AI Act Compliance für KI-Medizinprodukte sicherstellen

Das echte Ausmaß des Problems

Die Situation von Dr. Hartmann ist in der deutschen Medizintechnikbranche kein Einzelfall. Laut einer Auswertung des Johner Instituts (2025) zählen alle KI-basierten Medizinprodukte der Klasse IIa und höher — also alle Geräte, bei denen ein Notified Body beteiligt ist und die KI eine sicherheitsrelevante Funktion erfüllt — automatisch als Hochrisiko-KI-Systeme im Sinne des EU AI Act. Das betrifft diagnostische Algorithmen, klinische Entscheidungsunterstützung, dosierungsbasierte Empfehlungssysteme und Bildanalysesoftware gleichermaßen.

Was das konkret bedeutet: Wer bisher MDR-konform war, ist noch nicht AI-Act-konform. Die beiden Frameworks verlangen ähnliche Dinge — aber nicht dasselbe.

Die Zahlen, die zählen:

• Über 500 CE-gekennzeichnete KI-Medizinprodukte sind in der EU bereits auf dem Markt; Tendenz stark steigend
• Hersteller mit Hochrisiko-KI im Sinne des AI Act müssen bis 2. August 2028 (nach der Digital-Omnibus-Einigung vom 7. Mai 2026) vollständig konform sein — das betrifft KI, die in CE-zertifizierte Medizinprodukte eingebettet ist
• Standalone-Hochrisiko-KI nach Annex III des AI Act muss bereits ab 2. Dezember 2027 konform sein
• Die Einrichtungskosten für vollständige AI-Act-Provider-Compliance liegen laut Branchenanalysen bei 400.000–600.000 Euro einmalig; laufend kommen 80.000–150.000 Euro jährlich hinzu — für ein mittelständisches Unternehmen eine erhebliche Belastung
• Notified Bodies haben bereits begonnen, AI-Act-Anforderungen in ihre MDR-Audits einzubeziehen, bevor die gesetzliche Frist gilt — das heißt: wer wartet, wird bereits jetzt bei Audits konfrontiert

Das Besondere an diesem Use Case: Es geht nicht darum, ob die Compliance kommt. Sie kommt. Die Frage ist, ob dein Unternehmen beim nächsten Notified-Body-Audit Rede und Antwort stehen kann — oder nicht.

Mit vs. ohne KI — ein ehrlicher Vergleich

Die Zeitangaben basieren auf Erfahrungswerten aus MedTech-Projekten und Selbstberichten von Regulatory-Affairs-Teams, keine kontrollierte Studie.

Einschätzung auf einen Blick

Zeitersparnis — sehr niedrig (1/5) Das ist kein Widerspruch: Innerhalb der AI-Act-Dokumentationsarbeit spart der KI-Assistent durchaus 40–50 Prozent der manuellen Formulierungs- und Recherchezeit. Aber der Aufwand entsteht erst durch die neue Regulierung — er existierte vorher nicht. Unter den medizintechnischen Anwendungsfällen ist dieser Use Case der einzige, der primär Compliance-Overhead verwaltet statt operative Arbeit zu beschleunigen. Die PMCF-Studienunterstützung spart klinische Arbeit. Dieser Use Case schafft Dokumentation für Regulatoren.

Kosteneinsparung — niedrig (2/5) Die erzielte Einsparung ist real: Externe Regulatory-Affairs-Beratung für AI-Act-Readiness kostet im Markt 150–300 Euro pro Stunde; wer Teile dieser Arbeit mit KI-Unterstützung intern erledigt, spart messbar. Aber: Die Gesamtkosten für AI-Act-Compliance sinken nicht — sie werden nur effizienter aufgeteilt. Unter den Medizintechnik-Use-Cases ist das Einsparpotenzial hier am schwächsten, weil der Hauptkostentreiber die Notified-Body-Gebühren und interne Personalzeit sind — beides nicht primär durch KI-Assistenz adressierbar.

Schnelle Umsetzung — niedrig (2/5) 10–16 Wochen bis zur belastbaren ersten Gap-Analyse ist realistisch, wenn das Team neu startet. Das liegt daran, dass man nicht einfach ein Tool einschaltet: Das Technische Dossier muss vorliegen und aufbereitet sein, der AI-Act-Scope muss intern klar sein, und die Ergebnisse müssen von Regulatory-Affairs-Fachleuten validiert werden. Schneller wird es nicht — wer das verspricht, unterschätzt entweder den regulatorischen Kontext oder die Qualitätsanforderungen an die Dokumentation.

