Update Informationssicherheit und Update Health Care & Life Sciences 2/2025
Die neue Medizinprodukte-Betreiberverordnung ist in Kraft getreten – Neue Anforderungen an Software und IT-Sicherheit
Aktualisierte Fassung unseres Beitrags vom 21. Februar 2025.
Seit dem 20. Februar 2025 gelten für Betreiber und Anwender von Medizinprodukten in Deutschland strengere Vorschriften: Die neue Medizinprodukte-Betreiberverordnung (MPBetreibV) ist in Kraft getreten, begleitet von Anpassungen in der Medizinprodukte-Abgabeverordnung (MPAV). Ziel der Neufassung der MPBetreibV ist es, die Patientensicherheit weiter zu erhöhen und die Vorschriften an aktuelle technologische sowie regulatorische Entwicklungen anzupassen.
Ein zentraler Treiber für die Änderungen ist die fortschreitende Digitalisierung im Gesundheitswesen. Mit dem wachsenden Einsatz von vernetzter Medizintechnik und spezialisierter Medizinprodukte-Software steigen auch die Anforderungen an IT-Sicherheit, Wartung und Verantwortlichkeiten. Betreiber und Hersteller stehen nun vor der Aufgabe, ihre Prozesse entsprechend den neuen Vorschriften anzupassen, um den gesetzlichen Anforderungen gerecht zu werden.
Die wichtigsten Neuerungen im Überblick:
1. Erweiterung des Anwendungsbereichs
Der Anwendungsbereich der MPBetreibV wurde ausgeweitet: Die Verordnung gilt nun auch für das Betreiben und Verwenden von Anhang-XVI-Produkten. Dabei handelt es sich um Produkte ohne medizinischen Verwendungszweck gemäß Anhang XVI der Verordnung (EU) 2017/745 (MDR), wie beispielsweise Bodyforming-Geräte oder IPL-Geräte zur Haarentfernung oder der Hautverjüngung.
Diese Produkte waren bislang ausdrücklich vom Anwendungsbereich der MPBetreibV ausgenommen. Betreiber und Anwender sollten daher prüfen, ob ihre Geräte nun unter die neuen Regelungen fallen und sicherstellen, dass die erforderlichen Vorgaben ein-gehalten werden.
2. Änderung der Begriffsbestimmungen
Es wurden einige begriffsrechtliche Änderungen vorgenommen:
Der bisherige Begriff „Anwender“ wurde durch „Benutzer“ ersetzt. Nach § 2 Abs. 3 MPBetreibV ist ein Benutzer jemand, der ein Produkt im Anwendungsbereich der Verordnung am Patienten einsetzt.
Neu eingeführt wurde der Begriff „Versorgender“. Laut § 2 Abs. 5 MPBetreibV ist dies „wer aufgrund einer gesetzlichen oder vertraglichen Verpflichtung gegenüber dem Patienten Produkte bereitzustellen hat“ – z. B. Kranken- oder Pflegekassen.
Wichtig ist nun, die internen Dokumentationen und Schulungsmaterialien entsprechend anzupassen, um die neuen Begriffe korrekt zu verwenden.
3. Neue Anforderungen an Software und IT-Sicherheit
Die MPBetreibV enthielt bisher keine expliziten Regeln für Software, sondern richtete sich in erster Linie an physisch vorhandene Produkte. Die Vorschriften für den Betrieb und die Instandhaltung von Medizinprodukte-Software wurden mit der Neufassung deutlich präzisiert:
- Einweisungen nach Software-Updates: Eine Einweisung in die Handhabung von Produkten war bereits Pflicht. Neu ist, dass eine erneute Einweisung erforderlich ist, sobald ein Software-Update wesentliche Änderungen in der Bedienung mit sich bringt (§ 4 Abs. 3 MPBetreibV).
- Sicherheitstechnische Vorkehrungen: Der Benutzer hat sich vor dem Benutzen eines Produktes von der Funktionsfähigkeit und dem ordnungsgemäßen Zustand des Produktes zu überzeugen und die Gebrauchsanweisung sowie die sonstigen beigefügten sicherheitsbezogenen Informationen und Instandhaltungshinweise zu beachten. Für vernetzte Produkte sind bei der Verbindung mit einem Netzwerk die Anfor-derungen des Herstellers hinsichtlich der digitalen Infrastruktur in Bezug auf die Informationssicherheit seiner Produkte zu beachten (§ 4 Abs. 6 MPBetreibV).
- Instandhaltung von Software: Die Pflicht zur Instandhaltung umfasst nun explizit auch die Installation sicherheitsrelevanter Software-Updates (§ 7 Abs. 2 MPBe-treibV). Dies erfordert eine regelmäßige Überprüfung der Software auf etwaige Sicherheitslücken, die dann entsprechend behoben werden müssen.
