IEC PAS 63621:2026 Datenmanagement für Medizinprodukte mit KI Anteil

IEC PAS 63621:2026 Datenmanagement für Medizinprodukte mit KI Anteil

KI in Medizinprodukten ist nur so gut wie die Daten, mit denen sie entwickelt wird. Erfahren Sie warum strukturiertes Datenmanagement Bias und Data Leakage verhindert – und wie die neue IEC PAS 63621:2026 einen praxisnahen Rahmen für nachvollziehbare Datenqualität, Governance und regulatorische Konformität über den gesamten Datenlebenszyklus liefert.

Wir möchten Ihnen die grundlegenden Anforderungen der IEC PAS 63621:2026 vorstellen und anhand praxisnaher Beispiele einordnen. Ziel ist es, Herstellern und anderen Akteuren der Medizintechnik ein besseres Verständnis dafür zu vermitteln, wie ein regulatorisch konformes und zugleich praktikables Datenmanagement für KI‑Systeme umgesetzt werden kann.

Warum ist Datenmanagement bei KI-Systemen wichtig?

Künstliche Intelligenz unterscheidet sich grundlegend von klassischen, deterministischen Software-Systemen. KI‑Systeme berechnen ihren Output nicht anhand fest definierter Regeln, sondern auf Basis von Wahrscheinlichkeiten, die während des Trainings und anschließenden Tunings angepasst werden. Demnach ist das Verhalten eines KI‑Systems unmittelbar von den verwendeten Daten abhängig. Qualität, Struktur und Herkunft der Daten bestimmen maßgeblich, wie zuverlässig, robust und sicher das System im späteren Einsatz agiert.

Dabei gilt:

Ein KI‑System lernt alles, was in der zugrunde liegenden Datenbasis enthalten ist – einschließlich Fehlern, Verzerrungen und systematischer Vorurteile (Bias).

Unvollständige Datensätze, falsch gelabelte Daten oder nicht repräsentative Trainingsdaten können sich direkt im klinischen Verhalten eines Medizinprodukts widerspiegeln.

Ohne ein strukturiertes Datenmanagement besteht zudem die Gefahr von Data Leakage, bei dem beispielsweise Trainings- und Testdaten nicht sauber getrennt werden und die Leistungsfähigkeit des Systems überschätzt wird.

Vor diesem Hintergrund müssen Daten für KI‑Systeme besonders sorgfältig geplant, dokumentiert und über ihren gesamten Lebenszyklus hinweg verwaltet werden. Dazu gehören unter anderem klare Verantwortlichkeiten, definierte Datenquellen, Versionierung, Nachvollziehbarkeit von Datenänderungen sowie Mechanismen zur Qualitätssicherung. Nur so behalten Hersteller den Überblick darüber, welche Daten zu welchem Zweck verwendet wurden und welchen Einfluss sie auf das resultierende KI‑Modell haben.

Auch regulatorisch gewinnt das Thema zunehmend an Bedeutung. Mit dem AI-Act wurde in Europa ein erster rechtlicher Rahmen für den Einsatz von KI geschaffen, während in den USA die FDA ebenfalls den Weg in Richtung eines stärker regulierten Umfelds für KI‑basierte Medizinprodukte ebnet (Guidance Artificial Intelligence-Enabled Device Software Functions: Lifecycle Management and Marketing Submission Recommendations; Guidance Marketing Submission Recommendations for a Predetermined Change Control Plan for Artificial Intelligence-Enabled Device Software Functions)

Ergänzend dazu wurde am 23. März die IEC PAS 63621:2026 „Artificial intelligence enabled Medical Devices – Data management“ veröffentlicht. Diese Spezifikation leistet einen wichtigen Beitrag, um Anforderungen an das Datenmanagement von KI‑fähigen Medizinprodukten unter MDR und IVDR zu konkretisieren und zu vereinheitlichen.

Grundlegende Anforderungen der IEC PAS 63621:2026

Die IEC PAS 63621:2026 adressiert eines der zentralen Risiken KI‑basierter Medizinprodukte: den unsystematischen Umgang mit Daten. Ziel der Spezifikation ist es, ein konsistentes, nachvollziehbares und regulatorisch belastbares Datenmanagement über den gesamten Lebenszyklus eines KI‑Systems sicherzustellen.

1) Durchgängiges Datenmanagement über den Datenlebenszyklus

Hersteller müssen einen dokumentierten Datenmanagement‑Prozess definieren, implementieren und aufrechterhalten. Dieser Prozess erstreckt sich explizit über alle Phasen des Datenlebenszyklus – von der Definition der Datenanforderungen über Planung, Akquisition, Entwicklung und Bereitstellung bis hin zur Stilllegung (Decommissioning). Ein integraler Bestandteil ist dabei das Data Risk Management, also die systematische Identifikation, Bewertung und Kontrolle von datenbezogenen Risiken, die sich direkt auf Sicherheit und Leistungsfähigkeit des KI‑Systems auswirken können.

