Published On: 12. März 2026

Künstliche Intelligenz in der Medizintechnik: Wie MedTech-Unternehmen MDR- und IVDR-konforme KI-Produkte entwickeln

Die Entwicklung KI-basierter Medizinprodukte stellt Hersteller vor ein regulatorisches Dilemma: Einerseits verspricht künstliche Intelligenz präzisere Diagnosen, personalisierte Therapien und eine bessere Patientenversorgung. Andererseits müssen Unternehmen ein komplexes Geflecht aus MDR, IVDR und dem neuen AI Act bewältigen. Drei Regelwerke, die parallel gelten und jeweils eigene Anforderungen an Dokumentation, Risikomanagement und Qualitätssicherung stellen. Während klassische Medizinprodukte einem weitgehend etablierten Zulassungsprozess folgen, bringen KI-Systeme zusätzliche Herausforderungen mit sich: Dynamische Lernprozesse, Daten-Bias, Model-Drift und die Frage der Erklärbarkeit. Wie können Hersteller sicherstellen, dass ihre KI-Lösungen sowohl innovativ als auch regelkonform sind?

Das Zusammenspiel der Regulierungen: MDR, IVDR und AI Act

Für KI-gestützte Medizinprodukte gilt in Europa seit August 2024 ein duales Compliance-Modell. Die Medical Device Regulation (MDR 2017/745) und die In Vitro Diagnostic Regulation (IVDR 2017/746) bilden weiterhin den primären Rechtsrahmen für alle Medizinprodukte. Unabhängig davon, ob sie KI-Komponenten enthalten oder nicht. Der EU AI Act (Verordnung 2024/1689) legt jedoch eine horizontale Schicht über diese bestehenden Vorschriften und definiert zusätzliche Anforderungen speziell für Hochrisiko-KI-Systeme.

Die entscheidende Frage für Hersteller lautet: Wann wird mein KI-basiertes Medizinprodukt auch zum Hochrisiko-KI-System? Die Antwort liefert das im Juni 2025 veröffentlichte MDCG 2025-6 Guidance-Dokument, das gemeinsam von der Medical Device Coordination Group und dem EU AI Board entwickelt wurde. Ein KI-System gilt als Hochrisiko-AI im Sinne des AI Acts, wenn zwei Bedingungen gleichzeitig erfüllt sind: Das KI-System ist entweder ein Sicherheitsbauteil eines Medizinprodukts oder selbst ein Medizinprodukt, und es unterliegt einer Konformitätsbewertung durch eine Benannte Stelle gemäß MDR oder IVDR.

In der Praxis bedeutet dies: KI-basierte Medizinprodukte der Risikoklassen IIa bis III nach MDR sowie In-vitro-Diagnostika der Klassen B bis D nach IVDR gelten typischerweise als Hochrisiko-KI-Systeme und müssen ab August 2027 vollständig AI-Act-konform sein. Wichtig zu verstehen ist dabei, dass die Klassifizierung als Hochrisiko-KI unter dem AI Act die bestehende MDR- oder IVDR-Risikoklassifizierung nicht verändert. Die Regelwerke bauen aufeinander auf, ersetzen sich aber nicht gegenseitig.

Kernpflichten unter MDR und IVDR für KI-Produkte

Auch wenn der AI Act neue Anforderungen hinzufügt, bleiben die Grundpflichten aus MDR und IVDR bestehen. Für KI-Systeme müssen diese jedoch KI-spezifisch ausgelegt werden. Das Risikomanagement nach ISO 14971 muss systematisch über den gesamten Produktlebenszyklus hinweg KI-typische Risiken adressieren. Dazu gehören systematische Verzerrungen in Trainingsdaten (Bias), Modelldrift durch sich ändernde Eingabedaten im Feld, Overfitting bei zu homogenen Trainingsdatensätzen, Fehlklassifikationen mit potenziell schwerwiegenden klinischen Folgen sowie Fragen der Erklärbarkeit und Interpretierbarkeit von KI-Entscheidungen.

Die klinische Bewertung beziehungsweise Leistungsbewertung muss die Sicherheit und Leistungsfähigkeit des KI-Systems anhand klinischer Daten nachweisen. Bei lernenden Systemen sind Real-World-Performance-Daten und kontinuierliche Post-Market-Daten besonders relevant, da sich das Systemverhalten im praktischen Einsatz verändern kann. Die technische Dokumentation erweitert sich für KI-Systeme erheblich: Sie muss eine vollständige Beschreibung des Algorithmus, der verwendeten Datenquellen, der Trainings- und Teststrategie sowie der Performance-Metriken wie Sensitivität, Spezifität, positive und negative prädiktive Werte enthalten.

