Die MedTech-Bestandsaufnahme: Sechs Monate später — was Bestand hatte, was sich verändert hat und was schwieriger geworden ist

Im Dezember lautete die These, dass die neue Wettbewerbsfläche im MedTech-Bereich die Absicherung (Assurance) ist: die Fähigkeit, Vertrauen im großen Maßstab über Beschaffung, Regulierung, Cybersicherheit, Daten-Governance und KI-Governance hinweg operativ umzusetzen. Einkäufer institutionalisierten Risikokontrolle, und die Organisationen, die überproportional gewannen, bauten das, was in dem damaligen Beitrag als ein „beschaffungs-alignedes Assurance-Stack“ bezeichnet wurde — ein einheitliches, für Käufer nutzbares Nachweissystem, das direkt auf die Entscheidungspunkte der Beschaffung ausgerichtet ist.

Sechs Monate sind genug Zeit, um die These mit der Realität abzugleichen. Die Kurzfassung: Die Kernargumentation hat Bestand. Aber das Terrain hat sich in einer Weise verschoben, die eine genauere Betrachtung verdient — einige Entwicklungen stärken die Assurance-These, andere fügen wichtige Nuancen hinzu, und eine eröffnet eine wirklich neue kommerzielle Dimension, die im Dezember noch nicht sichtbar war.

Was sich bestätigt hat

Die wichtigste Bestätigung ist, dass „gesteuerte KI“ (governed AI) im Sektor zu einem Standardrahmen geworden ist und nicht mehr zu einer zukunftsgerichteten Prognose. Die Frage ist nicht mehr, ob KI-Governance eine kommerzielle Anforderung ist. Sie ist es. Was sich verändert hat, ist die organisatorische Infrastruktur, die darum herum aufgebaut wird.

Die Analyse von Deloitte zu den MedTech-Trends vom Januar 2026 hat es klar formuliert: KI-Fähigkeiten entwickeln sich rasch zum zentralen Wettbewerbsdifferenzierungsfaktor im MedTech-Sektor. Doch genau so, wie es der Dezember-Artikel argumentiert hat, zeigt sich der Vorteil nicht im bloßen Einsatz von KI, sondern in ihrer glaubwürdigen Governance. Führende Organisationen bauen KI-Playbooks, Centers of Excellence und standardisierte Datenmanagement-Praktiken als vorgelagerte Ebene auf, bevor KI im großen Maßstab Wert liefern kann. Die Trennung zwischen „KI-Hype“ und „KI-Operationalisierung“ wird zunehmend durch Marktergebnisse und nicht nur durch Analysten definiert.

Die Entwicklung der FDA im Rahmen des PCCP hat sich ebenfalls weiter zugespitzt. Was im August 2025 noch eine Leitlinie war, ist heute eine Durchsetzungslogik: Branchenanalysen verweisen auf stärker datengetriebene Inspektionen, mehr Warning Letters und eine explizite Erwartung nachvollziehbarer Datenherkunft und Audit-Trails über den gesamten Produktlebenszyklus hinweg. Die „Change-in-advance“-Logik des PCCP-Rahmens ist zur Referenzarchitektur für KI-gestützte Medizingeräte-Software geworden. Hersteller, die dies als reine Dokumentationsübung verstanden haben, erkennen nun, dass es tatsächlich eine Anforderung an das Design des Qualitätssystems ist – genau wie im Dezember-Artikel beschrieben.

Auch die Entwicklung im Bereich der Beschaffungsverschärfung ist intakt. Die NHS-Entwicklung im Value-Based Procurement sowie das IPI-Instrument, das die chinesische Beteiligung an EU-Medizinproduktebeschaffungen über 5 Millionen Euro einschränkt, waren klare Signale. Beide spiegeln eine tiefere strukturelle Verschiebung wider: Beschaffung wird zu einer strategischen Funktion und nicht mehr nur zu einer Kostenkontrollfunktion. Die Zuschlagsfähigkeit eines Angebots wird zunehmend durch die Positionierung des Anbieters bestimmt — etwa hinsichtlich Lieferkettenherkunft, Sicherheitsreaktionsfähigkeit und Qualität der Compliance-Nachweise — noch bevor kommerzielle Bedingungen überhaupt verhandelt werden.

Was sich verändert hat

1) Die KI-Governance-Architektur in Europa ist deutlich komplexer geworden

Der Zeitplan des EU AI Act wirkte im Dezember noch relativ stabil. Das ist er nicht mehr. In der ersten Hälfte von 2026 haben sich zwei strukturelle Veränderungen ergeben, die die Compliance-Landschaft in Europa eher komplizierter als einfacher machen.

