KI-Change-Management in der Life Science: Wo die echten Chancen und Risiken liegen

Es mangelt nicht an Kommentaren darüber, wie KI die Wirkstoffentdeckung, Diagnostik und Biotech-F&E verändern wird. Der Fokus liegt meist auf der Technologie selbst: Foundation Models, generatives Design, Predictive Analytics. Deutlich seltener diskutiert wird die Frage, wie eine regulierte Life-Science-Organisation KI tatsächlich in ihre Arbeitsabläufe integriert — ohne das Qualitätsmanagementsystem zu beschädigen, eine Nonkonformität auszulösen oder eine undokumentierte Compliance-Lücke zu schaffen, die erst im Audit auffällt.

Genau diese Lücke zwischen technologischem Potenzial und operativer Realität ist es, an der Life-Science-KMUs im Jahr 2025 zu kämpfen haben. Und dort werden die folgenreichsten Entscheidungen schlecht getroffen.

Das Framing-Problem

„KI-Adoption" in einem nicht-regulierten Kontext bedeutet: ein Tool einsetzen, das Durchsatz oder Qualität verbessert. In einem regulierten Life-Science-Kontext bedeutet es strukturell etwas anderes: eine Änderung in einen kontrollierten Prozess einzuführen, die Produktqualität, Datenintegrität, Sicherheit oder den regulatorischen Compliance-Status beeinflussen kann. Dieser Unterschied hat praktische Konsequenzen, mit denen die meisten KI-Anbieter und die meisten generalistischen Change-Management-Berater nicht umgehen können.

ISO 13485:2016 Abschnitt 4.1.6 verlangt, dass jede Änderung, die die Produktrealisierung beeinflusst, hinsichtlich ihrer Auswirkungen auf das QMS als Ganzes bewertet wird. Wenn ein KI-Tool beispielsweise in einen automatisierten Wareneingangsworkflow oder eine Anomalieerkennung in einer PMPF-Datenanalysepipeline integriert wird, ist diese Integration eine Designänderung. Sie erfordert eine dokumentierte Bewertung, Validierungsnachweise und möglicherweise aktualisierte Risikomanagementunterlagen gemäß Anhang I der IVDR. Die Herstellerangaben zu Genauigkeit und Leistung ersetzen nicht die eigene Validierung — und die mitgelieferte Konformitätsdokumentation bezieht sich auf das Tool isoliert betrachtet, nicht auf den spezifischen Anwendungsfall.

Das ist der erste Fehler, den die meisten KMUs machen: Sie behandeln KI-Adoption als Beschaffungsvorgang statt als Prozessänderung.

Wo die echten Chancen liegen

Die Chancen sind trotzdem real. Sie sind nur nicht gleichmäßig über die Organisation verteilt.

Dokumenten- und Wissensmanagement ist für die meisten Life-Science-KMUs der Einstiegspunkt mit dem höchsten Nutzen und dem geringsten Risiko. Regulatorische Dokumentation ist umfangreich, versionskontrolliert und in einem begrenzten Vokabular verfasst. KI-gestützte Erstellung von SOPs, Arbeitsanweisungen, Abweichungsberichten und Änderungsdokumentationen reduziert den Aufwand für die Dokumentationspflege, ohne validierte analytische Prozesse zu berühren. Das Risikoprofil ist handhabbar, weil der menschliche Prüfschritt gemäß ISO 13485 Abschnitt 4.2.3 unabhängig davon Pflicht bleibt, wie der Entwurf erstellt wurde. Ein gut implementierter KI-Schreibassistent ist in diesem Kontext ein Produktivitätsmultiplikator mit geringer regulatorischer Exposition.

Literaturmonitoring und Competitive Intelligence ist ähnlich risikoarm. Die automatisierte Überwachung von Preprint-Servern, regulatorischen Leitlinien und Wettbewerber-Einreichungen bietet einen echten strategischen Vorteil für KMUs, denen die personellen Ressourcen für manuelle Recherche fehlen. Die Ergebnisse fließen in Entscheidungen ein, stellen aber keine kontrollierten Prozessoutputs dar.

Datenanalyse und Mustererkennung in F&E-Workflows hat höheren Nutzen und höheres Risiko. KI-gestützte Analyse spektroskopischer Daten, NGS-Outputs oder Multiparameter-Assay-Ergebnisse kann Signale identifizieren, die menschliche Analysten übersehen. Die Möglichkeit ist real. Die Einschränkung: Jede Analyse, die in eine regulatorische Einreichung, einen Design-Verifikationsdatensatz oder eine klinische Leistungsbewertung einfließt, muss mit validierter Analysesoftware gemäß 21 CFR Part 11 (bei US-Marktzugang) oder dem entsprechenden EU-Rahmenwerk für elektronische Aufzeichnungen durchgeführt werden. Ein Allzweck-KI-Tool ohne Validierungspaket einzusetzen ist — unabhängig von der Güte der Ergebnisse — nicht compliant.

