DIE HERAUSFORDERUNG
Kein Medizinprodukt heißt nicht keine Regulatorik.
Health-Software bewegt sich in einem regulatorischen Spannungsfeld: Die MDR greift möglicherweise nicht — aber DSGVO, ISO 27001 und branchenspezifische Anforderungen von Kliniken, Krankenkassen und Kooperationspartnern gelten trotzdem. Und die Abgrenzung zum Medizinprodukt ist alles andere als trivial.
Wo endet Wellness, wo beginnt Medizinprodukt?
Die Grenze zwischen Health-App und Software-Medizinprodukt hängt an der Zweckbestimmung — und eine kleine Änderung im Wording kann den Unterschied machen. „Unterstützt einen gesunden Lebensstil" ist kein Medizinprodukt. „Unterstützt die Diagnose von..." ist eines. Viele Hersteller bewegen sich in einer Grauzone, ohne es zu wissen.
Kliniken und Kassen fordern Nachweise
Auch ohne MDR-Pflicht: Kliniken, Krankenkassen und Kooperationspartner erwarten zunehmend Nachweise über Informationssicherheit, Datenschutz und Qualitätsmanagement. Wer kein ISO-27001-Zertifikat oder zumindest ein dokumentiertes ISMS vorweisen kann, verliert Ausschreibungen — unabhängig von der Produktqualität.
Gesundheitsdaten in der Cloud
Die meisten Health-Software-Produkte verarbeiten Gesundheitsdaten in Cloud-Infrastrukturen. Das bringt DSGVO-Anforderungen mit sich — Art. 9, DSFA, TOMs, Auftragsverarbeitungsverträge — und zunehmend auch die Erwartung einer C5-Attestierung, wenn die Software im klinischen Umfeld eingesetzt wird.
Interoperabilität und Schnittstellen
Health-Software muss zunehmend mit anderen Systemen kommunizieren — KIS, PVS, Telematikinfrastruktur, FHIR-Schnittstellen. Jede Schnittstelle bringt Anforderungen an Datenschutz und Informationssicherheit mit sich. Ohne eine systematische Bewertung dieser Verbindungen entstehen blinde Flecken, die bei einem Audit oder einer Datenschutzprüfung auffallen.
WAS WIR FÜR SIE TUN
Compliance ohne Medizinprodukt-Status — und die Klarheit, falls doch.
Für Health-Software-Anbieter stehen zwei Fragen im Zentrum: Erstens, ist mein Produkt ein Medizinprodukt — und wenn ja, welche Konsequenzen hat das? Zweitens, welche regulatorischen Anforderungen gelten unabhängig davon?
Wir beantworten beide Fragen. Und wir helfen Ihnen, die Anforderungen so umzusetzen, dass sie zu Ihrem Produkt und Ihrer Organisation passen — schlank, dokumentiert und nachweisbar.
Dann umsetzen, was nötig ist.
Qualifizierung: Medizinprodukt oder nicht?
Wir analysieren Ihre Zweckbestimmung und prüfen systematisch, ob Ihr Produkt als Medizinprodukt nach MDR qualifiziert. Das Ergebnis ist eine dokumentierte, nachvollziehbare Entscheidung — die Sie gegenüber Kunden, Partnern und Behörden verwenden können.
ISMS nach ISO 27001 & C5
Aufbau oder Zertifizierungsbegleitung Ihres ISMS — zugeschnitten auf Cloud-basierte Health-Software. Inklusive C5-Begleitung, wenn Ihre Kunden eine Attestierung nach dem BSI-Kriterienkatalog erwarten. Von der Risikoanalyse bis zum Zertifizierungsaudit.
Datenschutz & DSGVO
Verarbeitungsverzeichnis, DSFA, TOMs, Auftragsverarbeitungsverträge und Betroffeneninformationen — abgestimmt auf die Besonderheiten von Gesundheitsdaten in Cloud-Infrastrukturen. Auf Wunsch übernehmen wir die Rolle des externen Datenschutzbeauftragten.
Falls doch Medizinprodukt: MDR-Begleitung
Wenn die Qualifizierung ergibt, dass Ihr Produkt unter die MDR fällt — oder Sie bewusst den Weg zum Medizinprodukt gehen wollen — begleiten wir den gesamten Zulassungsprozess. Klassifizierung, QMS, TechDoku, klinische Bewertung und CE-Zertifizierung.
Externe Rollen
DSB und ISB als externer Service — mit Erfahrung im Gesundheitswesen und Verständnis für Cloud-Architekturen, Schnittstellen und die spezifischen Anforderungen von Kliniken und Krankenkassen als Kunden.
RELEVANTE LEISTUNGEN
Informationssicherheit und Datenschutz stehen im Zentrum.
Für Health-Software ohne Medizinprodukt-Status sind ISO 27001, C5 und DSGVO die primären Anforderungen. Wenn die MDR doch greift, kommen Zulassung und QMS hinzu.
ISO 27001 & C5
ISMS-Aufbau und C5-Attestierung für Cloud-basierte Health-Software. Der Nachweis, den Ihre Kunden zunehmend erwarten.
Mehr erfahren →Datenschutz & DSGVO
DSGVO-Compliance für Produkte, die Gesundheitsdaten verarbeiten. Verarbeitungsverzeichnis, DSFA, TOMs und externer DSB.
Mehr erfahren →MDR & IVDR Beratung
Falls Ihr Produkt doch als Medizinprodukt qualifiziert: Klassifizierung, TechDoku und CE-Zertifizierung aus einer Hand.
Mehr erfahren →AI Act Compliance
Relevant, wenn Ihre Software KI-Komponenten nutzt — auch ohne Medizinprodukt-Status kann der AI Act greifen.
Mehr erfahren →Externe Rollen
DSB und ISB als Service — mit Verständnis für Cloud-Architekturen und die Anforderungen des Gesundheitswesens.
Mehr erfahren →Unsicher, welche Anforderungen für Ihre Software gelten?
Im Erstgespräch klären wir, ob Ihr Produkt als Medizinprodukt qualifiziert, welche Compliance-Anforderungen unabhängig davon gelten und was die nächsten Schritte wären.
Erstgespräch vereinbaren