Die erste ist der Digital Omnibus. Die Europäische Kommission hat vorgeschlagen, die Fristen für die Hochrisiko-Anforderungen des AI Act zu verschieben, mit einer klaren Begründung: Viele der harmonisierten Standards und gemeinsamen Spezifikationen, die für die Umsetzung dieser Anforderungen nötig sind, existieren noch nicht. Für Hersteller klingt das nach Erleichterung. In der Praxis entsteht jedoch ein Planungsproblem: Der Zeitrahmen verschiebt sich, die Richtung aber nicht – und Governance-Strukturen gegen eine bewegliche Deadline aufzubauen ist schwieriger als gegen eine feste.

Die zweite Veränderung ist strukturell noch bedeutender. Nach Lobbyarbeit unter anderem von MedTech Europe hat das EU-Parlament im März 2026 mit großer Mehrheit beschlossen, Medizinprodukte im Rahmen des AI Act von Anhang I Abschnitt A in Abschnitt B zu verschieben. Das bedeutet faktisch, dass KI-Anforderungen für Medizinprodukte primär über MDR/IVDR umgesetzt werden und nicht als parallele Verpflichtung im AI Act bestehen.

Das ist grundsätzlich der richtige Schritt. Doppelregulierung war von Anfang an eine unnötige Belastung. Aber die Übergangsphase wird – in den Worten eines juristischen Beobachters – „ungeordnet“ verlaufen. Der Vorschlag könnte bis Sommer 2026 oder erst 2027 finalisiert werden. In der Zwischenzeit fehlt Herstellern ein klarer, einheitlicher Referenzrahmen für KI-Governance.

Die praktische Konsequenz für kommerzielle Teams ist, dass die „gesteuerte Veränderung“-Erzählung gegenüber Beschaffung, Regulatory Affairs und Vertragsparteien diese Unsicherheit explizit berücksichtigen muss. Käufer mit ausgeprägten Rechts- und Compliance-Funktionen werden diese Entwicklung kennen – und vage Sicherheit wird schneller an Glaubwürdigkeit verlieren als ehrliche Unsicherheit mit klarer interner Governance.

2) Die MDR/IVDR-Revision wurde zu einem parallelen Strukturthema

Das stand im Dezember noch nicht im Vordergrund – oder zumindest nicht als aktiver Gesetzgebungsstrang. Die Europäische Kommission hat im Dezember 2025 ihre formellen MDR/IVDR-Revisionvorschläge veröffentlicht, und bis Mai 2026 hatte MedTech Europe bereits eine detaillierte 40-seitige Stellungnahme dazu vorgelegt. Der MedTech Forum in Stockholm im vergangenen Monat hatte die MDR/IVDR-Revision als zentralen Hintergrund.

Ziel der Revision ist es, regulatorische Prozesse zu vereinfachen, den administrativen Aufwand zu reduzieren und die Planbarkeit zu erhöhen – bei gleichzeitiger Wahrung der Patientensicherheit. MedTech Europe unterstützt die Richtung grundsätzlich, fordert jedoch gezielte Anpassungen, insbesondere hinsichtlich regulatorischer Fragmentierung (die Vorschläge schaffen keine einheitliche Verantwortungsstruktur) sowie der IVDR-Übergangsfristen, die für Hersteller von Klasse-C-IVDs erheblichen Druck erzeugen.

Für die Assurance-These entsteht dadurch eine interessante Verschiebung. Die MDR/IVDR-Revision ist teilweise durch die berechtigte Sorge motiviert, dass regulatorische Last Hersteller dazu bringt, den europäischen Markt zu reduzieren oder zu verlassen. Die Debatte beim MedTech Forum hat das deutlich gezeigt: Die CEO von MedTech Europe argumentierte, dass die Antwort auf europäische Gesundheitsresilienz nicht „Buy European“, sondern „Buy better“ sei – und dass preisgetriebene Beschaffung Innovation, Ergebnisse und Wettbewerbsfähigkeit untergräbt. Das ist eine andere Art regulatorischer Erzählung als im Dezember. Damals dominierte das Bild von Compliance als zunehmendem Druck. Die neue Perspektive ist Compliance als ausgehandeltes Betriebsmodell – ein aktiver Dialog zwischen Regulatoren und Industrie darüber, was praktikabel ist. Das verändert den Ton, aber nicht die grundlegende kommerzielle Anforderung.

3) Das Vereinigte Königreich hat sich als eigener Regulierungsstrang geöffnet

Der Dezember-Text hat das UK nicht behandelt, was angesichts des EU-Fokus nachvollziehbar war. Inzwischen ist es jedoch ein eigenständiger relevanter Track. Das Vereinigte Königreich hat den Entwurf der Medical Devices (Amendment) Regulations 2026 veröffentlicht – beschrieben als die bedeutendste Überarbeitung des britischen Vorabzulassungsrahmens für Medizinprodukte seit Jahren. Der Entwurf sieht ein neues, eigenständiges Regelwerk vor, das an internationale Standards (ISO 13485:2016) angelehnt ist, im Anschluss an Anpassungen der Post-Market-Surveillance-Regeln im Juni 2025.