- IT-Sicherheitsprüfungen für „Hochrisiko-Software“: Der Betreiber darf Software als Medizinprodukt der Klassen IIb oder III bzw. als In-vitro-Diagnostikum der Klassen C oder D nur betreiben oder anwenden lassen, wenn zuvor der Hersteller oder eine befugte Person die ordnungsgemäße Installation der Software geprüft hat und eine Einweisung in die Anwendung und den Betrieb der Software erfolgt ist (§ 17 Abs. 1 MPBetreibV). Wird „Hochrisiko-Software“ in Gesundheitseinrichtungen betrieben und angewendet, hat der Betreiber regelmäßig IT-Sicherheitsprüfungen durchzuführen (§ 17 Abs. 3 MPBetreibV). Der genaue Umfang der IT-Sicherheitsprüfungen wird in der MPBetriebV nicht näher definiert. Stattdessen wird als Maßstab auf die allgemein anerkannten Regeln der Technik verwiesen. Je nach Art der Software kann dies etwa die Durchführung von Quellcodeanalysen, Konfigurationsprüfungen sowie Schwachstellenscans und Penetrationstests umfassen. Im Zweifel ist der Betreiber hier aber auf die Mitwirkung des Herstellers angewiesen. Die IT-Sicherheitsprüfungen dürfen nur von besonders qualifiziertem Personen iSv. § 5 Abs. 1 MPBetreibV durchgeführt werden und Verstöße können sogar als Ordnungswidrigkeit geahndet werden (§ 19 Nr. 3 MPBetreibV)
Betreiber sollten daher klare Prozesse für die Überprüfung und Installation von Software-Updates etablieren und dokumentieren. Gleiches gilt mit Blick auf die Durchführung von IT-Sicherheitsprüfungen. Hierbei gilt es besonders darauf zu achten, die allgemein anerkannten Regeln der Technik zu konkretisieren und zu dokumentieren. Hersteller müssen sicherstellen, dass sie Anwender rechtzeitig über relevante Updates informieren und gegebenenfalls neue Schulungen anbieten. Dies setzt wiederum entsprechende Prozesse zum Umgang mit Sicherheitslücken und deren Behebung voraus.
4. Neuregelung zur Aufbereitung und Wiederverwendung von Einmalprodukten
Viel diskutiert wurde die Neuregelung zur Aufbereitung und Wiederverwendung von Einmalprodukten in § 9 MPBetreibV.
Hintergrund: Die Aufbereitung von Einmalprodukten ist unter bestimmten Voraussetzungen nach Art. 17 MDR grundsätzlich zulässig. Dabei gibt es zwei Varianten. Die erste Variante ist die sogenannte CE-Aufbereitung nach Art. 17 Abs. 2 MDR. Danach erhält das aufbereitete Produkt (wie neue Produkte auch) ein neues CE-Zertifikat, das bestätigt, dass das Produkt alle gesetzlichen Anforderungen erfüllt. Der Aufbereiter trägt die gleichen Pflichten wie der Hersteller. Die zweite Variante ist die sogenannte CS-Aufbereitung nach Art. 17 Abs. 3 und 4 MDR. Hier erfolgt eine Aufbereitung ohne die vollständigen Herstellerpflichten.
Es war lange nicht eindeutig geregelt, welche Aufbereitungsverfahren in Deutschland möglich sind. Mit der Neufassung des § 9 MPBetreibV steht nun fest: Die ursprüngliche Forderung des Bundesrats, die Verwendung von nach Art. 17 Abs. 2 MDR (CE-Aufbereitung) aufbereiteter Medizinprodukte zu verbieten, hat sich im Ergebnis nicht durchgesetzt. Die CE-Aufbereitung von Einmalprodukten ist nach Maßgabe des § 9 MPBetreibV also zulässig.
Fazit
Die neue Medizinprodukte-Betreiberverordnung (MPBetreibV) und die Änderungen in der Medizinprodukte-Abgabeverordnung (MPAV) heben die Sicherheitsstandards auf ein höheres Niveau, bringen jedoch auch zusätzlichen bürokratischen Aufwand mit sich. Hersteller und Betreiber sind gefordert, die neuen Vorschriften genau zu analysieren und ihre Abläufe entsprechend anzupassen, um die Einhaltung der gesetzlichen Anforderungen sicherzustellen.
Für Betreiber von Medizinprodukten bedeutet das: Sie sollten sich frühzeitig mit den Änderungen vertraut machen, Dienstanweisungen überarbeiten und sicherstellen, dass alle Prozesse konform sind. Besonders wichtig sind dabei die Themen Software-Updates und IT-Sicherheit – beides zentrale Aspekte, die nicht unterschätzt werden sollten.
Softwarehersteller wiederum tragen die Verantwortung, Betreiber rechtzeitig über Updates zu informieren und gegebenenfalls notwendige Schulungen oder Einweisungen durchzuführen. Falls sie Software als Medizinprodukt der Klassen IIb oder III bzw. als In-vitro-Diagnostikum der Klassen C oder D in den Verkehr bringen, sind sie zudem für die fachgerechte Installation und die ordnungsgemäße Einweisung verantwortlich.
Angesichts der gestiegenen Anforderungen sollten sowohl Hersteller als auch Betreiber ihre Prozesse kritisch prüfen und sicherstellen, dass sie den neuen Regelungen entsprechen. In komplexen oder unklaren Fällen kann es sinnvoll sein, rechtlichen Rat einzuholen, um Haftungsrisiken zu vermeiden und eine rechtssichere Umsetzung der Vorgaben zu gewährleisten.