ROI-Sicherheit — hoch (4/5) Das ist der stärkste Hebel dieses Use Case: Ohne Compliance kein CE-Zertifikat für KI-Medizinprodukte ab 2028. Das ist kein theoretisches Risiko, sondern ein Ausschluss aus dem EU-Markt. Anders als bei Use Cases, deren ROI von Nutzungsraten oder internen Verhaltensänderungen abhängt, ist der Nutzen hier unmittelbar: Compliance ermöglicht Marktzugang, Nicht-Compliance verhindert ihn. Der Punkt Abzug gegenüber einer 5 kommt von der politischen Unsicherheit — das Omnibus-Deal vom Mai 2026 hat Fristen verschoben, und Deadlines, die schon einmal verlegt wurden, könnten es erneut werden.

Skalierbarkeit — mittel (3/5) Die aufgebaute Kompetenz und das Prompt-Framework für eine Produktlinie lassen sich auf weitere KI-Produkte übertragen — das spart beim zweiten und dritten Produkt echten Aufwand. Was nicht skaliert: Jede Produktlinie hat eigene Risiken, eigene Trainingsdaten und eigene Überwachungsanforderungen. Vollautomatisierte Compliance ohne Regulatory-Expertise ist eine Illusion.

Richtwerte — stark abhängig von Produktklasse, Anzahl der KI-Systeme und vorhandenem MDR-Dokumentationsstand.

Was der Compliance-Assistent konkret macht

Der Kern des Ansatzes ist einfacher als er klingt: Du lädst deine bestehende MDR-Technische-Dokumentation — oder Teile davon — in einen KI-Assistenten und lässt ihn gegen die Anforderungen des AI Act Annex IV prüfen.

Schritt 1: Dokumentenanalyse Das System liest dein Technisches Dossier, extrahiert die relevanten Abschnitte zu Risikoanalyse, Softwarebeschreibung, Validierungsdaten und klinischen Evidenzen — und ordnet sie den Kapiteln des AI Act Annex IV zu.

Schritt 2: Gap-Report Für jeden der 13 Hauptabschnitte des Annex IV zeigt das System: Was ist bereits durch MDR-Dokumentation abgedeckt? Was muss ergänzt werden? Was ist konzeptionell unterschiedlich, obwohl MDR und AI Act ähnliche Begriffe verwenden? Das Ergebnis ist ein strukturierter Gap-Report, den du mit deinem Notified Body diskutieren kannst.

Schritt 3: Dokumentationsentwürfe Für die identifizierten Lücken generiert der Assistent Erstfassungen: Beschreibungen des Datengovernance-Systems, Formulierungen für die Transparenz-Anforderungen nach Art. 13 AI Act, Entwürfe für den Bias-Monitoring-Plan. Diese Entwürfe sind Ausgangspunkte, keine fertigen Dokumente — regulatory-fachliche Prüfung bleibt zwingend erforderlich.

Was KI hier nicht leistet:

• Die inhaltliche Richtigkeit der regulatorischen Einschätzungen — das bleibt Aufgabe qualifizierter Regulatory-Affairs-Fachleute
• Die Notified-Body-Kommunikation — das sind Verhandlungsgespräche, keine Dokumentenübungen
• Die technische Umsetzung von Anforderungen (z. B. Audit-Logging, Bias-Testing) — das ist Software-Engineering-Arbeit

Dual-Compliance: Wo sich MDR und AI Act überschneiden — und wo nicht

Das ist die Frage, die fast jedes Regulatory-Affairs-Team beschäftigt: Was kann ich aus meiner MDR-Dokumentation direkt übernehmen — und wo muss ich von Null beginnen?

Die offizielle Antwort kommt aus dem gemeinsamen Leitfaden des Medical Device Coordination Group und des Joint Artificial Intelligence Board (MDCG 2025-6/AIB 2025-1, Juni 2025): Integration ist erwünscht, aber nicht vollständig möglich.

