Warum die Card10 kein Medizinprodukt ist - TIB AV-Portal

Warum die Card10 kein Medizinprodukt ist

00:00

2

Related Material

Chaos Computer Club e.V.

Formal Metadata

Title

Warum die Card10 kein Medizinprodukt ist

Subtitle

Was müssen Medizinproduktehersteller einhalten (und was nicht)?

Title of Series

36C3: Resource Exhaustion

Number of Parts

254

Author

License

CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.

Identifiers

10.5446/53124 (DOI)

Publisher

Chaos Computer Club e.V.

Release Date

Language

Content Metadata

Subject Area

Computer Science

Genre

Conference/Talk

Abstract

Es soll grundlegend erklärt werden, nach welchen Kriterien Medizinprodukte entwickelt werden. Dazu werden die wichtigsten Regularien (Gesetze, Normen, ...) vorgestellt die von den Medizinprodukteherstellern eingehalten werden müssen. Diese regeln, was die Hersteller umsetzen müssen (und was nicht). Hier wird auch die Frage beantwortet, warum beispielsweise die Apple-Watch (oder genauer gesagt nur zwei Apps) ein Medizinprodukt sind aber die card10 nicht. Dieser Vortrag gibt Antworten auf die folgenden Fragen: Was ist denn überhaupt ein Medizinprodukt? Was steht dazu im Gesetz? Was haben Normen damit zu tun? Was tun die Hersteller überlicherweise um diese Anforderungen umzusetzen? Wie sieht ein typischer Entwicklungsprozess aus? Wie sieht es mit Security und Safety aus? Warum sind Innovationen so schwer? Was passiert nach der Entwicklung? Wer überwacht das alles? Es wird Schwerpunktmäßig die EU betrachtet um die Dauer des Vortrags nicht zu sprengen.

Keywords

Hardware & Making

Speech

Text

Image

00:00

EASY <Programm>SoftwareHome pageMotion (physics)Inversion <Mathematik>FrequencyOrder of magnitudeRoundingSoftwareSocial classProduct (category theory)Direction (geometry)Moment (mathematics)Function (mathematics)KARDIO <Programm>Klassifizierender RaumNorm <Mathematik>SurfaceComputer hardwareLengthRoute of administrationVibrationMittelungsverfahrenRun-time systemDisplayHome pagePhysical lawPhysical quantityNumberWritingSupremumComputer animation

09:54

Social classSocial classProduct (category theory)Grand Unified TheoryRoute of administration

11:38

TelecommunicationNorm <Mathematik>Social classProduct (category theory)Category of beingProcess (computing)TelecommunicationWiener filterMatrix normLecture/Conference

14:56

Data analysisValidationService (economics)ProzessorMatrix normMatrix (mathematics)Template (C++)Function (mathematics)LAMP <Programmpaket>Event horizonProduct (category theory)Systems <München>Statement (computer science)Spoke-hub distribution paradigmStaff (military)Process (computing)Run-time systemNorm <Mathematik>Large eddy simulationLecture/Conference

20:26

SoftwareBeta functionLebensdauerAlgebraic closureFunktionalitätSoftwareSoftwarekonfigurationValidationSoftwaresystemSoftware architectureProcess (computing)Computer hardwareAssembly languageServer (computing)Matrix normHexagonScientific modellingFunktionalitätRunge's theoremHeat waveInformationRun-time systemNorm <Mathematik>SupremumMoment (mathematics)SoftwareproduktEigenvalues and eigenvectorsImplementationGit <Software>UsabilityV-ModellLecture/Conference

30:16

Matrix normRun-time systemData conversionHome pageFunktionalitätRoute of administrationAnordnung <Mathematik>Motion (physics)Lecture/Conference

33:03

Computer hardwareMatrix normScientific modellingAgreeablenessNorm <Mathematik>PrioritySoftwareSoftware testingInterface (computing)Computer hardwareSoftware developerRun-time systemLarge eddy simulationMoment (mathematics)V-ModellMatrix normComputer animation

38:37

Single-precision floating-point formatImage registrationBASICSocial classTwitterHome pagePublic key certificateBewertung <Mathematik>Social classProduct (category theory)SkypeProcess (computing)Systems <München>Large eddy simulationMetreMultitier architectureAdobe AIRComputer animation

44:11

TwitterHome pageSupremumNorm <Mathematik>Matrix normInternetALT <Programm>Computer hardwareSystems <München>SoftwareComputer animationLecture/Conference

45:56

Mobile appApple <Marke>Physical lawMoment (mathematics)SoftwarePredictionAlgorithmInternetFunction (mathematics)Social classComputer hardwareMatrix normInformationNorm <Mathematik>Process (computing)Hand fanProduct (category theory)ArmÖko <Programm>SupremumPlot (narrative)Lecture/Conference

54:01

Product (category theory)Moment (mathematics)DisplayCategory of beingGoogleRun-time systemDecision theoryDataflowSpeciesPOWER <Computerarchitektur>Computer hardwareSoftwareSequenceMatrix normApple <Marke>Video projectorMittelungsverfahrenFunction (mathematics)RobotComputing platformMusical ensembleUpdateInformation managementLecture/Conference

01:02:06

openSUSEComputer animation

Transcript: German(auto-generated)

00:21

erzählt uns jetzt, was müssen Medizinprodukthersteller einhalten und was nicht, der Talk heißt, warum der Cardio kein Medizinprodukt ist. Dein Talk. Viel Spaß. Dankeschön.

00:41

Vielen Dank, dass ich hier einen Vortrag halten kann. Ich möchte kurz was zu meiner Person sagen, der angekündigt als Phil ist völlig richtig. Ich arbeite seit über zehn Jahren in der Medizintechnikbranche. Gerade die Regularien ist etwas, wofür ich mich tierisch begeistern kann.

01:01

Also von dem her, ich kann verstehen, wenn das den ein oder anderen nicht sonderlich begeistert. Ich finde das schön. Aber gut. Ich werde sehr viele Beispiele bringen. Das heißt, Gesetzestexte sind sehr genau, bei den Beispielen verschwimmt das dann wieder. Genauso versuche ich Zahlen zu nennen, ungefähr eine grobe Richtung vorzugeben.

01:27

Manche Sachen sind stark vereinfacht, dafür reicht die Zeit einfach nicht aus. Bitte alles nicht eins zu eins nehmen, sondern nur eine Größenordnung. Mehr ist hier schlicht und ergreifend in der Zeit nicht machbar.

01:41

Also gut. Erstmal Frage in die Runde. Wer weiß denn, was die Cardio ist? Wer hat eine? Okay. Gut. Dann erkläre ich nochmal ganz kurz was zu der Hardware selber. Also die Cardio habe ich mir hier von der Homepage mal das Bild geklaut.

02:05

Die Normengremien würden jetzt sagen variable. Das bedeutet, es ist etwas, was an der Hand getragen werden kann, dass es in der häuslichen Umgebung eingesetzt werden kann und Schwerpunktenmäßig ganz viele Leuchtioden hat, Blinkensäulen, Display hat, kleiner Vibrationsmotor.

02:24

Also zum ersten Augenblick gar nicht so ein Medizinprodukt. Was man jetzt unten auf dem Bild sehen kann, sind so große Metallflächen. Man kann hier dann EKG ableiten. Und das ist also dann der erste Punkt, wo es anfängt, Richtung Medizinprodukt

02:40

zu denken. Also das ist jetzt am Anfang, wo alle einmal durch müssen. Aber Medizinprodukt ist per Gesetz definiert. Und das Gesetz, über das ich heute rede, ist die Medical Device Regulation. Ist ein europäisches Gesetz, was für Gesamteuropa gilt.

03:03

Dann bitte ich einmal kurz die Erklärung durchzulesen. Artikel 2 definiert Medizinprodukt. Ich möchte jetzt nicht in die Definition reinregen. Deswegen warte ich einen kurzen Moment. Das ist schon stark vereinfacht.

03:32

Was jetzt hier die wichtigen Punkte sind, also bezogen auf die Cardio, bedeutet, es ist entweder ein Gerät oder eine Software oder beides in Kombination.

03:45

Es ist vom Hersteller dazu bestimmt, bestimmte Funktionen wie Diagnose, Überwachung oder dergleichen durchzuführen. Das heißt, es kann sein, dass die gleiche Sensorik in irgendeinem Produkt verbaut ist, wo der Hersteller sagt, das ist gar kein Medizinprodukt.

