Was seit dem 1. August 2025 gilt – und war­um jetzt kla­re Zuständigkeiten ent­schei­dend sind 

Zum 1. August 2025 sind die neu­en Regelungen der Medizinprodukte-Betreiberverordnung (MPBetreibV) in Kraft getre­ten. Sie brin­gen ins­be­son­de­re für bestimm­te Softwareprodukte im Medizinproduktebereich neue Pflichten mit sich. 

Für die Leitungen von Krankenhäusern ist das beson­ders rele­vant, da sich hier­aus unter Umständen ein neu­er Abstimmungsbedarf zwi­schen IT-Abteilung und Medizintechnik (MT) ergibt. 

Doch zunächst zu den Grundlagen. 

Geltungsbereich der neu­en Regelungen 

Die Vorschriften betref­fen Software, die als Medizinprodukt ein­ge­setzt wird und den Risikoklassen IIb oder III zuge­ord­net ist. Diese Klassen spie­geln das poten­zi­el­le Risiko bei der Anwendung wider und wer­den vom Hersteller nach EU-weit ein­heit­li­chen Vorgaben fest­ge­legt. Zusätzlich ist eine exter­ne Zertifizierung durch eine benann­te Stelle ver­pflich­tend. 

Derzeit gibt es noch ver­gleichs­wei­se weni­ge Softwarelösungen, die unter die­sen Geltungsbereich fal­len. Beispiele sind: 

• Software zur Dosisberechnung von Zytostatika 

• Medikamentendatenbanken, mit denen Infusionspumpen pro­gram­miert wer­den kön­nen 

Das prak­ti­sche Problem im Alltag 

In der Praxis zeigt sich häu­fig fol­gen­de Konstellation: 

Die Beschaffung von Software erfolgt meist in Abstimmung mit der IT-Abteilung, dort wird sie auch wei­ter­ver­ar­bei­tet und betreut. Das Bestandsverzeichnis der Medizinprodukte wird hin­ge­gen in der Regel von der MT-Abteilung geführt. 

Die Folge: 

Nur jene Medizinprodukte wer­den erfasst, von denen die MT-Abteilung auch tat­säch­lich Kenntnis hat. In der IT-Abteilung ist das Medizinprodukterecht oft­mals kein Schwerpunkt – sodass dort unter Umständen nicht erkannt wird, dass es sich um ein Medizinprodukt han­delt und ent­spre­chen­der Handlungsbedarf besteht. 

Im ungüns­tigs­ten Fall wer­den dadurch auch wei­ter­füh­ren­de Pflichten nicht erfüllt, etwa: 

• die Dokumentation der Netzwerkumgebung 

• die ord­nungs­ge­mä­ße Einweisung 

• die regel­mä­ßi­gen IT-Sicherheitsüberprüfungen 

Ihre wich­tigs­ten Aufgaben als Leitung 

Die zen­tra­le Aufgabe der Leitung besteht daher dar­in, 

• zu prü­fen, ob eine orga­ni­sa­to­ri­sche Lücke besteht, und 

• die­se gege­be­nen­falls gezielt zu schlie­ßen. 

Ist dies erfor­der­lich, soll­te eine kla­re und ver­bind­li­che Aufgabenverteilung zwi­schen den Abteilungen Einkauf, IT und MT neu gere­gelt wer­den. 

Neue Pflichten für Software ab 1. August 2025 (Risikoklassen IIb und III) 

Für Software in den höhe­ren Risikoklassen gel­ten seit dem Stichtag fol­gen­de Vorgaben: 

1. Herstellerpflichten 
   Der Hersteller muss die ord­nungs­ge­mä­ße Installation prü­fen, eine Einweisung durch­füh­ren und auf zuläs­si­ge Kombinationen mit ande­ren Produkten hin­wei­sen. 

2. Betrieb nur nach Einweisung 
   Die Software darf aus­schließ­lich von Personen betrie­ben und genutzt wer­den, die ent­spre­chend ein­ge­wie­sen wur­den. 

3. Regelmäßige IT-Sicherheitsüberprüfungen 
   Diese sind min­des­tens alle zwei Jahre durch­zu­füh­ren und zu doku­men­tie­ren. 

Praxisnahe Hinweise zur Umsetzung 

Wichtige Punkte bereits vor der Installation 

1. Risikoklasse früh­zei­tig abfra­gen 
   Bereits vor der Anschaffung soll­te beim Lieferanten die Risikoklasse der Software sowie die damit ver­bun­de­nen Auflagen erfragt wer­den. Das hilft, spä­te­ren Mehraufwand im Betrieb zu ver­mei­den – ins­be­son­de­re, wenn meh­re­re Produkte zur Auswahl ste­hen. 

