 Erzählt uns jetzt, was müssen Medizinprodukthersteller einhalten und was nicht? Der Torg heißt, warum der Cardio kein Medizinprodukt ist. Dein Torg. Viel Spaß. Danke schön. Ja, vielen Dank, dass ich hier einen Vortrag halten kann. Ich möchte kurz was zu meiner Person sagen. Der angekündigt als Phil ist völlig richtig. Ich arbeite seit über zehn Jahren in der Medizintechnik Branche. Gerade die Regularien ist was, wofür ich mich tierisch begeistern kann. Also von dem her, ich kann verstehen, wenn das den ein oder anderen nicht sonderlich begeistert. Ich finde das schön, aber gut. Ich werde sehr viele Beispiele bringen. Das heißt, Gesetzestexte sind sehr genau. Bei den Beispielen verschwimmt es dann wieder. Genauso versuche ich Zahlen zu nennen, ungefähr eine grobe Richtung vorzugeben. Manche Sachen sind stark vereinfacht. Dafür reicht die Zeit einfach nicht aus. Bitte alles nicht eins zu eins nehmen, sondern nur eine Größenordnung. Mehr ist hier schlicht und ergreifend, in der Zeit nicht machbar. Also gut. Erst mal Frage in die Runde. Wer weiß denn, was die Cardio ist? Wer hat eine? Okay, gut. Dann erkläre ich noch mal ganz kurz, was zu der Hardware selber. Also die Cardio habe ich mir hier von der Homepage mal das Bild geklaut. Die Normengremien würden jetzt sagen wearable. Das bedeutet, es ist was, was an der Hand getragen werden kann, dass es in der häuslichen Umgebung eingesetzt werden kann und schwerpunktenmäßig ganz viele Leuchtdioden hat, Blinkensollen, Display hat, kleiner Vibrationsmotor, also so im ersten Augenblick gar nicht so Medizinprodukt. Was man jetzt unten auf dem Bild sehen kann, sind so große Metallflächen. Man kann hier dann EKG ableiten. Und das ist also dann der erste Punkt, wo es anfängt, Richtung Medizinprodukt zu denken. Also das ist jetzt am Anfang, wo alle einmal durch müssen. Medizinprodukt ist per Gesetz definiert. Und das Gesetz, über das ich heute rede, ist die Medical Device Regulation. Ist ein europäisches Gesetz, was für Gesamteuropa gilt. Dann bitte ich einmal kurz die Erklärung durchzulesen. Artikel 2 definiert Medizinprodukt. Ich möchte jetzt nicht in die Definition reinregen. Deswegen warte ich einen kurzen Moment. Das ist schon stark vereinfacht. Was jetzt hier die wichtigen Punkte sind, also bezogen auf die Kadeo, bedeutet, es ist entweder ein Gerät oder eine Software oder beides in Kombination. Es ist vom Hersteller dazu bestimmt, bestimmte Funktionen wie Diagnose, Überwachung oder dergleichen durchzuführen. Das heißt, es kann sein, dass die gleiche Sensorik in irgendeinem Produkt verbaut ist, wo der Hersteller sagt, ja, das ist gar kein Medizinprodukt. Das hat gar keine medizinische Zweckbestimmung. Manche Telefone haben es und gelten auch nicht als Medizinprodukt. Und da muss eben dann der Hersteller gucken, was soll mit dem Ding gemacht werden. Und das beantwortet dann auch sehr schnell die Frage, mal gucken, wie das denn bei der Kadeo aussieht. Eine Folie würde ich jetzt gern weiter. Hier, Klasse. Also dann die sogenannte Zweckbestimmung vom Hersteller regelt genau das. Also mal auf die Kadeo Homepage gucken, ob man hier irgendwas findet. Zweckbestimmung muss in der Gebrauchseinweisung stehen. Vielleicht findet sich ja irgendwie so was wie eine Gebrauchseinweisung. Tutorials vielleicht mal weiter gucken. Da steht was von EKG. Schöne Klasse. Das ist ja schon mal was, was so in die Richtung geht. Und dann ist noch ein ellenlanger Text, der so ein bisschen beschreibt, wie man aus dem EKG dann tatsächlich was auswerten kann. Habe ich mal gemacht. Das sah bei mir dann so aus. Und also was soll erreicht werden? Ich habe jetzt nichts gefunden, was auf irgendeine Indikation hindeutet. Ich habe nichts gefunden, wo man EKG tatsächlich vermessen könnte. Ich habe nichts gefunden, welche Krankheiten damit diagnostiziert werden oder erkannt werden können. Ich habe keine Angaben zu Patienten gefunden, keine Angaben zum Anwender. Damit hat das dem keine Zweckbestimmung und ist kein Medizinprodukt. Das ist jetzt meine Einschätzung. Dann schauen wir weiter. Jetzt könnte man ja mal gedanklich das Spiel spielen und ein Teil der Kadeo zum Medizinprodukt machen. In dem Fall wäre es am einfachsten zu sagen, man macht einfach dieses Programm, was das EKG anzeigt oder sich generell darum kümmert zum Medizinprodukt. Medizinprodukte brauchen eine Zweckbestimmung und so könnte jetzt beispielsweise die Zweckbestimmung anfangen, dass man die EKG-App also ein Stück Software zum Medizinprodukt macht und kurz beschreibt, wie es denn das Funktionsprinzip, was kann man damit machen? Was soll damit medizinisch erkannt werden? In dem Fall, ob es einen regelmäßigen Sinus-Rhythmus gibt und eine attérielle Fibration, also einen Vorhof-Limmern und vielmehr ist mit einem Einkanal EKG schon nicht machbar. Bei der Kadeo habe ich zwei Elektroden, sprich medizinisch gesehen, hat man so einen Querschnitt durchs Herzen, den man da feststellen kann. Größere EKGs werden dann ums Herz rumgeklebt, wo man dann verschiedene Schnitte hat und kann damit Medizine deutlich mehr machen. Das ist bei einem Einkanal EKG schlicht und ergreifen nicht möglich. Das Zweite, wo soll das Ganze angewendet werden? Also die Umgebung beschreiben. Das Nächste wäre dann von wem soll es verwendet werden und von wem soll es nicht verwendet werden? Das ist jetzt auch nur fiktiv. Das muss dann alles eine klinische Abteilung beantworten, also auch hier beispielhaft erklärt und eine Kontraindikation. Also wo schließt man Sachen aus? Auch das ist was, was da eine klinische Seite sehr gut beantworten kann. Also, so könnte eine Zweckbestimmung für eine EKG-App aussehen und dann auch hier nochmal kurz erklärt. Funktionsweise, Indikation, Kontraindikation. Das ist eine Zweckbestimmung. Super, das ist der erste Schritt. Jetzt haben wir eine Zweckbestimmung, aber was jetzt? Herr Herr, über die Zweckbestimmung können die Gruppen entsprechend, kann das Produkt entsprechend per Gesetz klassifiziert werden? Die Klassifizierungsregeln stehen auch im Gesetz. Ich habe immer versucht, mit anzugeben, in welchen Artikel oder in welchem Anhang das stattfindet. Und das sind die Klassifizierungen, die Medizinprodukte haben können. Ich habe das versucht, ein bisschen grafisch darzustellen. Technisch gesehen ist es ein nicht-invasives Produkt, aber da fällt man in nichts rein. Also nein, invasives Produkt ist es auch nicht. Besondere Festlegungen gibt es auch nicht. Aber es ist ein aktives Produkt. In dem Fall nur Software. Also fallen wir hier, ah nee, doch genau. In dem Fall fallen wir hier in Regel 10 rein, Diagnose und Überwachung. Für reine Software-Sachen gibt es noch eine eigene Klassifizierung, aber in dem Fall ist die nicht anwendbar. Ich möchte jetzt hier