04:01

Das hat gar keine medizinische Zweckbestimmung. Manche Telefone haben das und gelten auch nicht als Medizinprodukt. Und da muss eben der Hersteller gucken, was soll mit dem Ding gemacht werden. Und das beantwortet dann auch sehr schnell die Frage. Mal gucken, wie das denn bei der Cardio aussieht.

04:23

Eine Folie würde ich jetzt gerne weiter. Ah, hier, klasse. Also dann die sogenannte Zweckbestimmung vom Hersteller regelt genau das. Also mal auf die Cardio-Homepage gucken, ob man hier irgendwas findet. Zweckbestimmung muss in der Gebrauchsanweisung stehen.

04:41

Vielleicht findet sich ja irgendwie sowas wie eine Gebrauchsanweisung. Tutorials vielleicht, mal weiter gucken. Da steht was von EKG. Schön, klasse. Das ist ja schon mal was, was so in die Richtung geht. Und dann ist noch ein englanger Text, der so ein bisschen beschreibt, wie man aus dem EKG dann tatsächlich was auswerten kann. Habe ich mal gemacht, sah bei mir dann so aus.

05:04

Und also was soll erreicht werden? Ich habe jetzt nichts gefunden, was auf irgendeine Indikation hindeutet. Ich habe nichts gefunden, wo man EKG tatsächlich vermessen könnte. Ich habe nichts gefunden, welche Krankheiten damit diagnostiziert werden oder erkannt werden können.

05:20

Ich habe keine Angaben zu Patienten gefunden, keine Angaben zum Anwender. Damit hat das Ding keine Zweckbestimmung und ist kein Medizinprodukt. Das ist jetzt meine Einschätzung. Dann schauen wir weiter. Jetzt könnte man ja mal gedanklich das Spiel spielen und einen Teil der Cardio zum Medizinprodukt machen.

05:43

In dem Fall wäre es am einfachsten zu sagen, man macht einfach dieses Programm, was das EKG anzeigt oder sich generell darum kümmert, zum Medizinprodukt. Medizinprodukte brauchen eine Zweckbestimmung. Und so könnte jetzt beispielsweise die Zweckbestimmung anfangen,

06:01

dass man die EKG-App, also ein Stück Software zum Medizinprodukt macht und kurz beschreibt, wie ist denn das Funktionsprinzip? Was kann man damit machen? Was soll damit medizinisch erkannt werden? In dem Fall, ob es einen regelmäßigen Sinusrhythmus gibt und eine arterielle Fibration, also einen Vorhofflimmern,

06:25

und viel mehr ist mit einem Einkanal-EKG schon nicht machbar. Bei der Cardio habe ich zwei Elektroden. Sprich, medizinisch gesehen hat man so einen Querschnitt durchs Herzen, den man da feststellen kann. Größere EKGs werden dann ums Herz rumgeklebt,

06:42

wo man dann verschiedene Schnitte hat und kann damit medizinisch deutlich mehr machen. Das ist bei einem Einkanal-EKG schlicht und ergreifend nicht möglich. Das Zweite, wo soll das Ganze angewendet werden? Also die Umgebung beschreiben. Das Nächste wäre dann, von wem soll es verwendet werden

07:03

und von wem soll es nicht verwendet werden. Das ist jetzt auch nur fiktiv. Das muss dann alles eine klinische Abteilung beantworten, also auch hier beispielhaft erklärt. Und eine Kontraindikation. Also wo schließt man Sachen aus? Auch das ist etwas, was eine klinische Seite sehr gut beantworten kann.

07:22

Also, so könnte eine Zweckbestimmung für eine EKG-App aussehen. Und dann auch hier nochmal kurz erklärt. Funktionsweise, Indikation, Kontraindikation. Das ist eine Zweckbestimmung. Super. Das ist der erste Schritt.

07:41

Jetzt haben wir eine Zweckbestimmung. Aber was jetzt? Über die Zweckbestimmung können die Gruppen entsprechend per Gesetz klassifiziert werden. Die Klassifizierungsregeln stehen auch im Gesetz. Ich habe immer versucht, mit anzugeben,

08:01

in welchem Artikel oder in welchem Anhang das stattfindet. Und das sind die Klassifizierungen, die Medizinprodukte haben können. Ich habe das versucht, ein bisschen grafisch darzustellen. Technisch gesehen ist es ein nicht-invasives Produkt. Aber da fällt man in nichts rein. Also, nein. Invasives Produkt ist es auch nicht. Besondere Festlegungen gibt es auch nicht.

08:22

Aber es ist ein aktives Produkt. In dem Fall nur Software. Also fallen wir hier... Ah, nee. Doch, genau. In dem Fall fallen wir hier in Regel 10 rein. Diagnose und Überwachung. Für reine Software-Sachen gibt es noch eine eigene Klassifizierung. Aber in dem Fall ist die nicht anwendbar.

08:40

Ich möchte jetzt hier beispielhaft genau über diese Regel 10 drübergehen. Auch hier geht es darum, Produkte, die in Klasse der Regel 10 reinfallen, sind defaultmäßig erst mal Klasse 2a. Dann gibt es bestimmte besondere Sachen, die dann noch nicht anwendbar sind.

09:01

Das ist für die Cardio auch gar nicht so spannend. Sondern der Abschnitt da unten ist das, was interessant ist. Also Kontrolle von Vitalkörperfunktionen. Es wird sogar ein Beispiel genannt, wo es genau ums Herzen geht. Und da steht dann drin, wenn man da in die Kategorie fällt, dann bitte 2b. Gut, jetzt habe ich ganz viel über Klassifizierungen geredet.

09:23

Auch so eine erste Einschätzung. Ja, was haben jetzt die Klassifizierungen da damit zu tun? Jetzt haben wir eine Zweckbestimmung. Jetzt haben wir eine Klassifikation von den Sachen. Und wie geht es jetzt weiter? Die Klassifizierungen bestimmen diesen Prozess des In-Verkehr-Bringens.

09:45

Je höher die Klassifizierung, umso mehr muss gemacht werden. Also beispielhaft Produkte der Klasse 1, da geht kein Risiko aus. Da muss nicht groß was gemacht werden. Jedes Heftpflaster ist ein Klasse 1 Produkt. Jedes Fieberthermometer ist ein Klasse 1 Produkt.

10:00

Bei Klasse 2a wird es dann schon spannender. Da besteht ein sogenanntes Anwendungsrisiko. Also was fällt da rein? Dentalimplantate, Stahn, sehr guter Vertreter, Ultraschallgeräte, Hörgeräte. Je nachdem, wie invasiv irgendein Medizinprodukt ist, erhöht sich auch die Klassifizierung. Dann in der Klasse 2b kann schon ein bisschen mehr passieren.

10:23

Da sind die Geräte in der Regel auch invasiver. Da fallen dann Dialysegeräte rein. Endoskope, Kondome, Empfängnisverhütung, alles Medizinprodukt. Und dann Klasse 3, da geht es richtig zur Sache. Das sind implantierbare Herzschrittmacher. Das sind automatische externe Defibrillatoren.

10:42

Das sind einfach Geräte mit einem höheren oder dem höchsten Risiko, was per Gesetz vorgesehen ist. Also gut, jetzt haben wir klassifiziert. Was muss man jetzt damit tun? Ich versuche jetzt hier von links nach rechts einmal so ein bisschen zu beleuchten, was bei einer bestimmten Klassifizierung denn genau zu tun ist.

11:04

Also für alle Produkte muss ein Qualitätsmanagementsystem erstellt werden. Bei Produkten der Klasse 1 kann man sich das Leben in bestimmten Bereichen ein bisschen leichter machen. Aber grundsätzlich müssen das alle Produkte haben.

11:20

Das nächste, was auch alle Produkte haben müssen, ist eine sogenannte technische Dokumentation. Da wird beschrieben, was während der Entwicklung alles passiert ist. Der nächste Schritt ist das sogenannte Audit durch die benannte Stelle. Das kann man sich bei Klasse 1 Produkten sparen.

11:41

Alle anderen Produkte werden immer durch eine benannte Stelle mit überprüft. Die benannte Stelle übernimmt keine Haftung. Aber es ist so zumindest sichergestellt, dass noch eine neutrale Stelle mit draufgeschaut hat. Dann für Klasse 3 Produkte gibt es nochmal eine besondere Produktprüfung.

12:03

Klar, das sind ja die Produkte mit dem höchsten Risiko. Dann kommt das CE-Kennzeichnungszertifikat. Das wird von der benannten Stelle ausgestellt und bescheinigt, gut, klasse, ihr dürft jetzt das CE-Zeichen anbringen. Euer Produkt erfüllt die Anforderung vom Gesetz.

