Mit der Digitalisierung halten Computerprogramme Einzug in das Gesundheitswesen. Je nach Zweckbestimmung müssen Entwickler unterschiedliche regulatorische Anforderungen erfüllen. TÜV Süd zeigt, wie Hersteller die Konformität ihrer Produkte mit den EU-Verordnungen nachweisen.
Von medizinischen Apps über Software für die Therapieplanung oder der Firmware von Ultraschallgeräten bis hin zu klinischen Informationssystemen: Rechtlich gesehen ist eine Software ein Medizinprodukt, wenn sie einem medizinischen Zweck dient.
Von medizinischen Apps über Software für die Therapieplanung oder die Firmware von Ultraschallgeräten bis hin zu klinischen Informationssystemen: Rechtlich gesehen ist eine Software ein Medizinprodukt, wenn sie einem medizinischen Zweck dient – wie der Diagnose, Untersuchung oder der Vorhersage von Krankheitsverläufen oder auch die Beeinflussung einer Therapie. Nach der EU-Verordnung über Medizinprodukte (MDR – Medical Device Regulation) handelt es sich bei Software sogar um ein aktives Medizinprodukt, so dass abgesehen von der Regel 11 auch andere Regeln für die Klassifizierung der Software in Frage kommen.
Häufig sind sich Hersteller nicht einmal darüber bewusst, dass sie Medizinprodukte entwickeln, denn auch Gesundheits- oder Wellness-Apps auf dem Smartphone können unter Umständen dazu zählen. Seit Anfang 2020 dürfen Ärzte medizinische Apps sogar auf Rezept verschreiben. Zu Corona-Zeiten gewinnen sie an Relevanz. Im Rahmen der Telemedizin ermöglichen sie eine kontaktlose Diagnostik und Therapie.
Voraussetzung dafür ist, dass die „digitale Gesundheitsanwendung (DiGA)“ als Medizinprodukt qualifiziert ist. Dafür müssen Hersteller Benannte Stellen („Notified Bodies“, NoBo) einbeziehen, ein Qualitätsmanagement-System aufbauen und ihre Produkte beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) registrieren. Um Kosten zu senken und Aufwände zu reduzieren, ist zunächst zu klären, ob ein Medizinprodukt vorliegt und zu welcher der drei Klassen es gehört, die in der MDR oder, im Rahmen der Übergangsvorschriften, der MDD definiert werden.
App-Stores als Händler und Importeure
Digitale Vertriebsplattformen qualifizieren sich als Händler, wenn sie unter eigener Lizenz medizinische Anwendungen verkaufen. Dann definiert der gemeinnützige Handelsverband COCIR (Europäisches Koordinierungskomitee der radiologischen, elektromedizinischen und Gesundheits-IT-Industrie) App-Stores als Wirtschaftsteilnehmer, die den Anforderungen der MDR unterliegen. Außerdem fungieren sie als Importeure, wenn der Hersteller außerhalb der EU ansässig ist. Wenn ein App-Store hingegen lediglich seine Infrastruktur bereitstellt, über die Entwickler ihre Software direkt vertreiben, betrachtet COCIR ihn zwar als „Marktplatz“, nicht aber als Wirtschaftsteilnehmer.
Hilfreicher Leitfaden
Das internationale Expertengremium „Koordinierungsgruppe Medizinprodukte“ (MDCG – Medical Device Coordination Group) veröffentlichte im November 2019 den Leitfaden MDCG 2019-11 zur Qualifizierung und Klassifizierung von Software. Die Anforderungen und Kriterien stammen aus den EU-Verordnungen über Medizinprodukte (MDR 2017/745 – Anhang VIII) und In-Vitro-Diagnostika (IVDR 2017/746 – Anhang VIII). Nach der Definition des Leitfadens umfasst der Begriff „medizinische Software“ sowohl Programme, die in Kombination mit einem Medizinprodukt verwendet werden, als auch eigenständige Software (standalone).