beispielhaft genau über diese Regel 10 drübergehen. Auch hier geht es darum, Produkte, die in Klasse der Regel 10 reinfallen, sind defaultmäßig erst mal Klasse 2a. Dann gibt es bestimmte besondere Sachen, die dann noch mit anwendbar sind. Für die Cardio auch gar nicht so spannend, sondern der Abschnitt da unten ist das, was Interessant ist. Also Kontrolle von Vital-Körperfunktionen. Es wird sogar ein Beispiel genannt, wo es genau ums Herzen geht. Und da steht dann drin, wenn man da in die Kategorie fällt, dann bitte 2b. Gut, jetzt habe ich ganz viel über Klassifizierungen geredet. Auch so eine erste Einschätzung. Ja, was haben wir jetzt die Klassifizierungen damit zu tun? Jetzt haben wir eine Zweckbestimmung, jetzt haben wir eine Klassifikation von den Sachen. Und wie geht es jetzt weiter? Die Klassifizierungen bestimmen diesen Prozess des Inverkehrbringens. Je höher die Klassifizierung, umso mehr muss gemacht werden. Also beispielhaft Produkte der Klasse 1, da geht kein Risiko aus. Da muss nicht groß was gemacht werden. Jedes Heftpflaster ist ein Klasse 1 Produkt. Jedes Fiebertermometer ist ein Klasse 1 Produkt. Bei Klasse 2a wird es dann schon spannender. Da besteht ein sogenanntes Anwendungsrisiko. Also was fällt da rein? Denn Talimplantate ist da ein sehr guter Vertreter, Ultraschallgeräte, Hörgeräte. Je nachdem, wie invasiv ein Medizinprodukt ist, erhöht sich auch die Klassifizierung. Dann in der Klasse 2b kann schon ein bisschen mehr passieren. Da sind die Geräte in der Regel auch invasiver. Da fallen dann Dialysegeräte rein, Endoskope, Kondome, Empfängnisverhütung, alles Medizinprodukt. Und dann Klasse 3, da geht es richtig zur Sache. Das sind implantierbare Herzschrittmacher, das sind automatische Externe der Fibrillatoren. Das sind einfach Geräte mit einem höheren oder dem höchsten Risiko, was per Gesetz vorgesehen ist. Also gut, jetzt haben wir klassifiziert. Was muss man jetzt damit tun? Ich versuche jetzt hier von links nach rechts, einmal so ein bisschen zu beleuchten, was bei einer bestimmten Klassifizierung denn genau zu tun ist. Also für alle Produkte muss ein Qualitätsmanagement-System erstellt werden. Bei den Produkten der Klasse 1 kann man sich das Leben in bestimmten Bereichen ein bisschen leichter machen, aber grundsätzlich müssen das alle Produkte haben. Das nächste, was auch alle Produkte haben müssen, ist eine sogenannte technische Dokumentation. Da wird beschrieben, was während der Entwicklung alles passiert ist. Der nächste Schritt ist, mag nicht, das sogenannte Audit durch die benannte Stelle. Das kann man sich bei Klasse 1-Produkten sparen. Alle anderen Produkte werden immer durch eine benannte Stelle mit überprüft. Die benannte Stelle übernimmt keine Haftung. Aber es ist so zumindest sichergestellt, dass noch eine neutrale Stelle mit drauf geschaut hat. Dann für Klasse 3-Produkte gibt es noch mal eine besondere Produktprüfung. Klar, das sind ja die Produkte mit dem höchsten Risiko. Dann kommt das CE-Kennzeichnungszertifikat. Das wird von der benannten Stelle ausgestellt. Und bescheinigt, Klasse, ihr dürft jetzt das CE-Zeichen anbringen. Euer Produkt erfüllt die Anforderung vom Gesetz. Und im nächsten Schritt geht es darum, eine eindeutige Kennung am Produkt anzubringen, den sogenannten Unique Device Identifier. Man muss den registrieren. Der muss auf den Produkten auf der Verpackung vorhanden sein. Und der letzte Schritt, mag wieder nicht, ist die Aufrechterhaltung dieses ganzen Systems, des QM-Systems und sämtlichen Prozessen. Dann schauen wir mal rein, was man so exemplarisch bei einem 2B-Produkt alles machen müsste. Also, QM-System habe ich vorhin schon gesagt, ist per Gesetz vorgeschrieben. Jetzt hat die Industrie nur festgestellt, Gesetzestexte sind immer ein bisschen schwierig. Diesen, interpretationswürdig, das ist immer nicht so leicht. Außerdem sind die Audels teuer. Also, was hat man gemacht? Es gibt Normen. Normen haben für die Industrie unglaublich viele Vorteile. Es gibt weniger Interpretationsspielraum. Normen sind deutlich klarer formuliert als ein Gesetzestext. Außerdem sind sie international allerkant. Das heißt, wenn ich in ein Land gehe, kann ich mit einem gleichen Bericht von der Norm in das nächste Land gehen. Und die Audels sind einfach leichter. Leichter bedeutet für die Industrie billiger. Damit verwenden so gut wie alle die Normen. Und bei den Normen gibt es die sogenannte Normenvermutung. Das ist in dem Vienna-Agriement-Wiener-Abkommen mit geregelt. Das bedeutet, wenn ich bestimmte Bereiche einer Norm erfülle, erfülle ich automatisch bestimmte Bereiche von dem Gesetzestext. Sprich, die benannten Stellen stützen sich auf die Normvermutung und sagen, Klasse, wenn ihr das alles erfüllt, müssen wir das alles vom Gesetz gar nicht mehr prüfen, weil es passt ganz automatisch. Dann sind wir stehen geblieben. Stimmt, bei den Normen, das ist eine Folie, ich kann nicht mehr so im Kopf hatte. Ich möchte noch mal kurz erklären, was es für Kategorien von Normen gibt. Die lassen sich in drei Bereiche einteilen. Einmal so in allgemeine Normen, das sind häufig Prozessnormen. Dann gibt es Normen zur Elektrotechnik und Normen zur Telekommunikation. Elektrotechnik bedeutet ganz salopp alles, was ein Stecker hat. Telekommunikation, ganz salopp alles, was funkt. Und in Deutschland haben wir hier drei Organisationen, die sich darum kümmern. Das ist einmal die Dien für allgemeine Sachen. Dien A4 müsste den meisten Begriff sein. Und dann die DKE, VDE und die Dien, die kümmern sich dann um die restlichen beiden Sachen. In Europa haben wir Zenzenelek, die sich einmal um die Allgemeinen und um die elektrischen Sachen kümmern. Und die EZI, die die ganzen Funksstandards unter sich verwaltet. International haben wir die ISO, die viel von den Prozessnormen mitbetreut. Die IEC, die die ganzen technischen Bereiche hat. Und die ITU, was die weltweite Funknorm ist. Oder das Gremium, was sich darum kümmert. So genau. Dann schauen wir noch mal zurück, wo wir stehen geblieben sind. Und zwar beim QM-System. Wir haben jetzt hier unser erstes Achievement. Wir haben die ISO 13485 QM-Systeme. Das heißt, das haben wir die erste anwendbare Norm für unser Medizinprodukt. Ungefähr vom groben Aufbau her sieht das Ding so aus. Ist unglaublich beeindruckend, ist auch relativ groß. Und was in diesem im Wesentlichen gefordert ist, ist eine Geschäftspolitik. Die Qualitätspolitik muss festgelegt werden. Es muss ein QM-Handbuch erstellt werden. Es muss ein Gesamtüberblick erstellt werden. Was gibt es im Unternehmen alles für Prozesse? Was gibt es im Unternehmen alles für Verfahrensanweisungen? Wie gliedert sich das von oben herab? Es ist tatsächlich in der Norm festgeschrieben, dass sich die oberste Leitung um