TL;DR
- Fünf produktive AI-Use-Cases 2026 in MedTech und Pharma: Regulatorische Doku-Generation, klinische RAG-Wissensbasis, CAPA-Triage, Daten-Anonymisierung, Vigilance-Anomalie-Detection.
- Hochrisiko ist Default, nicht Ausnahme: Jedes klinisch-relevante AI-System fällt nach EU AI Act Article 6 plus Annex III in die Hochrisiko-Klasse — MDCG 2025-06 spezifiziert die Konformitätsbewertung.
- ISO/IEC 42001 plus ISO 13485 als Twin-Standard: das AI-Management-System (42001) ergänzt das bestehende QMS (13485) — beides ist für MedTech-Audits Pflicht.
MedTech und Pharma sind 2026 die regulierungs-intensivste AI-Branche im DACH-Raum. MDR/IVDR, IEC 62304 und EU AI Act überlagern sich zu drei Compliance-Regimen. Wer hier AI baut, baut zuerst das Compliance-Skelett — alles andere ist PoC-Theater. AI ohne ISO 42001, EU-Hosting und Konformitätsbewertung ist zudem schwer versicherbar.
Fünf AI-Use-Cases 2026
Fünf Use-Cases sind produktiv-reif. Reihenfolge nach Time-to-Value und Compliance-Tiefe.
Regulatorische Dokumentations-Generation. Technische Doku Anhang II MDR, IEC-62304-Lebenszyklus und EU AI Act Article 11 fressen klassisch 8–15 Senior-Regulatory-Wochen pro Release. RAG über Engineering-Artefakte, Test-Berichte und Vorgänger-Doku liefert den Erstentwurf in 2–4 Tagen — 40–60 % Zeit-Take-Out bei höherer Konsistenz.
Klinische Wissensbasis als RAG. Studien, Audit-Reports, FDA/EMA-Korrespondenz und SOPs sind über SharePoint, Outlook und PLM verstreut. RAG liefert dem Regulatory Affairs Manager den relevanten Auszug in unter 20 Sekunden — 4–8 Stunden/Woche Recherche-Ersparnis pro RA-Manager.
QMS-Integration plus CAPA-Triage. CAPA-Bearbeitung dauert klassisch 6–14 Tage pro Abweichung und macht Quality-Teams zum Release-Bottleneck. AI klassifiziert nach ISO 13485 §8.5, schlägt Vorgehen vor und linkt Vorgänger-CAPAs — 50–70 % schnellere Bearbeitung.
Klinische Daten-Anonymisierung. Forschungs-Kooperationen scheitern oft an DSGVO plus ICH GCP. Vision plus Text-Pipeline anonymisiert DICOM-Metadaten, klinische Berichte und Pseudonymisierungs-Tabellen — DSGVO-Art-32-konforme Pseudonymisierung plus k-Anonymität >5 als Default. Forschungs-Kollaboration wird wieder finanzierbar.
Vigilance-Anomalie-Detection. Spontan-Meldungen (Adverse Events, Reklamationen, Field-Safety-Reports) sammeln sich in Excel und SAP. Anomalie-Detection identifiziert Häufungen, die manuell erst nach Wochen sichtbar werden — MDR-Article-83-Postmarket-Surveillance wird operationalisierbar statt reaktiv.
Regulatorische Anforderungs-Matrix
Die Matrix ordnet die fünf Use-Cases nach MDR/IVDR-Artikel, EU-AI-Act-Klasse und Provider-Pflicht. Ohne sie ist die Konformitätsbewertung nicht startbar.
| Use-Case | MDR/IVDR | EU AI Act | Provider-Pflicht |
|---|---|---|---|
| Doku-Generation | Anhang II + IEC 62304 | Article 11 (Doku-Pflicht) | EU-Hosted Default |
| Klinische RAG | Article 10 (Vigilance) | Article 6 + Annex III (Hochrisiko) | EU-Hosted Pflicht |
| CAPA-Triage | Article 83 + ISO 13485 §8 | Article 9 (Risk-Management) | EU-Hosted Default |
| Daten-Anonymisierung | Article 110 (Daten) | Article 10 (Daten-Governance) | On-Prem Pflicht |
| Vigilance-Anomalie | Article 83 (PMS) | Article 6 + Annex III (Hochrisiko) | EU-Hosted Pflicht |
Hochrisiko ist Default für drei der fünf Use-Cases. Nur Doku-Generation und CAPA-Triage liegen potenziell unterhalb der Schwelle — aber nur, wenn sie keine klinische Entscheidung beeinflussen. Wer in Hochrisiko fällt, braucht Konformitätsbewertung nach EU AI Act Article 43.