12:25

Und im nächsten Schritt geht es dann darum, eine eindeutige Kennung am Produkt anzubringen, den sogenannten Unique Device Identifier. Man muss den registrieren und der muss auf dem Produkt

12:40

und auf der Verpackung vorhanden sein. Und der letzte Schritt, mag wieder nicht, ist die Aufrechterhaltung dieses ganzen Systems, des QM-Systems und sämtlichen Prozessen. Dann schauen wir mal rein,

13:01

was man so exemplarisch bei einem 2B-Produkt alles machen müsste. Also, QM-System habe ich vorhin schon gesagt, ist per Gesetz vorgeschrieben. Jetzt hat die Industrie nur festgestellt, Gesetzestexte sind immer ein bisschen schwierig. Die sind interpretationswürdig, das ist immer nicht so leicht.

13:23

Außerdem sind die Audits teuer. Also, was hat man gemacht? Es gibt Normen. Normen haben für die Industrie unglaublich viele Vorteile. Es gibt weniger Interpretationsspielraum. Normen sind deutlich klarer formuliert als ein Gesetzestext. Außerdem sind sie international allerkannt.

13:40

Das heißt, wenn ich in ein Land gehe, kann ich mit einem gleichen Bericht von den Normen in das nächste Land gehen. Und die Audits sind einfach leichter. Leichter bedeutet für die Industrie billiger. Damit verwenden so gut wie alle die Normen. Und bei den Normen gibt es die sogenannte Normenvermutung. Das ist in dem Vienna Agreement,

14:01

Wiener Abkommen mit geregelt. Das bedeutet, wenn ich bestimmte Bereiche einer Norm erfülle, erfülle ich automatisch bestimmte Bereiche von dem Gesetzestext. Sprich, die benannten Stellen stützen sich auf die Normvermutung und sagen, klasse, wenn ihr das alles erfüllt, müssen wir das alles vom Gesetz gar nicht mehr prüfen, weil es passt ganz automatisch.

14:21

Dann sind wir stehen geblieben. Stimmt, bei den Normen. Das ist eine Folie, die ich gar nicht mehr so im Kopf hatte. Ich möchte noch mal kurz erklären, was es für Kategorien von Normen gibt. Die lassen sich in drei Bereiche einteilen. Einmal in allgemeine Normen. Das sind häufig Prozessnormen.

14:40

Dann gibt es Normen zur Elektrotechnik und Normen zur Telekommunikation. Elektrotechnik bedeutet ganz salopp alles, was ein Stecker hat. Telekommunikation, ganz salopp alles, was funkt. Und in Deutschland haben wir hier drei Organisationen, die sich darum kümmern. Das ist einmal die DIN für allgemeine Sachen.

15:02

DIN A4 müsste den meisten Begriff sein. Und dann die DKE, VDE und die DIN, die kümmern sich dann um die restlichen beiden Sachen. In Europa haben wir ZenZenelek, die sich einmal um die allgemeinen und um die elektrischen Sachen kümmern. Und die Etsy, die den ganzen Funksstandard

15:22

unter sich verwaltet. International haben wir die ISO, die viel von den Prozessnormen mitbetreut. Die IEC, die die ganzen technischen Bereiche hat. Und die ITU, was die weltweite Funktnorm ist. Oder das Gremium, was sich darum kümmert.

15:42

So genau. Dann schauen wir nochmal zurück, wo wir stehen geblieben sind. Und zwar beim QM-System. Wir haben jetzt hier unser erstes Achievement. Wir haben die ISO 13485 QM-Systeme. Das heißt, jetzt haben wir die erste anwendbare Norm für unser Medizinprodukt.

16:03

Ungefähr vom groben Aufbau her sieht das Ding so aus. Ist unglaublich beeindruckend. Ist auch relativ groß. Und was in diesem im Wesentlichen gefordert ist, ist eine Geschäftspolitik. Die Qualitätspolitik muss festgelegt werden.

16:20

Es muss ein QM-Handbuch erstellt werden. Es muss ein Gesamtüberblick erstellt werden. Was gibt es im Unternehmen alles für Prozesse? Was gibt es im Unternehmen alles für Verfahrensanweisungen? Wie gliedert sich das von oben herab? Es ist tatsächlich in der Norm festgeschrieben, dass sich die oberste Leitung

16:40

um genau diese Punkte zu kümmern hat. Also es darf nicht von der Belegschaft getrieben sein, sondern von der Geschäftsführung selber. Solche Sachen gliedern sich dann immer so Stückchenweise in feinere Sachen auf. Von dem QM-Handbuch zu den Verfahrensanweisungen,

17:00

zu Arbeitsanweisungen, bis runter zu weiteren mit geltenden Dokumenten. Das können Templates sein. Das können alles Mögliche sein. Und so gliedert sich das hierarchisch von oben nach unten. In dem QM-System ist unglaublich viel definiert. Also bitte einmal beeindruckt gucken. Das schreibt alles so ein QM-System vor.

17:22

Was die haben wollen, ist einfach, dass es für alles Mögliche einen Prozess gibt. Also wirklich für so gut wie alles. Wenn man das jetzt tatsächlich selber machen möchte, also nicht so beeindrucken lassen von so einer Norm, das Stichwort hier ist risikobasiert. Man kann bei vielen Sachen sagen, da haben wir jetzt angefangen,

17:41

wir haben die wichtigsten Sachen identifiziert, wir haben irgendein Assessment durchgeführt und starten jetzt mit dem, wo wir sagen, das ist besonders kritisch. Die benannten Stellen wissen das. Die haben auch Handlungsspielraum, die haben die sogenannten NBOK-Guidances. Da müssen die sich im Audit auch dran halten. Also man hat hier die Möglichkeit, sich stücklesweise zu verbessern.

18:03

Dann schauen wir mal weiter. Die nächste Norm, die bei uns Anwendung findet, ist die ISO 14971. Das ist eine Norm übers Risikomanagement. Da möchte ich mal kurz gucken oder erklären, was es für verschiedene Schritte gibt,

18:25

die durchzuführen sind. Der erste Schritt, mit dem man beginnt, ist so, was habe ich geschrieben? Rahmenbedingungen, ja. Das nimmt sich mit der Zweckbestimmung sofort die Hand. Man muss hier festlegen, was sind die Funktionen des Gerätes,

18:41

was kann von den Funktionen für ein Risiko ausgehen oder die Norm spricht genauer gesagt von Gefährdungen. Gefährdungen ist definiert als potenzielle Schadensquelle. Und von diesen Gefährdungen muss man sich über Events, die mit dem Produkt passieren können, hin zu einer Gefährdungssituation arbeiten.

19:02

Eine Gefährdungssituation ist das erste Mal, wenn Menschen mit ins Spiel kommen. Also banal gesagt. Das heißt, irgendeine Lampe, die an der Decke hängt und runterfallen kann, ist erstmal eine Gefährdung. Solange niemand unter der Lampe steht, wird diese Gefährdung nie zur Gefährdungssituation. Und erst, wenn Menschen mit dem Produkt interagieren

19:22

oder in deren Nutzungsumgebung sich aufhalten, dann kommt man zur Gefährdungssituation. Von einer Gefährdungssituation muss man sich dann weiterhin bewegen zu einem Risiko. Risiko ist so definiert, dass es die Kombination aus Auftretenswahrscheinlichkeit einer Gefährdungssituation und dem daraus resultierenden Schaden.

19:44

Diese beiden Werte kann man dann in einer Matrix aufspannen und Bereiche identifizieren, wo man sagt, die sind komplett inakzeptabel, und andere Bereiche, wo man sagt, das ist jetzt nicht akzeptabel, aber zumindest lassen wir das jetzt mal so stehen,

20:02

weil der Nutzen des Produkts überwiegt. All das passiert in der Risikoanalyse. Das sind die Aktivitäten, die hier normativ vorgeschrieben sind. Das nächste, was dann passiert, ist die Risikobewertung, wo man dann genau sagt, ich habe jetzt meine Risiken identifiziert, ich habe mich von den Gefährdungen rüber bewegt bis zu einem Risiko,

20:24

ich habe mir meinen Graphen aufgespannt, und wie viele Risiken habe ich denn jetzt, die akzeptabel sind oder inakzeptabel sind. Dieser ganze Prozess wiederum ist die Risikobeurteilung. Wenn das so rum ist, kümmert man sich um die Risikobeherrschung.

20:40

Risikobeherrschung bedeutet, es werden risikominimierende Maßnahmen umgesetzt. Da gibt es drei Möglichkeiten. Das erste ist eine Änderung per Design, wo man dann sagt, damit diese Gefährdung gar nicht erst auftreten kann, verändere ich mein Produkt so, dass das technisch gar nicht mehr möglich ist. Bei einem EKG ist das jetzt schwer.