genau diese Punkte zu kümmern hat. Also es darf nicht von der Belegschaft getrieben sein, sondern von der Geschäftsführung selber. Solche Sachen gliedern sich dann immer so stückchenweise in feinere Sachen auf. Von dem QM-Handbuch zu den Verfahrensanweisungen, zu Arbeitsanweisungen, bis zu weiteren mitgeltenen Dokumenten. Das können Templates sein, das können alles Mögliche sein. Und so gliedert sich das hierarchisch von oben nach unten. In dem QM-System ist unglaublich viel definiert. Also bitte einmal beeindruckt gucken. Das schreibt alles so ein QM-System vor. Also, was die haben wollen, ist einfach, dass es für alles Mögliche ein Prozess gibt. Also wirklich für so gut wie alles. Wenn man das jetzt tatsächlich selber machen möchte, also nicht so beeindrucken lassen von so einer Norm, das Stichwort hier ist risikobasiert. Man kann bei vielen Sachen sagen, da haben wir angefangen, wir haben die wichtigsten Sachen identifiziert, wir haben einen Assessment durchgeführt und starten jetzt mit dem, wo wir sagen, ist besonders kritisch. Die benannten Stellen wissen das. Die haben auch Handlungsspielraum, die haben die sogenannten Endblock-Guidances. Da müssen die sich im Audit auch dranhalten. Man hat hier die Möglichkeit, sich stücklesweise zu verbessern. Dann schauen wir mal weiter. Die nächste Norm, die bei uns Anwendung findet, ist die ISO 14971. Das ist eine Norm über das Risikomanagement. Da möchte ich mal kurz gucken oder erklären, was es verschiedene oder für verschiedene Schritte gibt, die durchzuführen sind. Der erste Schritt, mit dem man beginnt, ist so, was habe ich geschrieben, Rahmenbedingungen. Ja, das nimmt sich mit der Zweckbestimmung sofort die Hand. Man muss hier festlegen, was in die Funktionen des Gerätes, was kann von den Funktionen für ein Risiko ausgehen oder die Norm, spricht genauer gesagt, von Gefährdungen. Gefährdungen ist definiert als potenzielle Schadensquelle. Und von diesen Gefährdungen muss man sich über Events, die mit dem Produkt passieren können, hin zu einer Gefährdungssituation arbeiten. Eine Gefährdungssituation ist das erste Mal, wenn Menschen mit ins Spiel kommen, also banal gesagt. Das heißt, irgendeine Lampe, die an der Decke hängt und runterfallen kann, ist erst mal eine Gefährdung. Solange niemand unter der Lampe steht, wird diese Gefährdung nie zur Gefährdungssituation. Und erst wenn Menschen mit dem Produkt interagieren oder in deren Nutzungsumgebung sich aufhalten, dann kommt man zur Gefährdungssituation. Von einer Gefährdungssituation muss man sich dann weiterhin bewegen zu einem Risiko. Risiko ist so definiert, dass es die Kombination aus Auftretenswahrscheinlichkeit einer Gefährdungssituation und dem daraus resultierenden Schaden. Diese beiden Werte kann man dann in der Matrix aufspannen und Bereiche identifizieren, wo man sagt, diesen komplett inakzeptabel und andere Bereiche, wo man sagt, das ist jetzt nicht akzeptabel, aber zumindest lassen wir das jetzt mal so stehen, weil der Nutzen das Produkt überwiegt. All das passiert in der Risikoanalyse. Das sind die Aktivitäten, die hier normativ vorgeschrieben sind. Das nächste, was dann passiert, ist die Risiko-Bewertung, wo man dann genau sagt, ich habe jetzt meine Risiken identifiziert, ich habe mich von den Gefährdungen rüber bewegt bis zu einem Risiko. Ich habe mir meinen Grafen aufgespannt und wie viele Risiken habe ich denn jetzt, die akzeptabel sind oder inakzeptabel sind. Dieser ganze Prozess wiederum ist die Risiko-Beurteilung. Wenn das so rum ist, kümmert man sich um die Risiko-Beherrschung. Risiko-Beherrschung bedeutet, es werden Risikominimierende Maßnahmen umgesetzt. Da gibt es drei Möglichkeiten. Das erste ist eine Änderung per Design, wo man dann sagt, damit diese Gefährdung gar nicht erst auftreten kann, dann veränder ich mein Produkt so, dass das technisch gar nicht mehr möglich ist. Bei dem EKG ist das jetzt schwer. Das funktioniert halt einfach so, wie es funktioniert. Wer das Produkt jetzt irgendwas, was Hitze erzeugt, dann könnte man sagen, gut, bei einem Kochfeld nimmt man halt kein Serran-Kochfeld, sondern induktions-Kochfeld, dann kann man die Gefährdung verringern, dass sich jemand an der heißen Herdplatte die Finger verdreht. Wenn das nicht geht, muss man Schutzmaßnahmen implementieren. Das ist die zweite vorgeschriebene Möglichkeit. Bei einer Schutzmaßnahme kann ich halt nur die Wahrscheinlichkeit verschieben. Die Gefährdung an sich bleibt immer noch vorhanden. Die dritte Möglichkeit ist, die man da zur Verfügung hat, Informationen oder Schulungen. Und damit ist man schon am Ende der Risiko-Beherrschung. Mehr ist normativ gar nicht möglich. Im nächsten Schritt wird die Risiko-Akzeptanz festgestellt, also die gesamte Risiken betrachtet und geguckt, landet man jetzt nach Risikominimierenden Maßnahmen im akzeptablen Bereich. Wenn das auch der Fall ist, wird alles im Risiko-Bericht niedergeschrieben und im letzten Schritt dann die nachgelagerte Phase gestartet. Also haben die Angaben oder die Annahmen, die getroffen wurden, tatsächlich Bestand gehabt oder hat man sich irgendwo völlig verschätzt, sind ganz neue Gefährdungen aufgetreten, haben die Wahrscheinlichkeiten gepasst. Das ist auch das, was normativ mit vorgeschrieben ist. Dann ist die nächste Norm, die anwendbar ist, die 82304. Das ist eine Norm über sogenannte Health-Software. Dann schauen wir da auch noch mal kurz rein. Die Normen sind aus einer Zeit entstanden, wo sich niemand vorstellen konnte, dass Software ein eigenständiges Medizinprodukt sein kann. Und alle, oder so gut wie alle Normen, sind von Leuten geschrieben worden, die ein sehr starkes Hardware- und Mechanikverständnis hatten. Deswegen wird man da ganz häufig so ein V-Modell sehen oder ein Wasserfallmodell oder dergleichen. Und so fängt auch diese Norm an. Das ist so der Deckel, wenn man vergessen hat, Software als eigenes Medizinprodukt festzulegen. Das bedeutet, man sagt jetzt hier, ja gut, ihr habt jetzt für Software alles schön gemacht, aber bitte, vergesst euer gesamtes System nicht, wo das Medizinprodukt zum Einsatz kommt. Ihr müsst jetzt mindestens Systemanforderungen haben. Dann macht sich die Norm des Leben extrem leicht und sagt, bitte macht alles, was in der 62304 dran steht und dockt dann wieder oben an und sagt, ja gut, jetzt haben wir Anforderungen festgelegt, die sollen jetzt bitte aber auch verifiziert werden. Und on top of that kommt dann noch die Validierung. Das sind jetzt zwei Begriffe, die stark auseinandergetrennt werden müssen. Normativ gesehen ist eine Verifikation, der objektive Nachweis, das spezifizierte Anforderungen erfüllt sind. Mehr nicht. Banal gesagt ist eine Verifikation möglich, wenn ich einen Lineal hinlegen kann, wo ich dann sage, klasse, das