Wie KI-gestützte eTMF-Systeme vom EU-KI-Gesetz betroffen sind (Teil 1)
Mit der zunehmenden Integration von KI in eTMF-Systeme betreten Organisationen im klinischen Forschungsökosystem eine neue und komplexe regulatorische Landschaft, die durch das EU-KI-Gesetz geprägt ist.
Das EU-KI-Gesetz ist keine technische Richtlinie oder ein freiwilliger Leitfaden für bewährte Praktiken. Es handelt sich um eine verbindliche horizontale Regelung, die auf alle Branchen und Sektoren anwendbar ist, einschließlich der Lebenswissenschaften und der klinischen Forschung. Das Hauptziel besteht darin, sicherzustellen, dass KI-Systeme, die auf den EU-Markt gebracht oder dort verwendet werden, sicher, transparent, vertrauenswürdig und respektvoll gegenüber grundlegenden Rechten sind, einschließlich Datenschutz, Antidiskriminierung und menschlicher Aufsicht.
Für Organisationen, die bereits unter GCP, GMP, GDPR und Qualitätsmanagementvorschriften tätig sind, bringt das EU-KI-Gesetz eine ihnen vertraute regulatorische Philosophie mit sich, wendet sie jedoch auf ein neues Kontrollobjekt an: die KI-Systeme selbst. Im Wesentlichen behandelt das EU-KI-Gesetz KI nicht nur als Softwarefunktionalität, sondern als regulierte Fähigkeit, die während ihres gesamten Lebenszyklus verwaltet werden muss.
Was das EU-KI-Gesetz ist – und was nicht
Das EU-KI-Gesetz etabliert einen risikobasierten regulatorischen Rahmen für KI-Systeme, was bedeutet, dass das Maß an regulatorischer Kontrolle proportional zum Risiko ist, das ein KI-System für Einzelpersonen, die Gesellschaft und öffentliche Interessen wie Gesundheit und Sicherheit darstellt.
Dieser Ansatz stimmt konzeptionell mit bereits bekannten Rahmenbedingungen in der klinischen Forschung überein:
- Risikobasierte Überwachung unter ICH-GCP
- Kritikalitätsbewertungen im TMF-Management
- Risikoklassifizierung von computerisierten Systemen gemäß GAMP
- Auswirkungen basierte Bewertungen gemäß GDPR
Das EU-KI-Gesetz unterscheidet sich jedoch in einem entscheidenden Punkt: Es reguliert ausdrücklich die Entscheidungsfindung durch KI, selbst wenn KI in unterstützenden Funktionen eingesetzt wird.
Das Gesetz:
- definiert, was als KI-System gilt
- klassifiziert KI-Systeme in Risikokategorien
- legt aufgrund dieses Risikos verbindliche Verpflichtungen fest
- weist rechtliche Verantwortlichkeiten verschiedenen Akteuren zu
- führt Durchsetzungsmechanismen und Sanktionen ein, die mit dem GDPR vergleichbar sind.
Was das EU-KI-Gesetz nicht tut, ist die Innovation im Bereich KI zu verbieten. Stattdessen schafft es ein strukturiertes regulatorisches Umfeld, in dem KI verantwortungsbewusst eingesetzt werden kann – insbesondere in regulierten Bereichen wie klinischen Prüfungen, in denen Datenintegrität, Rückverfolgbarkeit und Patientenschutz von größter Bedeutung sind.
Die Kernprinzipien des EU-KI-Gesetzes und die Risikokategorisierung von KI
Basierend auf dem risikobasierten Ansatz des EU-KI-Gesetzes werden KI-Systeme je nach Nutzung, den Entscheidungen, die sie unterstützen, und den potenziellen Konsequenzen ihrer Ergebnisse reguliert, nicht nur anhand ihrer bloßen Existenz als Software.
Daher hängt das Maß an regulatorischer Kontrolle vom Kontext, Zweck und dem Grad der Autonomie des KI-Systems ab. Ein KI-Tool, das administrative Aufgaben unterstützt und keine Auswirkungen auf regulierte Entscheidungen hat, unterliegt minimalen Verpflichtungen, während ein KI-System, das die Einhaltung, Sicherheitsüberwachung oder grundlegende Rechte beeinflusst, erheblich strengeren Anforderungen unterliegt.
Dieser Ansatz stellt sicher, dass regulatorische Verpflichtungen im Verhältnis zum potenziellen Schaden stehen, den ein KI-System verursachen könnte. Hochrisikoverwendungen werden eng überwacht, um grundlegende Rechte, Gesundheit und Sicherheit zu schützen, während risikobegrenzte Anwendungen weniger Einschränkungen unterliegen, was eine schnellere Innovation ermöglicht, wo die Auswirkungen begrenzt sind.
