KI-Tools helfen heute beim Erkennen von Tumoren, beim Auswerten von EKGs und beim Steuern digitaler Therapien. Die FDA Regulierung von KI Medizinprodukten legt fest, wann Software ein Medizinprodukt ist, welche Belege nötig sind und wie Updates sicher bleiben. So schützt sie Patienten, Ärzte und Kliniken im Alltag. Künstliche Intelligenz ist in der Versorgung angekommen: In Kliniken markieren Algorithmen verdächtige Befunde auf CT-Bildern oder entdecken Rhythmusstörungen. Zu Hause unterstützen Wearables und Therapie-Apps Menschen mit Herzrhythmusstörungen und Diabetes. Über 1.250 KI-fähige Geräte sind in den USA (Stand Juli 2025) zum Markt zugelassen. Diese Geräte müssen zeigen, dass sie sicher und wirksam sind. Genau hier setzt die Aufsicht der U.S. Food and Drug Administration (FDA) an.

Was bedeutet FDA Regulierung von KI Medizinprodukten?

Die FDA überwacht in den USA medizinische Geräte – dazu gehört Software mit medizinischem Zweck. Entscheidend ist die beabsichtigte Nutzung (intended use). Unter Section 201(h) des Federal Food, Drug, and Cosmetic Act gilt Software als Medizinprodukt, wenn sie Diagnose, Behandlung, Heilung, Linderung oder Vorbeugung von Krankheiten unterstützt. Reine Verwaltungstools wie Terminplanung fallen in der Regel nicht darunter. Wird jedoch aus einem Transkriptionsprogramm ein Modul, das Therapie- oder Diagnosevorschläge erzeugt, kann es regulierungspflichtig werden.

SaMD und SiMD: Zwei Software-Kategorien

– Software as a Medical Device (SaMD): eigenständige Software mit medizinischem Zweck, etwa KI zur Bildverbesserung oder zur Erkennung von Mustern im EKG. – Software in a Medical Device (SiMD): Software ist Teil eines physischen Geräts, z. B. Handheld-Ultraschall mit eingebauter KI oder Apps, die Daten aus Glukosesensoren analysieren. Die meisten heute eingesetzten Lösungen nutzen prädiktive Modelle. Generative KI wird erprobt, etwa zum Erstellen synthetischer Röntgen- oder Hautbilder oder zum Zusammenführen von Bild- und Textdaten. Sie ist im klinischen Alltag aber noch experimentell.

Risikobasierter Rahmen und Graubereiche

Die FDA verlangt eine „angemessene Gewährleistung von Sicherheit und Wirksamkeit“. Höheres Risiko bedeutet strengere Prüfungen. Bei sehr geringem Risiko übt die Behörde in Einzelfällen „enforcement discretion“ aus: Dann ist keine förmliche Vorabprüfung nötig, etwa bei Wellness-Funktionen wie Gewichtstagebüchern oder Erinnerungen.

Clinical Decision Support (CDS)

Der 21st Century Cures Act (2016) grenzte die Zuständigkeit der FDA bei bestimmter Gesundheitssoftware ein. CDS-Software fällt nicht unter die Geräte-Definition, wenn sie klinische Entscheidungen unterstützt, aber nicht ersetzt, und wenn Kliniker die Basis der Empfehlung nachvollziehen können. Die FDA-Guidance von 2022 präzisiert: Zeitkritische Anwendungen oder komplexe, intransparente Algorithmen, die mehrere Datentypen kombinieren, sind eher regulierungspflichtig. Kritiker warnen, zu enge Auslegung könne Innovation bremsen.

Kapazität und neue Werkzeuge

Die Bewertung moderner KI-Geräte ist anspruchsvoll. Laut HHS war der Personalstand der FDA im September 2025 um circa 15 % niedriger als 2023. Die Behörde prüft den Einsatz von KI für Überwachungsaufgaben. 2025 startete die FDA intern die generative KI „Elsa“ (Chatbot auf Basis von Claude) zur Unterstützung beim Lesen, Schreiben und Zusammenfassen. Potenzial: schnellere Reviews. Offene Fragen: Einfluss auf Entscheidungen und rechtliche Anfechtbarkeit.

Lebenszyklus-Ansatz und GMLP

Die Aufsicht folgt dem Total Product Life Cycle (TPLC): von Design und Entwicklung über den Einsatz bis zur Überwachung nach der Zulassung. Für KI ist das zentral, weil Modelle sich verändern können. Ergänzend dienen Good Machine Learning Practice (GMLP) als Leitplanken. USA, Kanada und Vereinigtes Königreich formulierten 10 Prinzipien: Datenqualität, Repräsentativität, solide Technik, Transparenz, Mensch–KI-Interaktion, laufende Wartung und Monitoring. Diese Prinzipien fließen in konkrete Instrumente wie Predetermined Change Control Plans (PCCP) ein. International arbeitet die FDA im International Medical Device Regulators Forum (IMDRF) an abgestimmten Regeln zu Änderungen, Validierung und Kennzeichnung.