ist in meinem definierten Bereich, das ist innerhalb der Toleranz, wenn ich irgendwas messen kann. Eine Validierung ist so definiert, dass die spezifizierten Nutzer in ihrer spezifizierten Umgebung ihre spezifizierten Anforderungen erfüllen können. Also ich kann Produkt bauen, was die Verifikation superbestanden hat, aber niemand damit lakommt. Weil die Leute dann sagen im Moment, ich setze das Ganze in eine dunkle Umgebung ein, da ist Regen draußen, ich habe eine Scheißbeleuchtung, ich kann damit nicht arbeiten, es geht nicht. Das ist dann der Punkt, wo die Validierung fehlt. Und da greift diese Norm noch nicht rein, wo sie das oben drauf setzt. Auch hier gibt es dann Sachen, die nebenzulaufen ... Das ist eine Sinn Begleitdokumente, die erstellt werden müssen. Das ist eigentlich was, was über die Hardware-Normen reinkommt. Bei reinen Softwareprodukten fehlt das dann entsprechend. Also was muss denn die Gebrauchsanweisung oder in diverse andere Sachen? Und auch hier ist dann wieder eine nachgelagerte Phase, wo gesagt wird, diese ganzen Sachen müssen aufrecht erhalten werden. Dann die nächste Norm, die jetzt hier schon angerissen worden ist, ist die IEC 62304. Das ist eine reine Softwarenorm. Das ist aus einer Zeit entstanden, wo man dachte, Software ist immer Teil eines Medizinproduktes. Aber es gab Medizinprodukte, wo die Software so grandios versagt hat, dass man dafür eine eigene Norm geschaffen hat. Das Beispiel, was man dadurch gerne nennt, ist der sogenannte Terrak 25. Das war ein Bestrahlungsgerät. Das ist als nachvolle Gerät auf den Markt gekommen und hat die Patienten färmlich auf den Tisch verbrannt. Also da ist so viel Strahlung in den Körpereien, die Leute sind schreiend davon gerannt. Und so ist dann diese Norm entstanden. Und hier fängt die Norm an und sagt, wenn ihr Software entwickeln wollt, schön und recht, aber plant das. Ihr könnt nicht einfach drauf losentwickeln. Ihr müsst euch Gedanken machen, was ihr denn tun wollt. Das fängt an bei Softwareanforderungen, geht über eine Architektur, geht über eine Implementierung, geht über eine Verifikation, Integration. Da sagt die Norm, legt das am Anfang fest. Legt fest, wie ihr Anforderungen erheben wollt. Legt fest, wie die Integration laufen soll. Und wurscht ihr nicht einfach drauf los. Den nächsten Punkt, den sie festlegt, sind Softwareanforderungen. Wie haben die auszusehen, was muss alles mitbeachtet werden? Dann geht es um die Softwarearchitektur. Da sagt die Norm, identifiziert Softwaresysteme. Also salopp gesagt, alles, was eine eigene Recheneinheit hat, eigener FPGA, eigener DSP, eigenes CPU, ist ein Softwaresystem. Identifiziert das. Zerlegt eure Softwarearchitektur weiter in ein detailliertes Design. Dort ist dann die Rede von sogenannten Softwareitems und Softwareunits. Das heißt, ein Softwaresystem zerlegt sich weiter in Softwareitems. Die Softwareitems zerlegen sich weiter in Softwareunits. Ab da ist dann Schluss. Wo sich die Definition zwischen Softwareitem und Softwareunit unterscheidet, ist, dass der Hersteller sagt, können wir nicht weiterzerlegen. Für was man sich da entscheidet, dass wir das im Hersteller überlassen. Ob man da als komplette runtergeht, bis in den Assembler, das kann man machen. Viele Hersteller sagen dann nur gut, es ist eine Bibliothek, besteht aus ganz viel Zeug, aber die Bibliothek ist jetzt so nicht weiterzerlegbar. Das sind unsere Softwareunits. Da hat man die Freiheit, das zu tun, was man dafür richtig hält. Das Ganze muss auch umgesetzt werden. Auch da gibt es bestimmte Sachen, wo die Norm sagt, haltet die ein und dann geht es diesen ganzen Weg wieder hoch. Dann, was man gemacht hat, muss verifiziert werden. Die Architektur, die man gemacht hat, muss integriert werden. Alles entsprechend dem Plan, den man zuvor festgelegt hat. Die Anforderungen werden verifiziert und dann wird die Software freigegeben. Also, so die Vorgaben. Auch hier gibt es bestimmte Sachen, die dann noch allgemein durchgeführt werden müssen. Das eine ist die Softwarewartung, wo gesagt wird, ja, jetzt habt ihr irgendwas am Markt, aber wie geht ihr damit um, wenn die Sachen nicht so funktionieren wie geplant? Dann gibt es die Softwarekonfiguration. Das bedeutet, welche Deliverables oder welche Tools werden mit eingesetzt? Gibt es eine Versionskontrolle? Ist vielleicht ein Git im Einsatz? Gibt es einen bestimmten Branching-Workflow, der damit definiert wurde? Habt ihr ein Integrations-Server, wenn ja, wie geht ihr damit um, wenn diese Sachen geupdatet werden? Also, auch das soll gesteuert werden. Und da sind hier Prozesse, die sich genau darum kümmern. Das Letzte ist der Softwareproblem-Lösungsprozess, der dann sagt, wenn Änderungen reinkommen, müssen die bestimmte Schritte mindestens durchlaufen. Huh! Ja, guck mal mal. Dann müsste jetzt eigentlich, sehr schön, die nächste Norm kommen. Die IEC 62366. Das ist die Norm, über die, wie es auf Deutsch heißt, Gebrauchstauglichkeit. Im Englischen ist es Usability. Die Usability-Norm gliedert sich in mehrere Teile. Die Kernaussage der Norm ist, Gebrauchstauglichkeit kann nicht am Anfang noch oben, kann nicht am Ende noch zum Schluss draufgestreut werden, sondern muss von Anfang an durchgeführt werden. Das heißt, es gibt ein Entwicklungsprozess, der schon am Anfang starten muss und es gibt zum Schluss dann noch eine entsprechende Bewertung. Die Norm spricht da von formativer und summativer Evaluationen. Formativ ist das, was während der Entwicklung passieren muss und summativ ist das, was zum Schluss passieren muss. Dann auch hier wird wieder die Zweckbestimmung aufgegriffen. Also, es wird gesagt, legt die Anwender fest, legt die Umgebung fest, was kann denn damit gemacht werden? Wie funktioniert das denn? Also, da greifen sie in der Regel alle irgendwie mit rein, dass man diese Sachen mitbeschreiben muss. Dann muss hier die Gebrauchstauglichkeit spezifiziert werden. Im einfachsten Fall ist es ein sog. Style-Guide, wo drin steht, unser Produkt ist folgendermaßen aufgebaut, die Bedienelemente sind an folgenden Stellen. Wir haben folgendes Design gewählt, folgende Anordnungen, folgende Design-Patterns. Und diese müssen dann wieder verifiziert werden. Das heißt, ich kann im besten Fall automatisiert prüfen, befinden sich die Elemente an den Stellen, wie wir es am Anfang festgelegt haben oder verändern sich die Menüs entsprechend, wie es in diesem Design-Guide festgelegt wurde. Und genauso wie die Sachen verifiziert werden müssen, müssen hier die Sachen auch wieder validiert werden. Das heißt, ich muss mir wieder echte Nutzer mit ins Boot holen und schauen. Kommen die mit den Sachen dann klar. Idealerweise sogar schon während der Entwickler. So, dann haben wir noch die ISO 15223. Das ist eine