Provider-Realität für MedTech
US-Direct-Routing zu OpenAI, Anthropic oder Google ist disqualifiziert, auch mit SCC und DPA. MDCG 2025-06 und Article 10 verlangen Daten-Lokalisierung in der EU.
- EU-Hosting als Mindeststandard: Anthropic via AWS Bedrock Frankfurt, Azure OpenAI Frankfurt/Schweden und Google Vertex Frankfurt. DPA, Sub-Processor-Mapping und Daten-Lokalisierungs-Vereinbarung sind Pflicht vor Pilot-Start — Region-Pin allein reicht nicht.
- On-Prem mit Aleph Alpha als Crown-Jewel-Pfad: klinische Patientendaten und Vigilance-Streams sind in Aleph Alpha (Heidelberg) oder IONOS AI (Karlsruhe) am sichersten gehoben. BSI C5 plus deutsche Rechtsprechung machen souveräne Infrastruktur zum Compliance-Anker.
Pilot: MedTech-Hersteller, 280 MA, Regulatorische Doku plus CAPA über 12 Monate
Ein süddeutscher MedTech-Hersteller (280 MA, davon 18 in Regulatory Affairs und Quality) begann Q2 2025, Doku-Generation plus CAPA-Triage zu industrialisieren. Setup: RAG über 4.200 Vorgänger-Dokumente, Anthropic via Bedrock Frankfurt, On-Prem Aleph Alpha für CAPA-Klassifikation.
| Phase | Findings | Time-Take-Out |
|---|---|---|
| Q2 2025 | Eval-Set 180 Module, Inter-Rater 0,88, ISO-42001-Baseline | — |
| Q3 2025 | Doku-Pipeline Shadow-Mode, 14 Wochen Engineering-Champion | −42 % Doku-Zeit |
| Q4 2025 | CAPA-Triage Canary 5 → 25 %, Aleph Alpha On-Prem | −54 % CAPA |
| Q1 2026 | Full-Roll-Out, Konformitätsbewertung Article 43 abgeschlossen | −51 % Doku, −63 % CAPA stabil |
Resultat: Regulatorische Doku-Zeit von 11,4 auf 5,6 Wochen pro Release, CAPA-Bearbeitung von 9,8 auf 3,6 Tagen. ISO-42001-Audit Q1 2026 ohne Major-Finding bestanden; amortisiert sich im ersten Jahr.
Anti-Patterns
Bekannt, vermeidbar, teuer im Audit.
- US-Cloud für klinische Daten: OpenAI-, Anthropic- oder Google-API direkt für Patientendaten oder FDA/EMA-Korrespondenz ist disqualifiziert, auch mit SCC. Default: EU-Hosted via Bedrock/Azure/Vertex Frankfurt für Standard, Aleph Alpha/IONOS für Crown-Jewel.
- AI ohne ISO/IEC 42001-Setup: Auditoren erwarten 42001 als Twin zu 13485 — fehlt es, kippt das Audit. Default: 42001-Gap-Analyse in Phase 0, quartalsweise Management-Review, jährliches Internal-Audit.
- Hochrisiko ohne Konformitätsbewertung: Hochrisiko-Systeme nach Article 6 plus Annex III brauchen Konformitätsbewertung nach Article 43 — intern oder über Notified Body. Wer ohne produktiv geht, riskiert Marktverbot. Default: Konformitätsbewertung in Phase 1, vor Canary-Rollout.
Default-Roadmap 2026
ISO-42001-Setup plus EU-Hosting sind Phase 0 — alle Use-Cases laufen auf diesem Compliance-Fundament.
- Q1 2026 — ISO-42001-Setup, EU-Hosting, Doku-Generation: Compliance-Skelett zuerst, Doku als schnellster Use-Case.
- Q2 2026 — CAPA-Triage: Quality-Team-Entlastung, ISO 13485 §8.5 als Trigger, Aleph Alpha für sensitive CAPAs.
- Q3 2026 — Klinische RAG-Wissensbasis: RA-Manager als Power-User, Hochrisiko-Konformitätsbewertung in Phase 0.
- Q4 2026 — Vigilance-Anomalie-Detection: Post-Market-Surveillance nach MDR Article 83.
Praxis-Schritt: Ein MedTech-AI-Audit klassifiziert Ihre Use-Case-Reife nach EU AI Act Article 6, mappt EU-Hosting-Optionen gegen Crown-Jewel-Workloads und liefert die ISO-42001-Roadmap als Compliance-Plan. Erstgespräch anfragen → /anfrage
Stand Mai 2026. Branchen-AI-Beratung für MedTech und Pharma ist Azena-Default — Compliance-Tiefe vor Code, On-Prem-Pflicht bei klinischen Daten, EU-Hosting in Phase 0. BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026, Konformitätsbewertung in Kooperation mit Notified-Body-Partnern.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.