21:00

Das funktioniert halt einfach so, wie es funktioniert. Wäre das Produkt jetzt irgendwas, was Hitze erzeugt, dann könnte man sagen, bei einem Kochfeld nimmt man halt kein Zerankochfeld, sondern ein Induktionskochfeld. Dann kann man die Gefährdung verringern, dass sich jemand an der heißen Herdplatte die Finger verbrennt. Wenn das nicht geht, muss man Schutzmaßnahmen implementieren.

21:22

Das ist die zweite vorgeschriebene Möglichkeit. Bei einer Schutzmaßnahme kann ich halt nur die Wahrscheinlichkeit verschieben. Die Gefährdung an sich bleibt immer noch vorhanden. Die dritte Möglichkeit ist, die man da zur Verfügung hat, Informationen oder Schulungen. Und damit ist man schon am Ende der Risikobeherrschung.

21:41

Mehr ist normativ gar nicht möglich. Im nächsten Schritt wird die Risikoakzeptanz festgestellt. Also die gesamte Risiken betrachtet und geguckt, landet man jetzt nach risikominimierenden Maßnahmen im akzeptablen Bereich. Wenn das auch der Fall ist, wird alles im Risikobericht niedergeschrieben

22:00

und im letzten Schritt dann die nachgeleagerte Phase gestartet. Also haben die Angaben oder die Annahmen, die getroffen wurden, tatsächlich Bestand gehabt oder hat man sich irgendwo völlig verschätzt, sind ganz neue Gefährdungen aufgetreten, haben die Wahrscheinlichkeiten gepasst. Das ist auch das, was normativ mit vorgeschrieben ist.

22:25

Dann ist die nächste Norm, die anwendbar ist, die 82.304. Das ist eine Norm über sogenannte Health Software. Dann schauen wir da auch nochmal kurz rein. Die Normen sind aus einer Zeit entstanden,

22:43

wo sich niemand vorstellen konnte, dass Software ein eigenständiges Medizinprodukt sein kann. Und alle oder so gut wie alle Normen sind von Leuten geschrieben worden, die ein sehr starkes Hardware- und Mechanikverständnis hatten. Deswegen wird man da ganz häufig so ein V-Modell sehen

23:02

oder ein Wasserfall-Modell oder dergleichen. Und so fängt auch diese Norm an. Das ist so der Deckel, wenn man vergessen hat, Software als eigenes Medizinprodukt festzulegen. Das bedeutet, man sagt jetzt hier, ja gut, ihr habt jetzt für Software alles schön gemacht, aber bitte vergesst euer gesamtes System nicht,

23:22

wo das Medizinprodukt zum Einsatz kommt. Ihr müsst jetzt mindestens Systemanforderungen haben. Dann macht sich die Norm des Leben extrem leicht und sagt bitte macht alles, was in der 62.304 dransteht und dockt dann wieder oben an und sagt, ja gut, jetzt haben wir Anforderungen festgelegt,

23:40

die sollen jetzt bitte aber auch verifiziert werden. Und on top of that kommt dann noch die Validierung. Das sind jetzt zwei Begriffe, die stark auseinander getrennt werden müssen. Normativ gesehen ist eine Verifikation der objektive Nachweis, dass spezifizierte Anforderungen erfüllt sind. Mehr nicht.

24:01

Banal gesagt ist eine Verifikation möglich, wenn ich ein Lineal hinlegen kann, wo ich dann sage, klasse, das ist in meinem definierten Bereich, das ist innerhalb der Toleranz, wenn ich irgendwas messen kann. Eine Validierung ist so definiert, dass die spezifizierten Nutzer in ihrer spezifizierten Umgebung

24:21

ihre spezifizierten Anforderungen erfüllen können. Also ich kann ein Produkt bauen, was die Verifikation super bestanden hat, aber niemand damit klarkommt. Weil die Leute dann sagen, ja Moment, ich setze das Ganze in einer dunklen Umgebung ein, da ist Regen draußen, ich habe eine scheiß Beleuchtung, ich kann damit nicht arbeiten, das geht nicht. Das ist dann der Punkt, wo die Validierung fehlschlägt.

24:43

Und da greift diese Norm noch mit rein, wo sie das obendrauf setzt. Auch hier gibt es dann Sachen, die neben zulaufen. Das eine sind Begleitdokumente, die erstellt werden müssen. Das ist eigentlich was, was über die Hardware-Normen reinkommt.

25:01

Bei reinen Softwareprodukten fehlt das dann entsprechend. Also was muss in die Gebrauchsanweisungen oder in diverse andere Sachen. Und auch hier ist dann wieder eine nachgelagerte Phase, wo gesagt wird, diese ganzen Sachen müssen aufrecht erhalten werden. Dann die nächste Norm, die jetzt hier schon angerissen worden ist, ist die IEC 62304.

25:24

Das ist eine reine Softwarenorm. Das ist aus einer Zeit entstanden, wo man dachte, Software ist immer Teil eines Medizinprodukts. Aber es gab Medizinprodukte, wo die Software so grandios versagt hat, dass man dafür eine eigene Norm geschaffen hat. Das Beispiel, was man da recht gerne nennt,

25:41

ist der sogenannte Teraq 25. Das war ein Bestrahlungsgerät. Das ist als Nachfolgegerät auf den Markt gekommen und hat die Patienten förmlich auf dem Tisch verbrannt. Also da ist so viel Strahlung in den Körper rein, die Leute sind schreiend davon gerannt. Und so ist dann diese Norm entstanden.

26:05

Und hier fängt die Norm an und sagt, wenn ihr Software entwickeln wollt, schön und recht, aber plant das. Ihr könnt nicht einfach drauflos entwickeln, ihr müsst euch Gedanken machen, was ihr denn tun wollt. Das fängt an bei Softwareanforderungen, geht über eine Architektur,

26:20

geht über eine Implementierung, geht über eine Verifikation, Integration. Da sagt die Norm, legt das am Anfang fest. Legt fest, wie ihr Anforderungen erheben wollt. Legt fest, wie die Integration laufen soll. Und wurschtelt nicht einfach drauflos. Den nächsten Punkt, den sie festlegt, sind Softwareanforderungen.

26:43

Wie haben die auszusehen, was muss alles mit beachtet werden? Dann geht es um die Softwarearchitektur. Da sagt die Norm, identifiziert Softwaresysteme. Also salopp gesagt, alles, was eine eigene Recheneinheit hat, eigener FPGA, eigener DSP, eigene CPU,

27:00

ist ein Softwaresystem. Identifiziert das. Zerlegt eure Softwarearchitektur weiter in ein detailliertes Design. Dort ist dann die Rede von sogenannten Softwareitems und Softwareunits. Das heißt, ein Softwaresystem zerlegt sich weiter in Softwareitems, die Softwareitems zerlegen sich weiter

27:22

in Softwareunits. Ab da ist dann Schluss. Wo sich die Definition zwischen Softwareitem und Softwareunit unterscheidet, ist, dass der Hersteller sagt, können wir nicht weiter zerlegen. Für was man sich da entscheidet, das dem Hersteller überlassen. Ob man da jetzt komplett runtergeht bis in den Assembler, das kann man machen.

27:42

Viele Hersteller sagen dann, es hat eine Bibliothek, besteht aus ganz viel Zeug, aber die Bibliothek ist jetzt so mal nicht weiter zerlegbar, das sind unsere Softwareunits. Da hat man eben die Freiheit, das zu tun, was man dafür richtig hält. Das Ganze muss auch umgesetzt werden. Auch da gibt es bestimmte Sachen, wo die Norm sagt,

28:03

haltet die ein und dann geht es diesen ganzen Weg wieder hoch. Das Design, was man gemacht hat, muss verifiziert werden. Die Architektur, die man gemacht hat, muss integriert werden. Alles eben entsprechend dem Plan, den man zuvor festgelegt hat. Die Anforderungen werden verifiziert und dann wird die Software freigegeben.

28:21

Also, so die Vorgaben. Auch hier gibt es bestimmte Sachen, die dann noch allgemein durchgeführt werden müssen. Das eine ist die Softwarewartung, wo gesagt wird, jetzt habt ihr irgendwas am Markt, aber wie geht ihr damit um, wenn die Sachen nicht so funktionieren wie geplant?