Mit einem Flussdiagramm ermitteln Hersteller schrittweise, ob sich eine Software als Medizinprodukt qualifiziert. Zu den wichtigsten Punkten zählen die Zweckbestimmung, der individuelle Patientennutzen und inwieweit die Definition für medizinische Software zutrifft. Die Corona-Warn-App ist bspw. kein Medizinprodukt, weil sie nicht direkt diagnostischen oder therapeutischen Zwecken am Patienten dient. Eine Smartwatch-App hingegen schon, wenn sie den Puls überwacht und dadurch gemäß der Zweckbestimmung und basierend auf der Datenauswertung eine Therapie oder Diagnose beeinflusst. Auch die Software zur Steuerung einer Insulinpumpe, weil sie die richtige Dosis berechnet.
Produktklasse ermitteln
Medizinprodukte werden je nach Gefährdungspotenzial verschiedenen Produktklassen zugeordnet. Die Klassen I bis III repräsentieren das Risikopotenzial in Abhängigkeit vom Anwendungszweck, dem -ort und der -dauer. Die Merkmale sind in der MDR im Anhang VIII festgelegt. Eine Benannte Stelle prüft anschließend, ob alle gesetzlichen Produktanforderungen erfüllt sind. Das bestätigt der Hersteller mit der CE-Kennzeichnung.
Die Klassifizierungsregel 11 ist für Software-Entwickler besonders wichtig: Kommt Software bei der Diagnose, Überwachung oder Therapie zum Einsatz, gehört sie zur Klasse IIa. Besteht die Gefahr, dass sich der Gesundheitszustand eines Patienten aufgrund der Informationen der Medizinprodukte-Software schwerwiegend verschlechtert, gehört sie zur Klasse IIb; führt die Information zu einer irreversiblen Verschlechterung des Gesundheitszustands oder zum Tod, dann gehört sie in die höchste Klasse III. Sämtliche andere Software gehört zur Klasse I. Weitere Hilfestellung gibt der Leitfaden „Software as a Medical Device“: Possible Framework for Risk Categorization and Corresponding Considerations des IMDRF (International Medical Device Regulators Forum).
Buchtipp
Das Buch "Cybersicherheit" führt grundlegend an die Einrichtung von Schutzmaßnahmen in Industrieunternehmen heran und widmet sich dabei insbesondere der Sicherheit von Industrie-4.0-Technologien.
Beim Risikomanagement nach ISO 14971 legen Hersteller zunächst mit einer Risikomatrix Akzeptanzkriterien fest. Anschließend gibt eine Risikoanalyse Auskunft darüber, welche Gefährdungen sich aus der Zweckbestimmung ableiten lassen und welche Schweregrade und Wahrscheinlichkeiten möglich sind. Sind die Risiken nicht vertretbar, werden Maßnahmen zur Risikominimierung festgelegt und umgesetzt. Anschließend müssen Hersteller weiterhin kontinuierlich Risiken analysieren und über deren Akzeptanz neu entscheiden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Auch mangelnde Benutzerfreundlichkeit stellt ein Risiko dar: Gemäß den Untersuchungen der FDA zu Rückrufen lassen sich ein Drittel aller Zwischenfälle mit Medizinprodukten (inklusive Software) auf Anwendungsfehler zurückführen. Die internationale Norm IEC 62366-1 definiert Anforderungen an die Bedienbarkeit: Durch den „Faktor Mensch“ bedingte Risiken müssen Hersteller vorab identifizieren und möglichst ausschließen. Dazu gehören u. a. physikalische Eigenschaften und ergonomische Merkmale – auch die Software-Ergonomie (leicht verständlich und schnell benutzbar) fällt darunter.
Die Mindestanforderungen an die wichtigsten Prozesse im Lebenszyklus einer Software für den konkreten medizinischen Gebrauch sind in Europa mit der Norm IEC 62304 harmonisiert. Das betrifft die Entwicklung und Wartung, das Konfigurations- und Risikomanagement sowie die Problemlösung. Ursprünglich war die Norm sowohl für Standalone- als auch Embedded-Lösungen vorgesehen. In der Praxis richtet sie sich aber eher an Letztere. Die IEC 82304-1 spezifiziert weitere Anforderungen an Standalone-Software.
