Kolumne Robotik, Recht, Risiko
Doctor A.I.: Künstliche Intelligenz und Medizinprodukte
Auch in der Medizin hält künstliche Intelligenz, kurz KI, Einzug. Ein Beispiel: Während früher die Herzinfarktdiagnose mittels wiederholt durchgeführtem EKG erfolgte, kommt heute vermehrt spezielle Software zum Zuge, welche die ärztliche Diagnose unterstützt. Die eingesetzte Software-KI kann in Windeseile Profile von RNA-Molekülen auswerten und miteinander verknüpfen, sodass der Herzinfarkt „sichtbar“ wird und diagnostiziert werden kann.
KI-Software ist darauf ausgelegt, gesammelte Daten zu strukturieren oder unstrukturierte Daten zu interpretieren und aus diesen Daten abgeleitetes Wissen zu schlussfolgern. Und zwar innerhalb von Sekunden oder Minuten – so schnell, wie eine Ärztin oder ein Arzt ohne technische Hilfe wohl niemals eine entsprechende Diagnose stellen könnte. Da gerade im medizinischen Umfeld oftmals jede Sekunde zählt, erfreut sich KI zunehmender Beliebtheit auch in der Medizintechnik und ist in einigen medizintechnischen Bereichen bereits fest etabliert.
Den Rechtsrahmen für den Einsatz von KI-Produkten soll künftig der Artificial Intelligence Act (AIA) bilden. Der risikobasierte Ansatz dieser Verordnung zielt darauf ab, in Gestalt eines präventiven Verbotsgesetzes, ein Rechtsgerüst für „vertrauenswürdige“ KI zu schaffen.
Regulatorische Probleme aufgrund von Doppelregulierung
Für Medizinprodukte gibt es seit Mai 2021 eine europaweit harmonisierte Regulierung: Die EU-Medizinprodukte-Verordnung (MDR).
Die MDR regelt unter anderem, dass Produkte mit einer medizinischen Zweckbestimmung, die der Hersteller festlegt, als Medizinprodukte zu qualifizieren sind und bestimmten Anforderungen unterliegen, bevor sie in Verkehr gebracht werden dürfen. Auch KI-basierte Software kann ein Medizinprodukt sein, wenn sie beispielsweise der „Diagnose, Verhütung, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten“ dient. Daraus folgt, dass eine solche KI-basierte Software zunächst ein Konformitätsbewertungsverfahren durchlaufen muss und mit einer CE-Kennzeichnung versehen sein muss, bevor sie an andere abgegeben werden darf. Im Zuge des Konformitätsbewertungsverfahrens muss auch nachgewiesen werden, dass für das jeweilige Produkt „Wiederholbarkeit, Zuverlässigkeit und Leistung entsprechend ihrer bestimmungsgemäßen Verwendung gewährleistet sind“. Klassisch programmierte Software bereitet insofern keine besonderen Schwierigkeiten, da sie nach festen Regeln kontinuierlich und gleich funktioniert.
KI soll sich jedoch gerade weiterentwickeln. Selbstlernende Systeme passen sich während ihres Einsatzes ständig neuen Erkenntnissen an. Insofern ändert sich während des Lebenszyklus einer medizinischen KI-Software zwangsläufig auch seine Funktionsweise, was Einfluss auf die Konformität haben kann. Je nach aktueller Form des Systems, kann dadurch eine unterschiedliche Risikobeurteilung geboten sein. Das Phänomen stellt Hersteller vor das Problem, wie die Anforderungen an die Verkehrsfähigkeit bei medizinischer KI-Software eingehalten werden können. Ganz anders sieht das der AIA-Entwurf: Danach soll ein weitertrainiertes System nicht erneut zulassungsbedürftig sein. Es ist noch völlig unklar, wie dieses Spannungsfeld aufzulösen sein wird.
Einstufung fast aller Medizinprodukte als Hochrisiko-KI-Systeme
KI-Medizinprodukte, wie medizinische KI-Software, werden zudem unter dem AIA-Entwurf größtenteils als Hochrisiko-KI-Systeme eingestuft. Aufgrund dieser Klassifizierung gelten gesteigerte Anforderungen an die Zulässigkeit dieser Systeme. Unter anderem sind Anbieter dazu verpflichtet, bestimmte Risikomanagementsysteme zu installieren sowie zusätzlichen Anforderungen an die Transparenz der verwendeten Daten und Aufsichtspflichten zu genügen.