Norm, die Regelkennzeichen und die Regelsymbolik. Die greift die ganzen Sachen mit auf. Das ist jetzt mit die günstigste Norm. Das ist kein Fehler, das sind tatsächlich nur 1.000 Euro in der Umsetzung. Die Norm an sich kostet noch viel weniger, aber man muss halt wissen, wo die Symbole hingehören. Und das Schöne an deren Norm ist, die ist zwar rein für die Medizintechnik, aber die ISO ist einfach so nett, dass sie die Symboliken allgemein auf ihrer Homepage zur Verfügung macht. Das heißt, man geht zur ISO, sucht nicht nach der Medizintechnik-Norm, sondern sucht nach der ISO 7000. Und kann sich dann hier durch die ISO-Homepage durchbewegen und landet dann zum Schluss bei den Vorschau-Symbolen, die hier entsprechend mitverwendet werden können. Und kann die Symbole hier anklicken, hat sie in groß, hat sie in digital, kann die in die Dokumente da einpflegen, wo sie mit hin müssen. Das ist tatsächlich dann eine ganz feine Sache. Dann möchte ich hier noch darauf hinweisen, die Zweckbestimmung ist tatsächlich das entscheidende Dokument oder der entscheidende Text. Hier wird unglaublich viel festgelegt. Wenn man hier am Anfang den Grundsteinen nicht sauber formuliert hat, kann man da später in die immense Probleme rutschen, sobald die benannten Stellen mit dabei sind. In meinem Beispiel habe ich hier gesagt, Kardion, schön und recht, super, aber nur ein kleines Stück Software auf dem Ding. Nicht das ganze Gerät selber. Wäre das der Fall, also müsste die ganze Hardware-Medizinprodukt werden, dann kommt man hier in ganz andere Gefilde. Man muss dann die 60601-Norm-Familie einhalten und hat noch viele andere Regularien, die hier mitgreifen. Man muss die Reach-and-Rose-Richt-Linie erfüllen. Man muss EMV erfüllen, das ist elektromagnetische Verträglichkeit. Man muss Bio-Comp mit erfüllen, man muss Funknormen erfüllen, Rüttel-Schüttel-Tests machen. Also, das ist halt dann was, wenn sich das vermeiden lässt, freut das natürlich den Medizinprodukt der Hersteller. Und das ist genau das, wie sich das in den Entwicklungsmodellen widerspiegelt. Dadurch, dass halt viele Hersteller als Hardware-Hersteller gestartet sind, kennen die nur so ein V-Modell. Und das ist dann auch eines der etabliertesten Modelle, die in der Medizintechnik vorhanden sind. Hier ist es natürlich auch möglich, agile Methoden anzuwenden. Es gibt genug Unternehmen, die genau das tun. Und was sich da jetzt rausgestellt hat, man erhebt immer noch Nutzungsanforderungen, Starr am Anfang, aber sobald die da sind, sagt man sich, ja gut, wir haben bei uns einen Scrum-Prozess, wir sind in einem regulierten Markt. Wir könnten ja mal sagen, in die Definition of then nehmen wir mit auf, dass am Ende von jedem Sprint bestimmte Dokumente zu erstellen sind. Und innerhalb von dem Sprint kann ich mir aus dem Backlock meine Sachen rausziehen und sagen, ich möchte jetzt diese drei Sachen umsetzen und erstelle für diese drei Sachen dann meine Anforderungsdokumente, meine Architektur, mein Design, mache meine Verifikation und bewege mich da stücklösweise wieder hoch. Sprich, ich kann auch in einem agilen Prozess so kleine Minifaus durchlaufen. Und das ist dann was, wie es üblicherweise in der Industrie umgesetzt wird. Viel andere Sachen habe ich da als auch noch nicht gesehen. So, genau das ist das, was ich gerade gesagt habe. Es ist alles stark V-Modell getrieben. Da kommen die Leute schlicht und ergreifend her, was anderes kennen sie nicht. Was es nicht gibt oder ich sollte sagen noch nicht gibt, ist eine Norm für Security und Safety. Es gibt Guidances. Das BSI ist in den ganzen Normengremien mit dabei. Das ist eh ganz lustig. Wenn ich in den Normengremien mit drin sitze, werde ich recht gern als Vereinsjugend bezeichnet, weil ich den Altersdurchschnitt noch mal so 25 Jahre nach unten senkt. Das sind einfach Themen, das ist nicht in den Köpfen. Es wird vermutlich nächstes Jahr zwei, drei Normen zu dem Thema geben, aber im Moment gibt es nichts. Und dementsprechend ist das Thema, was von Herstellern, ich sag mal, nicht auf höchste Priorität steht. Genauso kabbeln sich die Hersteller recht gern mit den Betreibern, wenn jetzt jemand sagt, ja gut, wir haben jetzt unser tolles Gerät, das hat eine Dijkrom-Schnittstelle, das kann keine Ahnung, was alles Tolles im Netzwerk machen. Bitte lieber Betreiber, also Liebeskrankenhaus, kümmer nicht drum, dass das in der geschützten Umgebung ist, weil wir nämlich keinen Wert auf solche Themen gelegt haben. Und dann sagt der Hersteller, not my department, muss sich bitte der Betreiber drum kümmern. Nein, mal gucken, vielleicht ändert sich's dann demnächst noch. Wir werden sehen. So, jetzt sind wir mit der Entwicklung fertig. Also kommt die benannte Stelle und führt Audits durch. Einmal wird die Entwicklung und die technische Dokumentation vom Produkt auditiert. Also das heißt, je nachdem, welche Klassifikationen wollen die halt mehr oder weniger sehen. Das nächste, was auditiert wird, ist das QM-System. Also in dem Fall ein Audit von der 13485. Dafür gibt's auch ein schickes Zertifikat. Und dann gibt's ein Zertifikat, dass man entsprechend nach Anhang vom Gesetz bestimmte Sachen in Verkehr bringen darf. Also man erklärt dann die Konformität. Das ist in Europa tatsächlich ganz wichtig. Es gibt nicht die Zulassung. Der Hersteller erklärt die Konformität selbst. In Amerika muss ich zur FDA gehen und bekomme dann da Clearance oder Approval. Das heißt, da bekomme ich tatsächlich als Hersteller eine Zulassung. In Europa macht man das selber. Und wie eben so eine Konformitätserklärung auszusehen hat, steht im Gesetz. Also das heißt, der Anhang 4 regelt, bitte erfülle sämtliche Anforderungen aus Anhang 1. Also die grundlegenden Sicherheits- und Leistungsanforderungen. Dann im Anhang 2 erstellt in der technischen Dokumentation mit den entsprechenden Normen, soweit man denn meint, dass die anwendbar sind. Und der dritte Schritt ist Überwachung nach in Verkehr bringen. Viele Normen haben diese Phase eh schon mit dabei. Aber das ist jetzt eben per Gesetz vorgeschrieben. So, dann können wir die Konformität erklären, mit der sogenannten Konformitätserklärung. Es muss tatsächlich ein formales Dokument sein, wo bestimmte Sachen mit drin sind, also um welche Firma handelt es sich, wo es denn die zu finden. Es müssen eindeutige Nummern vergeben werden. Es muss das Produkt eindeutig benannt werden. Es muss die Risikoklasse mit dabei sein, die benannte Stelle, also bei Klasse 2a, 2b und Klasse 3-Produkten. Und es muss zum Schluss ein Datum drauf sein, der Unterschrift. Also das ist eines der wenigen Dokumente, die wirklich so ein richtig formell schweren Prozess mit sich fordern. Wenn das geschafft ist, super, Anhang 5, CE-Kennzeichen. Das CE-Kennzeichen in der