Medical Apps: Einordnung als Medizinprodukt, Zertifizierung, Schnittstellen und Updates

Der richtige medizinrechtliche Umgang mit Medical Apps – kompakt dargestellt.

Wann ist eine App ein Medizinprodukt?

Was ein Medizinprodukt ist, regelt § 3 MGP und möglicherweise bald Artikel 2 der angekündigten europäischen Medizinprodukteverordnung. Danach kommt es allein darauf an, dass der Hersteller die App für einen medizinischen Zweck auf den Markt bringt.

Hilfreich sind die faktisch bedeutsamen Guidelines der Europäischen Kommission, die MEDDEV 2.1/6. Im Oktober 2015 hat das BfArM zudem eine Orientierungshilfe speziell für Medical Apps mit Hilfen zur Abgrenzung und Beispielen veröffentlicht. Ein starkes Indiz für ein Medizinprodukt besteht danach dann, wenn einzelne Funktionen der App mit Begriffen beschrieben werden können wie: alarmieren, analysieren, berechnen, detektieren, diagnostizieren, interpretieren, konvertieren, messen, steuern, überwachen oder verstärken. Als Beispiel werden Apps genannt, die der Befundungsunterstützung dienen.

Welche Risikoklasse?

Medical Apps werden überwiegend der Risikoklasse I zuzuordnen sein. Davon geht auch die o. g. Orientierungshilfe des BfArM aus. Die genaue Einordnung richtet sich nach den achtzehn Klassifizierungsregeln in Anhang IX der europäischen Medizinprodukterichtlinie (RL 93/42/EWG). Nach § 13 Abs. 3 MPG kann beim BfArM eine Entscheidung über die Klassifizierung beantragt werden.

Unterfällt die Medical App der Risikoklasse I kann die Konformitätsbewertung ohne Einbindung einer Benannten Stelle durchgeführt werden. Der App-Hersteller kann sich letztlich selbst das CE-Zertifikat erteilen.

Wie erfolgt die Erstzertifizierung?

Die Erstzertifizierung erfolgt in drei Schritten: Erfüllung der sog. Grundlegenden Anforderungen, klinische Bewertung und zusammenfassende Konformitätsbewertung. Die Erfüllung der Grundlegenden Anforderungen gliedert sich ihrerseits in drei Schritte: Erstellung der technischen Dokumentation, Einhaltung der technischen Normen und Validierung. Mit der klinischen Bewertung wird nachgewiesen, dass sich die Medical App für den vorgesehenen Verwendungszweck eignet. Dieser Nachweis kann über eine Auswertung von wissenschaftlicher Literatur oder über eine klinische Prüfung erfolgen. Schließlich erfolgt die Bewertung, dass alle Vorschriften eingehalten sind, und sodann die CE-Kennzeichnung.

Schnittstellen

Hinsichtlich sämtlicher Schnittstellen (insb. Schnittstelle zum Betriebssystem und Netzwerkanbindung) ist zunächst zu beurteilen, ob sie möglicherweise zur eigenen App zählen und entsprechend in das Zertifizierungsverfahren einzubeziehen sind. Sämtliche Schnittstellen sind in die technische Dokumentation aufzunehmen; eine Risikobewertung ist durchzuführen. Hierbei werden möglicherweise in Zukunft zunehmend Unterstützungshandlungen der Betriebssystemhersteller helfen. So hat Apple im April 2015 etwa ein „ResearchKit“ angekündigt, das als Framework für die Erstellung von MedicalApps helfen soll. Entwickler, die dieses ResearchKit verwenden, müssen ihre App über ein „Ethics Board“ von Apple genehmigen lassen.

Updates

Eine App ist nicht statisch. Vielmehr sind regelmäßige Updates mit kleinen Verbesserungen und Erweiterungen vom Markt gewünscht und für die Beseitigung üblicher, „kleiner Fehlerchen“ auch erforderlich. Das Medizinprodukterecht geht jedoch im Grundsatz von einem statischen Produkt aus, das sich nach der Zertifizierung kaum mehr ändert. Zu beachten ist dabei, dass auch Updates Dritter, z. B. des Betriebssystemherstellers, Einfluss auf die eigene App haben. Es werden folgende vier Kategorien zu unterscheiden sein: Updates wegen geänderter rechtlicher Vorschriften, Updates wegen geänderter technischer Normen, Updates durch den Hersteller aufgrund von Erkenntnissen aus der Marktbeobachtung und Updates von Drittsoftware mit Einfluss auf die eigene App. Die Besonderheiten jeder der vorgenannten Kategorien sind zu beachten. In jedem Fall muss aber geprüft werden, ob sich die ursprüngliche Zweckbestimmung geändert hat (dann ggf. Rezertifizierung), ob die technische Dokumentation anzupassen ist, ob sich die Risikoklassifizierung geändert hat, und ob ggf. eine Benannte Stelle einzubeziehen ist.

Beachtung technischer Normen

Bereits während der Entwicklung sollten die technischen Normen berücksichtigt werden. So kann bei der späteren Zertifizierung erheblicher Aufwand gespart werden. Zu nennen ist insbesondere die Norm IEC 62304, die eine in Europa harmonisierte Norm für die Software in Medizinprodukten darstellt und den Software-Lebenszyklus beschreibt. Sie enthält Regelungen zur

zur Software-Entwicklung
zur Software-Wartung
zum Software-Risikomanagement
zum Konfigurationsmanagement der Software
sowie zum Umgang mit Problemen im Zusammenhang mit Software.

Weitere Normen, wie die DIN EN ISO 13485 zum Qualitätsmanagementsystem für Medizinprodukte sind überdies zu beachten.

Fazit

Die MEDDEV 2.1/6 und die aktuelle Orientierungshilfe des BfArM machen die Abgrenzung von Wellnessprodukt und Medizinprodukt zunehmend einfacher. Medical Apps werden in aller Regel der Risikoklasse I zugeordnet, sodass sich der Hersteller selbst zertifizieren darf. Schnittstellen und Updates müssen als Besonderheit von Medical Apps besonders bedacht werden.

Update: Inzwischen ist die EU-Medizinprodukteverordnung (MDR) in Kraft getreten (aber noch nicht in Geltung) und entfaltet schrittweise Geltung. Die MDR führt zu einigen grundlegenden Änderungen, z. B. hinsichtlich der Klassifizierung von Software, die sich nun nach Nr. 6.3. Anhang VIII der MDR (Regel 11) richtet.

Bitte melden Sie sich gerne:
Dr. Gerrit Hötzel
+49 711 22 07 09 80
stuttgart@voelker-gruppe.com

Stand: 07.10.2016