Für Anbieter, die sowohl in der EU als auch im UK tätig sind, bedeutet das eine klare Trennung der regulatorischen Pfade. Das britische Rahmenwerk entwickelt sich bewusst vom EU-MDR/IVDR-System weg, statt es nur zeitlich verzögert nachzubilden. Die kommerzielle Konsequenz ist, dass „paneuropäische Assurance“ zunehmend ein Multi-Regime-Modell wird. Die Evidenzbasis, Governance-Dokumentation und beschaffungsrelevanten Narrative müssen so aufgebaut sein, dass sie je nach Markt angepasst werden können – nicht als einheitliches Paket, sondern als strukturierte, modular anpassbare Grundlage.

Was schwieriger geworden

Die FDA-Qualitätsmanagementsystem-Regulation

Im Jahr 2026 aktualisiert die FDA ihre grundlegenden Qualitätsanforderungen im Rahmen der Quality Management System Regulation (QMSR) und gleicht damit die US-Aufsicht an ISO 13485:2016 an. Das klingt nach Harmonisierung — und ist es auch — bedeutet aber gleichzeitig eine operative Transformation für jeden Hersteller, dessen Qualitätssystem noch auf der bisherigen Quality System Regulation basiert. Die Kombination aus QMSR-Umstellung, PCCP-Verpflichtungen für KI-gestützte Medizinproduktssoftware und einer strengeren Inspektionspraxis erzeugt einen konvergierenden Druckpunkt, für den viele mittelgroße Hersteller nicht gut aufgestellt sind.

Kommerziell ist das relevant, weil die Reife des Qualitätssystems zunehmend ein Beschaffungssignal ist. Käufer — insbesondere große Gesundheitssysteme und anspruchsvolle OEM-Partner — entwickeln die Fähigkeit, die Compliance-Performance eines Herstellers als Proxy für Liefer- und Ausfallrisiken zu lesen. Eine QMSR-Lücke ist damit nicht mehr nur ein regulatorisches Risiko, sondern ein Problem für die Abschlussgeschwindigkeit von Deals.

Die Rückverlagerung der Lieferkettenherkunft wurde weiter verschärft

Das Thema Lieferkettenresilienz ist seit Dezember lauter und konkreter geworden. Das zentrale Thema des MedTech Forums war die Versorgungssicherheit im Gesundheitswesen während Krisen. Die IPI-Maßnahme zur chinesischen Beteiligung war ein früher Indikator; die Weiterentwicklung ist eine breitere Erwartung, dass jeder Bieter in bedeutenden Ausschreibungen die Herkunft seiner Lieferkette und die Zusammensetzung von Subunternehmern präzise nachweisen kann.

Für die meisten Anbieter ist das schwieriger als es klingt. Die heute von der Beschaffung erwartete Herkunftsdokumentation — Ursprungsanteile, Subunternehmerketten, Rückverfolgbarkeit auf Komponentenebene — wurde historisch nicht in der heute geforderten Granularität gepflegt. Diese Daten nachträglich aufzubauen und gleichzeitig das laufende Geschäft zu steuern, ist tatsächlich anspruchsvoll. Organisationen, die dies bereits Anfang 2025 priorisiert haben, sind deutlich im Vorteil. Alle anderen stellen fest, dass Lieferkettenherkunft inzwischen kein zukünftiges Thema mehr ist, sondern eine langsam wirkende Zulassungsvoraussetzung.

Der neue Ansatz: regulatorischer Pragmatismus als kommerzielle Chance

Dies ist die Entwicklung, die im Dezember noch nicht sichtbar war und jetzt besondere Aufmerksamkeit verdient.

Die regulatorische Richtung der EU besteht nicht nur darin, zusätzliche Anforderungen einzuführen. Sie zielt auch darauf ab, einen Marktaustritt zu verhindern. Die MDR/IVDR-Revision, die Integration des AI Act in MDR/IVDR, die Harmonisierung durch die QMSR — all dies spiegelt die Erkenntnis auf politischer Ebene wider, dass regulatorische Belastung reale Auswirkungen auf Marktverfügbarkeit und Patientenzugang hat. Regulierungsbehörden signalisieren damit deutlicher als zuvor, dass sie möchten, dass Hersteller den Rahmen nicht nur überleben, sondern erfolgreich darin agieren.

