EU AI Act

EU AI Act × GxP: Was das KI-Gesetz für regulierte Pharma-Qualität bedeutet

Lesezeit ~8 Min · Daniel Herrmann

Der EU AI Act (Verordnung (EU) 2024/1689) ist das horizontale KI-Gesetz der EU. Er ersetzt GxP nicht, sondern legt eine zweite, parallele Ebene über KI-Systeme — auch über solche in regulierter Pharma-Arbeit. Die gute Nachricht: Die Governance-Prinzipien überschneiden sich stark (menschliche Aufsicht, Nachvollziehbarkeit, Daten-Governance, Protokollierung). Ob eine konkrete KI-Anwendung unter bestimmte Pflichten des AI Act fällt, ist eine Rechtsfrage — dieser Beitrag ordnet die Schnittstelle ein und zeigt sinnvolle Vorbereitung; er nimmt keine Einstufung vor.

Was der EU AI Act ist — und was er nicht ist

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende, horizontale KI-Regulierung der EU. Horizontal heißt: Er gilt branchenübergreifend für KI-Systeme — nicht speziell für Pharma, sondern für KI als Technologie. Er ist 2024 in Kraft getreten und gilt gestaffelt: Verbote bestimmter Praktiken bereits seit Anfang 2025, die übrigen Kernpflichten greifen sukzessive über 2025, 2026 und 2027.

Der Act arbeitet mit einem Risiko-Ansatz und unterscheidet grob vier Stufen — von verbotenen Praktiken über streng regulierte Anwendungen und Transparenz-Pflichten bis zu weitgehend unregulierten Anwendungen. Er adressiert unterschiedliche Rollen, insbesondere Anbieter (wer ein KI-System entwickelt/in Verkehr bringt) und Betreiber (wer es einsetzt).

Wichtig zuerst, um Missverständnisse zu vermeiden: Der AI Act ist kein GxP-Regelwerk und ersetzt weder GMP, noch EU-Annex 11, noch 21 CFR Part 11. Er steht neben Ihren bestehenden Qualitäts- und Validierungspflichten. Für regulierte Teams entsteht damit keine Ablösung, sondern eine zweite Perspektive auf dieselben KI-Werkzeuge.

Warum das KI-Gesetz GxP-Teams überhaupt betrifft

KI hält in regulierter Arbeit Einzug — von der Dokumentenerstellung über Review-Unterstützung bis zu Datenanalysen. Sobald ein KI-System eingesetzt wird, kann es grundsätzlich in den Anwendungsbereich des AI Act fallen — zusätzlich zu den GxP-Anforderungen, die für die regulierte Tätigkeit ohnehin gelten.

Das Ergebnis ist eine doppelte Brille auf dasselbe Werkzeug: Die GxP-Welt fragt „Ist die Arbeit valide, nachvollziehbar und freigegeben?“. Der AI Act fragt „Ist das KI-System angemessen beherrscht, transparent und beaufsichtigt?“. Beide Fragen zielen auf Kontrolle und Nachweisbarkeit — nur aus unterschiedlichem Blickwinkel.

Für die Praxis heißt das: Wer KI in GxP einsetzt, sollte die AI-Act-Perspektive nicht als fremdes Thema abtun, sondern als zweite Governance-Ebene mitdenken — früh, nicht erst, wenn ein Auditor oder eine Aufsicht danach fragt.

Die gute Nachricht: Die Governance-Prinzipien überschneiden sich stark

Die beruhigende Erkenntnis für Qualitäts- und Validierungsteams: Die Grundprinzipien beider Regelwerke laufen weitgehend parallel. Wer GxP-Governance ernst nimmt, hat einen großen Teil der AI-Act-Haltung bereits eingebaut. Die wiederkehrenden Themen:

Menschliche Aufsicht. Der AI Act betont menschliche Kontrolle über KI-Ergebnisse; GxP verlangt ohnehin die menschliche Freigabe. Dieselbe Idee: Die KI schlägt vor, der Mensch entscheidet.
Transparenz & Nachvollziehbarkeit. Beide wollen wissen, wie ein Ergebnis zustande kam — Quellen, Grundlagen, Nachvollziehbarkeit statt Blackbox.
Daten-Governance. Qualität, Herkunft und Eignung der verwendeten Daten sind in beiden Welten ein Thema.
Protokollierung & Aufzeichnungen. Der AI Act denkt in Logs und Nachweisbarkeit; GxP in Audit-Trail und Records. Strukturell dasselbe Bedürfnis.
Risikomanagement & Verantwortlichkeit. Beide verlangen eine bewusste Risikobetrachtung und klare Zuständigkeit dafür, wer was verantwortet.

