Post-Market Surveillance Plan: Pflicht nach Art. 72 EU AI Act

Der EU AI Act erkennt an, dass KI-Systeme sich im Betrieb verändern können: durch Datendrift (Veränderung der Eingabedaten), durch Modell-Updates, durch neue Nutzungskontexte, durch unvorhergesehene Interaktionen mit anderen Systemen. PMS stellt sicher, dass Anbieter nicht nur beim Launch, sondern dauerhaft die Compliance ihres Systems sicherstellen. Art. 72 macht PMS zu einer gesetzlichen Pflicht, keine freiwilligen Best Practice.

Ein konformer PMS-Plan enthält: Definition der zu überwachenden Leistungsmetriken, Datenerfassungsmethoden (Logs, Nutzerfeedback, Betreiber-Reports), Analyse-Methoden und -Frequenz, Schwellenwerte für Eskalation (wann wird ein Vorfall ausgelöst?), Kommunikationsprozesse mit Betreibern, Berichtspflichten an Behörden, Aktualisierungsprozess für den Plan selbst, Verantwortlichkeiten und Ressourcen.

Die PMS-Berichterstattung richtet sich nach der Systemkritikalität: Für Hochrisiko-Systeme außerhalb medizinischer Produkte: mindestens jährlicher PMS-Bericht. Für Medizinprodukte und sicherheitskritische Systeme: häufiger, je nach MDR/IVDR-Anforderungen. Der Bericht muss an die Marktüberwachungsbehörde übermittelt werden, wenn schwerwiegende Vorfälle oder Abweichungen festgestellt wurden. Bewahren Sie alle PMS-Berichte für mindestens 10 Jahre auf.

Der PMS-Plan sollte nicht isoliert existieren, sondern integraler Bestandteil des Qualitätsmanagementsystems nach Art. 17 sein. Integration bedeutet: PMS-Prozesse sind Teil des QMS-Handbuchs, PMS-Ergebnisse fließen in regelmäßige Management-Reviews ein, PMS-Erkenntnisse lösen gegebenenfalls Risikomanagement-Aktivitäten aus, PMS-Daten aktualisieren die technische Dokumentation, PMS-Incidents durchlaufen den Incident-Management-Prozess.