Medizintechnik bedeutet genau das. Man hat die Konformität erklärt. Das Produkt ist schon mindestens laut Ansicht der benannten Stelle und das Hersteller sicher. Und unten dran steht die Nummer von der benannten Stelle. In dem Fall jetzt 0123, das wäre der TÜV-Süd. Je nachdem, wo man hingeht, hat man halt ein anderes Kürzel dran. So, im nächsten Schritt muss dann die UDI registriert werden. Also der Unique Device Identifier. Der muss nicht nur aufs Produkt selber, sondern auch entsprechend auf die Verpackungen und Umverpackungen und alles Mögliche. UDI hier anzureißen, würde den Rahmen endgültig sprengen, aber zumindest kurz möchte ich drauf eingehen. Die UDI gliedert sich in zwei Bereiche. Einmal die UDI-DI und die UDI-PI. Die UDI-DI ist ein statischer Teil, der das Gerät identifiziert, der das Unternehmen identifiziert. Das ist ein Teil, wie gesagt, der bleibt einigermaßen fest. Dann gibt es den zweiten Teil, der dynamisch ist. Also wann wurde das Ganze hergestellt? Welche Chargennummer, Seriennummer mit dabei? Es hat das Ganze ein Verfallsdatum, die ganzen Sachen. Das heißt, diese Nummer, der zweite Teil, mit am laufenden Meter, je nachdem, wie viel man in Verkehr bringen möchte, neu herstellt. Wenn man seine UDI registriert hat, dann hat man tatsächlich, was die Entwicklung angeht, alles durchlaufen und kann sich dann um die Aufrechterhaltung kümmern. Also das nächste Kapitel, was dann hier anwendbar ist, Überwachung, Vigilenz und diese Themen. Aufrechterhaltung bedeutet, die Zertifikate müssen erneuert werden. Alle diese Zertifikate haben Ablaufdatum. Auch die Konformitätserklärung hat meines Wissens ein Ablaufdatum. Und... Schauen wir mal. Hier, genau, doch, kann man. Das heißt, es muss kontinuierliche Bewertungen geben. Es dürfen auch unangekündigte Audits durchgeführt werden. Sowohl als Hersteller kann man seine Lieferanten auditieren, als auch die benannten Stellen dürfen den Hersteller auditieren. Es gibt ein ganz nettes Video von einem französischen Unternehmen, was in der Rolle des Herstellers und Zulieferers ist. Und die hatten, glaube ich, um die 20 Audits in einem Jahr, wo sie dann angefangen haben, ja, gut, jetzt kam die benannte Stelle, jetzt kam irgendein Hersteller, wo sie Lieferants sind, wo sie dann genau die gleichen Dokumente aus der Schublade rausgezogen haben und das Audit dann nochmal so durchgeführt haben. Diese Audits sind auch ein sehr formaler Prozess. Ja, üblicherweise nimmt man so genanntes Frontroom, Backroom-Setting. Das bedeutet, es gibt einen Raum, wo man mit dem Auditor hingeht und diesen Raum verlässt der Auditor die gesamte Zeit nicht. Wenn der irgendwas sehen möchte, dann fragt er, was ist die Zweckbestimmung? Und gräbt sich dann von da aus stücklesweise durch. Der Backroom hört per Skype oder wie auch immer, Audioschalte, Chat, was weiß denn nicht zu. Und steht on-demand an, wenn es ein papierbasiertes System ist, tatsächlich Abendrucker, erstellt Kopien, die als solche gekennzeichnet sind und bringt die dann ganz brav in den Front-Woom und sagt, lieber Auditor, das hast du angefordert. Und jetzt gucken wir, ob das dann passt. In digitalen Systemen ist das dann einfacher, aber das ist so ein ganz typisches Setting, dass man diese Bereiche auseinanderzieht. Gut. Dann gehören eben solche Prozesse mit ins QM-System. Das heißt, man braucht ein System für Marktüberwachung, für Änderungswiesen, für ständige Verbesserungen oder für Kappers, corrective and preventive actions. Gut. Und damit bin ich jetzt tatsächlich am Ende. Das wäre jetzt einmal die gesamte Produktentwicklung mit Aufrechterhaltung in groben Schritten abgerissen. Ich habe noch ein Podcast, wenn noch Fragen da sind. Vielen Dank. Vielen, vielen Dank. Dann haben wir jetzt noch Zeit für Fragen. Wir haben Salmikrofon hier aufgebaut, die 1, 2, die 3. Bitte stellt euch dahin, wenn ihr Fragen habt. Und ich nehme euch dann einfach dran. Wir haben noch nichts aus dem Internet. Da kommt vielleicht noch was, aber Mikro 2 dann bitte. Hallo. Bei vielen Folien, glaube ich, könnte man die Überschrift Medizintechnik ersetzen auch durch Automotive oder Airspace. Die Themen sind die gleichen. Die Nomen unterscheiden sich, haben eine andere Nummer. Aber im Wesentlichen sind die Themen ähnlich. Also Qualitätsmanagement, Risikomanagement und so. Gibt es etwas in der Medizintechnik, was sich deutlich von anderen Bereichen mit kritischen Systemen abhebt? Von den Anforderungen her nicht. Jeder regulierte Bereich hat bestimmte Sachen, die festgelegt werden müssen. Was in der Medizintechnik das größte Problem ist, ich sag mal, ein Flugzeug ist immer ähnlich aufgebaut. Ein Auto ist immer ähnlich aufgebaut. Die Medizintechnik, die ganzen Normen, die es da gibt, das muss funktionieren von einem Heftpflaster über einer Mullbinde, über einem Rollstuhl, bis hin zu implantierbaren Herzschrittenmachern. Diese Diversität in den Normen abzubilden, das ist ein Riesenproblem, weil sich im Endeffekt kein Hersteller da so richtig widerfindet. Und das ist das, was in der Medizintechnik die größte Herausforderung ist, alle unter einen Hut zu bekommen. Aber die Anforderungen sind in jedem regulierten Bereich die gleichen. So. Vielleicht nur kurz die Anmerkung. Das Thema, dass Software so als Nachgedanke dann meist noch hinten dran gemacht wurde und die Normen mit dem Hintergrund Hardware geschrieben wurden, das ist auch in anderen Bereichen genau der gleiche Fall. Ich kenne das aus der Luft- und Raumfahrt. Da ändert man lieber fünf Hardwaregeräte aus dem Ruhm, bevor man die Software handfast. So schlimm ist es in der Medizintechnik dann doch nicht. Dann gehen wir rüber auf Mikrofon 1, bitte. Hi, vielen Dank. Das klingt ja jetzt schon alles irgendwie sehr, sehr kompliziert. Und für mich stellt sich so ein bisschen die Frage, was ist denn die Vorschrift, wann muss ich mein Gerät als ... Oder mein Produkt, als Medizinprodukt sehen? Wann habe ich als Firma die Vorschrift oder eben den Anreiz, das zu tun und zeigt nicht einfach, auch die Zertifizierung speichere ich mir, das ist ja alles kompliziert. Die pragmatische Antwort auf die Frage ist, wenn das Mitbewerberspitze bekommen, wird eine Klage eingereicht. Und was dann passiert ist, das Ganze landet vor Gericht und ein Gutachter erstellt für einen die Zweckbestimmung. Und wenn das jetzt offensichtlich ist, also bei bestimmten Geräten kann man es einfach nicht mehr wegdiskutieren. Wenn man sagt, soll an Patienten angewendet werden, ist invasiv, steuert Funktionen vom Herzen, da wird es schwierig. Wenn das jetzt zu Borderline-Produkte sind, sollte man sich sehr genau Gedanken machen, wo man sagt, in dieser Definition fall ich garantiert nicht rein. Weil ansonsten bekommt man die Zweckbestimmung und in der