28:41

Dann gibt es die Softwarekonfiguration. Das bedeutet, welche Deliverables oder welche Tools werden mit eingesetzt. Gibt es eine Versionskontrolle? Ist vielleicht ein Git im Einsatz? Gibt es einen bestimmten Branching Workflow, der da mit definiert wurde? Habt ihr einen Integration-Server? Wenn ja,

29:01

wie geht ihr damit um, wenn diese Sachen geupdatet werden? Also auch das soll gesteuert werden. Und da sind hier Prozesse, die sich genau darum kümmern. Das letzte ist der Softwareproblemlösungsprozess, der dann sagt, wenn Änderungen reinkommen, müssen die bestimmte Schritte mindestens durchlaufen.

29:24

Gucken wir mal. Die nächste Norm kommen. Die IEC 62366. Das ist die Norm über die, wie es auf Deutsch heißt, Gebrauchstauglichkeit. Im Englischen ist es Usability.

29:41

Die Usability-Norm gliedert sich in mehrere Teile. Die Kernaussage der Norm ist, Gebrauchstauglichkeit kann nicht am Anfang noch oben, kann nicht am Ende noch zum Schluss draufgestreut werden, sondern muss von Anfang an durchgeführt werden. Das heißt, es gibt einen

30:03

Entwicklungsprozess, der schon am Anfang starten muss, und es gibt zum Schluss dann noch eine entsprechende Bewertung. Die Norm spricht davon formativer und summativer Evaluation. Formativ ist das, was während der Entwicklung passieren muss, und summativ ist das, was zum Schluss

30:22

passieren muss. Dann, auch hier, wird wieder die Zweckbestimmung aufgegriffen. Also, es wird gesagt, legt die Anwender fest, legt die Umgebung fest. Was kann denn damit gemacht werden? Wie funktioniert das denn? Also, da greifen sie in der Regel alle irgendwie

30:43

mit rein, dass man diese Sachen mit beschreiben muss. Dann muss hier die Gebrauchstauglichkeit spezifiziert werden. Im einfachsten Fall ist es ein sogenannter Style Guide, wo drin steht. Unser Produkt ist folgendermaßen aufgebaut. Die Bedienelemente sind an folgenden

31:03

Stellen. Wir haben folgendes Design gewählt, folgende Anordnungen, folgende Design Patterns. Und diese müssen dann wieder verifiziert werden. Das heißt, ich kann im besten Fall automatisiert prüfen, befinden sich die Elemente an den Stellen,

31:21

die wir bis am Anfang festgelegt haben. Oder verändern sich die Menüs entsprechend, wie es in diesem Design Guide festgelegt wurde. Und müssen hier die Sachen auch wieder validiert werden. Das heißt, ich muss mir wieder echte Nutzer mit ins Boot holen

31:42

und schauen, kommen die mit den Sachen denn klar? Idealerweise sogar schon während der Entwicklung. So, dann haben wir noch die ISO 15223. Das ist eine Norm, die Regelkennzeichnung, die Regelsymbolik. Die greift die ganzen Sachen mit auf. Das ist jetzt mit die günstigste Norm. Das ist kein Fehler.

32:02

Das sind tatsächlich nur 1000 Euro in der Umsetzung. Die Norm an sich kostet noch viel weniger. Aber man muss halt wissen, wo die Symbole hingehören. Und das Schöne an deren Norm ist, die ist zwar rein für die Medizintechnik,

32:21

aber die ISO ist einfach so nett, dass sie die Symboliken allgemein auf ihrer Homepage zur Verfügung macht. Das heißt, man geht zur ISO, sucht nicht nach der Medizintechnik-Norm, sondern sucht nach der ISO 7000. Und kann sich dann hier durch die ISO-Homepage durchbewegen

32:43

und landet dann zum Schluss bei den Vorschausymbolen, die hier entsprechend mitverwendet werden können. Und kann die Symbole hier anklicken, hat sie in groß, hat sie in digital, kann die in die Dokumente da einpflegen, wo sie mit hin müssen.

33:00

Das ist tatsächlich dann eine ganz feine Sache. Dann möchte ich hier noch darauf hinweisen, die Zweckbestimmung ist tatsächlich das entscheidende Dokument oder der entscheidende Text. Hier wird unglaublich viel festgelegt. Wenn man hier am Anfang den Grundstein nicht sauber formuliert hat, kann man da später

33:22

in immense Probleme rutschen, sobald die benannten Stellen mit dabei sind. Also in meinem Beispiel habe ich jetzt hier gesagt, cardio, schön und recht, super, aber nur ein kleines Stück Software auf dem Ding. Nicht das ganze Gerät selber. Wäre das der Fall, also müsste die ganze Hardware-Medizinprodukt werden, dann

33:42

kommt man hier in ganz andere Gefilde. Man muss dann die 60601-Normfamilie einhalten und hat noch viele andere Regularien, die hier mitgreifen. Man muss die Reach- und Roase-Richtlinie erfüllen. Man muss EMV erfüllen, das ist elektromagnetische Verträglichkeit.

34:01

Man muss Bio-Comp mit erfüllen. Man muss Funknormen erfüllen, Rüttel-Schüttel-Tests machen. Das ist halt dann was, wenn sich das vermeiden lässt, freut das natürlich den Medizinprodukten Hersteller. Und das ist genau das, wie sich das in den Entwicklungsmodellen widerspiegelt.

34:20

Dadurch, dass halt viele Hersteller als Hardware-Hersteller gestartet sind, kennen die nur so ein V-Modell. Und das ist dann auch eines der etabliertesten Modelle, die in der Medizintechnik vorhanden sind. Hier ist es natürlich auch möglich, agile Methoden anzuwenden. Es gibt genug Unternehmen, die genau das tun.

34:40

Und was sich da jetzt rausgestellt hat, man erhebt immer noch Nutzungsanforderungen stark am Anfang. Aber sobald die da sind, sagt man sich, ja gut, wir haben bei uns einen Scrum-Prozess. Wir sind in einem regulierten Markt. Wir könnten ja mal sagen, in die

35:02

Definition of Done nehmen wir mit auf, dass am Ende von jedem Sprint bestimmte Dokumente zu erstellen sind. Und innerhalb von einem Sprint kann ich mir aus dem Backlog meine Sachen rausziehen und sagen, gut, ich möchte jetzt diese drei Sachen umsetzen und erstelle für diese drei Sachen dann meine Anforderungsdokumente, meine

35:20

Architektur, mein Design, mach meine Verifikation und bewege mich da stückesweise wieder hoch. Sprich, ich kann auch in einem agilen Prozess so kleine Mini-Faust durchlaufen. Und das ist dann was, wie es üblicherweise in der Industrie umgesetzt wird. Viel andere Sachen habe ich da jetzt auch noch nicht gesehen.

35:41

Genau, das ist das jetzt, was ich gerade gesagt habe. Es ist alles stark V-Modell getrieben. Da kommen die Leute schlicht und ergreifend her, was anderes kennen sie nicht. Was es nicht gibt, oder ich sollte sagen noch nicht gibt, ist eine Norm für Security und Safety. Es gibt Guidances, das BSI ist in den ganzen Normgremien

36:02

mit dabei. Das ist eh ganz lustig. Wenn ich in den Normgremien mit drin sitze, werde ich recht gerne als Vereinsjugend bezeichnet, weil ich den Altersdurchschnitt nochmal so um 25 Jahre nach unten senke. Das sind einfach Themen, das ist nicht in den Köpfen. Es wird vermutlich

36:22

nächstes Jahr zwei, drei Normen zu dem Thema geben, aber im Moment gibt es nichts. Dementsprechend ist das Thema etwas, was von Herstellern nicht auf höchste Priorität steht. Genauso kabeln sich die Hersteller recht gerne mit den Betreibern. Wenn jetzt jemand sagt, wir haben jetzt unser tolles Gerät, das hat eine DICOM-Schnittstelle, das kann keine Ahnung,

36:41

was alles Tolles im Netzwerk machen, bitte lieber Betreiber, also liebes Krankenhaus, kümmere dich darum, dass das in einer geschützten Umgebung ist, weil wir nämlich keinen Wert auf solche Themen gelegt haben. Und dann sagt der Hersteller, not my department, muss sich bitte der Betreiber darum kümmern. Mal gucken, vielleicht ändert es sich dann demnächst noch.

37:02

Wir werden sehen. So, jetzt sind wir mit der Entwicklung fertig. Also kommt die benannte Stelle und führt Audits durch. Einmal wird die Entwicklung und die technische Dokumentation vom Produkt auditiert. Also das heißt, je nachdem, welche Klassifikationen wollen die halt mehr oder weniger sehen.