Mit anderen Worten: Eine belastbare GxP-Arbeitsweise — Quellen zuerst, KI als Vorschlag, menschliche Freigabe, verbundener Audit-Trail — zahlt unmittelbar auch auf die Governance-Erwartungen des AI Act ein. Das ist kein Zufall, sondern dieselbe Kontroll-Logik in zwei Regelwerken.

Wer GxP-Governance ernst nimmt, hat einen großen Teil der AI-Act-Haltung schon eingebaut.

Wo die Frameworks sich unterscheiden — und warum Sie nicht selbst final einstufen sollten

So groß die Überschneidung im Prinzip ist — die Regelwerke sind nicht deckungsgleich:

Eigener Geltungsbereich und eigene Definitionen. Der AI Act hat eigene Begriffe (z. B. „KI-System“, Anbieter vs. Betreiber) und einen eigenen Anwendungsbereich, der sich nicht 1:1 aus der GxP-Welt ableiten lässt.
Eigene Risikosystematik. Die Risikostufen des AI Act folgen einer anderen Logik als die GxP-Risikobewertung (Patientensicherheit/Produktqualität). Eine GxP-Einstufung ist keine AI-Act-Einstufung.
Rollenabhängige Pflichten. Ob Sie als Anbieter oder als Betreiber gelten, ändert die Pflichten erheblich — und hängt davon ab, wie Sie ein KI-System konkret einsetzen oder bereitstellen.
Gestaffelte, noch reifende Anwendung. Teile des Acts gelten erst über die Zeit; begleitende Leitlinien und harmonisierte Normen entwickeln sich weiter.

Genau deshalb ist die Einstufung eines konkreten Systems eine Rechtsfrage, keine Marketing- oder Bauchgefühl-Entscheidung. Seriös ist, die Schnittstelle zu verstehen, die Vorbereitung zu treffen, die ohnehin sinnvoll ist — und die Klassifizierung mit qualifiziertem Rechtsrat zu klären.

Orientierung, keine Rechtsberatung

Ob eine konkrete KI-Anwendung unter bestimmte Pflichten des AI Act fällt und in welche Risikostufe sie gehört, ist eine rechtliche Bewertung Ihres Einzelfalls. Dieser Beitrag nimmt keine Einstufung vor — ziehen Sie für die Klassifizierung qualifizierten Rechtsrat hinzu.

Was Sie jetzt praktisch tun können — ohne auf finale Rechtsklärung zu warten

Die gute Botschaft: Die wirksamste Vorbereitung ist klassifizierungs-unabhängig. Sie ist gute GxP-Praxis und zugleich AI-Act-anschlussfähig — Sie können sie beginnen, bevor die rechtliche Einordnung steht:

KI-Inventar führen. Wo wird heute überhaupt KI in regulierter Arbeit eingesetzt — und mit welchem Zweck? Ohne Überblick keine Steuerung.
Menschliche Freigabe absichern. Bei jedem GxP-relevanten KI-Ergebnis bleibt die fachliche Prüfung und namentliche Freigabe Pflicht. KI bereitet vor, KI gibt nicht frei.
Quellenbindung und Audit-Trail mitführen. Jede relevante Aussage bleibt mit Quelle und Version verbunden; wer was auf welcher Grundlage entschieden hat, bleibt nachvollziehbar.
Daten-Governance dokumentieren. Welche Daten darf die KI nutzen, woher stammen sie, was ist ausgeschlossen?
Verantwortlichkeiten benennen. Wer verantwortet Einsatz, Überwachung und Stopp eines KI-Werkzeugs?

Diese Punkte schwächen nichts an Ihrer GxP-Compliance — sie verstärken sie und schaffen zugleich die Substanz, auf die eine spätere AI-Act-Bewertung aufsetzen kann. Genau diese Arbeitsweise bildet traqx ab: KI entwirft, Ihr Team prüft und gibt frei, Quellen/Versionen/Audit-Trail bleiben verbunden — Generate. Verify. Monitor. Das ist eine Kontroll-Architektur, kein Compliance-Versprechen.