Regel nicht zu den Gunsten. Aber die Zweckbestimmung mit den Klassifizierungsregeln, am Anfang, wo ich gezeigt habe, die Definition, Medizinprodukt, unbedingt durchlesen, da steht alles Wichtige drin. Und da ist auch die Abgrenzung zum Beispiel zur Pharmakologie. Dann gehen wir rüber in den Mikrofon 2. Ich habe hier im Moment eine Smart-Podge um, die hat auch ein EKG drin. Allerdings ist das in Europa deaktiviert, so wie bei ganz vielen anderen Herstellern. Wir haben jetzt einen wohldefinierten Prozess gesehen. Da frage ich mich, warum schaffen große Hersteller eigentlich nicht so einen Prozess in ein Jahr kurzer Zeit zu laufen, um solche Features bereitzustellen? Die Apple Watch ist ein sehr schönes Beispiel. Die ist mittlerweile in Europa als Medizinprodukt in Verkehr gebracht. Auch nicht die Apple Watch selber. Die hat sich nämlich genau den gleichen Kunstgriff erlaubt. Die hat zwei Apps als Medizinprodukt deklariert. Das eine ist die EKG-App, was nahezu die identische Zweckbestimmung hat, wie das, was wir hier gesehen haben. Das andere ist die App. Ich glaube, das war eine Sturzerkennung oder irgendwie sowas. Und diese beiden Sachen sind Medizinprodukt, mehr nicht. Und auch für diese beiden Sachen findet man eine Zweckbestimmung. Für diese beiden Sachen findet man das CE-Zeichen. Und wenn man da drauf schaut, findet man exakt das, was wir hier gesehen haben, und zwar die Kennennummer 0123, wo der TÜV Süd in diesem Konformitätsbewertungsverfahren mit dabei war, was wiederum bedeutet, das sind mindestens klasse 2A-Medizinprodukte. Aber die gesamte Hardware, da hat sich Apple gesagt, das macht keinen Sinn. Die Hardwareansicht, also das Hauptziel der Apple Watch, ist nicht Medizinprodukt. Da soll jeder Kreti und Pleeti für das Ding entwickeln können. Das können sie gar nicht kontrollieren und wollen sie auch gar nicht. Und deswegen haben sie gesagt, über die beiden Bereiche da behalten wir uns unsere Entscheidungshoheit und nur wir können da Änderungen vornehmen. Hat das die Frage beantwortet? Ja, eigentlich interessiert mich noch, warum das eigentlich so lange dauert. Also auch die Apple Watch hat ja monatische Startverzögerungen gehabt. Das ist richtig. Apple ist in dem Fall ein amerikanisches Unternehmen. Die haben ihre erste Einreichung bei der FDA gemacht. Da wussten sie genau, was sie tun. Und eine FDA ist eine Behörde, die hat sehr strikte Prozesse, an die sie sich selber halten muss. Da war es leichter, in der Vorhersage zu treffen, wann sie von der FDA die Clearance bekommen. Bei einer bekannten Stelle gibt es diese genauen Vorhersagen nicht. Die haben nur ihre Enbock-Guidance, ihre Richtlinien, an denen sie sich orientieren können. Und wenn der Tiff Süd sagt, ja gut, schön und recht, was die FDA da gesagt hat, aber wir haben bei uns noch eine Norm mehr, die wir als anwendbar sehen, erfüllt die Bitte oder gibt uns zumindest Nachweisdokumente, dass ihr die erfüllt habt, dann müssen die nachliefern. Und die FDA ist nicht so stark normengetrieben. Die sind mehr Gesetzesgetrieben. Und das ist meine Vermutung, warum Apple da länger gebraucht hat, weil sie mit einem ganz anderen Mindset an die Sachen ran sind. Weil sie amerikanisch sind, weil sie da einen anderen Blick auf die Welt haben. Aber ich war nicht dabei, es ist nur eine Mutmaßung. Super, dann schalten wir mal rüber ins Internet. Ja, eine kurze Frage aus dem Internet. Kosten diese unabhängigen Audits durch die benannte Stelle auch Geld? Es ist so, genau. Der Hersteller sucht sich eine benannte Stelle, also DECRA oder wen auch immer. Wenn wir hier von Europa stellen, halt eine benannte Stelle aus dem europäischen Raum, und zahlt dieser benannten Stelle Geld. Und die führt dann das Audit durch. Das ist so ein bisschen ein Interessenkonflikt. Aber die benannten Stellen legen sehr hohen Wert darauf zu sagen, wir bekommen zwar von den Herstellern das Geld, aber können auf dem Papier beweisen, dass wir uns so weit neutral verhalten haben und nicht einfach irgendwelchen Scheiß durchgewunken. Da ist im Brust-Implantat der Skandal, für Freien Landmann die Kritik geraten, aber die konnten dann auch zeigen. Wir haben hier alles in unserer Macht stehende getan, aber gegen kriminelle Handlungen, da können wir uns auch nicht schützen. Und rüber zu eins, bitte. Weil der Medizinprodukteentwicklung entsteht also sehr viel Dokumentation. Gibt es eine Möglichkeit für den Patienten, für den Nutzer der Medizinprodukte, an diese Dokumentation, an die technische Dokumentation, anzukommen, beispielsweise über das DIMDI? Nein, besteht nicht. Wir befinden uns gerade in der Änderung von den Gesetzen. Im Moment, das habe ich jetzt stillheimlich verschwiegen, wir haben noch ein altes Gesetz, die MDD. Die gilt noch bis mein nächsten Jahres. Danach gilt die MDR. Und mit der MDR wird eine europäische Datenbank eingeführt. Die ist nicht komplett öffentlich, aber halböffentlich. Man kann bestimmte Sachen einsehen. Aber die Hersteller sagen, das ist unser Geschäftsgeheimnis, das ist das, was unsere Kernkompetenz ausmacht. Wir können nicht unsere technische Dokumentation rausgeben. Per Gesetz ist vorgeschrieben, dass bestimmte Sachen in der Gebrauchsanweisung drin stehen müssen, dass bestimmte Sachen angegeben müssen, sein müssen, die UDI, die ganzen Kennzeichnungen. Das ist genau vorgeschrieben. Aber an die technische Dokumentation wird man nicht hinkommen. Man kann es sogar noch weitertreiben, indem man einen Freedom of Information Act an die FDA stellt, um so an die technische Dokumentation hinzukommen. Aber auch da sagt die FDA, wenn wir das einmal machen, kommt niemand mehr zu uns. Also nein, an die technische Dokum kommt man nicht hin, an die Begleitdokumente, die für den Endnutzer bestimmt sind, an die auf jeden Fall. Dann gehen wir rüber auf die Zwahlen. Vielen Dank für den Vortrag. Ich habe in der Radiologie jetzt sehr oft beobachtet, dass es kleine Firmen gibt, die die Bilder, die aus dem CT oder MRT kommen, mit irgendwelchen Algorithmen belegen, irgendwelche neuen Bilder generieren oder irgendwelche Analyse machen und dann hinterher sagen, ja, aber wir sind kein Medizinprodukt. Wir machen das nur im Endeffekt für die Wissenschaft, was wir hier machen. Und wenn du das klinisch einsetzt, lieber Arzt, dann machst du das selber und du triffst ja die Entscheidung über das, was du mit deinem originären Bild einmal da gemacht hast. Ist das in irgendeiner Art oder Weise legitim, ist das machbar für so kleine Open Source-Projekte, die etwas mit Bildern machen möchten? Das ist ein Graubereich. Wenn der Hersteller sagt, das ist nur für klinische Forschung, das ist nur, um mal irgendwas zu testen und man das dann eben für was anderes einsetzt, schiebt der Hersteller die Verantwortung an