Das EU-KI-Gesetz identifiziert vier Risikokategorien:
- Unakzeptables Risiko – KI-Systeme mit Praktiken, die eine klare Bedrohung für Gesundheit, Sicherheit und grundlegende Rechte darstellen, sind grundsätzlich verboten.
- Hohes Risiko – KI-Systeme, die erhebliche Auswirkungen auf Gesundheit, Sicherheit, grundlegende Rechte oder rechtliche Ergebnisse haben könnten, sind erlaubt, unterliegen jedoch strengen Anforderungen wie Risikomanagement, Transparenz, menschlicher Aufsicht, Dokumentation, Konformitätsbewertung und laufender Überwachung.
- Begrenztes Risiko – KI-Systeme, die ein begrenztes Schadenspotenzial aufweisen, müssen Transparenzpflichten erfüllen, damit die Benutzer informiert sind, dass sie mit KI interagieren.
- Minimales oder kein Risiko – KI-Systeme mit vernachlässigbaren Auswirkungen auf Einzelpersonen oder die Gesellschaft unterliegen weitgehend keiner Regulierung durch das KI-Gesetz, obwohl bewährte Praktiken weiterhin gelten.
Wo passt ein KI-gestütztes eTMF in diesen Rahmen? Es ist wichtig, zwischen KI als Technologie und KI als regulierte Funktion zu unterscheiden. Nicht jede KI, die in ein eTMF-System eingebettet ist, wird automatisch als hochriskant gemäß dem EU-KI-Gesetz qualifiziert. Die Risikoklassifizierung wird durch den Anwendungsfall, die Auswirkungen der Entscheidung und die regulatorische Funktion bestimmt, nicht durch die bloße Anwesenheit von KI.
Ein KI-Feature, das grundlegende administrative Aufgaben unterstützt – wie die Verbesserung der Suchfunktionalität – kann ein begrenztes regulatorisches Risiko darstellen und unterliegt daher leichteren Verpflichtungen. Im Gegensatz dazu beeinflussen KI-Funktionen, die automatisch Risiken für die Inspektionsbereitschaft kennzeichnen oder Überwachungsentscheidungen beeinflussen, direkt, wie die regulatorische Compliance demonstriert wird.
Gleichzeitig bietet der Rahmen Klarheit und Flexibilität für Organisationen. Er verknüpft Compliance-Verpflichtungen klar mit definierten Risikokategorien und hilft Unternehmen zu verstehen, was von ihnen erwartet wird, während er anpassungsfähig an technologische Entwicklungen bleibt. Wenn sich KI-Systeme ändern, reifen oder auf neue Weise verwendet werden, muss ihre Risikoklassifizierung – und die damit verbundenen Verpflichtungen – erneut bewertet werden, um sicherzustellen, dass die Regulierung relevant bleibt, ohne verantwortungsvolle Innovation zu ersticken.
Warum das EU-KI-Gesetz für eTMF wichtig ist
Vergessen Sie das TMF als passives Dokumentenarchiv: Aus regulatorischer Sicht ist es die primäre strukturierte Evidenzbasis, die zeigt, dass eine klinische Prüfung gemäß ICH-GCP, den geltenden regulatorischen Anforderungen und ethischen Standards geplant, durchgeführt, überwacht und berichtet wurde. Auf Compliance wird geprüft, indem das, was im TMF dokumentiert ist, überprüft wird. Aus diesem Grund fungiert das TMF als Proxy für die Durchführung der Prüfung.
Wenn KI in ein eTMF-System eingebettet ist, beginnt sie, diese regulatorische Evidenzbasis aktiv zu gestalten. Derzeit konzentrieren sich die meisten KI-Funktionen in einem eTMF-System auf die automatisierte Dokumentenklassifizierung und -ablage. Angesichts der schnellen Entwicklung von KI wird die nächste Generation von KI-gestützten eTMF-Systemen in der Lage sein, folgende Funktionen durchzuführen:
- Metadatenextraktion und -befüllung
- Erkennung fehlender, verspäteter oder inkonsistenter Dokumentation
- Risikobewertung der TMF-Vollständigkeit oder -qualität
- Musteridentifikation und -analyse
- Prädiktive Signale für Inspektionsbereitschaft.
Diese Funktionen gehen über die betriebliche Effizienz hinaus. Sie beeinflussen Entscheidungen wie:
- ob eine Studie als inspektionsbereit angesehen wird
- ob eine Site oder ein Land als hochriskant eingestuft wird
- ob Überwachungsmaßnahmen ausgelöst oder zurückgestuft werden
- ob Lücken in der Patientensicherheitsdokumentation frühzeitig erkannt oder übersehen werden.
