Zurück
Zurück zur
Blog-Übersicht
January 4, 2023

Software im Gesundheitsbereich

Software im Gesundheitsbereich

Bei der Entwicklung von Software im Gesundheitsbereich sind besondere Herausforderungen zu beachten. Nachdem regelmäßig besonders schützenswerte Daten im Sinne des Art 9 DSGVO verarbeitet werden, ist das Thema Datenschutz besonders zu berücksichtigen. Während die Datenschutz-Grundverordnung in der Regel bereits im Sinne von Privacy-by-Design berücksichtig wird, werden weitere Spezialgesetze in der Praxis häufig übersehen. Deren Übergehung kann äußert negative Konsequenzen, wie etwa einen Rückruf, zur Konsequenz haben. Vor diesem Hintergrund sollen diese speziellen Normen in diesem Beitrag vor den Vorhang geholt werden.

Software im Gesundheitsbereich: Das Gesundheitstelematikgesetz


Wenn die Software zu einer elektronischen Übermittlung von Gesundheitsdaten oder genetischen Daten durch einen Gesundheitsdiensteanbieter bestimmt ist, ist der Anwendungsbereich des Gesundheitstelematikgesetzes eröffnet. Die wichtigste Konsequenz daraus ist, dass ein besonderes Maß an Vertraulichkeit der elektronischen Übermittlung sicherzustellen ist. Der Datentransfer muss dem Stand der Technik in der Netzwerksicherheit genügen. Dies muss sichergestellt werden in dem zumindest (vgl § 6 Gesundheitstelematikgesetz):

  • die Absicherung der Übermittlung von Daten durch kryptographische oder bauliche Maßnahmen vorgesehen ist;
  • der Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzergruppe eingeschränkt ist;
  • sowie die Authentifizierung der Benutzer gewährleistet ist

oder

Protokolle und Verfahren verwendet werden,

  • die die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken und
  • deren kryptographische Algorithmen zumindest folgende Standards erreichen:
  • AES (Advanced Encryption Standard) mit einer Schlüssellänge von 128, 192 oder 256 Bit [FIPS 197] oder
  • TDEA (Triple Data Encryption Algorithm) mit einer effektiven Schlüssellänge von mindestens 112 Bit [NIST 800-67]

jeweils in CBC oder CTR Modus [NIST 800-38A].

Diese Protokolle und Verfahren müssen jedenfalls auch dann eingesetzt werden, wenn Gesundheitsdaten von einem „Cloud Computing“-Provider als Auftragsverarbeiter im Sinne des Art 4 Z 8 DSGVO bereitgestellt werden.

Software im Gesundheitsbereich: Die Verordnung über Medizinprodukte


Die Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates über Medizinprodukte hat das am 30.6.2021 außer Kraft getretene nationale Medizinproduktegesetze abgelöst. Ein Medizinprodukt im Sinne dieser VO liegt nach Art 2 Z 1 unter anderem vor, wenn eine Software zur Behandlung von Krankheiten, Behandlung von Verletzungen oder Behinderungen, Untersuchung oder Veränderung der Anatomie oder eines physiologischen Vorgangs eingesetzt wird. In ErwGr 19 zur VO heißt es: „…dass Software als solche, wenn sie vom Hersteller speziell für einen oder mehrere der in der Definition von Medizinprodukten genannten Zwecke bestimmt ist, als Medizinprodukt gilt“. Software hingegen für allgemeine Zwecke, auch wenn sie in Einrichtungen des Gesundheitswesens eingesetzt wird, sowie Software, die für Zwecke in den Bereichen Lebensstil und Wohlbefinden eingesetzt wird, ist kein Medizinprodukt.

Software im Gesundheitsbereich: Konsequenzen einer Qualifikation als Medizinprodukt


Die Konsequenzen einer Qualifikation als Medizinprodukt sind weitreichend und äußerst komplex. Diese reichen von:

  • speziellen Anforderungen an Sicherheits- und Leistungsanforderungen,
  • Nachbeobachtungspflichten,
  • einer technischen Dokumentation,
  • Kennzeichnungspflichten,
  • der Implementierung eines Qualitätsmanagementsystems,
  • der Bereitstellung eines Haftungsfonds,
  • der Benennung verantwortlicher Personen bis hin zur
  • Akkreditierung des Produktes im Zuge eines Konformitätsbewertungsverfahrens.


Software im Gesundheitsbereich: Wann liegt ein Medizinprodukt vor?


Als Wegweiser für die Beurteilung dieser Frage ist das Dokument: „MDCG 2019-11: Guidance on Qualification and Classification of Software in Regulation (EU) 2017/745 – MDR and Regulation (EU) 2017/746 – IVDR“ vom Oktober 2019 der Medical Device Coordination Group zu nennen. Die Guidance stellen dabei klar, dass nicht jede Software, die im Gesundheitswesen verwendet wird, als Medizinprodukt gilt. So gilt zum Beispiel die “einfache Suche”, die sich auf das Auffinden von Datensätzen durch Abgleich von Datensatz-Metadaten mit Datensatz-Suchkriterien oder auf das Abrufen von Informationen bezieht, nicht als Medizinprodukt.

Software, die dazu bestimmt ist, medizinische Informationen zu verarbeiten, zu analysieren, zu erstellen oder zu ändern, kann jedoch als Medizinproduktesoftware eingestuft werden, wenn die Erstellung oder Änderung dieser Informationen durch einen medizinischen Zweck bestimmt ist. Zum Beispiel würde die Software, die die Darstellung von Daten für einen medizinischen Zweck verändert, als Medizinproduktesoftware eingestuft werden. (z. B. “Bildsuche nach Befunden, die eine klinische Hypothese für die Diagnose oder den Verlauf der Therapie unterstützen” oder “Software die den Kontrast des Befundes auf einer Bildanzeige lokal verstärkt, so dass er als Entscheidungshilfe dient oder eine vom Benutzer zu ergreifende Maßnahme vorschlägt”). Die Veränderung der Darstellung von Daten zur Verschönerungs-/Kosmetik- oder Kompatibilitätszwecken qualifiziert die Software hingegen nicht ohne weiteres als Geräte-Software. Software, die für nichtmedizinische Zwecke bestimmt ist, zB für die Rechnungsstellung oder Personalplanung, gilt regelmäßig nicht als Software für Medizinprodukte. Ob die Software alleine oder in Hardware eingebettet ist, hat für die Qualifikation ebenso wenig unmittelbar Relevanz wie die Frage, wo die Software eingesetzt wird, also ob diese in der Cloud gehostet wird, auf dem lokalen Computer gespeichert wird, auf dem Mobiltelefon oder medizinischer Hardware.

Praxis-Tipp


Ob eine Software unter das Medizinproduktegesetz zu subsumieren ist oder nicht, ist in der Praxis äußerst komplex und schwierig zu beurteilen. Gleichzeitig sind die Konsequenzen einer Qualifikation weitgehend. Umso wichtiger ist es, noch vor Beginn der Entwicklungstätigkeiten der Software die etwaige Qualifikation als Medizinprodukt abzuklären.

Zurück
Zurück zur
Blog-Übersicht