Die ehrlichen Grenzen

Zum Schluss die nötige Nüchternheit:

Dies ist keine Rechtsberatung. Die Einordnung ersetzt keine Bewertung Ihres konkreten Geltungsbereichs durch qualifizierten Rechtsrat.
Keine Risikoeinstufung. Dieser Beitrag stuft weder traqx noch Ihre Anwendungen in eine AI-Act-Risikoklasse ein — das ist bewusst der rechtlichen Bewertung vorbehalten.
Der Rahmen reift weiter. Anwendung, Leitlinien und harmonisierte Normen entwickeln sich; Aussagen von heute sind eine Momentaufnahme.
GxP bleibt in Kraft. Der AI Act ergänzt, ersetzt aber nicht GMP, Annex 11 oder Part 11. Beide Ebenen gelten nebeneinander.

Was dieser Beitrag nicht leistet

Keine Rechtsberatung, keine Einstufung Ihrer Systeme, keine Garantie der AI-Act- oder GxP-Konformität. Der AI Act gilt gestaffelt und seine Leitlinien reifen weiter; Ihre Pflichten hängen von Rolle und Einzelfall ab. GxP bleibt unabhängig davon vollständig in Kraft.

Kernbotschaften

Der EU AI Act ist ein horizontaler, paralleler KI-Layer — kein GxP-Ersatz. GMP, Annex 11 und Part 11 bleiben vollständig in Kraft.
Die Governance-Prinzipien überschneiden sich stark: menschliche Aufsicht, Transparenz/Nachvollziehbarkeit, Daten-Governance, Protokollierung, Risikomanagement.
Die Einstufung eines konkreten KI-Systems ist eine Rechtsfrage — eigener Geltungsbereich, eigene Risikosystematik, rollenabhängige Pflichten. Dafür qualifizierten Rechtsrat hinzuziehen.
Die wirksamste Vorbereitung ist klassifizierungs-unabhängig: KI-Inventar, menschliche Freigabe, Quellenbindung + Audit-Trail, Daten-Governance, klare Verantwortlichkeiten.
Eine belastbare GxP-Arbeitsweise (Quellen zuerst, KI als Vorschlag, Mensch entscheidet) zahlt unmittelbar auf die AI-Act-Governance ein — ohne Konformitätsversprechen.

Quellen

Verordnung (EU) 2024/1689 (EU AI Act) — konsolidierter Text auf EUR-Lex — der maßgebliche Rechtstext: Anwendungsbereich, Risiko-Ansatz, Rollen (Anbieter/Betreiber), gestaffelte Anwendung.
Europäische Kommission — AI Act (Überblick & Zeitplan) — offizielle Einordnung des Regelwerks und der gestaffelten Geltung.
EMA — Reflection paper on the use of AI in the medicinal product lifecycle — die Pharma-spezifische Perspektive der EU-Arzneimittelbehörde auf KI im Produktlebenszyklus.
EU GMP Annex 11 (Computerised Systems) — die bestehende GxP-Ebene für computergestützte Systeme, die der AI Act ergänzt, nicht ersetzt.
EU GMP Annex 22 (Artificial Intelligence) — Entwurf — der GMP-seitige KI-Bezug; gemeinsam mit dem AI Act die zwei Ebenen für KI in regulierter Arbeit.

Autor

Daniel Herrmann

Daniel Herrmann ist Gründer von traqx und arbeitet seit Jahren an der Schnittstelle von GxP-Validierung, Qualitätssicherung und KI-gestützten Werkzeugen für regulierte Teams. Dieser Beitrag fasst öffentlich zugängliche Regulatorik (EU AI Act, EMA-Reflexion, EU-Annex 11/22) in eigener Einordnung zusammen. Er ist Orientierung, keine Rechts- oder Compliance-Beratung, nimmt keine Risikoeinstufung vor und ersetzt keine Bewertung für Ihren konkreten Geltungsbereich. Wo traqx erwähnt wird, beschreibt der Text die belegbare Arbeitsweise — Quellen zuerst, KI als Vorschlag, Mensch entscheidet, Audit-Trail bleibt — und keine darüber hinausgehende Wirkungszusage.