Skip to main content
Skip to footer

Neu

MDR

von Cerner Corporation
veröffentlicht am 08.11.2019

Warum sich im Bereich Medizinprodukte eigentlich nichts ändert, Krankenhäuser aber trotzdem aktiv werden sollten

Die 2020 anstehende Einführung der Medical Device Regulation (MDR), die auf europäischer Ebene die bislang geltende Medical Device Directive (MDD) ersetzen wird, sorgt im Vorfeld für Unsicherheit in den IT-Abteilungen mancher Krankenhäuser. Professor Dr. Johner, anerkannter Spezialist im Bereich Qualitätssicherung und Zulassung von medizinischen Softwareprodukten, erläutert, wo Krankenhäuser schnellstmöglich handeln sollten und wie sie zweckmäßig vorgehen können.

Lesedauer des gesamten Beitrags ca. 8 Minuten. Lieber später in Ruhe lesen? Laden Sie HIER die PDF-Version herunter.

*************************************************************************

Wirft man den Begriff „Medical Device Regulation“ in einen Raum, in dem sich Personen befinden, die sich mit Krankenhaus-IT beschäftigen, kann man davon ausgehen, dass sich eine gewisse Unruhe ausbreitet. Im Jahr 2020 ersetzt diese Medical Device Regulation (MDR) die bisherige Medical Device Directive (MDD). Dieses Ereignis könnte man – etwas überspitzt – mit dem Gültigwerden der Datenschutzgrundverordnung im Jahr 2018 vergleichen: Es ist begleitet von Unsicherheit.

Trotz weniger Änderungen sollte die Einführung der MDR nicht auf die leichte Schulter genommen werden Dabei ist diese Unsicherheit eigentlich nicht nötig, so Professor Dr. Christian Johner, Inhaber des gleichnamigen Instituts und anerkannter Spezialist im Bereich Qualitätssicherung und Zulassung von medizinischen Softwareprodukten: „Bei den grundlegenden Anforderungen, die die Produkte erfüllen müssen, ändert sich bei Software als Medizinprodukt nur wenig. Zwar treten mit der MDR auch einige Neuerungen in Kraft, wie z. B. der Nachweis, den Hersteller zum Thema IT-Sicherheit erbringen müssen. Aber im Großen und Ganzen geht es ähnlich wie bei der Datenschutzgrundverordnung um die Konkretisierung existierender Vorschriften.“ Allerdings: „Auf die leichte Schulter nehmen sollte man das Thema trotzdem nicht. Denn die MDR ergänzt Anforderungen, wie an die präzisere Überwachung der Produkte nach dem Inverkehrbringen, wie die Pflicht zur Kennzeichnung der Produkte mit einer eindeutigen Nummer, die Unique Device Identification (UDI), und die Pflicht, die Sicherheit und den klinischen Nutzen kritischer Produkte durch klinische Prüfungen zu beweisen.“

EU-Recht wird konkretisiert und verbindlich

Um in die komplexe Thematik einzusteigen, beschäftigt man sich am besten zunächst mit einigen Begrifflichkeiten. „Hier beginnt oft schon die Verwirrung“, weiß Professor Johner. „Aktuell gibt es die Medical Device Directive (MDD) als europäische Richtline für Medizinprodukte. Diese europäischen Richtlinien sind vergleichsweise grob gefasst und müssen von den Mitgliedstaaten der EU in nationales Recht um- gesetzt werden. In Deutschland ist die entsprechende Rechtsvorschrift das Medizinproduktegesetz (MPG), das allerdings der Einfachheit halber in vielen Bereichen auf die MDD zurückverweist. Die nationalen Gesetze werden dann noch durch nationale Verordnungen konkretisiert – in Deutschland z. B. durch die Medizinprodukte-Betreiberverordnung (MPBetreibV). Die Medizinprodukterichtlinie gilt seit 1993. Im Jahre 2007 erfolgten Klarstellungen, die das MPG 2010 übernahm. Inhaltlich hat sich aber im Wesentlichen nichts geändert.“

Die nächste Bearbeitung im Jahr 2020 bedingt einige gravierende inhaltlichen Änderungen, so Professor Johner: „Mit der Deadline 2020 wird auf europäischer Ebene die MDD durch die MDR, die Medical Device Regulation, ersetzt. Somit wird eine Richtline (Directive) durch eine Verordnung (Regulation) ersetzt. Sie ist konkreter, detaillierter und enthält beispielsweise auch Angaben zu Prüfungen und Medizinprodukteklassen. Die MDR ist – und das macht einen weiteren Unterschied aus – im Gegensatz zur MDD direkt in allen EU-Ländern verbindlich gültig. Sie muss nicht erst in nationales Recht umgesetzt werden. Das MPG und die MPBetreibV bleiben allerdings vorerst unverändert gültig.“