2. Installation prü­fen und doku­men­tie­ren 
   Die Installation muss durch den Hersteller oder eine beauf­trag­te Person (z. B. den Lieferanten) geprüft wer­den. Ziel ist es sicher­zu­stel­len, dass die Software im bestehen­den IT-Netzwerk ord­nungs­ge­mäß funk­tio­niert. 
   Diese Prüfung soll­te doku­men­tiert und die Unterlagen auf­be­wahrt wer­den, da sie bei spä­te­ren IT-Sicherheitsüberprüfungen wert­vol­le Hinweise lie­fern kön­nen. 

3. Einweisung der Nutzer sicher­stel­len 
   Der Hersteller oder der beauf­trag­te Lieferant muss min­des­tens eine Person in der Einrichtung ein­wei­sen. Die Einweisung erfolgt auf Grundlage der Gebrauchsanweisung sowie sicher­heits­re­le­van­ter Informationen und umfasst: 

• sach­ge­rech­te Bedienung und Betrieb 

• zuläs­si­ge Verbindungen zu ande­ren Produkten 

• Wartungshinweise 

Ausnahme: 
Für digi­ta­le Gesundheitsanwendungen, die vom Patienten selbst auf ärzt­li­che Verordnung genutzt wer­den, sowie für digi­ta­le Pflegeanwendungen gel­ten beson­de­re Regelungen und Ausnahmen. 

Besonderheiten bei der Einweisung (Risikoklassen IIb und III) 

Für Software die­ser Risikoklassen gilt eine Besonderheit: Die Einweisung muss zwin­gend durch eine vom Hersteller beauf­trag­te Person erfol­gen. 

Der Hintergrund: Diese Software dient der Unterstützung dia­gnos­ti­scher oder the­ra­peu­ti­scher Entscheidungen, bei denen Fehlfunktionen oder Fehlanwendungen erheb­li­che Auswirkungen auf den Patienten haben kön­nen. 

• Risikoklasse III: Software, deren Entscheidungen zum Tod oder zu einer irrever­si­blen Verschlechterung des Gesundheitszustands füh­ren kön­nen. 

• Risikoklasse IIb: Software, die eine schwer­wie­gen­de Verschlechterung des Gesundheitszustands oder einen zusätz­li­chen chir­ur­gi­schen Eingriff ver­ur­sa­chen kann. 

Bei der ers­ten Einweisung soll­ten mög­lichst alle künf­ti­gen Nutzer teil­neh­men. Kommt spä­ter neu­es Personal hin­zu, ist eine erneu­te Einweisung durch den Hersteller oder Lieferanten erfor­der­lich. 

IT-Sicherheitsprüfung: Pflicht alle zwei Jahre 

Die IT-Sicherheitsprüfung ist spä­tes­tens alle zwei Jahre durch­zu­füh­ren. Ziel ist es, Risiken und Leistungsbeeinträchtigungen früh­zei­tig zu erken­nen und zu mini­mie­ren. Maßgeblich sind dabei die all­ge­mein aner­kann­ten Regeln der Technik. 

Da es aktu­ell noch kei­ne spe­zi­fi­schen, ver­bind­li­chen Standards für die­se Prüfungen gibt, soll­ten ins­be­son­de­re fol­gen­de Punkte berück­sich­tigt wer­den: 

• Hat sich die IT-Netzwerkumgebung ver­än­dert? 

• Ist die aktu­el­le Softwareversion instal­liert? 

• Wurden alle Sicherheitsupdates ein­ge­spielt? 

• Das Installationsprotokoll des Herstellers kann als Grundlage für den Prüfungsumfang die­nen. 

Anforderungen an die prü­fen­de Person 

Die Prüfung darf nur durch Personen erfol­gen, die: 

• über aktu­el­le Fachkenntnisse ver­fü­gen, 

• in ihrer fach­li­chen Beurteilung wei­sungs­frei sind, 

• über die erfor­der­li­chen Mittel und Einrichtungen ver­fü­gen. 

Das Prüfprotokoll ist zu doku­men­tie­ren und min­des­tens bis zur nächs­ten Prüfung auf­zu­be­wah­ren. 

Sobald es neue Erkenntnisse oder all­ge­mein aner­kann­te Standards zu die­sen Prüfungen gibt, infor­mie­ren wir Sie selbst­ver­ständ­lich in unse­rem Newsletter. 

Bei Fragen ste­hen wir Ihnen jeder­zeit ger­ne zur Verfügung.