Wo die Dokumentation übertragbar ist:

Wo AI Act eigene, neue Anforderungen stellt:

1. Datengovernance (Art. 10): MDR fordert Evidenz zur Leistung. AI Act fordert darüber hinaus Dokumentation aller Trainings-, Validierungs- und Testdatensätze: Herkunft, Vorverarbeitung, bekannte Einschränkungen, Bias-Prüfungen. Das ist eine neue Dokumentationskategorie.

2. Transparenz für Deployers (Art. 13): Krankenhäuser und Gesundheitseinrichtungen, die dein KI-System einsetzen, sind im AI-Act-Jargon “Deployers” — keine “User” im MDR-Sinne. Sie erhalten eigene Pflichten (Art. 26), was bedeutet: Deine Gebrauchsanweisung muss ihnen ermöglichen, diese Pflichten zu erfüllen. Das ist konzeptionell neu gegenüber MDR-Instructions for Use.

3. Human Oversight (Art. 14): MDR kennt die Anforderung an eine sichere Verwendung. AI Act formalisiert darüber hinaus, dass das System “so konzipiert und entwickelt ist, dass es von natürlichen Personen effektiv überwacht werden kann”. Das verlangt Nachweis der Überwachbarkeit in der technischen Dokumentation.

4. Fundamentalrechte-Risikoabschätzung: MDR betrachtet Patientensicherheit. AI Act bezieht explizit Grundrechte ein — Diskriminierungsrisiken, Privatheit, Würde. Für diagnostische KI-Systeme, die auf demographischen Merkmalen trainiert sind, entsteht hier eine neue Abwägungs- und Dokumentationspflicht.

5. EU-AI-Datenbank-Registrierung (Art. 71): Hochrisiko-KI muss in einer EU-weiten Datenbank registriert werden — analog zur UDI-Datenbank bei Medizinprodukten, aber getrennt davon. Diese Registrierung ist neu, kein MDR-Analogon.

Praktische Konsequenz: Plane für die AI-Act-Dokumentation mindestens 30–40 Prozent als genuinen Mehraufwand ein, der nicht aus der MDR-Dokumentation ableitbar ist — selbst wenn dein Technisches Dossier vollständig und aktuell ist.

Konkrete Werkzeuge — was wann passt

Der Markt für AI-Governance-Tools entwickelt sich schnell, ist aber für MedTech-spezifische Anforderungen noch nicht reif. Die folgenden Werkzeuge lassen sich mit unterschiedlichem Aufwand einsetzen:

Credo AI — wenn ihr mehrere KI-Systeme verwaltet Spezialisierte AI-Governance-Plattform mit vorgefertigten EU-AI-Act-Templates, automatischer Gap-Analyse und Audit-Trail. Sinnvoll ab zwei bis drei Hochrisiko-KI-Systemen im Portfolio. Einschränkung: US-Hosting, kein deutsches Interface. Preis: typisch ab 10.000–30.000 USD/Jahr.

Claude oder ChatGPT — für dokumentengestützte Gap-Analysen Ohne spezifisches AI-Governance-Tool lassen sich GPT-4 oder Claude 3.5 Sonnet als Annex-IV-Analysten einsetzen: Technisches Dossier einspeisen, Gap-Report abfragen, Dokumentationsentwürfe generieren. Voraussetzung: kein personenbezogenes Datenmaterial in den Dokumenten, oder DSGVO-konformer Zugang (Claude über AWS Bedrock Frankfurt, ChatGPT über Azure OpenAI Service Deutschland). Kosten: 20–30 Euro/Monat für Pro-Pläne, API-Kosten variabel.

Perplexity — für regulatorische Recherche Für laufende Beobachtung regulatorischer Entwicklungen — MDCG-Leitfäden, Omnibus-Anpassungen, Notified-Body-Anforderungen — ist Perplexity mit seinen quellengestützten Antworten das schnellste Recherchetool. Kein Ersatz für Rechtsberatung, aber deutlich effizienter als manuelles Durchsuchen von eur-lex.europa.eu.

Greenlight Guru — für QMS-Integration Wenn euer eQMS bereits auf Greenlight Guru läuft, lässt sich die AI-Act-Compliance-Dokumentation hier einbetten: Design Controls für das KI-System, Risikoregister nach ISO 14971 erweitert um AI-Act-Risiken, CAPA-Prozesse für Post-Market-Monitoring. Einschränkung: englischsprachig, US-Hosting. Preis: ab ca. 25.000 USD/Jahr.

