Software as a Medical Device (SaMD) zählt heute zu den regulatorisch komplexesten Themen im MedTech-Bereich. Ein einzelnes Produkt kann gleichzeitig ein Medizinprodukt oder IVD gemäß MDR/IVDR, ein KI-gestütztes System im Sinne des EU AI Act, eine über Online-Plattformen bereitgestellte App (DSA) sowie eine Lösung zur Verarbeitung von Gesundheitsdaten im EHDS-Ökosystem sein. Im Jahr 2025 haben mehrere EU-Leitlinien diese Überschneidungen konkretisiert und damit die Art und Weise verändert, wie Softwareprodukte entwickelt, validiert und klinisch belegt werden.
EN 62304: Validierung des Software-Lebenszyklus als „State of the Art“
Die Norm EN IEC 62304 definiert Anforderungen an Entwicklung und Wartung von Medizinproduktsoftware – sowohl wenn Software selbst das Produkt ist als auch wenn sie integraler Bestandteil eines Medizinprodukts ist. Sie strukturiert Sicherheitsklassen (A/B/C), Anforderungen, Architektur, Verifikation, Konfigurationsmanagement und Problembehandlung.
In der Praxis ist die Validierung des Software-Lebenszyklus kein einzelner Bericht, sondern der Nachweis, dass:
-
Risiken (einschließlich SOUP- und Cybersecurity-Aspekten) identifiziert und beherrscht werden,
-
Anforderungen prüfbar und rückverfolgbar sind,
-
Unit-, Integrations- und Systemtests kritische Funktionen abdecken,
-
Änderungen und Versionen kontrolliert werden, um Sicherheit und Konformität aufrechtzuerhalten.
Über MDR/IVDR hinaus: Was ist für SaMD zusätzlich relevant?
Für die meisten SaMD-Hersteller endet Compliance nicht bei MDR/IVDR. Zunehmend müssen weitere regulatorische Rahmenwerke berücksichtigt werden.
EU AI Act
Der AI Act folgt einem gestuften Umsetzungszeitplan. Verbotene Praktiken sowie Verpflichtungen zur KI-Kompetenz gelten seit dem 2. Februar 2025. Anforderungen an Hochrisiko-KI-Systeme in regulierten Produkten, einschließlich Medizinprodukten, unterliegen einer verlängerten Übergangsfrist bis zum 2. August 2027.
EHDS
Die Verordnung zum Europäischen Gesundheitsdatenraum ist am 26. März 2025 in Kraft getreten und beeinflusst Interoperabilität, Datenaustausch sowie die sekundäre Nutzung von Gesundheitsdaten.
Cyber Resilience Act / NIS2
Die Erwartungen an Cybersecurity, Schwachstellenmanagement und Lieferkettenkontrollen für digitale Produkte steigen weiter.
Bereitstellung über Plattformen
Die Verteilung von Software über App-Stores wirft zusätzliche Fragen zu Rollen und Verantwortlichkeiten innerhalb der Wertschöpfungskette auf.
Wichtige Updates 2025 für softwarebasiertes MedTech
MDCG 2019-11 rev.1 (Juni 2025)
Die aktualisierte EU-Leitlinie zur Qualifikation und Klassifikation von Software stärkt die Bedeutung eines klar definierten Intended Purpose, erweitert die Betrachtung von Modulen und aktualisiert Beispiele sowie Interpretationen, einschließlich Aspekten zu EHR und EHDS.
MDCG 2025-4 (Juni 2025)
Diese Leitlinie bietet erstmals einen konkreten Rahmen für die Bereitstellung von Medizinproduktsoftware über Online-Plattformen und App-Stores. Sie unterscheidet zwischen der Rolle als Vermittlungsdienstleister (DSA) und als Distributor/Importeur und beschreibt zentrale Informationspflichten gegenüber Patienten und Nutzern.
MDCG 2025-6 (Juni 2025)
Ein FAQ zur Schnittstelle zwischen MDR/IVDR und dem EU AI Act. Für SaMD und KI sind insbesondere Human Oversight, Rückverfolgbarkeit, Cybersecurity, Post-Market-Monitoring sowie Auswirkungen von Änderungen nach dem Inverkehrbringen relevant.
SaMD oder „nur Software“? Ein pragmatischer Qualifizierungsansatz
-
Intended Purpose – wird vom Hersteller ein medizinischer Zweck (Diagnose, Überwachung, Behandlung, Prävention usw.) beansprucht?
-
Relevanz für klinische Entscheidungen – liefert die Software Informationen für diagnostische oder therapeutische Entscheidungen (Regel 11) oder beschränkt sie sich auf Speicherung bzw. Übertragung?
-
MDR oder IVDR? Wenn die Ausgabe in-vitro-diagnostische Informationen betrifft (z. B. probenbasierte Ergebnisse), gilt IVDR.
-
Nutzung von MDCG 2019-11 rev.1 als Orientierungshilfe – Definitionen, Entscheidungsdiagramme und Beispiele helfen, Grenzfälle zu vermeiden.
Auswirkungen auf klinische Evidenz und Produktentwicklung
Evidenz, Verifikation und Validierung – je stärker Software klinische Entscheidungen beeinflusst, desto höher sind die Anforderungen an klinische, analytische und Usability-Daten sowie an das Änderungsmanagement.
KI im Anwendungsbereich – zusätzliche Anforderungen an das Management des Modell-Lebenszyklus, einschließlich Performance-Monitoring, Drift-Erkennung, Schwachstellenmanagement und menschlicher Aufsicht.
App-Bereitstellung – die Art der Bereitstellung beeinflusst Verantwortlichkeiten und Informationspflichten gegenüber Nutzern.
Zentrale Erkenntnisse
-
Das Jahr 2025 hat die Bereitstellung von SaMD über Plattformen (MDCG 2025-4) sowie die Schnittstelle zwischen MDR/IVDR und EU AI Act (MDCG 2025-6) klargestellt.
-
MDCG 2019-11 rev.1 stärkt die Disziplin rund um den Intended Purpose und aktualisiert Beispiele zur Qualifikation und Klassifikation.
-
EN IEC 62304 bleibt das zentrale Fundament für den Nachweis der Konformität des Software-Lebenszyklus.
Quellen
Wir empfehlen, die Quelldokumente vollständig zu lesen – insbesondere, wenn das Produkt als App für Patienten vorgesehen ist oder klinische Entscheidungen unterstützt.
MDCG 2019-11 rev.1 (June 2025):
https://health.ec.europa.eu/document/download/b45335c5-1679-4c71-a91c-fc7a4d37f12b_en?filename=mdcg_2019_11_en.pdf
MDCG 2025-4 (June 2025):
https://health.ec.europa.eu/document/download/ec9b0f40-7f82-43a7-b833-ebd45b772eae_en?filename=mdcg_2025-4_en.pdf
MDCG 2025-6 (June 2025):
https://health.ec.europa.eu/document/download/b78a17d7-e3cd-4943-851d-e02a2f22bbb4_en?filename=mdcg_2025-6_en.pdf
AI Act timeline (EC):
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
EC guidelines (AI prohibited):
https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
EHDS info (EC):
https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en
IEC 62304 (IEC Webstore):
https://webstore.iec.ch/en/publication/22794
CRA (EC):
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
NIS2 (EC):
https://digital-strategy.ec.europa.eu/en/policies/nis2-directive