Zunehmend wird auch künstliche Intelligenz (KI) in Medizinprodukten angewendet, wie etwa zur Vorhersage von Krankheitsverläufen oder zur Bildanalyse. Entscheidungen müssen aber nachvollziehbar und verifizierbar sein, damit die Anwendung beim Patienten sicher ist. Nach den grundlegenden Sicherheits- und Leistungsanforderungen der MDR ist Software so auszulegen, dass die Wiederholbarkeit, Zuverlässigkeit und Leistung bei ihrer bestimmungsgemäßen Verwendung gewährleistet ist. Den Nachweis für die Erfüllung dieser Anforderung kann der Hersteller durch eine Verifizierung und Validierung der Software erbringen.
Außerdem muss eine Software nach dem Stand der Technik entwickelt werden und die Grundsätze des Softwarelebenszyklus, des Risikomanagements sowie der Informationssicherheit erfüllen. Denn Hacker-Angriffe auf Kliniknetzwerke oder kompromittierte Medizingeräte gefährden unmittelbar Menschenleben. Infolge der Covid-19-Pandemie hat sich die Bedrohungslage insgesamt weiter erhöht, weil Gesundheitsdienste online bereitgestellt werden. TÜV Süd Product Service prüft nach den einschlägigen Software-Standards und zertifiziert als Benannte Stelle Medizinprodukte-Software.
:quality(80)/p7i.vogel.de/wcms/16/d3/16d3e08f9404aae1cec19cf11f471e27/0126703504v2.jpeg "Aktuelle Nachrichten aus der Medizintechnik-Industrie und branchenrelevante Forschungsmeldungen (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ff/bf/ffbf1e74e60d0dcdb92676cfbc1e3cb1/0129302600v2.jpeg "Der Treffpunkt Medizintechnik findet am 17. September in der Jahrhunderthalle in Frankfurt/Main statt. (Bild: Vogel Corporate Solutions)")
:quality(80)/p7i.vogel.de/wcms/ee/8a/ee8ad03eb66dc189608257f5ece9c548/0129300470v2.jpeg "AMS Osram veräußert das nicht-optische Analog-/Mixed-Signal-Sensorgeschäft für Automotive, Industrie und Medizin als Teil eines Bargeschäfts an Infineon. (Bild: AMS Osram)")
:quality(80)/p7i.vogel.de/wcms/85/9b/859b80e75b3413924fd3881780aafcb5/0129233903v2.jpeg "Die Medtech Exchange Europe findet am 5. März 2026 im Microsoft Atrium in Berlin statt.