Veeva Vault — nur für größere Life-Sciences-Organisationen Für MedTech-Konzerne mit Pharma-Muttergesellschaft oder mehreren klinischen Parallelstudien ist Vault die belastbarste Plattform. Für KMU unter 200 Mitarbeitenden selten wirtschaftlich — Mindestkosten typisch ab 100.000 Euro/Jahr plus Implementierung.

Zusammenfassung: Wann was?

• Einzelnes KI-System, gutes MDR-Dossier, knappes Budget → Claude oder ChatGPT über DSGVO-konformen Zugang
• 2–5 KI-Systeme, strukturierte Governance gewünscht → Credo AI evaluieren
• QMS bereits in Greenlight Guru → dort AI-Act-Erweiterungen einbauen
• Konzernumfeld mit Pharma-Nähe → Veeva Vault prüfen

Datenschutz und Datenhaltung

Die Compliance-Dokumentation für KI-Medizinprodukte ist hoch sensibel: Sie enthält Informationen über Trainingsdatensätze, Patientenpopulationen, Gerätearchitektur und proprietäre Algorithmen. Wer diese Inhalte in KI-Tools einspeist, muss das DSGVO-konform tun.

Klare Regel: Keine klinischen Rohdaten, keine personenbezogenen Patienteninformationen in öffentlich zugängliche KI-Dienste laden. Auch strukturelle Informationen über eure KI-Architektur können Geschäftsgeheimnisse darstellen — prüfe vor jedem Upload, was geteilt werden darf.

Für die wichtigsten Tools gilt:

• Claude über AWS Bedrock (Frankfurt): EU-Datenverarbeitung, AVV verfügbar, keine Nutzung für Modelltraining. Geeignet für sensible technische Dokumentation.
• ChatGPT über Azure OpenAI Service (Deutschland): EU-Hosting, DSGVO-konform, AVV via Microsoft. Geeignet für technische Dokumentationsentwürfe.
• Credo AI: US-Hosting, keine EU-Region. AVV verfügbar, aber physische Datenverarbeitung in den USA — mit Datenschutzbeauftragtem abstimmen. Für sehr sensible IP möglicherweise nicht geeignet.
• Greenlight Guru / Veeva Vault: Siehe Tool-Seiten für Hosting-Details. Beide bieten AVV nach Art. 28 DSGVO.

Die AI-Act-Compliance-Dokumentation selbst enthält keine Patientendaten — wohl aber Informationen über eure KI-Modelle, die als Geschäftsgeheimnisse schützenswert sein können. Vor dem Upload in jedes externe System: IP-Risikoabwägung durchführen.

Was es kostet — realistisch gerechnet

Einmalige Compliance-Investitionen (Erstaufbau)

AI-Act-Compliance für ein einziges Hochrisiko-KI-System als Medizinprodukt ist kein Nebenprojekt. Eine strukturierte Analyse (ovidiusuciu.com, 2026) schätzt:

Diese Zahlen gelten für die vollständige Provider-Compliance — wenn dein Unternehmen das KI-System selbst entwickelt und in Verkehr bringt. Wer ein zertifiziertes Drittanbieter-Modell einsetzt und als “Deployer” agiert, hat deutlich niedrigere Verpflichtungen (und Kosten).

Was KI-Unterstützung realistisch einspart Die Gap-Analyse und erste Dokumentationsentwürfe, die ohne KI-Assistent 4–8 Wochen externe Beratung kosten würden (bei 150–200 Euro/Stunde: 25.000–50.000 Euro), lassen sich mit KI-Unterstützung intern in 3–5 Wochen erledigen. Das sind realistische 20.000–40.000 Euro Ersparnis pro Produktlinie — wenn das interne Team regulatory-fachlich kompetent ist.

Laufende Kosten für KI-Tools

• Claude Pro: 20 €/Monat, Claude via AWS Bedrock: nach Verbrauch (~5–30 €/Monat typisch)
• Credo AI: 10.000–30.000 USD/Jahr
• Greenlight Guru: ca. 25.000–35.000 USD/Jahr (bereits vorhanden bei MDR-nutzenden Teams)

Wie du den Nutzen misst Das fairste Maß ist nicht die theoretische Zeitersparnis, sondern die Anzahl der Lücken, die du vor dem Notified-Body-Audit selbst identifizierst und schließt — statt sie im Audit zu erhalten. Eine einzige nicht abgedeckte Anforderung im Pre-Assessment kann eine Nachprüfung auslösen, die 3–6 Monate Verzögerung bedeutet.