den Betreiber. Wenn das jetzt in größerem Rahmen passiert, wird eine benannte Stelle oder eine Landesbehörde oder eine europäische Behörde, die im irgendwannen Einhalt gebieten. Und dann passiert genau das, es kommt vor Gericht und dann wird ein Gutachter-Zweckbestimmungen erstellen. Das andere ist, es gibt auch Software-Systeme, zum Beispiel, gerade in der Radiologie, die eine Bestrahlungsplanung machen. Da greift dieses Mittel nicht mehr. Wenn das ein Hersteller machen würde, der sagt mir gut, irgendein Betreiber hat jetzt ein Bestrahlungsgerät, nimmt sich von einem kleinen Unternehmen eine Software für eine Bestrahlungsplanung, wo halt dann genau schaut, wo soll da jetzt durchgeschossen werden? Das wird nicht mehr funktionieren. Bei so anderen Grenzfällen möglich. Ob das auf Dauer funktioniert, ist halt dann tatsächlich die Frage. Dann gehen wir rüber auf die Eins. Ja, vielen Dank. Da schließt sich meine Frage direkt ein bisschen an, wie wird die Einhaltung dieser Norm denn enforced? Das heißt, wenn jetzt Ärzte den Kataio verwenden an Patienten, um damit irgendwas zu überwachen oder irgendwelche Flower-Power-Enterprises, irgendwelche Produkte liefern, die von Krankenhäusern, weil es billiger ist, verwendet, wer würde das wann, wo, wie feststellen und was würde dagegen unternommen? Also, man kann ja nichts dagegen tun, wenn jetzt jemand den Kataio quasi als Medizinprodukt einsetzt. Und also, wie würde dagegen vorgegangen und wer hätte dann was zu befürchten? Der einfachste Weg ist, den Weg über die B-Farm zu wählen. Das B-Farm ist das Bundesinstitut für Arzneimittel und Medizinprodukte. Dort können solche Vorkommnisse gemeldet werden. Und die kümmern sich dann sehr schnell um solche Sachen. Klar, auch die haben manchmal sehr viel zu tun, aber das ist die erste Handlaufstelle für sowas. Aber wer würde denn jetzt belangt? Also, wenn ein Arzt-Kataio-Einsatz als Medizinprodukt, obwohl es keins ist, wird dann jemand die Zweckbestimmung für das Kataio feststellen und Kataio hätte ein Problem oder hätte der Arzt ein Problem? Das muss ein Gutachter feststellen. Das ist dann das, was vor Gericht passiert. Wenn in der Zweckbestimmung rauskommt, die Leute haben alles richtig gemacht, es ist kein Medizinprodukt, es kann keine Erkennung von irgendetwas stattfinden, was in meiner Ansicht nach im Moment der Fall ist, dann wird der Arzt oder der Betreiber in dem Fall dafür haftbar gemacht, weil er irgendetwas eingesetzt hat, was nicht für die Umgebung gemacht ist. Wenn in der Zweckbestimmung rauskommt durch diesen Gutachter-Moment, man kann ja hier bestimmte Arten von Herzerkrankungen feststellen. Das Gerät sagt einem ja sehr genau oder alarmiert sogar sehr genau, wann jetzt was passiert, dann ist der Hersteller mit dabei. Das passiert alles in der Kadeion nicht. Aber es dreht sich dann immer um die Zweckbestimmung, die formuliert wird. Und da müsste man jetzt Kristallkugel raten, was tatsächlich vom Gutachter reingeschrieben wird. Haben wir noch was aus dem Internet? Dann machen wir direkt weiter mit Mikrofon 1, bitte. Hallo, wenn ich Sie richtig verstanden habe, dann hat Apple argumentiert, dass die Apple Watch primär andere Ansatzzwecke hat, als irgendwelche Lebenswerte zu messen. Ich kenne das Produktkadeo nicht, aber hat die Hardware denn irgendwelche anderen Einsetzzwecke als diese medizinischen ... Oh, okay. Also, wie haben Sie sich da rausgehört, weil sich das irgendwie aus diesem Vortrag alleine so anhört, als wäre das wirklich primär für diese medizinischen Zwecke da? Gut, ich habe jetzt den Medizinsweck natürlich hervorgehoben, weil das halt ein Bereich ist, in dem ich mich sehr gut auskenne. Die Kadeo an sich kann neben vielen tausend anderen Sachen auch in EKG ableiten. Kann das aber mehr schlecht als recht darstellen? Schneider, das tut mir leid. Aber ... Das Ding kann oder soll für so viel mehr eingesetzt werden als für das EKG, wo ich jetzt einfach mal behaupte, die Leute sollen dafür Software schreiben. Es soll einfach zugänglich sein. Es soll sich mit anderen Kadeos irgendwie vernetzen können. Man soll auf dem Display hübsche Sachen darstellen können. Man soll einstellen können, ob ich jetzt gerade mit anderen reden möchte oder ob ich eigentlich gerade keinen Bock hab. Und das sind so die hauptsächlichen Sachen. Die Duttedinge, das darfst du nicht vergessen. Ganz wild, stimmt, genau. Und das wäre jetzt mein Ansatzpunkt, wo ich sage, das EKG ist halt auch mit dabei, was ist halt eine nette Spielerei. Aber das ist nicht, was die Kadeo an sich ausmachen soll. Weil ich dann geglaubt habe, dass es wirklich nur für diesen einen Zweck eigentlich gebrauchbar ist, dann haben Sie das beantworten, danke. Und dann machen wir auch direkt weiter mit Mikrofon 1, bitte. Guten Abend. Ich hätte zwei kleinere Fragen. Das erste, könnte es passieren, dass sowas wie Google-Skola oder Pub-Mates, was Ärzte im Alltag häufig benutzen, um Entscheidungen zu treffen für ihre Patienten, auch unter das Medizinprodukte gesetzt fallen könnte. Und zweitens, die Abgretzung zur Kategorie 3 scheint mir zu sein, wenn man eine potentielle, lebensbedrohliche oder sehr, sehr gefährliche Entscheidung in einer Software, beispielsweise, herbeiführen würde. In der Medizin ist es jetzt aber auch so, dass Patienten ganz leicht Allergien auf Medikamente entwickeln können, die auch ganz alltäglich sind und damit an Penicillin beispielsweise sterben könnten. Inwiefern wird darauf Rücksicht genommen, dass, ich sage mal, auch Bannalitäten in der Medizin ganz einfach verheerende Folgen haben können und das dann dazu führt, dass ich ein kleines Produkt letztendlich so ausbauen muss wie den Roboter, der mir meinen Herz automatisch transplantiert. Die zweite Frage kann ich recht leicht beantworten. Das richtet sich an die Klassifizierungsregeln. Ich habe jetzt nur die Regel 10 an den Beamer geworfen. Man muss für das Produkt, was man hat, die Funktionen kennen, die Zweckbestimmung haben und kann dann genau durch diese Regeln systematisch durchgehen. Dort wird exakt erklärt, wenn ich ein Produkt habe, was bestimmte Features hat, wenn es eine gewisse Invasivität hat, dann lande ich in diesen ganzen Kategorien. Alle Regeln hier aufzuzeigen ist relativ mühselig und das macht es ein bisschen schwierig. Bei der ersten Frage müssen wir uns persönlich zusammensetzen, die Google, was war das, Skolare? Ja, Google Skolare und PubMate oder Up-to-date. Da gibt es sehr viele Plattformen, wo Ärzte fündig werden. Da weiß ich jetzt tatsächlich gar nicht, was die machen. Da kann ich jetzt gar nicht so viel dazu sagen, das tut mir leid. So, wir haben keine Zeit mehr und auch keine Fragen mehr. Phil, du bist erlöst. Vielen, vielen Dank. Das ist noch mal dein Applaus. Dankeschön.