37:22

Das nächste, was auditiert wird, ist das QM-System. Also in dem Fall ein Audit von der 13485. Dafür gibt es auch ein schickes Zertifikat. Und dann gibt es ein Zertifikat, dass man entsprechend nach Anhang vom Gesetz bestimmte Sachen in Verkehr bringen darf.

37:43

Also man erklärt dann die Konformität. Das ist in Europa tatsächlich ganz wichtig. Es gibt nicht die Zulassung. Der Hersteller erklärt die Konformität selbst. In Amerika muss ich zur FDA gehen und bekomme dann da Clearance oder Approval. Das heißt, da bekomme ich tatsächlich als Hersteller eine Zulassung.

38:02

In Europa macht man das selber. Und wie eben so eine Konformitätserklärung auszusehen hat, das steht im Gesetz. Also das heißt, der Anhang 4 regelt, bitte erfülle sämtliche Anforderungen aus Anhang 1. Also die grundlegenden Sicherheits- und Leistungsanforderungen.

38:21

Dann im Anhang 2 erstellt er eine technische Dokumentation mit den entsprechenden Normen, sobald man denn meint, dass die anwendbar sind. Und der dritte Schritt ist Überwachung nach in Verkehr bringen. Viele Normen haben diese Phase eh schon mit dabei. Aber das ist jetzt eben per Gesetz vorgeschrieben.

38:42

So, dann können wir die Konformität erklären mit der sogenannten Konformitätserklärung. Es muss tatsächlich ein formales Dokument sein, wo bestimmte Sachen mit drin sind. Also um welche Firma handelt es sich, wo es denn die zu finden. Es müssen eindeutige Nummern vergeben werden. Es muss das Produkt eindeutig benannt werden.

39:02

Es muss die Risikoklasse mit dabei sein, die benannte Stelle, also bei Klasse 2a, 2b und Klasse 3 Produkten. Und es muss zum Schluss ein Datum drauf sein, eine Unterschrift. Also das ist eins der wenigen Dokumente, die wirklich so einen richtig formell schweren Prozess

39:22

mit sich fordern. Wenn das geschafft ist, super, Anhang 5, CE-Kennzeichen. Das CE-Kennzeichen in der Medizintechnik bedeutet genau das. Man hat die Konformität erklärt. Das Produkt ist zumindest laut Ansicht der benannten Stelle und des Herstellers sicher.

39:42

Und unten dran steht die Nummer von der benannten Stelle. In dem Fall jetzt 0123. Das wäre der TÜV Süd. Je nachdem, wo man hingeht, hat man halt ein anderes Kürzel dran. So, im nächsten Schritt muss dann die UDI registriert werden,

40:01

also der Unique Device Identifier. Der muss nicht nur aufs Produkt selber, sondern auch entsprechend auf die Verpackungen und Umverpackungen und alles Mögliche. UDI hier anzureißen würde den Rahmen endgültig sprengen, aber zumindest kurz möchte ich darauf eingehen.

40:21

Die UDI gliedert sich in zwei Bereiche. Einmal die UDI-DI und die UDI-PI. Die UDI-DI ist ein statischer Teil, der das Gerät identifiziert, der das Unternehmen identifiziert. Das ist ein Teil, wie gesagt, der bleibt einigermaßen fest. Dann gibt es den zweiten Teil,

40:41

der dynamisch ist. Also wann wurde das Ganze hergestellt, welche Chargennummer, Seriennummer mit dabei ist, hat das Ganze ein Verfallsdatum, die ganzen Sachen. Das heißt, diese Nummer, der zweite Teil, wird am laufenden Meter, je nachdem, wie viel man halt in Verkehr bringen möchte, neu erstellt.

41:02

Wenn man seine UDI registriert hat, dann hat man tatsächlich, was die Entwicklung angeht, alles durchlaufen und kann sich dann um die Aufrechterhaltung kümmern. Also das nächste Kapitel, was dann hier anwendbar ist, Überwachung, Vigilanz

41:23

und diese Themen. Aufrechterhaltung bedeutet, die Zertifikate müssen erneuert werden. Alle diese Zertifikate haben Ablaufdatum. Auch die Konformitätserklärung hat, meines Wissens, ein Ablaufdatum.

41:47

Das heißt, es muss kontinuierliche Bewertungen geben. Es dürfen auch unangekündigte Audits durchgeführt werden. Also sowohl selber als Hersteller kann man seine Lieferanten auditieren,

42:01

als auch die benannten Stellen dürfen den Hersteller auditieren. Und es gibt ein ganz nettes Video von den französischen Unternehmen, was in der Rolle des Herstellers und Zulieferers ist. Die hatten, glaube ich, um die 20 Audits in einem Jahr, wo sie dann angefangen haben,

42:20

jetzt kam die benannte Stelle, jetzt kam irgendein Hersteller, wo sie Lieferant sind, wo sie dann genau die gleichen Dokumente aus der Schublade rausgezogen haben und das Audit dann nochmal so durchgeführt haben. Diese Audits sind auch ein sehr formaler Prozess. Üblicherweise nimmt man ein sogenanntes

42:40

Frontroom Backroom-Setting. Das bedeutet, es gibt einen Raum, wo man mit dem Auditor hingeht und diesen Raum verlässt der Auditor die gesamte Zeit nicht. Wenn der irgendwas sehen möchte, dann fragt er, was ist die Zweckbestimmung? Und grebt sich dann von da aus stücklesweise durch. Der Backroom hört per Skype

43:00

oder wie auch immer Audio, Schalte, Chat, was weiß denn ich zu, und steht on demand an, wenn es ein papierbasiertes System ist, tatsächlich Amdrucker, erstellt Kopien, die als solche gekennzeichnet sind und bringt die dann ganz brav in den Frontroom und sagt, hier lieber Auditor, das hast du angefordert, und jetzt gucken wir, ob das dann passt.

43:20

In digitalen Systemen ist das dann einfacher, aber das ist so ein ganz typisches Setting, dass man diese Bereiche auseinanderzieht. Dann gehören eben solche Prozesse mit ins QM-System. Das heißt, man braucht ein System für Marktüberwachung,

43:42

für Änderungswesen, für ständige Verbesserung oder für CAPAs, Corrective and Preventive Actions. Und damit bin ich jetzt tatsächlich am Ende. Das wäre jetzt einmal die gesamte Produktentwicklung mit Aufrechterhaltung

44:00

in groben Schritten abgerissen. Ich habe noch einen Podcast, wenn noch Fragen da sind. Vielen Dank. Dann haben wir jetzt sogar noch Zeit für Fragen. Wir haben Saalmikrofone hier aufgebaut, die 1, die 2, die 3. Bitte stellt euch dahin, wenn ihr Fragen habt,

44:22

und ich nehme euch dann einfach dran. Wir haben noch nichts aus dem Internet, da kommt vielleicht noch was, aber Mikro 2 dann bitte. Bei vielen Folien, glaube ich, könnte man die Überschrift Medizintechnik ersetzen auch durch Automotive oder Aerospace.

44:41

Die Themen sind die gleichen, die Normen unterscheiden sich, haben eine andere Nummer, aber im Wesentlichen die Themen sind ähnlich, also Qualitätsmanagement, Risikomanagement und so. Gibt es etwas in der Medizintechnik, was sich deutlich von anderen Bereichen mit kritischen Systemen abhebt? Von den Anforderungen her nicht.

45:03

Jeder regulierte Bereich hat bestimmte Sachen, die festgelegt werden müssen. Was ist in der Medizintechnik das größte Problem? Ich sage mal, ein Flugzeug ist immer ähnlich aufgebaut. Ein Auto ist immer ähnlich aufgebaut. Die Medizintechnik, die ganzen Normen, die es da gibt,

45:21

das muss funktionieren, von einem Heftpflaster über einer Mullbinde, über einem Rollstuhl bis hin zu implantierbaren Herzschritten machen. Diese Diversität in den Normen abzubilden, ist ein Riesenproblem, weil sich im Endeffekt kein Hersteller da so richtig wiederfindet. Das ist das, was in der Medizintechnik

45:42

so wichtig ist. Aber die Anforderungen sind in jedem regulierten Bereich die gleichen. Vielleicht nur kurz die Anmerkung. Das Thema, dass Software als Nachgedanke dann meist noch hinten dran gemacht wurde und die Normen im Hintergrund Hardware geschrieben wurden, das ist auch in anderen Bereichen genau der gleiche Fall.

46:04

Ich kenne das aus der Luft- und Raumfahrt. Da ändert man lieber fünf Hardware-Geräte außenrum, bevor man die Software handfasst. So schlimm ist es in der Medizintechnik dann doch nicht. Dann gehen wir rüber auf Mikrofon 1, bitte. Hi, vielen Dank.

