Wie weit ist die Digitalisierung im Gesundheitswesen in Deutschland aktuell?

Deutschland ist heute deutlich weiter als noch vor wenigen Jahren, aber noch nicht bei einer durchgängig integrierten digitalen Versorgung angekommen. ePA, E-Rezept und TI sind sichtbar im Alltag verankert, die Umsetzung bleibt jedoch je nach Einrichtung, Systemlandschaft und Prozessqualität sehr unterschiedlich.

Warum kommt die Digitalisierung im Gesundheitswesen so langsam voran?

Sie kommt langsam voran, weil die Ursachen tiefer liegen als reine Technikfragen. Fehlende Interoperabilität, heterogene Primärsysteme, regulatorische Anforderungen, Sicherheitsfragen, knappe Ressourcen und schwankende Nutzerfreundlichkeit bremsen die Einführung oft erst dann sichtbar aus, wenn Lösungen in echte Arbeitsabläufe eingebunden werden sollen.

Was sind derzeit die größten Hürden bei der Umsetzung digitaler Lösungen?

Die größten Hürden sind Interoperabilität, Datenschutz, IT-Sicherheit, Prozesskomplexität und die ungleichmäßige Alltagstauglichkeit der eingesetzten Systeme. Viele Probleme werden erst in der praktischen Nutzung sichtbar, wenn Daten sauber übertragen, verstanden und in bestehende Abläufe eingebettet werden müssen.

Warum ist Interoperabilität im Gesundheitswesen so wichtig?

Interoperabilität ist wichtig, weil digitale Lösungen nur dann echten Nutzen stiften, wenn Daten zwischen Systemen eindeutig und verlässlich verstanden werden. Ohne präzise Standards und klar definierte Austauschregeln bleiben Anwendungen isoliert, erzeugen Zusatzaufwand und stabilisieren keine tragfähigen Prozesse.

Welche regulatorischen Anforderungen müssen Anbieter besonders im Blick behalten?

Anbieter müssen je nach Produktkontext vor allem Datenschutz, Datensicherheit, TI-bezogene Anforderungen und gegebenenfalls Medizinprodukterecht im Blick behalten. Diese Vorgaben beeinflussen nicht nur die spätere Freigabe, sondern bereits Architektur, Nachweise, Schnittstellen, Dokumentation und den gesamten Produktpfad.

Worauf sollten Unternehmen und andere Akteure jetzt den Fokus legen?

Der Fokus sollte auf realen Versorgungsproblemen, guter Integration, früher regulatorischer Klärung, belastbarer Sicherheitsarchitektur und hoher Nutzbarkeit liegen. Wer diese Punkte sauber priorisiert, erhöht die Chance, dass eine Lösung nicht nur eingeführt, sondern im Alltag auch wirklich verwendet und getragen wird.

Was ist die ISO 13485?

Die ISO 13485 ist die international anerkannte Norm für Qualitätsmanagementsysteme in der Medizintechnik. Sie definiert Anforderungen, mit denen Unternehmen die Sicherheit und Wirksamkeit von Medizinprodukten gewährleisten – über den gesamten Produktlebenszyklus hinweg. Im Mittelpunkt steht dabei die lückenlose Dokumentation kontrollierter Prozesse sowie ein strukturiertes Risikomanagement.

Das Qualitätsmanagementsystem

Ein Qualitätsmanagementsystem (QMS) beschreibt vereinfacht alle Prozesse eines Unternehmens, die dazu beitragen, Produkte gemäß definierten Anforderungen herzustellen – etwa hinsichtlich Patientensicherheit, medizinischem Nutzen und regulatorischer Konformität. (1)

Das BfArM als zentrale Bundesbehörde für die Zulassung und Überwachung von Medizinprodukten in Deutschland erläutert das Konformitätsverfahren und die Konformitätsbewertung ausführlich. (2)

Prozessbezogener Ansatz

Die ISO 13485 Anforderungen verfolgen einen prozessorientierten Ansatz: Jede Tätigkeit, von der Entwicklungsplanung bis zur Außerbetriebnahme, wird als dokumentierter Prozess mit definierten Eingaben und Ausgaben beschrieben. Typische Prozesse umfassen Risikomanagement, Lieferantenbewertung, Entwicklungsvalidierung und interne Audits. (4)

Besonderheit DiGA

Das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) stellt klar, dass DiGA-Hersteller bei Risikoklasse IIa und IIb ein Qualitätsmanagementsystem etablieren, sowie Risiken durch einen Risikomanagementprozess minimieren müssen, bevor ein Produkt überhaupt für das DiGA-Verzeichnis qualifiziert werden kann. (3)

Auch EU-Verordnungen konkretisieren dieses Thema (5). Das Bundesministerium für Gesundheit hält auf seiner Website fest, dass Hersteller für die CE-Kennzeichnung ein spezielles Qualitätsmanagementsystem etablieren müssen. (6)

Ein Mann nutzt eine digitale Gesundheitsanwendung zu Hause

Die Kapitelstruktur der ISO 13485

Die ISO 13485 Anforderung ist in 8 Kapitel gegliedert, wobei nur die Kapitel 4–8 konkrete Umsetzungsanforderungen enthalten.

Kapitel 1–3: Einführung (keine Handlungspflichten)

Die ersten drei Kapitel sind rein informativ. Kapitel 1 beschreibt den Anwendungsbereich der Norm, Kapitel 2 enthält normative Verweise auf andere Standards, und Kapitel 3 definiert relevante Begriffe und Terminologie.