Die einschlägigen Regelungen gelten schon heute – nur wissen es viele nicht

Also alles gut und Rückkehr zum ‚business as usual‘? Nein, warnt Professor Johner. Denn der Teufel liegt im Detail: „An der Definition eines Medizinprodukts wird sich auch 2020 nichts Substanzielles ändern. Was allerdings anders sein wird, ist die Einordnung in Produktklassen.“ Bisher ist ein Großteil der Softwarelösungen im medizinischen Bereich, die nicht Bestandteil von höherklassigen Medizinprodukten sind, als Medizinprodukt der Klasse I registriert. Unter der MDR werden auch Stand-alone-Lösungen wie ein KIS in die Klasse IIa oder höher fallen.

Aber was bedeutet die Einteilung in Klassen konkret? „Die Unterschiede liegen darin, wie die Konformität bestätigt wird“, fasst Professor Johner grob zusammen. Während bei Medizinprodukten der Klasse I eine Konformitätserklärung seitens der Hersteller ausreichend ist, muss bei einem Klasse-II-Produkt eine benannte Stelle in dieses sogenannte Konformitätsbewertungsverfahren einbezogen und ein zertifiziertes Qualitätsmanagement vom Hersteller nachgewiesen werden. Dabei muss der Hersteller nicht unbedingt ein Softwareunternehmen sein: „Auch Krankenhäuser können sogenannte Eigenhersteller im Sinne der Gesetzgebung sein. Zum Beispiel dann, wenn sie eigene Anwendungen entwickeln. In diesem Fall müssen sie schon heute nachweisen können, dass diese Entwicklungen mit den gesetzlichen Vorgaben für Medizinprodukte konform sind. Viele Kliniken sind sich dessen nicht bewusst und haben somit tickende Zeitbomben im Keller. Entsprechend sollten Kliniken die Zeit bis zum Inkrafttreten der MDR nutzen und ihre Dokumentation prüfen und ggf. nachholen.“

Die Situation durch systematisches Vorgehen entschärfen

Wie sollten Krankenhäuser also vorgehen? Professor Johner empfiehlt den betroffenen Kliniken ein systematisches Vorgehen: „Krankenhäuser sollten zunächst eine komplette Bestandsaufnahme ihrer Softwareanwendungen machen. Vom Textverarbeitungssystem bis hin zu einzelnen Anwendungen im KIS. Die nächste Frage ist: Handelt es sich um ein Medizinprodukt oder nicht? Dabei ist nicht die Funktionalität entscheidend, sondern die Zweckbestimmung. Ein Office-Programm, das zur reinen Dokumentation bestimmt ist, gegebenenfalls auch von medizinischen Daten, wird kein Medizinprodukt sein. Eine Software, die die Medikation auf unerwünschte Wirkungen prüft, schon. Die Zweckbestimmung findet sich bei kommerziellen Produkten im Allgemeinen in der Produktdokumentation. Bei Eigenentwicklungen sollte man bei der Definition des Zwecks selbstkritisch sein.“

Ist die Bestandsaufnahme geschafft, empfiehlt Professor Johner die Einteilung in Gruppen:

a) Software, die kein Medizinprodukt ist. Hier sind in der Regel keine weiteren Schritte notwendig. Allerdings sollte die entsprechende Zweckbestimmung griffbereit sein.

b) Produkte, die vom Hersteller bzw. ,In-Verkehr- Bringer` bereits als Medizinprodukt zugelassen wurden. Hier sollte sichergestellt werden, dass eine entsprechende Konformitätserklärung des Herstellers vorliegt und vorgewiesen werden kann.

c) Produkte, die durch eigene Entwicklungen ergänzt bzw. modifiziert wurden. Hier muss zunächst – ggf. auch in Abstimmung mit dem Hersteller des Ausgangsprodukts – die Zweckbestimmung geklärt werden. Auch wenn das Produkt ursprünglich nicht als Medizinprodukt definiert wurde, kann es durch Eigenentwicklung zu einem geworden sein.