46:23

Das klingt ja jetzt schon alles irgendwie sehr, sehr kompliziert. Für mich stellt sich so ein bisschen die Frage, was ist denn die Vorschrift, wann muss ich mein Gerät als oder mein Produkt als Medizinprodukt sehen? Wann habe ich als Firma die Vorschrift oder eben den Anreiz, das zu tun?

46:44

Und sagt nicht einfach auch die Zertifizierung, spare ich mir, das ist ja alles kompliziert. Die pragmatische Antwort auf die Frage ist, wenn das Mitbewerber spitz bekommen, wird eine Klage eingereicht. Und was dann passiert ist,

47:01

dass das Ganze landet vor Gericht und ein Gutachter erstellt für einen die Zweckbestimmung. Und wenn das jetzt offensichtlich ist, also bei bestimmten Geräten kann man es einfach nicht mehr wegdiskutieren, wenn man sagt, es soll an Patienten angewendet werden, ist invasiv, steuert Funktionen vom Herzen, da wird es schwierig.

47:22

Wenn das jetzt zu Borderline-Produkte sind, sollte man sich sehr genau Gedanken machen, wo man sagt, in diese Definition falle ich garantiert nicht rein. Weil ansonsten bekommt man die Zweckbestimmung und in der Regel nicht zu den Gunsten. Aber die Zweckbestimmung mit den Klassifizierungsregeln am Anfang, wo ich gezeigt habe, die Definition Medizinprodukt

47:42

unbedingt durchlesen, da steht alles Wichtige drin. Und da ist auch die Abgrenzung zum Beispiel zur Pharmakologie. Dann gehen wir rüber an Mikrofon 2. Ja, ich habe hier jetzt im Moment eine SmartPatch um, die hat auch eine EKG drin. Allerdings ist das in Europa deaktiviert, so wie bei ganz vielen anderen Herstellern.

48:02

Wir haben jetzt eben so einen wohl definierten Prozess gesehen. Da frage ich mich dann, warum schaffen große Hersteller wie Samsung oder Apple, das eigentlich nicht so einen Prozess in einermaßen kurzer Zeit zu durchlaufen, um solche Features bereitzustellen? Die Apple Watch ist ein sehr schönes Beispiel. Die ist mittlerweile in Europa als Medizinprodukt

48:20

in Verkehr gebracht. Auch nicht die Apple Watch selber, die hat sich nämlich genau den gleichen Kunstgriff erlaubt. Die hat zwei Apps als Medizinprodukt deklariert. Das eine ist die EKG App, was nahezu die identische Zweckbestimmung hat, wie das, was wir hier gesehen haben. Und das andere ist die App. Ich glaube, das war eine Sturzerkennung oder irgendwie sowas.

48:42

Und diese beiden Sachen sind Medizinprodukt. Mehr nicht. Und auch für diese beiden Sachen findet man eine Zweckbestimmung. Für diese beiden Sachen findet man das CE-Zeichen. Und wenn man da draufschaut, findet man exakt das, was wir hier gesehen haben, und zwar die Kennnummer

49:00

0123, wo der TÜV Süd in diesem Konformitätsbewertungsverfahren mit dabei war. Was wiederum bedeutet, das sind mindestens Klasse 2A Medizinprodukte. Aber die gesamte Hardware, da hat sich Apple gesagt, das macht keinen Sinn. Die Hardware an sich, also das Hauptziel der Apple Watch ist nicht

49:21

Medizinprodukt. Da soll jeder Kreti und Pleti für das Ding entwickeln können. Das können sie gar nicht kontrollieren und wollen sie auch gar nicht. Und deswegen haben sie gesagt, über die beiden Bereiche, da behalten wir uns, unsere Entscheidungshoheit, und nur wir können da Änderungen vornehmen. Hat das die Frage beantwortet? Ja, eigentlich interessierte mich noch,

49:41

warum das eigentlich so lange dauert. Also auch die Apple Watch hat ja monatsche Startverzögerungen gehabt. Das ist richtig. Apple ist in dem Fall ein amerikanisches Unternehmen. Die haben ihre erste Einreichung bei der FDA gemacht. Da wussten sie genau, was sie tun. Und eine FDA ist eine Behörde, die hat sehr strikte Prozesse, an die sie sich selber halten muss.

50:01

Da war es leichter, eine Vorhersage zu treffen, wann sie von der FDA die Clearance bekommen. Bei einer benannten Stelle gibt es diese genauen Vorhersagen nicht. Die haben nur ihre NBOK-Guidances, ihre Richtlinien, an denen sie sich orientieren können. Und wenn der TÜV Süd sagt, ja gut, schön recht, was die FDA da gesagt hat, aber wir haben bei uns noch eine Norm mehr,

50:22

die wir als anwendbar sehen. Erfüllt die bitte oder gebt uns zumindest Nachweisdokumente, dass ihr die erfüllt habt, dann müssen die nachliefern. Und die FDA ist nicht so stark normengetrieben. Die sind mehr gesetzesgetrieben. Und das ist meine Vermutung, warum Apple da

50:40

länger gebraucht hat, weil sie mit einem ganz anderen Mindset an die Sachen ran sind, weil sie amerikanisch sind, weil sie da einen anderen Blick auf die Welt haben. Aber ich war nicht dabei, es ist nur eine Mutmaßung. Super, dann schalten wir mal rüber ins Internet. Ja, eine kurze Frage aus dem Internet. Kosten diese unabhängigen Audits durch die benannte Stelle auch Geld?

51:02

Es ist so, genau. Der Hersteller sucht sich eine benannte Stelle, also DEKRA oder wen auch immer, wenn wir hier von Europa stellen, halt eine benannte Stelle aus dem europäischen Raum und zahlt dieser benannten Stelle Geld. Und die führt dann das Audit durch.

51:21

Das ist so ein bisschen ein Interessenkonflikt, aber die benannten Stellen legen sehr hohen Wert darauf zu sagen, wir bekommen zwar von den Herstellern das Geld, aber können auf dem Papier beweisen, dass wir uns so weit neutral verhalten haben und nicht einfach irgendwelchen Scheiß durchgewunken.

51:41

Da ist im Brustimplantat der Skandal, TÜV Rheinland waren die Kritik geraten, aber die konnten dann auch zeigen. Wir haben hier alles in unserer Macht stehende getan, aber gegen kriminelle Handlungen, da können wir uns auch nicht schützen. Und drüber zu eins, bitte.

52:00

Bei der Medizinprodukteentwicklung entsteht also sehr viel Dokumentation. Gibt es eine Möglichkeit für den Patienten, für den Nutzer der Medizinprodukte, an die technische Dokumentation ranzukommen, beispielsweise über das DIMDI? Nein, besteht nicht. Wir befinden uns gerade in einer Änderung von den Gesetzen.

52:21

Im Moment, das habe ich jetzt heimlich verschwiegen, wir haben noch ein altes Gesetz, die MDD. Die gilt noch bis Mai nächsten Jahres. Danach gilt die MDR. Und mit der MDR wird eine europäische Datenbank eingeführt. Die ist nicht komplett öffentlich, aber halb öffentlich. Man kann bestimmte Sachen einsehen.

52:40

Aber die Hersteller sagen, das ist unser Geschäftsgeheimnis, das ist das, was unsere Kernkompetenz ausmacht. Wir können nicht unsere technische Dokumentation rausgeben. Der Gesetz ist vorgeschrieben, dass bestimmte Sachen in der Gebrauchsanweisung drin stehen müssen, dass bestimmte Sachen angegeben müssen,

53:00

die UDI, die ganzen Kennzeichnungen. Das ist genau vorgeschrieben. Aber an die technische Dokumentation wird man nicht hinkommen. Man kann das sogar noch weiter treiben, indem man einen Freedom of Information Act an die FDA stellt, um so an die technische Dokumentation hinzukommen. Aber auch da sagt die FDA, wenn wir das einmal machen, kommt niemand mehr zu uns.