Zulassungswege vor der Markteinführung

Medizinprodukte werden in drei Klassen eingeteilt: – Klasse I (geringes Risiko), z. B. einfache Instrumente. – Klasse II (mittleres Risiko), häufig mit 510(k)-Freigabe oder De Novo. – Klasse III (hohes Risiko), mit strengem Premarket Approval (PMA). Die wichtigsten Wege: – 510(k): Für Produkte, die einem bereits vermarkteten „predicate“ wesentlich entsprechen. Schnellster Weg, oft ohne klinische Studie. Viele KI-Tools wählen diesen Pfad. – De Novo: Für neuartige Produkte ohne Predicate, wenn das Risiko niedrig bis moderat ist. Dieser Weg definiert neue Gerätetypen und besondere Kontrollen. – PMA: Für Hochrisiko-Geräte mit umfangreicher Evidenz und intensiver Prüfung. Hersteller müssen „intended use“ und „indications for use“ klar beschreiben. Die FDA prüft technische Genauigkeit, Konsistenz über Patientengruppen hinweg und die praktische Nutzbarkeit.

Praxisbeispiel: Von der Idee zur 510(k)-Freigabe

– Konzept: Ein Startup entwickelt eine KI zur Erkennung von Lungenknoten auf CT. – Predicate: Es sucht ein ähnliches, bereits freigegebenes Produkt. – Einreichung: 510(k)-Dossier mit Leistungsdaten, Validierungen und Beschreibung von Unterschieden. – Review: Die FDA stellt Rückfragen, begrenzt nötigenfalls Marketingaussagen. – Freigabe: „Substantially equivalent“ führt zur Marktfreigabe. – Nachgelagerte Pflichten: Klare Kennzeichnung, ggf. PCCP für künftige Updates. – Postmarket: Monitoring auf Modell-Drift und Korrekturen. Eine Studie berichtet, dass rund 6 % der KI-Geräte Rückrufe erlebten, oft im ersten Jahr und häufig bei Produkten mit wenig klinischen Tests.

Änderungen sicher steuern: Predetermined Change Control Plans (PCCP)

KI-Modelle entwickeln sich weiter. Seit 2019 erlaubt die FDA PCCPs: Der Hersteller reicht mit dem Erstantrag einen Plan ein. Änderungen im genehmigten Rahmen brauchen dann keine neue Vorabprüfung, solange beabsichtigte Nutzung und Sicherheit/Wirksamkeit gewahrt bleiben. Nach finaler Guidance 2025 müssen PCCPs drei Kernteile enthalten: – Beschreibung der Änderungen: Art, Umfang, betroffene Komponenten, Häufigkeit. – Änderungsprotokoll: Datenpraxis, Retraining, Tests, Nutzerkommunikation, Verifizierung/Validierung je Änderung. – Auswirkungsanalyse: Nutzen, Risiken, Abmilderung, Umgang mit Problemen. Transparenz gehört dazu: Versionierung, Änderungsdokumentation und klare Hinweise an Nutzer.

Klare Kennzeichnung und starke Cybersecurity

Nach der Marktautorisierung verlangt die FDA verständliche Labels. Für KI-Funktionen erwartet die Behörde u. a.: – Hinweis, dass KI eingesetzt wird, und einfache Erklärung ihrer Rolle. – Eingaben/Ausgaben, Datenerhebung, Schnittstellen. – Leistungskennzahlen, bekannte Risiken und mögliche Bias-Quellen. – Bei PCCP: wie Monitoring und Updates erfolgen. – Für Patienten- oder Angehörigen-Apps: Anleitungen in zugänglicher Sprache. Cybersecurity ist Pflicht. Laut Guidance 2025 sollen Produkte „secure by design“ sein: Threat Modeling, Risikobewertungen, Update-Mechanismen. Eine Software Bill of Materials (SBOM) offenlegt alle Softwarekomponenten, damit Schwachstellen schneller auffallen. Auch die Labeling-Hinweise zur sicheren Wartung sind gefordert.

Überwachung nach der Zulassung: Was passiert im Feld?