Typische Einstiegsfehler

1. Das MDR-Dossier gilt als automatisch AI-Act-konform. Der häufigste Fehler: “Wir haben alles in Ordnung für MDR, das reicht doch für den AI Act.” Tut es nicht. Datengovernance für Trainingsdaten, Bias-Nachweis, Deployer-Transparenz, Fundamentalrechte-Risikoabschätzung und EU-AI-Datenbank-Registrierung sind genuiner Mehraufwand. Wer das erst beim Pre-Assessment erfährt, hat ein Zeitproblem.

2. AI-Act-Scope unklar gelassen. Nicht jede Software in einem Medizinprodukt ist Hochrisiko-KI im Sinne des AI Act. Klassische Regelwerke (ohne statistisches Lernen) fallen häufig nicht darunter. “Machine Learning” ohne Notified-Body-Einbindung auch nicht automatisch. Wer den Scope vor der Compliance-Arbeit nicht klar definiert, arbeitet entweder für zu viele oder zu wenige Produkte — beides ist ein Problem.

3. Compliance-Verantwortung ungeklärt. AI-Act-Compliance sitzt an der Schnittstelle von Regulatory Affairs (kennt die Regulierung), Software-Engineering (kennt das Modell), und Quality Management (kennt das QMS). In vielen KMU fühlt sich keine dieser Gruppen vollständig zuständig. Das Ergebnis: Niemand treibt voran. Die Lösung ist kein Organigramm-Problem, sondern eine konkrete Benennung: Wer ist AI-Act-Compliance-Owner mit Zeitkontingent?

4. Den Zeitplan unterschätzen. Weil die Deadline bei “irgendwann 2028” liegt, wird die Vorbereitung auf “nächstes Jahr” verschoben. Das ist gefährlich: Notified Bodies fragen bereits heute nach AI-Act-Dokumentation. Wer mit einem Audit in 2026 oder 2027 rechnen muss, braucht heute die Grundlagen. Und: Die Erstellung einer belastbaren AI-Act-Technischen-Dokumentation dauert typisch 6–12 Monate — gerechnet von der ersten strukturierten Gap-Analyse bis zur Audit-Readiness.

5. KI-generierten Dokumenten ohne Validierung vertrauen. KI-Assistenten produzieren regulatorische Texte, die kompetent klingen — und die dennoch falsch sein können. Annex-IV-Dokumentation, die von einem KI-Assistenten als “vollständig” bewertet wird, ist keine Garantie. Regulatory-Affairs-Fachleute mit AI-Act-Kenntnis müssen jeden generierten Text prüfen. Ohne diese Validierung besteht das Risiko, im Audit mit einem Dokument konfrontiert zu werden, das formal korrekt aussieht, aber inhaltlich lückenhaft ist.

Was mit der Einführung wirklich passiert — und was nicht

AI-Act-Compliance ist kein IT-Projekt. Es ist ein Organisationsprojekt mit regulatorischer Grundlage.

Was erfahrungsgemäß gut läuft: Das RA-Team wird durch KI-Unterstützung deutlich entlastet — statt Wochen in der manuellen Dokumentenrecherche zu verbringen, kann man Tage in die inhaltliche Abwägung investieren. Die Gap-Analyse ist messbar schneller und strukturierter. Erstfassungen, die früher blank aus dem Kopf formuliert wurden, können jetzt aus einem Ausgangsentwurf heraus verbessert werden.

Was häufig unterschätzt wird:

Die Schnittstellenarbeit zwischen Abteilungen. AI-Act-Compliance erfordert Informationen, die kein einzelnes Team vollständig hat: Das RA-Team kennt die Regulierung, aber nicht die Architektur des KI-Modells. Das Engineering-Team kennt das Modell, aber nicht die regulatorischen Konsequenzen. Das QMS-Team kennt die Prozesse, aber nicht die AI-spezifischen Risiken. Diese Schnittstellen regelmäßig zu strukturieren — durch Prüftermine, Abstimmungsrunden, gemeinsame Dokumente — kostet Zeit, die im Compliance-Zeitplan zu oft nicht eingeplant ist.

