KI und MedTech – drei rechtliche Aspekte, die Probleme bereiten

Mit welchen rechtlichen Fragen sollten sich Anbieter von KI-Systemen zur Diagnose von Lungenerkrankungen auseinandersetzen? Welche Verpflichtungen ergeben sich aus der DSGVO, welche aus dem KI-Gesetz, d.h. der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024? Wie verändert das KI-Gesetz die Zertifizierungsanforderungen für Medizinprodukte gemäß der MDR (Managed Detection and Response) und IVDR (In-Vitro Diagnostik Regulation)? Diese Fragen werden im vorliegenden Artikel behandelt.

Datenschutz und KI im Bereich Medizin

Nach dem Grundsatz der Datenminimierung sollte die Erhebung und Verarbeitung von personenbezogenen Daten auf das notwendige Minimum beschränkt werden. Idealerweise sollten die Daten für das Training von KI-Modellen soweit möglich, anonymisiert oder pseudonymisiert werden.

Wenn die Verwendung großer Datensätze mit personenbezogenen Gesundheitsdaten für das Training des KI-Modells erforderlich ist es notwendig, einen angemessenen Schutz der verarbeiteten Daten gemäß der DSGVO zu gewährleisten, Die folgenden Pflichten müssen beachtet werden:

– Vorliegen einer angemessenen Rechtsgrundlage

– Aktualisierung der Aufzeichnungen über die Verarbeitungstätigkeit

– Durchführung einer Datenschutz-Folgenabschätzung (Data Protection Impact Assessment – DPIA)

– Erf[llung von Informationspflichten gegenüber Personen, die Daten betreffen.

Die Erfüllung dieser Pflichten kann insbesondere in Bereich der Einholung der Zustimmung vieler Personen zur Verarbeitung von Gesundheitsdaten oder der Durchführung einer detaillierten Datenschutz-Folgenabschätzung eine Heruasforderung darstellen. Daher lohnt es sich, bereits in der Planungsphase medizintechnischer KI ein Datenschutzkonzept zu entwerfen, das mit dem Grundsatz des „eingebauten Datenschutzes“ (Privacy by Design) im Einklang steht.

Im Zusammenhang mit der Datenverarbeitung und Datenverwaltung verlangt das KI-Gesetz, dass KI-Systeme mit hohem Risiko unter Verwendung hochwertiger Datensätze für Training, Validierung und Tests entwickelt werden. Diese Datensätze sollten angemessen verwaltet werden, wobei Faktoren wie Datenerfassungsprozesse, Aufbereitung, potenzielle Verzerrungen und Datenlücken zu berücksichtigen sind. Die Datensätze sollten so angemessen, repräsentativ, fehlerfrei und vollständig wie möglich sein. Der spezifische Kontext, in dem das KI-System eingesetzt werden soll, sollte ebenfalls berücksichtigt werden. In einigen Fällen können Anbieter besondere Kategorien personenbezogener Daten verarbeiten, um Verzerrungen zu erkennen und zu korrigieren, müssen dabei aber strenge Bedingungen zum Schutz der Rechte und Freiheiten des Einzelnen einhalten.

Aus Perspektive der Systemnutzer sollten Anbieter von KI-Systemen sollten Anbieter versuchen einen Mehrwert in Form der Wahrung der Compliance-Interessen der Nutzer zu bieten. Der Anbieter kann zum Beispiel eine Muster-Datenschutzfolgenabschätzung erstellen, die seine Kunden an die eigenen Bedürfnisse anpassen können.

Einhaltung der Anforderungen des KI-Gesetzes für Hochrisikosysteme im Bereich MedTech

KI-Systeme in der MedTech-Branche können Hochrisikosysteme im Sinne des KI-Gesetzes darstellen.

Erstens sind KI-Systeme mit hohem Risiko solche, die Medizinprodukte (gemäß MDR) oder In-vitro-Diagnostika (gemäß IVDR) sind und die der Konformitätsbewertung durch eine Benannte Stelle unterliegen.

