nutzergerechte Darstellung: Die Erklärung muss für die Zielgruppe verständlich sein – ein Radiologe braucht andere Erklärungen als ein Patient.

Datenqualität

Für KI-basierte DiGA gelten erhöhte Anforderungen an die Qualität der verwendeten Daten:

• Trainingsdaten: Repräsentativität für die deutsche Zielpopulation, Dokumentation der Datenquellen, Bias-Analyse (Alter, Geschlecht, Ethnizität).
• Validierungsdaten: Unabhängige Datensätze, die nicht für das Training verwendet wurden, mit dokumentierter Herkunft.
• Reale Nutzungsdaten: Plan für die Erhebung und Auswertung von Performance-Daten im realen Einsatz.
• Datenschutz: Vollständige DSGVO-Konformität bei allen Datensätzen, einschließlich Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten. Hier greifen Privacy-by-Design-Prinzipien.

Praktische Checkliste für DiGA-Entwickler mit KI

Die folgende Checkliste fasst die wesentlichen Anforderungen zusammen, die vor Antragstellung beim BfArM erfüllt sein müssen:

Regulatorische Grundlagen

• MDR-Konformitätsbewertung abgeschlossen (CE-Kennzeichnung)
• Risikoklasse nach MDR Regel 11 bestimmt (typisch: IIa oder IIb)
• Hochrisiko-Einstufung nach EU AI Act geprüft und dokumentiert
• QMS nach ISO 13485 implementiert und auditiert
• Datenschutz-Folgenabschätzung (DSFA) durchgeführt

KI-spezifische Dokumentation

• KI-Methodik dokumentiert (Modellarchitektur, Trainingsverfahren, Hyperparameter)
• Trainingsdaten beschrieben (Herkunft, Umfang, Repräsentativität, Bias-Analyse)
• Validierungsergebnisse mit klar definierten Performance-Metriken
• Erklärbarkeitskonzept implementiert und getestet
• Drift-Detection und Monitoring-Plan erstellt
• Änderungsmanagement für Modellaktualisierungen definiert

Sicherheit (BSI TR-03161)

• Penetrationstest durchgeführt und dokumentiert
• Adversarial-Robustheit des KI-Modells getestet
• Sichere Modellspeicherung und -übertragung implementiert
• Verschlüsselung aller Gesundheitsdaten (at rest und in transit)
• Authentifizierung und Autorisierung gemäß BSI-Anforderungen

Positive Versorgungseffekte

• Studiendesign für den Nachweis positiver Versorgungseffekte festgelegt
• Bei KI: Nachweis, dass KI-Komponente zum Versorgungseffekt beiträgt
• Vergleichsgruppe definiert (Versorgung ohne DiGA)
• Endpunkte patientenrelevant und messbar

Betrieb und Überwachung

• Post-Market Surveillance Plan erstellt
• KI-Performance-Monitoring im Echtbetrieb implementiert
• Incident-Response-Prozess für KI-Fehlfunktionen definiert
• Feedback-Mechanismus für Ärzte und Patienten eingerichtet
• Regelmäßige Re-Validierung des Modells geplant

Die Komplexität dieser Anforderungen macht deutlich: KI-basierte DiGA erfordern einen integrierten Ansatz, der regulatorische, technische und klinische Expertise verbindet. Wer diese Anforderungen von Beginn der Entwicklung an berücksichtigt, vermeidet kostspielige Nacharbeiten und verkürzt die Time-to-Listing im DiGA-Verzeichnis erheblich.

Häufig gestellte Fragen (FAQ)

Welche besonderen Anforderungen gelten für DiGA mit KI-Komponenten?

Neben den Standard-DiGA-Anforderungen (BfArM-Prüfung, BSI TR-03161) müssen KI-basierte DiGA zusätzlich Modelldrift-Monitoring, Erklärbarkeitskonzepte und erhöhte Anforderungen an Datenqualität und Bias-Analyse nachweisen.

Was ist Modelldrift und warum ist es für die DiGA-Zulassung relevant?

Modelldrift bedeutet, dass ein KI-Modell über die Zeit an Genauigkeit verliert, weil sich die Eingabedaten oder die Zusammenhänge ändern. Für die DiGA-Zulassung müssen Hersteller ein Drift-Detection-System mit definierten Schwellwerten und dokumentierte Prozesse für Re-Validierung implementieren.

Welche Erklärbarkeitsanforderungen stellt das BfArM an KI-basierte DiGA?

Das BfArM erwartet sowohl globale Erklärbarkeit (wie funktioniert das Modell grundsätzlich?) als auch lokale Erklärbarkeit (warum diese Empfehlung in diesem konkreten Fall?). Methoden wie SHAP oder LIME können eingesetzt werden, müssen aber nutzergerecht aufbereitet sein.

Welche Sicherheitsanforderungen der BSI TR-03161 betreffen KI-Modelle?

Über die Standard-Anforderungen hinaus müssen KI-Modelle gegen Adversarial Attacks, Model Extraction und Data Poisoning geschützt werden. Die Datenpipeline-Sicherheit und Inferenz-Sicherheit erfordern Verschlüsselung und Integritätsprüfungen.

Welche Datenqualitätsanforderungen gelten für KI-basierte DiGA?

Trainingsdaten müssen für die deutsche Zielpopulation repräsentativ sein, mit dokumentierter Bias-Analyse. Validierungsdaten müssen unabhängig sein, und es braucht einen Plan für die Erhebung von Performance-Daten im realen Einsatz.