Die Unschärfe der Regulierung. Der AI Act ist in Kraft, aber viele Implementierungsdetails sind noch in Klärung. MDCG 2025-6 ist ein wichtiger Leitfaden — aber kein abschließendes Handbuch. Harmonisierte Normen (die den AI Act technisch konkretisieren) sind für die meisten Bereiche noch in Entwicklung. Das bedeutet: KI-Assistenten, die aus dem Gesetzestext ableiten, arbeiten auf einer noch unscharfen Basis. Erfahrene Regulatory-Berater für die inhaltlichen Grenzfragen bleiben unverzichtbar.

Der Notified-Body-Faktor. Notified Bodies entwickeln ihre Prüfanforderungen gerade erst. Was heute als ausreichend gilt, kann in 12 Monaten höhere Anforderungen auslösen. Wer die Compliance-Dokumentation als “einmal fertiggestellt” betrachtet, wird überrascht. AI-Act-Compliance ist ein lebendiges Dokument, das mit dem Produkt und der Regulatory-Landschaft aktualisiert werden muss.

Realistischer Zeitplan mit Risikohinweisen

Dieser Zeitplan gilt für ein einziges Hochrisiko-KI-System mit einem überwiegend vollständigen MDR-Technischen-Dossier. Jede Woche, die die Scope-Phase länger dauert, verschiebt sich der Rest entsprechend.

Häufige Einwände — und was dahintersteckt

“Die Deadline ist 2028, wir haben noch Zeit.” Das stimmt für die gesetzliche Pflicht. Es stimmt nicht für die Praxis: Notified Bodies prüfen bereits heute AI-Act-Anforderungen in MDR-Audits. Wer in 2026 oder 2027 ein Audit hat und AI-Act-Dokumentation nicht vorlegen kann, bekommt Findings — auch wenn die gesetzliche Frist noch läuft. Zudem: Der Aufbau einer belastbaren Dokumentation dauert 6–12 Monate. Wer im August 2028 compliant sein will, muss spätestens Anfang 2027 mit der strukturierten Arbeit begonnen haben.

“Unser KI-Lieferant ist für den AI Act zuständig.” Nur zum Teil richtig. Wenn du das KI-System als Medizinprodukt in Verkehr bringst — auch wenn du das KI-Modell von einem Drittanbieter bezogen hast — bist du im Sinne des AI Act der “Provider” mit den zugehörigen Pflichten. Ausnahme: Wenn du das Modell ohne eigene Modifikationen einsetzt und dein Lieferant bereits AI-Act-konform ist. Diese Prüfung lohnt sich frühzeitig, weil die Antwort den gesamten Aufwand bestimmt.

“Wir können die Compliance-Dokumentation auch ohne KI-Tools erstellen.” Ja, das stimmt — und viele Teams tun genau das. Die Frage ist nicht, ob es ohne geht, sondern wie lange es dauert und was es kostet. Für ein einzelnes KI-System mit einer erfahrenen RA-Person und einem überschaubaren MDR-Dossier ist der KI-Assistent ein Effizienzgewinn, kein Muss. Ab zwei Produktlinien oder einem unvollständigen Ausgangsdossier kippt das Verhältnis.

Woran du merkst, dass das zu dir passt

• Du hast mindestens ein KI-basiertes Medizinprodukt der Klasse IIa oder höher, das aktuell CE-zertifiziert ist oder auf CE-Zertifizierung zusteuert — und bei dem KI eine sicherheitsrelevante Funktion hat (Diagnoseunterstützung, Dosierungsempfehlung, Bilderkennung)
• Dein Notified Body hat AI-Act-Dokumentation im letzten Audit angesprochen, oder du weißt, dass das beim nächsten Audit der Fall sein wird
• Dein RA-Team ist mit MDR vertraut, hat aber noch keine strukturierte AI-Act-Gap-Analyse durchgeführt
• Du hast externe Regulatory-Berater für AI-Act-Fragen einbezogen und willst wissen, ob Teile dieser Arbeit intern mit KI-Unterstützung effizienter wären

Wann es (noch) nicht passt — drei harte Ausschlusskriterien:

1. Dein MDR-Technisches-Dossier ist nicht auf aktuellem Stand. AI-Act-Compliance auf ein lückenhaftes MDR-Fundament zu bauen erzeugt doppelte Nacharbeit. Bringe zuerst die MDR-Dokumentation in Ordnung — insbesondere die klinische Bewertung, den Risikoanalysebericht und die Software-Dokumentation nach IEC 62304. AI-Act-Compliance ist eine Erweiterung eines belastbaren MDR-Fundaments, kein Ersatz dafür.