(Bild: PTC)")
:quality(80)/p7i.vogel.de/wcms/96/3d/963d30fc7d4f7669a3c69195df5cf73d/0129303342v2.jpeg "KI-gestützte Implantate können bei der Behandlung therapieresistenter Epilepsie helfen. Dazu ist leistungsstarke Hardware erforderlich, die gleichzeitig energiesparsam arbeitet. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/45/b6/45b65a524779a2a78a6970f934d2e393/0129192749v1.jpeg "Lichtleiter und optisches Cochlea-Implantat mit Lichtleiter (Bild: Georg-August-Universität Göttingen/OptoGenTech/DPMA)")
:quality(80)/p7i.vogel.de/wcms/34/45/3445df008bc21eb81e61f7eb57137f7b/0129259137v2.jpeg "Symphoni reduziert Werkzeugaufwand- und Platzbedarf, steigert Durchsatz und Ausbeute und ermöglicht die Verarbeitung mehrerer Produkttypen auf einer einzigen Linie. Die integrierte Inline-Prozessüberwachung beseitigt blinde Flecken und liefert vollständig rückverfolgbare, auditfähige und verwertbare Produktionsdaten. (Bild: Kistler Gruppe)")
:quality(80)/p7i.vogel.de/wcms/bb/65/bb65555313afaeea9b670d972f46bddf/0129082573v2.jpeg "Die Gewinner des Best of Industry Award 2025 stehen fest. (Bild: Ron Dale - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/1f/751f88c67304422adb41b4b483cb380a/0129165554v2.jpeg "Der TÜV-Verband kritisiert starre Fristen für die Prüfung von Medizinprodukten. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ae/95/ae95789eaff136071ae1a73f7b53f2b0/0129146799v2.jpeg "Biopro Baden-Württemberg bietet Unternehmen und Akteuren aus der Gesundheitswirtschaft mit Diskussionspapieren und Gutachten praxisnahe Impulse. (Bild: GPT Image Editor / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/8a/8a8a9fcb0c27d5e06522395cfb0f5498/0129165418v2.jpeg "Erste DiGA mit Dual-Wirkung zugelassen: Die App „Oviva Direkt Bluthochdruck“ soll Blutdruck und Gewicht gleichtzeitig senken. (Bild: Oviva, bearbeitet mit Canva)")
:quality(80)/p7i.vogel.de/wcms/d4/0b/d40b7ac0301a768e60b106315a523344/0129232430v1.jpeg "Medizinische Infusionsschläuche bestehen oft aus Polyurethanen. Ein neuartiges Produktionsverfahren des Fraunhofer IAP macht es möglich, Polyurethane in höchster Qualität, ohne den Einsatz der giftigen Isocyanate herzustellen. (Bild: Fraunhofer IAP)")
:quality(80)/p7i.vogel.de/wcms/41/3a/413a8efd1c15d4c689ca68fe990ba23e/0129177023v2.jpeg "Mit einer neuen Bildgebungstechnologie lassen sich frühe Anzeichen von Herzkrankheiten durch die Haut erkennen. Dadurch eröffnen sich neue Märkte für portable Bildgebungssysteme. (Bild: frei lizenziert)")
:fill(fff,0)/p7i.vogel.de/companies/60/35/60353b32617d5/logo-kumavision-400x100px.png "logo_kumavision_400x100px.png (KUMAVISION)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/df/68df892ad58b4/prosmap-logo-tagline-vertical-1c.png "prosmap-logo-tagline-vertical-1c (Prosmap · Medical Product Platform)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/b6/5fb69cb5dff5e/metecon-logo-rgb-300dpi.jpg "metecon_Logo_RGB_300dpi.jpg (Metecon GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1784000/1784092/original.jpg "Alexander Fink, CEO Metecon: „Die Softwareanbieter bringen zwar technische Expertise und geeignete Software mit, verfügen aber meist über zu wenig spezifisches Regulatory-Affairs-Know-how, um konkrete Fragen der Hersteller zu beantworten.“ (Metecon)")
:quality(80)/p7i.vogel.de/wcms/6f/81/6f819fc3bb3dd968c03ad25f3ff54b4b/93834892.jpeg "Die Medical Device Regulation fördert vernetzte medizinische Geräte. Mit der passenden IoT-Infrastruktur lassen sich sogar Krankenhausbetten und Infusionsständer an das IoT anbinden. (Bild: Sigfox)")
:quality(80)/p7i.vogel.de/wcms/26/14/2614c77a97f689847992c9703c835082/0123271645v2.jpeg "Die amerikanische Zulassungsbehörde FDA teilt Medizinprodukte in drei Klassen ein. In die höchste Klasse III fallen Geräte, die Leben erhalten oder retten. Dazu gehören unter anderem Defibrillatoren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e0/41/e041c857f31b6442a5377b1cbcb423ea/0125701326v2.jpeg "In seinem Befund nimmt Devicemed-Kolumnist Stefan Bolleininger den aktuellen Regulatory-Affairs-Stand in der Medtech-Branche unter die Lupe. (Bild: Die Storyfactory/Devicemed)")