Zusätzlich zu den oben bereits dargestellten Anforderungen der MDR, werden die Anbieter von KI basierten Medizinprodukten damit vor hohe regulatorische Hürden gestellt, die sich als Innovationshemmer darstellen können.
Wann ist das Maß sinnvoller Regulierung erreicht?
Der Bundesverband Medizintechnologie (BVMed) äußert sich – zu Recht – kritisch zur Klassifizierung unter dem AIA-Entwurf: „die Einordnung erfolge zu pauschal und sollte sich stärker am Kontext des konkreten Einsatzes orientieren“.
Eine feingliedrigere Kategorisierung – je nach konkreter Anwendung des KI-Medizinproduktes – erscheint sinnvoller, um die regulatorischen Anforderungen an das Risikopotential anzupassen. Daraus würde folgen, dass die Anforderungen an einen selbstständig operierenden Cobot höher sind als an Software zur Unterstützung bei der Diagnose eines Herzinfarktes, weil das abstrakte Risikopotential unterschiedlich ist. Diese Unterscheidung nach dem Risikopotential ist dem Medizinprodukterecht auch nicht fremd, da im Rahmen der MDR eine Unterscheidung nach Risikoklassen für die Wahl des richtigen Konformitätsbewertungsverfahrens ebenfalls vorgenommen wird. Solche Kategorisierungen sind wichtig, um zu pauschale, regulatorische Hürden abzubauen.
Doppelte behördliche Marktüberwachung
Der Vorwurf der Überregulierung verfestigt sich weiter auch im Hinblick möglicher behördlicher Nachmarktkontrollen im Rahmen der Marktüberwachung.
Bei unvertretbaren Gesundheits- oder Sicherheitsrisiken oder sonstiger Nichtkonformität eines Produktes haben die Marktüberwachungsbehörden umfangreiche Befugnisse, um diesen Zustand zu beenden. Sie können beispielsweise Hersteller meist unter sehr knapper Fristsetzung dazu auffordern, geeignete Korrekturmaßnahmen zu ergreifen, etwa die Produkte vom Markt zu nehmen oder zurückzurufen.
Zusätzlich zu den Regelungen der Marktüberwachung in der MDR, sieht der AIA-Entwurf eine behördliche Nachmarktkontrolle vor. Maßnahmen nach dem AIA-Entwurf können von den zuständigen Behörden bereits bei einem Risiko im Zusammenhang mit der Einhaltung „der Pflichten aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte“ eingeleitet werden. Darunter könnten z.B. auch Verstöße gegen die Vorschriften der Datenschutz-Grundverordnung fallen.
Insofern ist die Schwelle zum Ergreifen etwaiger Maßnahmen unter dem AIA-Entwurf deutlich herabgesetzt. Der AIA-Entwurf hebelt damit das differenzierte und speziell auf die Schutzbedürftigkeit der Patienten zugeschnittene System der Korrekturmaßnahmen nach der MDR gleichsam aus und steht im Widerspruch zum Gebot des freien Verkehrs.
Fazit
Es bleibt zu hoffen, dass der Unionsgesetzgeber mit Blick auf KI-basierte Medizinprodukte noch nacharbeitet, um die Europäische Union weiterhin als Standort für Innovation in der Medizintechnik zu erhalten. Wünschenswert wäre eine klare Abgrenzung zwischen den unterschiedlichen Regularien und die Etablierung von eindeutigen Pflichtenkatalogen für Wirtschafstakteure, die den Entwicklungsprozess von KI berücksichtigen. Eine Überregulierung sollte vermieden werden, um keine übermäßigen regulatorischen Hürden aufzustellen. Gleichzeitig ist es wichtig, dass KI-Produkte differenzierten Regulierungsvorschriften unterliegen und vor allem auch der Datenschutz gewährleistet bleibt. Die Balance zwischen diesen Interessen herzustellen, wird noch ein gesetzgeberischer Drahtseilakt.