2) Definition und Dokumentation von Datenanforderungen und Datenqualität

Die PAS fordert, dass Datenanforderungen frühzeitig und explizit festgelegt werden. Dazu gehören unter anderem:

• Datenarten und ‑quellen
• Anforderungen an Datenqualität und Akzeptanzkriterien
• relevante statistische Eigenschaften der Datensätze
• Bewertung potenzieller Biases
• rechtliche und regulatorische Rahmenbedingungen (z.  Datenschutz, Zweckbindung)

Diese Anforderungen müssen dokumentiert und konsistent über alle Projektphasen hinweg angewendet werden. Implizite oder „mitgewachsene“ Datenannahmen sind explizit nicht ausreichend.

3) Sicherung der Datenqualität durch systematische Prozesse

Zur Sicherstellung der Datenqualität verlangt die IEC PAS 63621:2026 die Anwendung eines Datenqualitätsmodells sowie klar definierter Prozesse für:

• Data Quality Planning
• Data Quality Improvement
• Data Quality Verification
• Data Quality Analysis

Abweichungen von definierten Qualitätszielen müssen analysiert, Ursachen identifiziert und dokumentierte Korrektur‑ und Präventivmaßnahmen eingeleitet werden. Datenqualität wird damit zu einem aktiv gesteuerten Prozess und nicht zu einem einmaligen Prüfschritt.

4) Nachvollziehbarkeit, Transparenz und Data Governance

Ein zentrales Element der Spezifikation ist die Nachvollziehbarkeit der verwendeten Daten. Hersteller müssen sicherstellen, dass Datenherkunft (Provenance), Versionierung und Zweckbindung eindeutig dokumentiert sind. Gleichzeitig fordert die PAS angemessene Maßnahmen zur Datensicherheit, zum Schutz der Privatsphäre sowie zur Berücksichtigung von Fairness‑ und Ethik‑Aspekten.

5) Kontrollierte Nutzung, Bereitstellung und Stilllegung von Daten

Daten dürfen nur dann genutzt oder weitergegeben werden, wenn alle definierten Anforderungen erfüllt sind. Besonders hervorgehoben wird die Notwendigkeit, Data Leakage zu verhindern – etwa durch eine klare Trennung von Trainings‑, Validierungs‑ und Verifikationsdaten. Für die Stilllegung oder Löschung von Daten müssen nachvollziehbare, dokumentierte Verfahren existieren, um regulatorische und rechtliche Risiken zu vermeiden.

Praxisbeispiel: KI‑System zur Erkennung von Lebertumoren

Um die Anforderungen der IEC PAS 63621:2026 greifbar zu machen, betrachten wir ein KI‑System zur Erkennung von Lebertumoren auf Basis von CT‑Bilddaten. Das Beispiel zeigt, wie die normativen Anforderungen praxisnah und ohne unnötige Überkomplexität umgesetzt werden können.

1) Durchgängiges Datenmanagement über den Datenlebenszyklus

Alle CT‑Bilddaten werden von der ersten Projektidee bis zur Produktabkündigung in einem zentralen System verwaltet. Jeder Datensatz besitzt einen klar definierten Status wie „neu“, „annotiert“, „freigegeben“ oder „archiviert“. Zusätzlich ist jederzeit ersichtlich, ob sich ein Datensatz noch in Vorbereitung befindet, aktiv im Training genutzt wird oder bereits Teil des finalen Tests ist.

Neue Bilddaten – etwa aus einer zusätzlichen Klinik – werden bewusst als eigener Datenbestand behandelt und nicht unkontrolliert in bestehende Trainingsdaten integriert. Zuständigkeiten sind klar geregelt: Datenerhebung, Annotation und Freigabe liegen bei unterschiedlichen Rollen. Änderungen an Datensätzen, zum Beispiel Korrekturen fehlerhafter Annotationen, werden versioniert dokumentiert, sodass frühere und aktuelle Datenstände nachvollziehbar vergleichbar bleiben.

2) Definition und Dokumentation von Datenanforderungen und Datenqualität

Bereits zu Projektbeginn werden konkrete Datenanforderungen festgelegt. Verwendet werden ausschließlich CT‑Aufnahmen mit Kontrastmittel und vollständiger Darstellung der Leber. Die KI wird gezielt nur für erwachsene Patient:innen trainiert; pädiatrische Fälle werden gar nicht erst erhoben.

Zudem ist definiert, wie viele Fälle erforderlich sind, um kleine, mittlere und große Tumoren ausreichend abzudecken. Auch qualitative Kriterien sind klar festgelegt: Aufnahmen mit zu grober Schichtdicke oder relevanten Artefakten werden ausgeschlossen. Diese Regeln sind dokumentiert, sodass im Nachhinein transparent bleibt, warum bestimmte Bilddaten genutzt oder verworfen wurden.