KI-integrierte IVD und SaMD haben das höchste Chancenpotenzial und den anspruchsvollsten Compliance-Pfad. Ein KI-gesteuerter Interpretationsalgorithmus in einem Diagnostikprodukt unterliegt der IVDR-Klassifizierung, dem MDCG 2021-6-Leitfaden zu KI in Medizinprodukten und — ab August 2026 — den Anforderungen für Hochrisiko-KI-Systeme gemäß Artikeln 9–15 des EU AI Act. Die Upside: ein technisch differenziertes Produkt. Der Preis: ein paralleles Compliance-Programm, das entsprechend ressourciert sein muss.

Wo die Risiken unterschätzt werden

Halluzinationen in auditkritischen Kontexten sind das unmittelbarste technische Risiko. Große Sprachmodelle erzeugen plausibel klingende Texte, die sachliche Fehler, erfundene regulatorische Zitate oder falsch zugeschriebene Leitlinien enthalten können. In einem nicht-regulierten Kontext ist das ein Ärgernis. Wenn die Genauigkeit einer SOP bestimmt, ob ein Prozess korrekt ausgeführt wird, oder eine regulatorische Einreichung falsche Artikelverweise enthält, sind die Folgen erheblich. Jedes KI-Tool zur Erstellung compliance-relevanter Texte benötigt einen strukturierten menschlichen Verifikationsschritt mit dokumentiertem Nachweis, dass diese Prüfung stattgefunden hat. Das ist keine kulturelle Empfehlung: Im QMS-Kontext ist eine undokumentierte Prüfung gleichbedeutend mit keiner Prüfung.

Unkontrollierte KI-Tool-Proliferation ist das organisationale Risiko, das sich still über 12–18 Monate aufbaut. Einzelne Teammitglieder adoptieren Consumer-KI-Tools, um ihre eigene Arbeit zu beschleunigen. Daten werden in cloudbasierte Interfaces eingefügt. Analytische Entscheidungen beginnen, von KI-Outputs abzuhängen, die weder im Batch-Record noch im Änderungsverlauf dokumentiert sind. Wenn das in einem internen Audit entdeckt wird, ist der Umfang des unkontrollierten Einsatzes bereits erheblich. Die Korrekturmaßnahme ist teuer. Prävention erfordert eine KI-Governance-Policy — nicht als Verbotsliste, sondern als strukturierter Prozess zur Tool-Bewertung, -Freigabe und Nutzungsdokumentation.

Das Validierungsschuldenproblem betrifft speziell KMUs beim Übergang vom Proof-of-Concept zur Produktionsnutzung. Ein KI-Modell, das auf der Datenverteilung zum Deployment-Zeitpunkt validiert wurde, driftet, wenn sich Betriebsbedingungen, Eingabedaten oder Nutzerpopulationen ändern. ISO 13485 und IVDR verlangen keine kontinuierliche Revalidierung explizit — aber sie verlangen, dass die Design-Verifikations- und -Validierungsnachweise gegenüber dem tatsächlich eingesetzten Gerät aktuell bleiben. Wenn das KI-Modell neu trainiert oder aktualisiert wird, muss der Änderungskontrollprozess bewerten, ob eine Revalidierung ausgelöst wird. Viele KMUs setzen KI-Systeme ohne definierte Update- und Retraining-Richtlinien ein — und akkumulieren damit bei jedem Modell-Update eine undokumentierte Compliance-Verbindlichkeit.

Die fehlerhafte Compliance-Einschätzung ist vielleicht das häufigste Risiko im KMU-Kontext: AI Act-Pflichten werden entweder vollständig ignoriert oder als Zukunftsproblem behandelt. Die verbotenen Praktiken unter Artikel 5 gelten seit Februar 2025. Die Deployer-Pflichten für GPAI-Modelle gelten ab August 2025. Die Anforderungen für Hochrisikosysteme gelten ab August 2026. Ein KMU, das kein KI-System-Inventar erstellt hat, kann nicht wissen, wo es auf diesem Zeitstrahl steht — und ein undokumentiertes Inventar ist selbst eine Compliance-Lücke im Sinne der Betreiberpflichten des AI Act.

Compliance als strukturelle Einschränkung und als Wettbewerbsvariable

Die Einrahmung regulatorischer Compliance als Hindernis für KI-Adoption ist verständlich, aber strategisch falsch. Hier ist der Grund.