2. Dein Produkt hat keine Notified-Body-Beteiligung (weil es ein Klasse-I-Produkt ist oder das KI-System keine sicherheitsrelevante Funktion erfüllt). In diesem Fall fällst du möglicherweise nicht unter Art. 6(1) des AI Act, sondern allenfalls unter Art. 6(2) (Annex-III-Hochrisiko-KI). Das ist ein fundamental anderer Scope — prüfe ihn juristisch, bevor du mit der Compliance-Arbeit beginnst.

3. Du bist reiner Deployer, nicht Provider. Wenn du ein fertig entwickeltes, zertifiziertes KI-Modell eines Drittanbieters einsetzt, ohne es zu modifizieren, und dein Lieferant bereits AI-Act-konform ist, fallen deine Verpflichtungen deutlich geringer aus. Die Überprüfung dieser Abgrenzung mit dem Lieferanten und ggf. einem Regulatory-Berater ist der erste Schritt — sie kann den gesamten Compliance-Umfang bestimmen.

Das kannst du heute noch tun

Starte mit einer strukturierten Selbsteinschätzung: Welche deiner KI-Systeme fallen unter Art. 6(1) des AI Act (Notified-Body-Beteiligung + KI als Sicherheitskomponente)? Für genau diese Systeme erstellt der folgende Prompt einen ersten Gap-Report, wenn du die entsprechenden Abschnitte aus deinem MDR-Technischen-Dossier einfügst.

Nutze dafür Claude über AWS Bedrock (Frankfurt) oder ChatGPT über Azure OpenAI Service für DSGVO-konformes Vorgehen. Lade keine vollständigen Technischen Dossiers in öffentliche Consumer-Versionen der Tools.

Quellen & Methodik

• EU AI Act (Verordnung 2024/1689): Primärquelle — insbesondere Art. 6, 9–17, Annex III und Annex IV. In Kraft seit 1. August 2024. Vollständiger Text unter artificialintelligenceact.eu.
• MDCG 2025-6 / AIB 2025-1: Gemeinsamer Leitfaden des Medical Device Coordination Group und des Joint Artificial Intelligence Board zur Wechselwirkung zwischen MDR/IVDR und AI Act (Juni 2025). Offizielle EU-Quelle: health.ec.europa.eu.
• Johner Institut: „AI Act — EU KI-Verordnung” (johner-institut.de, 2025). Praxisnahe Analyse des Impacts auf Medizinproduktehersteller, Deadline-Übersicht und Fehlerquellen. Führendes deutschsprachiges Expertenzentrum für Medizintechnik-Software-Regulierung.
• Digital Omnibus (AI Act): Politische Einigung des EU-Parlaments und Rats vom 7. Mai 2026 zur Verlängerung der Fristen — KI in regulierten Produkten (inkl. Medizinprodukte nach Annex I) nun bis 2. August 2028. Quellen: European Council Press Release (consilium.europa.eu, 7. Mai 2026), White & Case (whitecase.com, Mai 2026), Dastra Blog (dastra.eu, Mai 2026).
• Compliance-Kostenschätzung: Ovidiu Suciu, „EU AI Act Compliance Costs for SMEs 2026 and Beyond” (ovidiusuciu.com, 2026). Modellierte Schätzung auf Basis akademischer Kostenanalysen und Branchendaten — keine offiziellen Regulierungsgebühren.
• Tool-Informationen: Credo AI (credo.ai, Mai 2026), Greenlight Guru (greenlight.guru, April 2026), Veeva Vault (veeva.com, Mai 2026). Preisangaben sind Marktschätzungen, da Anbieter keine öffentlichen Preislisten führen.

Du willst wissen, welche eurer KI-Systeme konkret betroffen sind und wo der dringendste Handlungsbedarf liegt? Sprich uns an — wir klären das gemeinsam in einem strukturierten Erstgespräch.