Das Qualitätsmanagementsystem nach ISO 13485 muss explizit Data-Lifecycle-Management, Modellversionierung und Re-Training-Prozesse abdecken. Auch das Post-Market-Surveillance-System gewinnt bei KI-Produkten an Bedeutung: Kontinuierliche Überwachung von Performance-Metriken im Feld, Identifikation von Fehlermustern und Modell-Drift sowie die Integration von Real-World-Data in Feedback-Schleifen zur Produktverbesserung sind unverzichtbar.

Was der AI Act zusätzlich fordert

Der AI Act führt für Hochrisiko-KI-Systeme spezifische Anforderungen ein, die über die MDR- und IVDR-Vorgaben hinausgehen. Die gute Nachricht: Viele dieser Anforderungen lassen sich in bestehende Prozesse integrieren. Das MDCG 2025-6 Guidance-Dokument empfiehlt Herstellern ausdrücklich, AI-Act-Pflichten möglichst in ihre bestehenden MDR- und IVDR-Strukturen einzubetten. Von Qualitätsmanagementsystemen über technische Dokumentation bis hin zur Post-Market-Surveillance.

Zu den zentralen AI-Act-Anforderungen gehört die Datenqualität und Data Governance. Trainings-, Validierungs- und Testdaten müssen repräsentativ, relevant, fehlerfrei und vollständig sein. Hersteller müssen Prozesse etablieren, um systematische Verzerrungen zu identifizieren und zu vermeiden – etwa durch unausgewogene Datensätze hinsichtlich Geschlechts, Alter, Ethnizität oder anderen Subgruppen. Die Anforderung an Transparenz und Erklärbarkeit bedeutet: Anwender müssen verstehen können, wie das KI-System funktioniert, welche Limitierungen es hat und unter welchen Bedingungen es sicher eingesetzt werden kann. Bei direkter Interaktion mit Nutzern muss klar kommuniziert werden, dass ein KI-System im Einsatz ist.

Genauigkeit, Robustheit und Cybersecurity sind weitere Pfeiler. KI-Systeme müssen auch unter variierenden Bedingungen zuverlässig funktionieren und gegen adversarial attacks geschützt sein. Die sogenannte Human Oversight stellt sicher, dass Menschen das System angemessen überwachen und im Zweifelsfall korrigierend eingreifen können. Dies ist besonders in hochkritischen klinischen Kontexten wichtig. Schließlich verlangt der AI Act automatisierte Logging-Mechanismen zur funktionalen Nachvollziehbarkeit. Das System muss Ereignisse protokollieren, um Performance-Tracking, Bias-Detection und Cybersecurity-Monitoring zu ermöglichen.

Praktische Umsetzung: Sechs Schritte zur Konformität

Wie können MedTech-Unternehmen diese komplexen Anforderungen systematisch umsetzen? Sechs strategische Schritte bilden das Fundament für MDR-, IVDR- und AI-Act-konforme KI-Produkte.

Schritt 1: Frühe und präzise Klassifizierung

Der erste Schritt besteht darin, früh im Entwicklungsprozess zu klären, ob das Produkt unter MDR oder IVDR fällt, welche Risikoklasse greift und ob es als Hochrisiko-KI-System nach AI Act einzustufen ist. Die Zweckbestimmung sollte so präzise wie möglich formuliert werden, da sie maßgeblich die regulatorischen Anforderungen und den Umfang klinischer Daten bestimmt. Eine vage Zweckbestimmung führt zu Unklarheiten bei der Klassifizierung und kann in Audits zu Problemen führen.

Schritt 2: QMS um KI-spezifische Prozesse erweitern

Das bestehende Qualitätsmanagementsystem muss um KI-relevante Elemente ergänzt werden. Dazu gehören klar definierte Rollen und Verantwortlichkeiten für Data Governance, Modelltraining, Validierung und Re-Training. Die Änderungskontrolle muss Kriterien definieren, wann ein Modellupdate als „significant change“ gilt und eine erneute Konformitätsbewertung erforderlich macht. Ein Predetermined Change Control Plan (PCCP) kann helfen, kontrollierte Updates zu ermöglichen, ohne jedes Mal ein vollständiges Zulassungsverfahren durchlaufen zu müssen.