53:21

Also nein, an die technische Doku kommt man nicht hin. An die Begleitdokumente, die für den Endnutzer bestimmt sind, an die auf jeden Fall. Dann gehen wir auf die 2. Vielen Dank für den Vortrag. Ich habe in der Radiologie jetzt sehr oft beobachtet, dass es kleine Firmen gibt, die die Bilder,

53:41

die aus dem CT oder MRT kommen, mit irgendwelchen Algorithmen belegen, irgendwelche neuen Bilder generieren oder irgendwelche Analysen machen und dann hinterher sagen, ja, aber wir sind kein Medizinprodukt. Wir machen das nur im Endeffekt für die Wissenschaft, was wir hier machen. Und wenn du das klinisch einsetzt, lieber Arzt, dann machst du das selber und du triffst ja die Entscheidung

54:00

über das, was du mit deinem originären Bild einmal da gemacht hast. Ist das in irgendeiner Art oder Weise legitim? Ist das machbar für so kleine Open Source-Projekte, die etwas mit Bildern machen möchten? Das ist ein Graubereich. Wenn der Hersteller sagt, das ist nur für klinische Forschung,

54:22

das ist nur, um mal irgendwas zu testen und man das dann eben für was anderes einsetzt, schiebt der Hersteller die Verantwortung an den Betreiber. Wenn das jetzt in größerem Rahmen passiert, wird eine benannte Stelle oder eine Landesbehörde oder eine europäische Behörde,

54:41

die ihm irgendwann Einhalt gebieten. Dann passiert genau das, es kommt vor Gericht und dann wird ein Gutachter Zweckbestimmungen erstellen. Das andere ist, es gibt auch Software-Systeme, zum Beispiel gerade in der Radiologie, die eine Bestrahlungsplanung machen. Da greift dieses Mittel nicht mehr. Wenn das ein Hersteller machen würde,

55:00

der sagt, irgendein Betreiber hat jetzt ein Bestrahlungsgerät, nimmt sich von einem kleinen Unternehmen eine Software für eine Bestrahlungsplanung, wo dann genau schaut, wo soll da jetzt durchgeschossen werden, das wird nicht mehr funktionieren. Bei so anderen Grenzfällen möglich. Ob das auf Dauer funktioniert, das ist die Frage.

55:24

Dann gehen wir rüber auf die A1. Vielen Dank. Da schließe ich meine Frage direkt ein bisschen an. Wie wird die Einhaltung dieser Norm denn enforced? Das heißt, wenn jetzt Ärzte den Cardio verwenden an Patienten, um damit irgendwas zu überwachen,

55:40

oder irgendwelche Flower Power Enterprises, irgendwelche Produkte liefern, die von Krankenhäusern, weil es billiger ist, verwendet würden, wer würde das wann, wo, wie feststellen und was würde dagegen unternommen? Man kann ja nichts dagegen tun, wenn jetzt jemand den Cardio quasi als Medizinprodukt einsetzt. Wie würde dagegen vorgegangen und wer hätte dann

56:02

was zu befürchten? Der einfachste Weg ist, den Weg über die Bfarm zu wählen. Das Bfarm ist das Bundesinstitut für Arzneimittel und Medizinprodukte. Dort können solche Vorkommnisse gemeldet werden. Die kümmern sich dann sehr schnell um solche Sachen. Klar, auch die haben manchmal

56:21

sehr viel zu tun, aber das ist die erste Anlaufstelle für sowas. Wer würde denn jetzt belangt? Also wenn ein Arzt Cardio einsetzt als Medizinprodukt, obwohl es keins ist, wird dann jemand die Zweckbestimmung für das Cardio feststellen? Und Cardio hätte ein Problem oder hätte der Arzt ein Problem? Das muss ein Gutachter feststellen.

56:42

Das ist dann das, was vor Gericht passiert. Wenn in der Zweckbestimmung rauskommt, die Leute haben alles richtig gemacht, es ist kein Medizinprodukt, es kann keine Erkennung von irgendwas stattfinden, was meiner Ansicht nach im Moment der Fall ist, dann wird der Arzt oder der Betreiber in dem Fall dafür haftbar gemacht, weil er irgendwas eingesetzt hat,

57:01

was nicht für die Umgebung gemacht ist. Wenn in der Zweckbestimmung rauskommt, durch diesen Gutachter, ja Moment, man kann ja hier bestimmte Arten von Herzerkrankungen feststellen. Das Gerät sagt einem ja sehr genau oder alarmiert sogar sehr genau,

57:20

wann jetzt was passiert, dann ist der Hersteller nett dabei. Das passiert alles in der Cardio nicht. Aber ja, es dreht sich dann immer um die Zweckbestimmung, die formuliert wird. Und da müsste man jetzt Kristallkugel raten, was tatsächlich vom Gutachter reingeschrieben wird. Haben wir noch was aus dem Internet?

57:42

Dann machen wir direkt weiter mit Mikrofon 1 bitte. Hallo, wenn ich Sie richtig verstanden habe, dann hat Apple argumentiert, dass die Apple Watch primär andere Ansatzzwecke hat, als irgendwelche Lebenswerte zu messen. Ich kenne das Produkt Cardio nicht, aber hat die Hardware denn

58:03

irgendwelche anderen Einsatzzwecke als diese medizinischen? Wie haben Sie sich da rausgerätet, weil sich das irgendwie aus diesem Vortrag alleine so anhört, als wäre das wirklich primär für diese medizinischen Zwecke da?

58:21

Gut, ich habe jetzt den Medizinzweck natürlich hervorgehoben, weil das halt ein Bereich ist, in dem ich mich sehr gut auskenne. Die Cardio an sich kann neben vielen tausend anderen Sachen auch in EKG ableiten, kann das aber mehr schlecht als recht darstellen. Schneider, es tut mir leid.

58:49

Das Ding kann oder soll für so viel mehr eingesetzt werden als für das EKG, wo ich jetzt einfach mal behaupte, die Leute sollen dafür Software schreiben, es soll einfach zugänglich sein, es soll sich mit anderen Cardios

59:02

irgendwie vernetzen können, man soll auf dem Display hübsche Sachen darstellen können, man soll einstellen können, ob ich jetzt gerade mit anderen reden möchte oder ob ich eigentlich gerade keinen Bock habe. Das sind so die hauptsächlichen Sachen. Blinken tut das Ding, das darfst du nicht vergessen. Ganz wild, stimmt.

59:22

Das wäre jetzt mein Ansatzpunkt, wo ich sage, das EKG ist halt auch mit dabei, was ist halt eine nette Spielerei. Aber das ist nicht, was die Cardio an sich ausmachen soll. Weil ich dann geglaubt habe, dass es wirklich nur für diesen einen Zweck eigentlich gebrauchbar ist. Dann haben Sie das beantwortet. Danke.

59:41

Und dann machen wir auch direkt weiter mit Mikrofone eins, bitte. Guten Abend. Ich hätte zwei kleinere Fragen. Das Erste, könnte es passieren, dass so etwas wie Google Scholar oder Pubmeds, was Ärzte im Alltag häufig benutzen, um Entscheidungen zu treffen für ihre Patienten, auch unter...

01:00:01

Medizinprodukte-Gesetz fallen könnte und zweitens die Abgretzung zur Kategorie 3 scheint mir zu sein, wenn man eine potenziell lebensbedrohliche oder sehr, sehr gefährliche Entscheidung in einer Software beispielsweise herbeiführen würde. In der Medizin ist es jetzt aber auch so,

01:00:21

dass Patienten ganz leicht Allergien auf Medikamente entwickeln können, die auch und damit an Penicillin beispielsweise sterben könnten. Inwiefern wird darauf Rücksicht genommen, dass ich sage mal auch Banalitäten in der Medizin ganz einfach verheerende Folgen haben können und das dann dazu führt, dass ich ein kleines Produkt letztendlich so ausbauen

01:00:45

muss wie den Roboter, der mir mein Herz automatisch transplantiert. Die zweite Frage kann ich recht leicht beantworten, das richtet sich an die Klassifizierungsregeln. Ich habe jetzt nur die Regel 10 an den Beamer geworfen. Man muss für das Produkt,

01:01:03

was man hat, die Funktionen kennen, die Zweckbestimmung haben und kann dann genau durch diese Regeln systematisch durchgehen. Dort wird exakt erklärt, wenn ich ein Produkt habe, was bestimmte Features hat, wenn es eine gewisse Invasivität hat, dann lande

01:01:20

ich in diesen ganzen Kategorien. Alle Regeln hier aufzuzeigen, ist relativ mühselig und das macht es ein bisschen schwierig. Bei der ersten Frage müssen wir uns, glaube ich, mal persönlich zusammensetzen. Die Google, was war das? Scolar? Ja, Google Scolar und PubMed oder Up-to-date. Also da gibt es ja viele Plattformen, wo Ärzte fündig werden.

01:01:45

Da weiß ich jetzt tatsächlich gar nicht, was die machen. Also ja, da kann ich jetzt gar nicht so viel dazu sagen. Das tut mir leid. So, wir haben keine Zeit mehr und auch keine Fragen mehr. Phil, du bist erlöst. Vielen, vielen Dank. Das noch mal dein Applaus.