Für kommerziell anspruchsvolle Anbieter entsteht dadurch eine neue Art der Positionierung. Die Gesprächsebene lautet nicht mehr nur: „Wir können euch helfen, die Anforderungen zu erfüllen.“ Sondern: „Wir verstehen, wohin sich der regulatorische Rahmen entwickelt, und wir können euch dabei unterstützen, ihn so aufzubauen, dass er über mehrere Revisionen hinweg stabil bleibt.“ Das ist ein deutlich anderes Wertversprechen — eines, das echte regulatorische Intelligenz voraussetzt und nicht nur operative Compliance-Fähigkeit.

Die Organisationen, die daraus einen kommerziellen Vorteil ziehen, sind diejenigen, die regulatorische Kompetenz in kaufentscheidungsfähige Sprache übersetzen können. Nicht regulatorische Briefings in Verkaufsdokumenten, sondern eine echte Darstellung davon, wie heute getroffene Entscheidungen zur Governance-Architektur spätere Nacharbeit reduzieren, Zulassungszeiten verkürzen und Preissetzungsmacht über zukünftige regulatorische Übergänge hinweg schützen.

Das vereinheitlichende Muster, aktualisiert

Das vereinheitlichende Muster im Dezember war: Einkäufer institutionalisieren Risikokontrolle, und die Gewinner bauen einen beschaffungs-aligneden Assurance-Stack auf.

Das stimmt weiterhin. Aber das Bild ist inzwischen stärker ausdifferenziert. Regulatorische Rahmenwerke selbst befinden sich in aktiver Aushandlung — die MDR/IVDR-Revision, die AI-Act-Ausnahme für MedTech, das eigenständige UK-Regime und die QMSR-Aktualisierung entwickeln sich alle gleichzeitig. Die Konsequenz ist, dass der Assurance-Stack nicht nur für den aktuellen Stand ausgelegt sein muss, sondern für Anpassungsfähigkeit.

Die Organisationen, die im zweiten Halbjahr 2026 ihren Vorsprung ausbauen werden, haben zwei Dinge umgesetzt: Sie haben eine versionierte, nachverfolgbare Evidenzbibliothek aufgebaut, die sich effizient an sich verändernde Rahmenwerke anpassen lässt, und sie haben die funktionsübergreifende Kompetenz — RA/QA, Legal, Commercial, Product — entwickelt, um diese Bibliothek gleichzeitig in unterschiedliche „Buyer-Sprachen“ zu übersetzen. Die interne Assurance-Infrastruktur ist notwendig, aber nicht ausreichend. Die Fähigkeit zur kommerziellen Übersetzung ist das, was daraus tatsächliche Abschlussgeschwindigkeit macht.

Eine praktische Beobachtung aus dem Markt: Genau diese funktionsübergreifende Abstimmung bleibt der Engpass. Hersteller mit starken RA/QA-Funktionen und schwacher kommerzieller Übersetzung lassen in Beschaffungsgesprächen Wert liegen. Hersteller mit starken Commercial-Teams und schwacher Compliance-Evidenz verlieren in Security-Reviews und Vertragsverhandlungen. Die Lücke zwischen diesen beiden Profilen ist der Bereich, in dem der Wettbewerb derzeit entschieden wird.

Fazit: Der Rahmen bewegt sich, die Anforderung nicht

Wenn die Botschaft im Dezember lautete „Assurance ist die neue Wachstumsstrategie“, dann lautet das Update im Juni: Assurance gegen einen sich bewegenden regulatorischen Rahmen — mit der organisatorischen Resilienz, sich anzupassen — ist die dauerhafte Form dieser Strategie.

Das regulatorische Umfeld im MedTech-Bereich befindet sich in einem echten Wandel. Nicht in einer Weise, die die Compliance-Anforderung reduziert — im Gegenteil, in manchen Bereichen wird sie sogar verschärft — sondern in einer Weise, die Organisationen belohnt, die mit Unsicherheit umgehen können, ohne ihre kommerzielle Dynamik zu verlieren. Die Evidenzbibliothek, der Change-Governance-Mechanismus, die Security-Response-Fähigkeit, die procurement-native Narrative: all das bleibt die richtige Investition. Die zusätzliche Anforderung ist, dass diese Bausteine so aufgebaut sind, dass sie sich weiterentwickeln können, statt an einen einzelnen regulatorischen Moment gebunden zu sein, der sich bereits wieder verändert hat, wenn der nächste Beschaffungszyklus beginnt.

Die Gewinner von 2026 werden nicht diejenigen sein, die Compliance einmal richtig umgesetzt haben. Es werden diejenigen sein, die die organisatorische Fähigkeit aufgebaut haben, sie kontinuierlich richtig umzusetzen — und diese Fähigkeit den Käufern bereits vor Vertragsabschluss nachweisen können.