Schritt 3: Robuste KI-Validierungsstrategie etablieren

Die Validierung von KI-Systemen unterscheidet sich grundlegend von klassischer Software-Validierung. Entscheidend ist eine klare Trennung von Trainings-, Validierungs- und Testdaten, wobei die Herkunft aller Datensätze lückenlos dokumentiert werden muss. Performance-Metriken und Akzeptanzkriterien sollten vorab festgelegt werden und zwar nicht nur für die Gesamtpopulation, sondern auch für klinisch relevante Subgruppen. So lässt sich systematischer Bias frühzeitig erkennen. Die Daten müssen repräsentativ für das tatsächliche Anwendungsszenario sein – ein Modell, das ausschließlich an Daten aus einem einzigen Krankenhaus trainiert wurde, kann in anderen klinischen Umgebungen versagen.

Schritt 4: Post-Market-Surveillance KI-gerecht ausrichten

Klassische Post-Market-Surveillance reicht für KI-Systeme nicht aus. Hersteller müssen kontinuierliche Überwachungsmechanismen etablieren, die Performance-Metriken im Feld tracken, Fehlermuster identifizieren und Modell-Drift erkennen. Real-World-Data und strukturiertes User-Feedback bilden die Grundlage für Verbesserungen und gegebenenfalls für eine erneute Validierung. Der AI Act fordert zudem das Monitoring möglicher Interaktionen mit anderen KI-Systemen sowie die Dokumentation schwerwiegender Vorfälle, die Grundrechte verletzen könnten.

Schritt 5: Technische Dokumentation integriert aufbauen

Anstatt separate Dokumentationen für MDR/IVDR und AI Act zu führen, empfiehlt das MDCG 2025-6 Guidance-Dokument eine integrierte technische Dokumentation. Diese sollte alle Anforderungen beider Regelwerke abdecken: klassische Medizinprodukte-Inhalte wie Zweckbestimmung, Risikomanagement, klinische Bewertung und Gebrauchsanweisung, kombiniert mit KI-spezifischen Elementen wie Datenherkunft und -qualität, Trainings- und Validierungsstrategien, Bias-Mitigation-Maßnahmen, Logging-Mechanismen und Human-Oversight-Konzepten. Eine gut strukturierte, verknüpfte Dokumentation ist nicht nur für die Zulassung entscheidend, sondern erleichtert auch spätere Audits und Change-Management-Prozesse erheblich.

Schritt 6: Interdisziplinäre Teams aufbauen

KI-Medizinprodukte erfordern eine enge Zusammenarbeit verschiedener Disziplinen. Regulatory Affairs, klinische Experten, Data Scientists, IT-Security-Spezialisten und Qualitätsmanagement müssen von Anfang an gemeinsam arbeiten. Nur so lassen sich technische Machbarkeit, klinische Relevanz und regulatorische Konformität in Einklang bringen. Besonders wichtig ist dabei die Kommunikation zwischen Regulatory-Teams und Data Scientists, da diese oft unterschiedliche Begriffswelten und Prioritäten haben.

Die Rolle systematischer Dokumentation

Je komplexer die regulatorischen Anforderungen werden, desto wichtiger wird eine durchgängige, systemgestützte Dokumentation. Fragmentierte Prozesse – hier ein Excel-Sheet für Risiken, dort ein Word-Dokument für die Zweckbestimmung, an anderer Stelle lose abgelegte Testprotokolle – führen unweigerlich zu Inkonsistenzen, Redundanzen und Lücken. Bei Audits oder Nachfragen von Benannten Stellen zeigen sich diese Schwachstellen besonders deutlich.

Für KI-Produkte verschärft sich diese Problematik noch: Die Argumentation zur Risikoklassifizierung muss sich entlang der neuen MDR-Regel-11-Logik aufbauen lassen, Datensatz-Versionen müssen nachvollziehbar sein, Modell-Updates erfordern Impact-Analysen, und die Verknüpfung zwischen klinischen Daten, Risikobewertungen und Performance-Metriken muss jederzeit transparent darstellbar sein. Eine strukturierte Dokumentationsplattform ermöglicht es, Zweckbestimmung, klinische Situation, Rolle der Software im Entscheidungsprozess und die daraus resultierende Klassifizierung systematisch zu erfassen. Risiken, Maßnahmen, Tests, klinische Daten und regulatorische Anforderungen können direkt verknüpft werden, sodass bei Änderungen – etwa einem Re-Training des Modells – sofort ersichtlich ist, welche Bereiche der technischen Dokumentation betroffen sind.