3) Sicherung der Datenqualität durch systematische Prozesse

Neue CT‑Daten durchlaufen automatisierte technische Prüfungen, etwa zur Vollständigkeit der benötigten Bildserien und die Tumorannotation wird stichprobenartig von einer zweiten Fachperson überprüft.

Werden wiederkehrende Fehler erkannt – zum Beispiel unklare Abgrenzungen von Tumorrändern – fließen diese Erkenntnisse in angepasste Annotations‑Richtlinien ein. Datensätze unzureichender Qualität werden nicht stillschweigend akzeptiert, sondern gezielt ausgeschlossen oder überarbeitet. Nach jeder Änderung erfolgt erneut eine Qualitätsprüfung, um sicherzustellen, dass die definierten Anforderungen nun erfüllt sind.

4) Nachvollziehbarkeit, Transparenz und Data Governance

Für jedes trainierte Modell ist eindeutig dokumentiert, welche konkrete Datenversion verwendet wurde. Herkunft und Aufnahmebedingungen jedes Bildes sind nachvollziehbar, ebenso die jeweils angewandte Annotationsmethode und die verantwortliche Fachperson.

Darüber hinaus ist klar geregelt, zu welchem Zweck die Daten verwendet werden dürfen – etwa für Entwicklung und Validierung, nicht jedoch für direkte Therapieentscheidungen. Rollenbasierte Zugriffsrechte stellen sicher, dass sensible Bilddaten ausschließlich von berechtigten Personen eingesehen werden können.

5) Kontrollierte Nutzung, Bereitstellung und Stilllegung von Daten

Trainings‑ und Testdaten werden strikt getrennt gespeichert, um eine unbeabsichtigte Vermischung zu verhindern. Entwickler haben während der Modelloptimierung keinen Zugriff auf finale Testdatensätze und beim Datenaustausch zwischen Systemen wird sichergestellt, dass keine Bildinformationen verloren gehen oder verändert werden.

Daten abgeschlossener Studien werden nach klar definierten Regeln archiviert oder gelöscht. Zieht eine Klinik Einwilligungen zurück, können die betroffenen Bilddaten gezielt identifiziert und vollständig entfernt werden.

Fazit und Auswirkungen

Datenmanagement ist kein nachgelagerter Formalismus, sondern ein zentraler Erfolgsfaktor für KI‑basierte Medizinprodukte. Gerade weil KI‑Systeme nicht deterministisch arbeiten und ihr Verhalten direkt von den verwendeten Daten ableiten, entscheidet die Qualität und Nachvollziehbarkeit des Datenmanagements über Sicherheit, Leistungsfähigkeit und regulatorische Akzeptanz.

Mit der IEC PAS 63621:2026 liegt erstmals ein klar strukturierter, techniknaher Rahmen vor, der das Datenmanagement von KI‑fähigen Medizinprodukten konkret adressiert und mit den Anforderungen des AI-Acts in Einklang bringt. Die Spezifikation zwingt Hersteller dazu, Daten systematisch über ihren gesamten Lebenszyklus zu betrachten – von der ersten Datenerhebung bis zur kontrollierten Stilllegung. Implizite Annahmen, historisch gewachsene Datensammlungen oder „informelle“ Trainingssets sind damit regulatorisch kaum noch vertretbar.

Für Hersteller bedeutet das zunächst einen höheren Aufwand in der frühen Entwicklungsphase: Datenanforderungen müssen explizit formuliert, Rollen klar verteilt und Prozesse dokumentiert werden. Langfristig zahlt sich dieser Ansatz jedoch aus. Ein sauberes Datenmanagement reduziert Risiken wie Bias, Data Leakage oder nicht reproduzierbare Leistungskennzahlen, vereinfacht Audits und Reviews und schafft eine belastbare Grundlage für spätere Modellupdates oder Post‑Market‑Aktivitäten.

Gleichzeitig verschiebt sich der Fokus im Unternehmen. Daten dürfen nicht mehr als Nebenprodukt der Entwicklung betrachtet werden, sondern als reguliertes Asset mit eigener Governance, Qualitätsmetriken und Risiken. Das erfordert eine enge Zusammenarbeit zwischen Softwareentwicklung, Clinical Affairs, Regulatory Affairs, Qualitätsmanagement und Datenschutz – aber genau hier liegt auch der größte Hebel für robuste, sichere und zukunftsfähige KI‑Produkte.

Vor dem Hintergrund von AI-Act, FDA‑Aktivitäten und der IEC PAS 63621:2026 ist klar: Strukturiertes Datenmanagement wird zum Wettbewerbsfaktor. Hersteller, die frühzeitig entsprechende Prozesse etablieren, verschaffen sich nicht nur regulatorische Sicherheit, sondern auch technologischen Handlungsspielraum für die nächste Generation KI‑basierter Medizinprodukte.

Bitte beachten Sie, dass alle Angaben und Auflistungen nicht den Anspruch der Vollständigkeit haben, ohne Gewähr sind und der reinen Information dienen.