EU AI Act für Life Sciences: Was Sie bis 2027 erledigt haben müssen

Der EU AI Act ist da - und Life Sciences steht im Fokus

Seit August 2024 ist der EU AI Act in Kraft. Für die meisten Unternehmen beginnen die konkreten Pflichten ab August 2026 (Hochrisiko-KI-Systeme). Life-Sciences-Unternehmen sind besonders betroffen, weil viele ihrer KI-Anwendungen in die Hochrisiko-Kategorie fallen - von der Diagnostik über die klinische Entscheidungsunterstützung bis zur automatisierten Qualitätskontrolle.

Welche KI-Systeme in Life Sciences als Hochrisiko gelten

Der AI Act definiert Hochrisiko-KI-Systeme in Annex III. Für Life Sciences relevant sind insbesondere: KI-Systeme, die als Medizinprodukt oder In-vitro-Diagnostikum eingestuft sind (MDR/IVDR). KI-gestützte Systeme in der klinischen Entscheidungsunterstützung. Automatisierte Systeme für die Bewertung von Zulassungsanträgen. Und - oft übersehen - KI-Systeme in der Personalauswahl und im HR-Bereich, die auch Pharmaunternehmen betreffen.

Die konkreten Pflichten für Anbieter von Hochrisiko-KI

Risikomanagement-System: Ein dokumentiertes System zur Identifikation, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems. Datenqualität: Nachweisbare Qualitätsstandards für Trainings-, Validierungs- und Testdaten. Technische Dokumentation: Detaillierte Beschreibung des KI-Systems, seiner Zweckbestimmung, Leistungskennzahlen und bekannten Einschränkungen. Protokollierung: Automatische Aufzeichnung von Ereignissen während des Betriebs (Logging). Transparenz: Klare Gebrauchsanweisung für den Betreiber mit Informationen zu Fähigkeiten und Grenzen des Systems. Menschliche Aufsicht: Maßnahmen, die eine wirksame menschliche Kontrolle ermöglichen.

Die Fristen im Überblick

Februar 2025: Verbot von KI-Systemen mit unannehmbarem Risiko (Social Scoring, Echtzeit-Biometrie in öffentlichen Räumen etc.). August 2025: Pflichten für General-Purpose AI (betrifft LLM-Anbieter). August 2026: Pflichten für Hochrisiko-KI-Systeme - das betrifft die meisten Life-Sciences-Anwendungen. August 2027: Vollständige Anwendbarkeit aller Bestimmungen.

Was Sie jetzt tun sollten: Die 5-Punkte-Checkliste

Erstens: Inventur Ihrer KI-Systeme. Erstellen Sie eine vollständige Liste aller KI-Anwendungen in Ihrem Unternehmen - auch die, die Sie nicht als "echte KI" betrachten. Machine-Learning-basierte Prognosemodelle, NLP-Systeme, automatisierte Entscheidungssysteme - alles gehört auf die Liste.

Zweitens: Risikoklassifizierung. Ordnen Sie jedes System einer Risikokategorie zu: minimal, begrenzt, hoch oder unannehmbares Risiko. Für Life Sciences wird der Großteil in "hoch" fallen.

Drittens: Gap-Analyse. Vergleichen Sie Ihre aktuelle Dokumentation und Ihre Prozesse mit den Anforderungen des AI Act. Wo haben Sie bereits eine gute Basis (z.B. durch GxP-Validierung), wo fehlt etwas?

Viertens: Verantwortlichkeiten klären. Der AI Act erfordert eine klare Zuordnung von Verantwortlichkeiten. Wer ist in Ihrem Unternehmen für KI-Compliance zuständig? In vielen Pharmaunternehmen wird das eine Schnittstelle zwischen Regulatory Affairs, IT und Qualitätsmanagement sein.

Fünftens: Roadmap erstellen. Priorisieren Sie die Maßnahmen nach Risiko und Fristdruck. Beginnen Sie mit den Hochrisiko-Systemen, die bereits im Einsatz sind.

Der Zusammenhang mit GxP

Die gute Nachricht für GxP-regulierte Unternehmen: Viele Anforderungen des AI Act überlappen sich mit bestehenden GxP-Pflichten. Ihr computergestütztes System-Validierungsprogramm (CSV) deckt bereits Teile der geforderten technischen Dokumentation ab. Ihr Risikomanagement nach ICH Q9 lässt sich auf KI-Risiken erweitern. Und Ihre Änderungskontrollprozesse sind eine solide Basis für das geforderte Lifecycle-Management.

Die schlechte Nachricht: GxP allein reicht nicht. Der AI Act stellt zusätzliche Anforderungen an Transparenz, Erklärbarkeit und menschliche Aufsicht, die in der klassischen GxP-Welt nicht vorgesehen sind.

Warum Abwarten keine Option ist

Die Bußgelder sind erheblich: Bis zu 35 Millionen EUR oder 7% des weltweiten Jahresumsatzes - je nachdem, was höher ist. Aber der eigentliche Grund, jetzt zu handeln, ist ein anderer: Unternehmen, die ihre KI-Systeme frühzeitig compliant machen, bauen Vertrauen bei Kunden, Patienten und Regulierungsbehörden auf. Das ist ein Wettbewerbsvorteil, der sich nicht nachholen lässt.