Zweitens können bestimmte Anwendungsfälle als in Anhang III des KI-Gesetzes aufgeführte Systeme eingestuft werden. In Anhang III aufgeführte KI-Systeme gelten als risikoreich, es sei denn, sie stellen keine signifikanten Risiken für die Gesundheit, die Sicherheit und die Rechte von Personen dar. Anbieter, die der Meinung sind, dass ihr KI-System kein hohes Risiko birgt, müssen ihre Einschätzung dokumentieren, bevor sie es verkaufen oder in Betrieb nehmen.

Beispiele:

  • Systeme zur Bewertung und Priorisierung von Notrufen
  • Systeme zur Patiententriage in Notfällen
  • Systeme zur Feststellung der Anspruchsberechtigung auf Gesundheitsleistungen

Die Anbieter von KI-Systemen mit hohem Risiko haben eine Reihe von Verpflichtungen, insbesondere:

  • Sie müssen ein Qualitätsmanagementsystem einführen, das dem KI-Gesetz entspricht (Art. 17).
  • Sie müssen die technische Dokumentation aufrechterhalten und 10 Jahre lang aufbewahren (Art. 18).
  • Gewährleistung der Transparenz des KI-Systems, einschließlich der Erklärbarkeit der Entscheidungen für die Endnutzer (Art. 13).
  • Das KI-System mit hohem Risiko muss so konzipiert sein, dass eine menschliche Kontrolle durch die Nutzer möglich ist (Art. 14).
  • Erfüllung der Anforderungen an die Cybersicherheit, Genauigkeit und Robustheit des Systems (Art. 15).
  • Registrierung des KI-Systems im EU-Register für Hochrisikosysteme (Art. 49).

Zertifizierung nach dem KI-Gesetz und der MDR/IVDR

Das KI-Gesetz schreibt vor, dass der Anbieter eines KI-Systems mit hohem Risiko, das gleichzeitig ein Medizinprodukt ist, das entsprechende Konformitätsbewertungsverfahren gemäß der MDR oder IVDR durchführt. Dieses Verfahren sollte auch die Überprüfung der Anforderungen an KI-Systeme umfassen, die sich aus dem KI-Gesetz ergeben. In der Praxis kann dies schwierig sein, da die benannten Stellen befugt sein müssen, die Konformität sowohl nach der MDR/IVDR als auch nach dem KI-Gesetz zu bewerten.

Viele der Anforderungen des KI-Gesetzes werden bereits durch die Konformitätsbewertungsverfahren nach der MDR und der IVDR abgedeckt, die von benannten Stellen durchgeführt werden. Die Methodik der MDR und des KI-Gesetzes in Bezug auf die Pflichten, die der Hersteller von Medizinprodukten oder der Anbieter von Hochrisiko-KI-Systemen erfüllen muss, ist ähnlich – beide Vorschriften konzentrieren sich auf ähnliche Phasen des Produktlebenszyklus und regeln diese Pflichten auf ähnliche Weise.

Die Vorschriften der MDR und des KI-Gesetzes überschneiden sich insbesondere in den folgenden Schlüsselbereichen:

  • Anforderungen an die Qualität der Daten, die zum Trainieren, Validieren und Testen des KI-Systems verwendet werden
  • Methodik der Leistungsbewertung / klinischen Bewertung des KI-Systems
  • Qualitätsmanagementsystem
  • technische Dokumentation
  • Sicherheit und Transparenz des Betriebs, Kontrolle des Nutzers über die Funktionsweise des KI-Systems, das ein Medizinprodukt ist
  • Cybersecurity und Datensicherheit
  • Änderungsmanagement.

Zusammenfassung

Das KI-Gesetz fügt in Ergänzung der DSGVO, der MDR und der IVDR eine weitere Anforderungsebene für Medizinprodukte, die KI einschließlich Software verwenden, hinzu. Um die Einhaltung der rechtlichen Pflichten zu gewährleisten, ist eine umfassende rechtliche Analyse bereits in der Phase der Entwicklung von KI-basierten Lösungen in der Medizintechnik und eine laufende Überwachung in späteren Phasen erforderlich.

Verwandte Artikel

Welche Konsequenzen drohen, wenn kein Datenschutzbeauftragter benannt wird? – Nearshoring

Datenschutzbeauftragte unter der Lupe der polnischen Datenschutzbehörde – Nearshoring