Dieses Projekt hat bereits eine Reihe komplementärer Rechtsakte hervorgebracht, die jeweils umfangreiche Compliance-Anforderungen an Unternehmen stellen.
Für digitale Medizinprodukte stehen dabei vor allem der Artificial Intelligence Act (KI-VO) und der Data Act (EU-Datengesetz) im Fokus. Diese Verordnungen werden nicht nur einen gänzlich neuen Rechtsrahmen für KI- bzw. datengetriebene Medizinprodukte schaffen. Bei Verletzungen drohen zudem – ähnlich wie nach der DSGVO – Millionenstrafen und mögliche Zivilklagen. Branchenunternehmen sollten daher rechtzeitig Implementierungsprojekte starten, wobei der nachfolgende Überblick eine erste Orientierung bieten soll.
Die KI-VO soll einen einheitlichen Rechtsrahmen für die Entwicklung, Vermarktung und Verwendung von Systemen künstlicher Intelligenz schaffen. Der derzeit verhandelte Regelungsentwurf legt dabei eine sehr weite und technologieneutrale Begriffsdefinition für KI-Systeme zugrunde, die ein breites Spektrum von – teils auch trivialen – Softwareanwendungen erfasst. Der Großteil der regulatorischen Anforderungen der KI-VO bleibt aber auf den Bereich sogenannter Hochrisiko-KI-Systeme beschränkt.
Gerade KI-basierte Medizinprodukte werden regelmäßig in diesen Hochrisikobereich fallen und somit dem Vollanwendungsbereich der KI-VO unterliegen. KI-Medizinprodukte sind gemäß Artikel 6 KI-VO nämlich dann hochriskant, wenn sie nach der EU-Verordnung für Medizinprodukte (MPV) ein Konformitätsbewertungsverfahren unter Beiziehung einer „Benannten Stelle“ durchlaufen müssen. Für (KI-)Software-basierte Medizinprodukte wird dieses Kriterium aufgrund der strengen Risikoklassifizierungen gemäß Anhang VIII MPV in der Regel erfüllt sein. Zu Recht wird daher kritisiert, dass KI-Medizinprodukte einer nahezu pauschalen Einstufung als Hochrisiko-KI unterliegen sollen, ohne dass dabei angemessen zwischen diversen Produkttypen unterschieden wird.
Für Hersteller von KI-Medizinprodukten hat diese Einordnung weitreichende Konsequenzen. Denn nach der KI-VO gelten für Hochrisiko-KI-Systeme umfangreiche Compliance-Pflichten, wie etwa die Einführung effektiver Risikomanagement- und Daten-Governance-Systeme oder die Erfüllung strenger Anforderungen in Bezug auf technische Dokumentationen, Protokollierungen, menschliche Aufsicht, Cybersicherheit und Nachmarktkontrollen. Dies wird für betroffene Unternehmen nicht nur eine enorme organisatorische und finanzielle Herausforderung darstellen, sondern auch beträchtliche Haftungsrisken nach sich ziehen.
Hinzu kommt, dass für einige Anforderungen gemäß KI-VO bereits (teilweise) Entsprechungen in der MPV vorhanden sind, wie etwa in Bezug auf Risikomanagement, technische Dokumentationen und Nachmarktkontrollen, sodass insofern eine Doppelung des regulatorischen Pflichtenkatalogs und der damit verbundenen Haftungsrisiken zu erwarten ist. Beispielsweise droht im Rahmen der doppelten Nachmarktkontrolle nach beiden Regelungssystemen als Ultima Ratio (jeweils) der Produktrückruf.
Eine sinnvolle Auflockerung dieser Doppelbelastung ist hingegen für die Konformitätsbewertung vorgesehen, die sich gemäß Art 43 Abs 3 KI-VO einheitlich nach dem Verfahren der MPV richten soll. Dies setzt freilich „Benannte Stellen“ mit ausreichenden KI-Kompetenzen voraus.
Ebenso weitreichende Konsequenzen für datengetriebene Medizinprodukte sind durch das EU-Datengesetz zu erwarten. Diese Verordnung soll zur breiteren Ausschöpfung des enormen wirtschaftlichen Potenzials von nutzergenerierten Daten beitragen und die Entwicklung einer europäischen Data Economy fördern, indem Regeln für den Zugang und Austausch von Daten vernetzter (IoT-)Produkte geschaffen werden. Der Unionsgesetzgeber hat dabei ausdrücklich auch Medizinprodukte vor Augen.
Demnach müssen vernetzte Medizinprodukte künftig so gestaltet werden, dass die dadurch generierten Daten für Nutzer möglichst unkompliziert zugänglich sind („data accessibility by design“). Sofern ein direkter Datenzugriff nicht möglich ist, sind die Daten dem Nutzer auf Verlangen unverzüglich, kostenlos und „gegebenenfalls kontinuierlich und in Echtzeit“ zur Verfügung zu stellen, was die Implementierung passender Schnittstellen unter Wahrung angemessener Sicherheitsstandards erfordern wird. Ergänzend sind umfangreiche Informationspflichten sowie komplexe Anforderungen an die Interoperabilität und Erleichterung von Anbieterwechseln vorgesehen.
Eine allfällige Eigennutzung der generierten Daten muss sich der Hersteller künftig vertraglich vorbehalten, wobei weitreichende Beschränkungen hinsichtlich der zulässigen Vertragsgestaltung angedacht sind. Insbesondere müssen entsprechende Nutzungsregelungen fair, angemessen und diskriminierungsfrei sein und dürfen diese keine missbräuchlichen Bestimmungen enthalten, wie zum Beispiel bestimmte Haftungsausschlüsse oder Nutzungsvorbehalte gegenüber Klein- und Mittelbetrieben. Im Ergebnis werden Medizinprodukte-Hersteller nach dem EU-Datengesetz daher nicht nur vor neue konzeptionelle und technische Herausforderungen gestellt, sondern wird regelmäßig auch eine grundlegende Überarbeitung der einschlägigen Vertragsgrundlagen erforderlich sein. Sämtliche Anforderungen sind dabei freilich unter Wahrung der Verarbeitungsgrundsätze der DSGVO umzusetzen.
Die Entwürfe der KI-VO und des EU-Datengesetzes befinden sich jeweils in den finalen Phasen des Gesetzgebungsprozesses. Trotz Übergangsfristen von 20 bzw. 24 Monaten sollten Medizinprodukte-Hersteller in Anbetracht der Fülle an regulatorischen Anforderungen bereits frühzeitig mit ihren Implementierungsprojekten beginnen, um den neuen Compliance-Risiken angemessen begegnen zu können.