Software als Medizinprodukt: Warum Verwendungszweck und Risikoklassifizierung für Hersteller entscheidend sind

Von Pamela Gwynn

Auch in der Medizinprodukteindustrie hält der technologische Fortschritt Einzug: Es werden Produkte entwickelt, die Innovation, Sicherheit und Wirksamkeit vereinen. In den letzten Jahren ist Software zu einem integralen Bestandteil von Medizinprodukten verschiedenster Art geworden. Von Lifestyle-Anwendungen bis hin zu Geräten zur Echtzeitüberwachung lebensbedrohlicher Zustände: Software als Medizinprodukt (SaMD) ersetzt immer häufiger die klassische Medizintechnik und verändert damit die Gesundheitsversorgung weltweit.

Aufgrund dieser großen Bandbreite ist die Bewertung der regulatorischen Konformität einer SaMD sehr komplex. Derzeit auf dem Markt erhältliche SaMD können in alle von den Aufsichtsbehörden genutzten Risikoklassen eingeordnet werden: von Produkten mit geringem Risiko und Verbraucheranwendungen bis hin zu Geräten mit hohem Risiko für die Diagnose und Behandlung schwerer Erkrankungen.

Aufgrund dieser Bandbreite an Risiken ist es besonders wichtig, die medizinische Zweckbestimmung von SaMD klar zu definieren und deren klinische Auswirkungen zu ermitteln. Außerdem muss schon im Entwicklungsprozess ein konsequentes Risikomanagement integriert werden.

Software als Medizinprodukt: Eine Definition

Das International Medical Device Regulators Forum (IMDRF), ein Zusammenschluss internationaler Medizinproduktebehörden aus der Europäischen Union, den USA, Japan, China und weiteren Ländern, definiert SaMD als „Software, die für einen oder mehrere medizinische Zwecke bestimmt ist und diese Zwecke erfüllt, ohne Teil eines Medizinprodukts zu sein.“ SaMD kann unter anderem für diagnostische oder therapeutische Zwecke eingesetzt werden, etwa für die Bildverarbeitung zur Erkennung von Krebs und anderen Erkrankungen sowie für die Entwicklung, Herstellung und Prüfung von Medizinprodukten.

Software, die auf einem Computer installiert ist und für Verwaltungsprozesse im Krankenhaus genutzt wird, etwa zur Rechnungsstellung, Verwaltung von Versicherungsdaten oder zur Bereitstellung von Schulungsmaterialien und Tools für die medizinische Ausbildung, gilt dagegen nicht als SaMD. Auch Anwendungen, die auf Smartphones installiert sind und von Patienten oder Verbrauchern zum Abruf gesundheitsbezogener Informationen genutzt werden, gelten im Rahmen der behördlichen Überwachung nicht als SaMD.

Software wird bereits seit den 1970er-Jahren in Verbindung mit Medizinprodukten eingesetzt, erstmals etwa in Magnetresonanztomographen (MRT) und anderen bildgebenden Systemen. Heute können medizinische Fachkräfte mit SaMD wichtige Patientendaten aus der Ferne erfassen, Diagnosen stellen und geeignete Behandlungen einleiten. SaMD spielt auch bei elektronischen Patientenakten, die von Krankenhäusern und medizinischen Fachkräften verwendet werden, eine wichtige Rolle.

Der weitreichende Einsatz von SaMD wird in den kommenden Jahren voraussichtlich zu einem bedeutenden Branchenwachstum führen. Der weltweite Markt für SaMD wird bis 2033 voraussichtlich 5 Milliarden US-Dollar erreichen, was einer durchschnittlichen jährlichen Wachstumsrate von 13,6 % im Zeitraum von 2024 bis 2033 entspricht. (Siehe „Update zur SaMD-Branche“)

Zentrale Herausforderungen von SaMD

Neben den Vorteilen von SaMD gibt es auch Herausforderungen und Probleme, die aktuell und in Zukunft bei der Entwicklung berücksichtigt werden müssen. Wie bei allen softwarebasierten Produkten oder Geräten haben Zuverlässigkeit und Kompatibilität höchste Priorität. Gerade bei der Entwicklung von SaMD sind diese Aspekte besonders wichtig, da eine mangelhafte Gestaltung oder unzureichende Tests eine angemessene Versorgung von Patienten und Anwendern gefährden können.

Das Thema Cybersicherheit stellt für alle softwarebasierten Geräte – und so auch für SaMD – ein zunehmendes Problem dar. Cyberangriffe auf SaMD und andere Medizinprodukte und -systeme sind keine Seltenheit mehr. Den beim US-Gesundheitsministerium eingereichten Fällen zufolge wurden in den USA im Jahr 2024 etwa 400 Cyberangriffe auf Gesundheitseinrichtungen gemeldet. Bis März 2025 waren es bereits mehr als 150. Datendiebstahl und Ransomware-Angriffe im US-Gesundheitssystem sind besonders gravierend, da sie das Leben von Patienten und Pflegekräften gefährden können.

Zur Lösung der genannten Probleme sowie weiterer potenzieller Sicherheitsrisiken müssen SaMD-Unternehmen robuste Konzepte und Verfahren entwickeln. Neben gestalterischen Aspekten sollten für SaMD umfangreiche Verschlüsselungsmethoden angewendet und regelmäßig Softwareupdates zur Verfügung gestellt werden. Zudem sind die Produkte auf Anfälligkeiten gegen die neuesten Cyberbedrohungen zu prüfen.

Zweckbestimmung und Anwendung eines strukturierten Risikomanagements bei der Entwicklung von SaMD

Die regulatorische Bewertung der meisten SaMD sowie anderer für medizinische Zwecke vorgesehener Produkte erfolgt anhand eines strengen Klassifizierungssystems, das sowohl den Verwendungszweck als auch die mit der Nutzung verbundenen potenziellen Risiken festlegt. Um SaMD-Hersteller und -Entwickler bei der Bewertung ihrer Produkte hinsichtlich dieser beiden Faktoren zu unterstützen, stellt das IMDRF ein hilfreiches Rahmenwerk zur Risikoklassifizierung zur Verfügung.

Das IMDRF-Rahmenwerk sieht für jede der vier Risikoklassen die nachfolgend zusammengefassten Kriterien vor (geordnet vom höchsten zum geringsten Risiko):

• Klasse IV – SaMD, die Informationen zur Behandlung oder Diagnose einer lebensbedrohlichen Erkrankung bzw. eines lebensbedrohlichen Zustands liefern, sind ein Risiko der Klasse IV und haben somit ein sehr hohes Risikopotenzial.
• Klasse III – SaMD, die Informationen zur Behandlung oder Diagnose einer schwerwiegenden Erkrankung bzw. eines schwerwiegenden Zustands liefern und die klinische Behandlung unterstützen, sind ein Risiko der Klasse III und haben somit ein hohes Risikopotenzial.
• Klasse II – SaMD, die Informationen zur Behandlung oder Diagnose einer nicht schwerwiegenden Erkrankung bzw. eines nicht schwerwiegenden Zustands liefern und die klinische Behandlung unterstützen oder darüber informieren, sind ein Risiko der Klasse II und haben somit ein mittelhohes Risikopotenzial.
• Klasse I – SaMD, die Informationen zur Unterstützung der klinischen Behandlung einer nicht schwerwiegenden Erkrankung bzw. eines nicht schwerwiegenden Zustands bereitstellen, sind ein Risiko der Klasse I und werden somit als risikoarm eingestuft.

Dieser Klassifizierungsrahmen dient SaMD-Herstellern und -Entwicklern zur eindeutigen Definition des Verwendungszwecks und zur detaillierten Darstellung der spezifischen, mit der Verwendung verbundenen Risiken. Das ist entscheidend, um die für die Überprüfung ihrer Produkte durch die Zulassungsbehörden erforderlichen Daten vorzubereiten.

So unterstützt UL Solutions SaMD-Hersteller bei der Produktkonformität

UL Solutions bietet Herstellern und Entwicklungsteams von SaMD ein umfassendes Spektrum an Prüf- und Zertifizierungsdienstleistungen zur Bewertung der Sicherheit und Wirksamkeit von SaMD und anderen Softwarelösungen im Gesundheitsbereich. Wir bewerten nach verschiedenen wichtigen Branchenstandards, darunter:

• IEC 82304-1: Gesundheitssoftware – Teil 1: Allgemeine Anforderungen für die Produktsicherheit
• IEC 62304:2006: Medizingeräte-Software – Software-Lebenszyklus-Prozesse

Durch die Erfüllung dieser und weiterer SaMD-relevanter Normen und Vorschriften mithilfe geeigneter Prüfungen und Zertifizierungen können Verzögerungen im regulatorischen Prüf- und Zulassungsprozess minimiert werden. UL Solutions unterstützt sie zusätzlich bei der Planung von Softwarewartungen und anderen Aktivitäten nach dem Inverkehrbringen – und hilft Ihnen so, das Risiko zukünftiger Produktrückrufe nachhaltig zu minimieren.

Mit einem UL-Prüfzeichen oder einer Zertifizierung für Ihre SaMD unterstreichen Sie Ihr Engagement für Qualität und Sicherheit gegenüber Anwendern und Kunden – und reduzieren gleichzeitig Entwicklungsrisiken.

Fazit

Ein erfolgreicher Zulassungsprozess beginnt für SaMD-Hersteller und -Entwickler bereits bei einer klaren Zweckbestimmung und fundierten Nachweisen zur Einstufung in die entsprechende Risikoklasse. Durch die Implementierung einer systematischen Risikobewertung bei der Entwicklung neuer SaMD lassen sich diese Herausforderungen gezielt bewältigen und behördliche Prüfungen und Zulassungen beschleunigen.

UL Solutions unterstützt die gesamte Medizintechnikbranche mit einem breit gefächerten Angebot an Dienstleistungen und Lösungen. Dazu zählen Zertifizierungen, Dienstleistungen als Benannte Stelle und Beratungen. Zur Erkennung, Vermeidung und Handhabung potenzieller Interessenkonflikte und zum Schutz unserer Marke und der Marken unserer Kunden haben wir Verfahren eingeführt, mit denen wir die Unparteilichkeit sicherstellen.