Für KI-Systeme ist diese Verknüpfung besonders wertvoll: Wenn sich die Performance-Metriken im Feld verändern, lässt sich über eine integrierte Dokumentation nachvollziehen, welche Risiken potenziell neu bewertet werden müssen, welche Tests wiederholt werden sollten und ob die klinische Bewertung aktualisiert werden muss. Dies spart nicht nur Zeit, sondern minimiert auch das Risiko, dass regulatorisch relevante Änderungen übersehen werden.

BAYOOSOFT Themis: Durchgängige Governance für KI-Medizinprodukte

Die Entwicklung MDR- und IVDR-konformer KI-Medizinprodukte erfordert mehr als nur das Abhaken regulatorischer Checklisten. Es geht darum, eine durchgängige regulatorische Governance zu etablieren, die technische Dokumentation, Risikomanagement, klinische Bewertung und Post-Market-Surveillance nahtlos verbindet. Genau hier setzt BAYOOSOFT Themis an.

Themis digitalisiert und verknüpft die Prozesse der technischen Dokumentation für Medizinprodukte und In-vitro-Diagnostika. Die validierte Software-Lösung ermöglicht es Herstellern, Zweckbestimmung, Risikoklassifizierung, Risikomanagement, klinische Daten und Performance-Metriken in einer zentralen Plattform zu erfassen und durchgängig zu verknüpfen. Für KI-Produkte bedeutet dies: Datensatz-Versionen, Trainings- und Validierungsstrategien, Bias-Mitigation-Maßnahmen und Performance-Monitoring lassen sich strukturiert dokumentieren und mit den entsprechenden regulatorischen Anforderungen verknüpfen.

Besonders wertvoll wird diese Systematik bei Change-Management-Prozessen. Wenn ein KI-Modell re-trainiert wird oder neue Features hinzukommen, zeigt eine Impact-Analyse automatisch auf, welche Bereiche der technischen Dokumentation, des Risikomanagements oder der klinischen Bewertung betroffen sind. Dies ermöglicht eine fundierte Bewertung, ob eine Änderung als „significant change“ gilt und eine erneute Konformitätsbewertung erfordert. Themis reduziert nicht nur den Aufwand und minimiert redundante Daten, sondern schafft auch die Transparenz und Nachvollziehbarkeit, die Benannte Stellen und Behörden erwarten.

Unternehmen, die heute die Grundlage für eine strukturierte regulatorische Governance legen, sind für die kommenden Entwicklungen gut gerüstet. Sei es die vollständige Umsetzung des AI Act ab August 2027, die Anpassungen durch MDR 2.0 oder neue harmonisierte Normen für KI-Systeme.

Sie möchten Ihre KI-Medizinprodukte auf eine belastbare regulatorische Grundlage stellen? Erfahren Sie mehr über BAYOOSOFT Themis oder testen Sie die Software kostenlos.

Fazit: Kontinuierliche Anpassung als Normalzustand

Die regulatorische Landschaft für KI-Medizinprodukte ist noch lange nicht final. Das MDCG 2025-6 Guidance-Dokument ist als FAQ konzipiert und wird regelmäßig aktualisiert. Weitere Leitlinien sind in Arbeit, etwa zu Predetermined Change Control Plans für KI-Systeme auf Ebene des International Medical Device Regulators Forum (IMDRF). Die Europäische Kommission plant zudem einen „Regulatory Reset“ für MDR und IVDR, um strukturelle Probleme zu adressieren und Innovationen besser zu ermöglichen.

Harmonisierte Normen speziell für KI in der Medizintechnik befinden sich in Entwicklung, darunter ISO 24971-2 zur Anwendung des Risikomanagements bei KI-basierten Medizinprodukten und IEC 62366-3 zum Usability Engineering für KI-Systeme. Die Konformität mit solchen harmonisierten Standards schafft eine Konformitätsvermutung gegenüber den gesetzlichen Anforderungen und erleichtert die Zulassung.

Hersteller müssen sich darauf einstellen, dass regulatorische Anpassungen zur neuen Normalität gehören. Eine flexible, gut strukturierte Dokumentations- und Prozesslandschaft ist daher kein Nice-to-have, sondern eine strategische Notwendigkeit. Unternehmen, die heute in eine solide regulatorische Infrastruktur investieren, sind nicht nur für die aktuellen Anforderungen gerüstet, sondern können auch zukünftige Änderungen deutlich effizienter umsetzen.