„Der klassische Fall wäre hier beispielsweise ein Tabellenkalkulationsprogramm, das mithilfe einer eigenen Programmierung zu einer Berechnung von Dosierungen von Medikamenten oder zum Ableiten von Diagnosen genutzt wird“, warnt Professor Johner. Kommt die Prüfung zu dem Ergebnis, dass es sich um ein Medizinprodukt handelt, sollte der Hersteller kontaktiert werden, um sich in Hinblick auf Dokumentation und Qualitätssicherung abzustimmen. „Im oben genannten Beispiel wäre das Krankenhaus dafür verantwortlich, wenn es als (Eigen-)Hersteller des Medizinprodukts agiert und nicht ein bestehendes Medizinprodukt im Rahmen von dessen Zweckbestimmung parametriert“, erklärt Professor Johner. „Grundsätzlich gilt, dass der Hersteller nur für Modifikationen verantwortlich ist, die er auch erlaubt und die im Rahmen der Zweckbestimmung liegen – also z. B. Customizing. Alles, was darüber hinausgeht, verantwortet derjenige, der die Änderungen vornimmt.“

d) Komplette Eigenprogrammierungen. Sollte sich hier ergeben, dass es sich der Zweckbestimmung gemäß um ein Medizinprodukt handelt, muss die entsprechende Dokumentation geprüft bzw. schnellstmöglich erstellt werden.

„Wichtig ist, dass die Dokumentations- und Nachweispflichten schon heute gelten“, mahnt Professor Johner nochmals an. „Die Einführung der MDR bringt das nur noch einmal ins Bewusstsein.“ Die Wahrscheinlichkeit, dass Behörden von Krankenhäusern den Nachweis der Konformität mit den gesetzlichen Anforderungen bei Eigenherstellungen einfordern, steigt. „Ob und was in Hinblick auf diese Prüfungen kommen wird, ist teilweise noch offen“, erläutert Professor Johner. „Bei Firmen, die Healthcare IT herstellen und sie in Verkehr bringen, ist der Fall klar. Für Krankenhäuser, die Eigenentwicklungen nutzen, sind Details des Prüfverfahrens noch unklar, da sie nationalem Recht unterliegen. Das ändert aber nichts daran, dass die Dokumentations- und Nachweispflicht schon heute besteht.“

Auf Fallstricke achten

Dabei sollten IT-Verantwortliche und Geschäftsführer im eigenen Interesse auch auf einen weiteren Fallstrick achten: „Die Regularien gelten natürlich auch für Software, die ein IT-affiner Arzt programmiert hat und nutzt. Oder für Apps, aus welchen Quellen auch immer, sofern sie Medizinprodukte sind. Krankenhäuser sollten also auch ihr Personal für das Thema sensibilisieren. Ich kann nur dringend empfehlen, dass Krankenhäuser – wenn nicht schon geschehen – die vorhandene Software prüfen, ggf. die Nachweise ein- bzw. die Dokumentation nachholen und einen Prozess etablieren, der zukünftig sicherstellt, dass alles regelkonform abläuft.“

Denn die Regelungen im Bereich der Medizinprodukte sind kein Selbstzweck. „Spätestens, wenn ein Patient geschädigt wird, können ein fehlender Nachweis oder eine fehlende Dokumentation erhebliche Folgen haben. Da geht es dann neben zivilrechtlichen Schadenersatzforderungen auch um strafrechtliche Konsequenzen.“

Dabei, so Professor Johner, sollte jedem bewusst sein, dass die Regeln im Detail wesentlich komplexer sind, als sie in einem groben Abriss dargestellt werden können: „Neben den eingangs genannten Gesetzen und Verordnungen reden wir hier über rund 250 Normen und weitere Vorschriften und Handlungsempfehlungen auf EU-Ebene. Es ist also im Zweifelsfall empfehlenswert, sich möglichst frühzeitig mit den Herstellern bzw. Fachleuten zusammenzuschließen, um sicher zu sein, dass nicht nur die Software, sondern eben auch die notwendigen Dokumentationen gepflegt sind.“

Enge Zusammenarbeit mit den Herstellern schafft Klarheit

Das gilt vor allem für Patches und das Customizing. „Wenn man sich hier im Rahmen der Herstellervorgaben, wie der sogenannten Zweckbestimmung, Wartungsvorgaben etc. bewegt, liegt die Nachweis- und Dokumentationspflicht in der Regel beim Hersteller“, erläutert Professor Johner. „Sobald man allerdings außerhalb der vorgegebenen Zweckbestimmung handelt, kann es sein, dass man als Krankenhaus plötzlich selbst Hersteller und damit in der Pflicht ist. Gerade bei eng vernetzten Anwendungen oder sehr flexiblen Lösungen sollte man also mit dem ursprünglichen Hersteller klar definieren, wer wann zuständig ist.“

Die kurze Zeit, die bis zur Einführung der MDR noch bleibt, sollte also von den Krankenhäusern genutzt werden. Denn, wie Professor Johner weiß: „Zahlreiche Krankenhäuser sind sich nicht bewusst, dass die Regelungen heute schon gelten und lediglich verschärft werden. Entsprechend viele Zeitbomben liegen also noch in den Kellern herum.“

Zeit, sie schnellstmöglich zu entschärfen.

Fotos: © iStock