Basispflichten ergeben sich aus der Quality System Regulation (QSR). 2026 stellt die FDA auf die Quality Management System Regulation (QMSR) um und gleicht damit an ISO 13485:2016 an. Für De Novo und PMA sind fortlaufende Datenerhebungen häufiger, 510(k)-Produkte treffen diese Vorgaben seltener. Für höheres Risiko kann die FDA nach Section 522 zusätzliche Postmarket-Studien anordnen, z. B. bei Implantaten, pädiatrischem Einsatz oder lebensunterstützenden Geräten außerhalb der Klinik. Die FDA greift ein, wenn Performance sinkt oder Marketingansprüche nicht gedeckt sind – bis hin zu Warnschreiben oder Rückrufen, etwa bei Sicherheits- oder Cyberrisiken. Das Rückgrat der Meldungen ist das Medical Device Reporting (MDR). Ereignisse landen in der MAUDE-Datenbank. Grenzen sind bekannt: Untererfassung, uneinheitliche Datenqualität, KI-spezifische Risiken schwer erfassbar. MedWatch ergänzt, wird aber wenig genutzt. Berichten zufolge will die FDA Meldungen zu Impfstoffen, Arzneien und Geräten in eine automatisierte Plattform überführen, die KI für Echtzeit-Erkennung nutzt. Details stehen noch aus. Fazit: Die heutige Überwachung deckt viel ab, ist für KI aber nicht lückenlos. Modell-Drift und Leistung in der Breite sind schwer zu verfolgen – besonders für kleinere und ländliche Versorgungseinrichtungen. Fachleute schlagen öffentliche–private Register und gezieltes Postmarket-Monitoring für höher riskante KI-Systeme vor.

Generative KI: neue Prüfsteine

Der Digital Health Advisory Committee (DHAC) der FDA diskutierte 2024 erstmals generative KI in Medizinprodukten. Empfehlungen: – Offenlegung von Zweck, Trainingsdaten, Fehler- und Halluzinationsraten, idealerweise in standardisierten „Model Cards“. – Unabhängige Tests und Qualitätssicherung erwägen, nicht nur Herstellernachweise. – FDA-Prozesse beschleunigen, z. B. über das Medical Device Development Tools (MDDT) Program mit Referenzdatensätzen und Benchmarks. Diese Impulse flossen in die Draft-Guidance von Januar 2025 ein. Im September 2025 bat die FDA die Öffentlichkeit um Rückmeldungen zur Messung und Bewertung realer Performance von KI-Geräten. Der Fokus: praxistaugliche Methoden im Regelbetrieb.

Nationale Strategie und internationale Abstimmung

Im Juli 2025 stellte die US-Regierung eine AI Action Plan vor. Relevante Punkte für die Aufsicht: – Investitionen in KI-gestützte Wissenschaft und Daten-Sharing. – Aufbau eines Evaluations-Ökosystems mit Leitlinien und Messstandards. – Förderung von AI Centers of Excellence und Regulierungs-Sandboxes; NIST soll Standards beschleunigen. – Stärkung von AI-Kompetenzen der Arbeitskräfte. Parallel fördert die FDA die internationale Angleichung über das IMDRF. Ziel: weniger Zersplitterung, mehr Sicherheit, gleiche Erwartungen an Änderungen, Validierung und Labeling.

Was heißt das für Entwickler, Kliniken und Patienten?

Für Hersteller: – Früh klären, ob der beabsichtigte Nutzen die Software zum Medizinprodukt macht. – Den passenden Zulassungspfad wählen (510(k), De Novo, PMA). – Datenrepräsentativität, Transparenz und GMLP-Prinzipien von Anfang an umsetzen. – Einen belastbaren PCCP planen: Was wird geändert, wie wird getestet, wie werden Nutzer informiert? – Cybersecurity und SBOM sauber dokumentieren. Für Anbieter und Kliniken: – Labeling prüfen: Inputs, Outputs, Leistung, bekannte Risiken. – Lokales Monitoring aufbauen, soweit möglich; Modell-Drift erkennen. – Einsatzgrenzen respektieren: Nicht über die freigegebenen Indikationen hinaus bewerben oder nutzen. – Rückmeldekanäle (MDR/MedWatch) kennen und verwenden. Für Patienten: – Verstehen, ob eine App oder ein Gerät FDA-geprüft ist und welche Rolle die KI spielt. – Auf klare Anleitungen und verständliche Hinweise achten. – Bei Problemen melden – das hilft, Sicherheit zu verbessern. Am Ende steht ein klares Bild: Die FDA Regulierung von KI Medizinprodukten basiert auf Risiko, Lebenszyklus und klaren Leitprinzipien. Sie führt mit PCCPs, präziser Kennzeichnung und stärkerer Cyberhygiene wichtige Schutzgeländer ein. Offene Aufgaben betreffen adaptive und generative Systeme, realweltliches Monitoring und Ressourcen. Viele KI-Lösungen in der Versorgung liegen zudem außerhalb der FDA-Zuständigkeit und brauchen andere Schutzmechanismen. Damit die Chancen von KI Patienten wirklich zugutekommen, müssen Aufsicht, Innovation und Versorgungsalltag zusammenpassen – heute und bei jeder neuen Softwareversion. Auch künftig bleibt die FDA Regulierung von KI Medizinprodukten ein zentrales Rückgrat für Vertrauen und Sicherheit.

(Source: https://bipartisanpolicy.org/issue-brief/fda-oversight-understanding-the-regulation-of-health-ai-tools/)

For more news: Click Here

FAQ