Aus regulatorischer Sicht bewegt sich dies in den Bereich der Entscheidungsunterstützung für GCP-kritische Prozesse und deshalb erwarten Regulierungsbehörden zunehmend, dass Organisationen Kontrolle, Transparenz und menschliche Aufsicht über KI-unterstützte TMF-Aktivitäten nachweisen. Wenn ein KI-System die Struktur, Qualität, Vollständigkeit, Priorisierung oder Interpretation des TMF-Inhalts beeinflusst, beeinflusst es direkt, wie Compliance und Patientenschutz demonstriert werden.
Unter dem EU-KI-Gesetz wird die Hochrisikoklassifizierung nicht durch die Bezeichnung eines Systems als „administrativ“, „unterstützend“ oder „assistiv“ bestimmt. Sie wird durch die Frage bestimmt, ob das System:
- Entscheidungen unterstützt oder beeinflusst, die Compliance, Sicherheit oder grundlegende Rechte betreffen
- in regulierten Prozessen von Bedeutung ist.
Ein KI-gestütztes eTMF wird hochriskant, wenn seine Ausgaben zur Entscheidungsfindung oder -verschiebung verwendet werden, einschließlich:
- der Erklärung der Inspektionsbereitschaft
- der Priorisierung oder Depriorisierung von Überwachung
- der Bewertung der TMF-Qualität oder -Risikostufen
- der Identifizierung (oder dem Versäumnis, Lücken in der Sicherheitsdokumentation zu identifizieren).
Zu diesem Zeitpunkt fungiert das KI-System nicht mehr als operationale Unterstützung. Es bietet Unterstützung für Entscheidungen zu regulierten Ergebnissen.
Wenn KI:
- Qualitätsdefizite verschleiert
- sicherheitsrelevante Signale verwässert
- falsche Sicherheit bei der Kontrolle produziert
dann kann der Sponsor nicht nachweisen, dass:
- Risiken für die Sicherheit rechtzeitig erkannt wurden
- die Aufsicht angemessen war
- der Patientenschutz aktiv verwaltet wurde.
Die Hochrisikoklassifizierung erfordert keinen tatsächlichen Schaden, sondern nur das glaubwürdige Potenzial, geschützte Interessen zu beeinflussen – zu denen Patientensicherheit, Rechte und Datenintegrität gehören.
Fazit
Die Integration von KI in eTMF-Systeme markiert einen strukturellen Wandel in der Art und Weise, wie die Compliance, Aufsicht und der Patientenschutz in klinischen Prüfungen demonstriert werden. Wie dieser Artikel gezeigt hat, führt das EU-KI-Gesetz keine unbekannte regulatorische Philosophie für den Lebenswissenschaftssektor ein. Vielmehr erweitert es gut etablierte Prinzipien der risikobasierten Aufsicht, Verantwortlichkeit und Lebenszyklus-Governance auf ein neues und leistungsstarkes Kontrollobjekt: KI-gestützte Entscheidungsunterstützung.
Wenn KI in ein eTMF eingebettet ist, agiert sie nicht mehr am Rande der Prüfungsoperationen. Sie gestaltet aktiv die regulatorische Evidenzbasis, auf die Prüfer sich zur Bewertung der GCP-Compliance, der Sponsoraufsicht und dem Schutz der Teilnehmerrechte und -sicherheit stützen. In Anwendungsfällen, in denen KI die Qualitätseinschätzung, die Vollständigkeitsbewertung, die Inspektionsbereitschaft oder die Überwachungspriorität beeinflusst, erfüllt sie alle funktionalen Kriterien eines hochriskanten KI-Systems gemäß dem EU-KI-Gesetz.
Dieser erste Teil des Artikels zeigt auf, warum KI-gestützte eTMF-Systeme unter das EU-KI-Gesetz fallen und wann sie als hochriskant behandelt werden sollten. Die nächste und praktischere Frage ist daher unvermeidlich: Was müssen Organisationen dagegen unternehmen?
In Teil 2 werden wir von der regulatorischen Interpretation zur operativen Umsetzung übergehen. Wir werden die konkreten Anforderungen zur Einhaltung des EU-KI-Gesetzes untersuchen, die für hochriskante KI im Kontext von eTMF gelten, die Rollen und Verantwortlichkeiten der wichtigsten Akteure sowie praktische Umsetzungsschritte zur Erreichung der Compliance mit dem EU-KI-Gesetz.
Das Verständnis der regulatorischen Grundlagen ist die Basis. Es in compliant und inspektionsbereite Praxis zu übersetzen, ist die eigentliche Herausforderung – und der Fokus auf das, was als Nächstes kommt.