So unterstützen wir Sie

Mit BAYOOSOFT Themis digitalisieren Sie verknüpfte Prozesse und reduzieren nachhaltig die Dokumentationsaufwände, während Sie gleichzeitig redundante Daten minimieren. So behalten Sie beim Thema Leistungsbewertung den Überblick über Ihre erforderlichen Nachweise und Dokumente und werden so den Regularien gerecht.

BAYOOSOFT Themis

FAQ: Häufige Fragen zu KI-Medizinprodukten unter MDR, IVDR und AI Act

Nein. Der AI Act gilt nur für KI-basierte Medizinprodukte, die als Hochrisiko-KI-Systeme eingestuft werden. Dies ist der Fall, wenn das Produkt unter MDR oder IVDR fällt und eine Konformitätsbewertung durch eine Benannte Stelle erfordert (typischerweise Risikoklassen IIa-III nach MDR bzw. B-D nach IVDR). Medizinprodukte der Klasse I ohne Benannte-Stellen-Beteiligung unterliegen in der Regel nicht den Hochrisiko-Anforderungen des AI Act.

Nein. Die Klassifizierung als Hochrisiko-KI-System nach AI Act verändert nicht die Risikoklasse nach MDR oder IVDR. Die Regelwerke bauen aufeinander auf: Die MDR/IVDR-Klassifizierung bestimmt, ob zusätzlich AI-Act-Anforderungen greifen. Ein Medizinprodukt der Klasse IIa bleibt Klasse IIa – unterliegt aber ab August 2027 zusätzlich den AI-Act-Vorgaben für Hochrisiko-KI.

Nein, dies ist nicht erforderlich und auch nicht empfohlen. Das MDCG 2025-6 Guidance-Dokument rät Herstellern ausdrücklich, eine integrierte technische Dokumentation zu erstellen, die sowohl MDR/IVDR- als auch AI-Act-Anforderungen abdeckt. Dies vermeidet Redundanzen und erleichtert die Konformitätsbewertung durch Benannte Stellen.

Die zentralen AI-Act-Anforderungen für Hochrisiko-KI-Medizinprodukte umfassen: hohe Datenqualität (repräsentativ, relevant, fehlerfrei), Bias-Mitigation und Data Governance, Transparenz und Erklärbarkeit für Anwender, automatisiertes Logging zur Nachvollziehbarkeit, Human Oversight (menschliche Aufsicht und Eingriffsmöglichkeit), Robustheit und Cybersecurity sowie erweiterte Post-Market-Monitoring-Pflichten.

Für neue KI-Medizinprodukte gelten die AI-Act-Anforderungen ab August 2026. Produkte, die bereits vor dem 2. August 2026 in Verkehr gebracht wurden, haben eine Übergangsfrist bis August 2027. Wichtig: Dies bezieht sich auf einzelne Produkte, nicht auf Produktklassen. Jedes neu in Verkehr gebrachte Exemplar muss ab August 2026 AI-Act-konform sein.

Kontinuierlich lernende Systeme stellen eine besondere Herausforderung dar. Hersteller sollten einen Predetermined Change Control Plan (PCCP) entwickeln, der definiert, welche Änderungen am Modell vorherbestimmt und akzeptabel sind, ohne jedes Mal eine vollständige Neuzulassung zu erfordern. Das IMDRF arbeitet aktuell an entsprechenden Leitlinien. Entscheidend ist, klare Kriterien festzulegen, wann eine Änderung als „significant change“ gilt.

Für Klasse-I-Medizinprodukte ohne Benannte-Stellen-Beteiligung greifen in der Regel nicht die Hochrisiko-Anforderungen des AI Act. Hersteller müssen jedoch prüfen, ob ihr System unter Annex III des AI Act fällt (z.B. Emotionserkennung). Zudem bleiben alle MDR-Grundanforderungen bestehen. Es gibt derzeit noch offene Fragen zur genauen Auslegung für Klasse-I-Produkte, die durch zukünftige Leitlinien geklärt werden sollen.

Trainingsdaten müssen repräsentativ für die Zielpopulation sein, relevante klinische Variabilität abdecken (z.B. unterschiedliche Altersgruppen, Geschlechter, Ethnizitäten), dokumentiert und nachvollziehbar sein (Herkunft, Qualität, Verarbeitung), Bias-Analysen unterzogen werden und kontinuierlich auf Qualität geprüft werden. Data Governance sollte als integraler Bestandteil des QMS etabliert werden, nicht als nachträglicher Prozess.

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.

Klingt spannend? Teilen Sie diesen Beitrag doch mit Ihrem Netzwerk.

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor.