Back to Dr. Gerrit Hötzel

Die neue Medizinprodukte-Betreiberverordnung Neue Anforderungen an Betreiber von Medizinprodukte-Software

Am 20.02.2025 ist die neue deutsche Medizinprodukte-Betreiberverordnung (MPBetreibV) in Kraft getreten. Sie enthält nun erstmals konkrete Anforderungen an Betreiber von Software als Medizinprodukt (SaMD). Die neue MPBetreibV umfasst weitere Änderungen, insbesondere zur Aufbereitung und Weiterverwendung von Einmalprodukten. Im Folgenden werden lediglich die softwarebezogenen Änderungen betrachtet.

Änderung der Begriffsbestimmungen

Zunächst wurden die Begriffsbestimmungen angepasst. Der Begriff des „Benutzers“ wird nun anstelle des bisherigen Begriffs „Anwender“ verwendet. Die interne Dokumentation und die Schulungsunterlagen sollten an diese neuen Begrifflichkeiten angepasst werden.

Änderungen bei Software als Medizinprodukt (SaMD)

Die bisherige MPBetreibV enthielt keine ausdrücklichen Regelungen in Bezug auf Software als Medizinprodukt, sondern basierte noch auf dem inzwischen veralteten Bild eines primär physischen Medizinprodukts.

Neu ist unter anderem, dass nach jeder nicht nur geringfügigen Änderung durch ein Software-Update eine erneute Einweisung erforderlich ist. Die entsprechenden Änderungen finden sich in § 4 MPBetreibV. Diese Neuerung kann erhebliche Auswirkungen haben und sollte Anlass dazu geben, die Verträge mit Herstellern oder sonstigen Zulieferunternehmen in der Lieferkette anzupassen. Denn nicht jedes Software-Update führt zur Notwendigkeit einer erneuten Einweisung. Es empfiehlt sich daher, im Vertrag festzuhalten, dass über ein relevante Software-Updates mit ausreichender Vorlaufzeit informiert wird, sodass Schulungen geplant werden können, bevor die neue Software genutzt oder betrieben wird. Da nicht jedes Software-Update eine neue Einweisung erfordert, sollte zudem ein vertraglicher Mechanismus zur Kategorisierung von Software-Updates vorgesehen werden.

Neu ist ferner, dass sich ein Benutzer vor der Nutzung eines – nun auch reinen – Software-Medizinprodukts von dessen Funktionsfähigkeit und ordnungsgemäßem Zustand überzeugen muss. Zudem müssen die Gebrauchsanweisung sowie die sonstigen beigefügten sicherheitsbezogenen Informationen und Instandhaltungshinweise beachtet werden. Bei vernetzten Produkten sind die Anforderungen des Herstellers hinsichtlich der digitalen Infrastruktur und der Informationssicherheit einzuhalten.

Eine weitere Neuerung ist die ausdrückliche Regelung, dass die Instandhaltung von Software auch die Installation sicherheitsrelevanter Softwareaktualisierungen umfasst. Diese Verpflichtung bestand zwar faktisch bereits, ergibt sich nun jedoch explizit für jeden Betreiber eines Medizinprodukts (§ 7 Abs. 2 MPBetreibV). Umso entscheidender ist es, dass bereits in den entsprechenden Verträgen mit den Herstellern Regelungen zu Sicherheitsaktualisierungen enthalten sind.

Eine grundlegende Neuerung findet sich in § 17 MPBetreibV, der – abweichend von der MPBetreibV im Übrigen – erst ab August 2025 gilt. Demnach darf Software als Medizinprodukt (SaMD) der Klassen IIb und III sowie In-vitro-Diagnostika der Klassen C und D erst betrieben oder genutzt werden, wenn der Hersteller zuvor die ordnungsgemäße Installation der Software geprüft und den Betreiber anhand der Gebrauchsanweisung sowie der sicherheitsbezogenen Informationen des Herstellers und der Instandhaltungshinweise eine Person eingewiesen hat. Die Prüfung der ordnungsgemäßen Installation kann dabei auch über einen Fernzugriff erfolgen. Diese Regelung gilt nicht für digitale Gesundheitsanwendungen (DiGA) und digitale Pflegeanwendungen (DiPA).

Zusätzlich ist in § 17 MPBetreibV ausdrücklich geregelt, dass die Software nur von Personen betrieben oder benutzt werden darf, die entsprechend eingewiesen wurden.

Bei Betrieb oder Benutzung von Medizinprodukte-Software der Klassen IIb und III (MDR) bzw. C und D (IVDR), müssen angemessene IT-Mindestsicherheitsprüfungen nach den allgemein anerkannten Regeln der Technik durchgeführt werden. Diese Prüfungen sind spätestens alle zwei Jahre zu wiederholen. Sollte es aus bestimmten Gründen notwendig sein, frühere Überprüfungen durchzuführen, sind diese entsprechend vorzuziehen. Die IT-Sicherheitsprüfungen sind zu protokollieren.

Notwendige Anpassungsmaßnahmen

Die internen Prozesse im Umgang mit Software als Medizinprodukt sind anzupassen. Dies beginnt bereits bei den geänderten Begrifflichkeiten und umfasst nun auch Regelungen zur Überprüfung und Installation von Software. Die Verträge mit den Herstellern sollten aktualisiert werden. Insbesondere sollte sichergestellt werden, dass die Hersteller mit ausreichend Vorlaufszeit über Software-Updates informieren, die eine neue Einweisung erfordern. Nur so kann gewährleistet werden, dass das Personal geschult wird, bevor eine neue Softwareversion in Betrieb genommen wird. Zudem sollten Regelungen zur Trennung von sicherheitskritischen Updates und funktionalen Updates getroffen werden. Andernfalls könnte es dazu kommen, dass ein Update einerseits aufgrund sicherheitstechnischer Änderungen unverzüglich installiert werden muss, während es andererseits aufgrund zugleich vorhandener neuer Funktionen und mangels neuer Einweisung noch nicht genutzt werden darf.

 

 

Date: 13. Mar 2025