Die Compliance-Last ist nicht symmetrisch verteilt. Ein gut aufgestelltes Pharmaunternehmen verfügt über dedizierte Teams für KI-Governance, Computersystemvalidierung und Regulatory Affairs. Wenn Compliance-Anforderungen steigen, absorbieren große Unternehmen sie in bestehende Infrastrukturen. Für ein KMU stellt die gleiche Anforderung eine proportional größere Belastung dar — aber auch einen proportional größeren Burggraben, wenn das KMU die Fähigkeit aufbaut, sie zu navigieren.

IVDR und AI Act zusammen haben den Mindeststandard für einen verteidigbaren Markteintritt bei Diagnostikprodukten effektiv angehoben. Diese Anhebung schadet unvorbereiteten KMUs und hilft gut vorbereiteten. Ein KMU, das in DSGVO-konforme Datenhaltung, KI-System-Dokumentation und QMS-integriertes Change Management investiert hat, ist besser positioniert, in einem regulierten Umfeld schneller zu agieren als ein Wettbewerber, der das alles aufgeschoben hat.

Es gibt auch eine Beschaffungsdimension. Größere Pharma- und Medtech-Unternehmen, die mit Life-Science-KMUs für Entwicklungsdienstleistungen oder Komponentenlieferung zusammenarbeiten, beziehen in Lieferantenqualifizierungsfragebücher zunehmend KI-Governance-Attestierungen ein. Konkret tauchen in RFQ- und Audit-Fragebögen Fragen zum AI Act-Compliance-Status, zu Datenhaltungs-Frameworks und zu Software-Validierungsverfahren auf. Für KMUs, die B2B-Verträge mit regulierten Primärunternehmen anstreben, ist nachweisbare KI-Governance nicht optional.

Was Change Management hier wirklich erfordert

Das in die Praxis zu übersetzen erfordert, über die Technologieebene hinauszugehen und KI-Adoption als Programm mit vier parallelen Workstreams zu behandeln:

Technische Validierung: Bestimmung des Verwendungszwecks jedes KI-Tools, Festlegung von Abnahmekriterien, Erstellung von Validierungsdaten und Dokumentation des Validierungspakets als kontrollierter Datensatz. Die Validierungstiefe skaliert mit der regulatorischen Klassifizierung des Prozesses, in den die KI eingeführt wird.

QMS-Integration: Aktualisierung des Änderungskontrollverfahrens um einen KI-spezifischen Bewertungsauslöser, Definition des organisationsinternen KI-Tool-Freigabeprozesses und Dokumentation genehmigter Tools mit Anwendungsbereich und etwaigen Einschränkungen.

Datenhaltungs-Alignment: Bestätigung, dass die von KI-Tools verarbeiteten oder erzeugten Daten gemäß DSGVO, Art. 10 AI Act-Datenhaltungsanforderungen (für Hochrisikosysteme) und etwaigen Aufbewahrungspflichten nach ISO 13485 behandelt werden. Wenn das KI-Tool personenbezogene Daten oder pseudonymisierte Forschungsdaten verarbeitet, müssen der Auftragsverarbeitungsvertrag mit dem Tool-Anbieter und die DSGVO-Rechtsgrundlage dokumentiert sein.

Organisationale Readiness: Definition, wer für die Leistung des KI-Systems verantwortlich ist, wer Modell-Updates autorisiert und welcher Eskalationsweg besteht, wenn ein KI-Output hinterfragt oder angefochten wird. Die Anforderung menschlicher Aufsicht gemäß Art. 14 AI Act ist nicht nur ein Systemdesign-Merkmal — sie erfordert eine identifizierte Person mit der Befugnis und Kompetenz zum Eingreifen.

Keiner dieser Workstreams erfordert ein großes Team. Ein 20-Personen-Diagnostik-KMU kann ein verteidigbares KI-Governance-Framework innerhalb seiner bestehenden QMS-Struktur aufbauen. Was es erfordert, ist jemanden, der sowohl technische Tiefe als auch regulatorische Prozesserfahrung mitbringt und die Integrationsarbeit vorantreibt. Genau diese Kombination ist das, woran der Markt derzeit mangelt.

---

Wenn Ihre Organisation KI-Adoption in einem regulierten Entwicklungsumfeld navigiert und Sie unsicher sind, ob Ihre aktuellen Praktiken einem Audit oder einer Beschaffungsqualifizierung standhalten würden — sprechen Sie mit mir. Die Lücke zwischen dem, was Sie haben, und dem, was Sie brauchen, ist meist kleiner und konkreter, als es den Anschein hat.