TL;DR
- Wer 2026 KI-Software als Medizinprodukt in den EU-Markt bringt, erfüllt MDR (2017/745) und EU AI Act (2024/1689) gleichzeitig. In der Praxis ist die MDR die härtere Hürde — Anhang II unterschätzen selbst erfahrene Embedded-Teams.
- Regel 11 macht aus fast jeder Diagnose-Software mindestens ein Klasse-IIa-Produkt. Ab IIa ist ein Notified Body Pflicht, Wartezeiten 2026: 9–14 Monate.
- ISO 14971 allein reicht für KI nicht. Notified Bodies erwarten zusätzlich AAMI CR34971:2023 sowie Subgruppen-Performance, Distribution Shift und Adversarial Robustness als eigene Risikoquellen.
- Konventioneller Doku-Aufwand für Klasse-IIa-SaMD: 70–100 Tage. KI-gestützt rund 60 % automatisierbar — was bleibt, sind etwa 30 Tage Senior-Regulatory-Review.
Klassifizierung — Regel 11 ist der Hebel
Für SaMD greift Regel 11 MDR: Software, die Informationen zur Entscheidung über Diagnose oder Therapie liefert, ist mindestens Klasse IIa. Bei wahrscheinlicher schwerer Verschlechterung Klasse IIb, bei wahrscheinlichem Tod Klasse III. Der oft gehörte Workaround „wir sind nur Decision-Support, der Arzt entscheidet final" trägt seit dem EuGH-Urteil (Rs. C-329/16, Snitem) nicht mehr.
Ab Klasse IIa ist die Konformitätsbewertung durch einen Notified Body Pflicht. In DACH dominieren TÜV Süd, BSI Group, DEKRA und TÜV Rheinland; Wartezeiten zwischen Antrag und Audit-Termin liegen 2026 bei 9–14 Monaten. Anhang II ist das Herzstück der Einreichung — Lücken kosten Monate.
Struktur Anhang II — Pflichtinhalte für SaMD mit KI
| Abschnitt | Inhalt | KI-Spezifikum |
|---|---|---|
| 1. Geräte-Beschreibung | Zweckbestimmung, Klassifizierung | Trainingsdaten-Herkunft, Modellarchitektur, intended use vs. foreseeable misuse |
| 2. Hersteller-Informationen | UDI, Etikett, Gebrauchsanweisung | Output-Erklärbarkeit (Confidence-Score, Explanation-Layer) |
| 3. Auslegung und Herstellung | DHF, IEC 62304 Lifecycle | Trainings-Pipeline, MLOps-Nachweise |
| 4. Sicherheits- und Leistungsanforderungen | Anhang I MDR | Bias-Analyse, Performance pro Subgruppe |
| 5. Nutzen-Risiko + Risikomanagement | ISO 14971:2019 + ISO/TR 24971 | Distribution Shift, Adversarial Inputs, Halluzinationen |
| 6. Verifizierung und Validierung | Test-Protokolle, klinische Bewertung | TRIPOD+AI, externe Datensätze, Drift-Monitoring |
Risikomanagement — ISO 14971 reicht für KI nicht
Notified Bodies erwarten seit 2024 zusätzlich AAMI CR34971:2023, in Vorbereitung ISO/IEC 23894. Vier Punkte adressieren rein KI-spezifische Risiken:
- Verteilungsverschiebung als eigene Risikoquelle dokumentieren.
- Subgruppen-Performance statistisch absichern — eine mittlere Sensitivität von 92 % kann für eine Subgruppe 71 % bedeuten.
- Mensch-Maschine-Interaktion bewerten: Automation Bias, Alert Fatigue.
- Adversarial Robustness zumindest dokumentiert prüfen.
Klinische Bewertung — wo die meisten Projekte scheitern
Anhang XIV MDR verlangt eine klinische Bewertung. Für KI-Diagnose-Software bedeutet das meist eine eigene klinische Performance-Studie, oft prospektiv und multi-zentrisch gegen Gold-Standard. Notified Bodies erwarten 2026 Einreichungen entlang TRIPOD+AI (2024) und DECIDE-AI. Reine Retrospektiv-Validierung auf einem einzigen Datensatz wird zunehmend abgewiesen.
Continuous Learning ist bei IIa/IIb realitätsfern
Jede signifikante Modell-Änderung ist eine wesentliche Änderung nach Art. 120 MDR und löst eine erneute Konformitätsbewertung aus. Die FDA hat mit dem PCCP (Predetermined Change Control Plan) einen pragmatischen Weg etabliert — ein EU-Analogon wird erst für 2027/2028 erwartet. Praktisch: Locked-Model plus strukturiertes Drift-Monitoring plus jährliche Versionsupgrades.
EU-AI-Act-Schnittstelle
Art. 6 AI Act macht SaMD ab Klasse IIa zum High-Risk-System. Art. 8(2) erlaubt integrierte Dokumentation: Die MDR-Anhang-II-Doku darf AI-Act-Pflichten miterfüllen, wenn zusätzliche Punkte — Datenqualität, Logging, menschliche Aufsicht, Cybersecurity — explizit adressiert werden.
Doku-Aufwand mit und ohne KI
Konventioneller Aufwand für Klasse-IIa-SaMD:
- Geräte-Beschreibung + Klassifizierungs-Rationale: 5–8 Tage
- Risikomanagement-Akte: 15–20 Tage
- Klinische Bewertung + Performance-Studien-Protokoll: 20–30 Tage
- Software-Lifecycle-Dokumente: 15–20 Tage
- Usability-Engineering IEC 62366-1: 8–12 Tage
- AI-Act-Mapping + PMS-Plan: 7–10 Tage
Summe: 70–100 Tage. KI-gestützt sind davon realistisch rund 60 % automatisierbar — durch RAG über Engineering-Artefakte. Was bleibt, sind etwa 30 Tage Senior-Regulatory-Affairs-Review.
Azena begleitet MedTech-Mittelständler beim Aufbau KI-gestützter Doku-Pipelines, die Engineering-Artefakte automatisiert in Anhang-II-Strukturen überführen.
Stand Mai 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.