Kapitel 4 – Qualitätsmanagementsystem

Das Fundament des gesamten Qualitätsmanagementsystems (QMS). Hier werden allgemeine Systemanforderungen und Dokumentationspflichten festgelegt: Welche Prozesse müssen existieren? Wie werden Dokumente und Aufzeichnungen gelenkt (erstellt, freigegeben, archiviert)? Außerdem wird die Erstellung eines QM-Handbuchs und einer Medizinproduktakte gefordert.

Kapitel 5 – Verantwortung der Leitung

Dieses Kapitel richtet sich an das obere Management und fordert dessen aktives Engagement. Konkret: Festlegung einer Qualitätspolitik, Definition von Qualitätszielen, Ernennung eines Managementbeauftragten und die regelmäßige Durchführung von Managementbewertungen (auf Basis messbarer Daten).

Kapitel 6 – Management von Ressourcen

Hier geht es darum, die nötigen Mittel bereitzustellen: qualifiziertes Personal mit nachgewiesenen Kompetenzen, geeignete Infrastruktur (Hardware, Software, IT-Systeme) und eine angemessene Arbeitsumgebung. Für Software-Hersteller steht vor allem die digitale Infrastruktur im Fokus.

Kapitel 7 – Produktrealisierung

Das mit Abstand umfangreichste Kapitel, das den gesamten Entwicklungsprozess abdeckt – von der Planung über Design und Entwicklung bis hin zu Beschaffung, Lieferantenbewertung und Validierung.

Es unterscheidet klar zwischen Verifizierung (wurde das Produkt korrekt umgesetzt?) und Validierung (erfüllt es seinen Zweck?). Für Software-Medizinprodukte wird dieses Kapitel durch die IEC 62304 ergänzt.

Kapitel 8 – Messung, Analyse und Verbesserung

Das abschließende Kapitel behandelt, wie das QMS überwacht und kontinuierlich verbessert wird: interne Audits, Umgang mit nicht konformen Produkten, Kundenfeedback, Korrektur- und Vorbeugemaßnahmen (CAPA) sowie die systematische Datenanalyse.

Der rote Faden durch alle Kapitel ist das Prinzip des Plan-Do-Check-Act (PDCA): Prozesse planen, umsetzen, messen und verbessern – immer mit dem Ziel, sichere und wirksame Medizinprodukte herzustellen.

infografik über die 8 Kapitel der ISO 13485 und deren Bedeutung

Verhältnis zur EU-MDR

Mit Inkrafttreten der europäischen Medizinprodukteverordnung (MDR) hat die Bedeutung des Qualitätsmanagements weiter zugenommen. Auch Hersteller von Medizinprodukten der Risikoklasse I sind nun verpflichtet, ein QMS zu haben. Die ISO 13485 gilt dabei als anerkannter Industriestandard – eine Zertifizierung begründet die Konformitätsvermutung gegenüber benannten Stellen und Aufsichtsbehörden.

Die Zertifizierung nach ISO 13485 ist zwar nicht verpflichtend, zeugt jedoch von der Verpflichtung zur Einhaltung hoher Qualitätsstandards und zur Einhaltung gesetzlicher Vorschriften. In der Praxis erwarten die meisten Auditoren und benannten Stellen eine entsprechende Zertifizierung.

Update: ISO 13485:2016/A11:2021

2021 wurde die Norm durch das Amendment A11:2021 ergänzt. Die Norm dient zur Darstellung der Konformität mit der aktuellen Europäischen Medizinprodukte-Verordnung (MDR) bzw. In-vitro-Diagnostika-Verordnung (IVDR). Das neue Annex ZA enthält ein offizielles Mapping zur MDR, das bei der Lückenanalyse wertvolle Unterstützung bietet.

Für MDR-Produkte sollte daher die EN ISO 13485:2016/A11:2021 als Basis verwendet werden.

Fazit

Die ISO 13485 ist eine internationale Norm, die Anforderungen an ein Qualitätsmanagementsystem für die Medizinproduktebranche definiert. Sie berücksichtigt regulatorische Anforderungen der EU-Medizinprodukteverordnung (MDR) und stellt die Sicherheit und Wirksamkeit von Medizinprodukten über den gesamten Produktlebenszyklus sicher.

QMS nach ISO 13485 Anforderungen

Wer ein QMS nach ISO 13485 aufbauen möchte, sollte auf bewährte Templates zurückgreifen, diese unternehmensspezifisch anpassen und den Aufbau idealerweise durch einen erfahrenen Regulatory-Affairs-Berater begleiten lassen. Alternativ kann die Hersteller- bzw. Inverkehrbringerrolle an einen zertifizierten Dienstleister ausgelagert werden – eine Option, die besonders für Startups ohne eigenes QMS-Know-how interessant ist.

So unterstützt dich Bornholdt Lee

Digitale Gesundheitslösungen müssen regulatorisch und qualitativ auf solidem Fundament stehen. Als selbst nach ISO 13485 zertifiziertes Unternehmen kennen wir die Anforderungen nicht nur aus der Theorie, sondern leben sie täglich in der eigenen Praxis.

Wir helfen dir, alle relevanten Normen und Richtlinien – ISO 13485, ISO 14971 und die Vorgaben der Medical Device Regulation (MDR) – von Anfang an in deine Produktentwicklung zu integrieren. Kein Nachrüsten, kein regulatorisches Stückwerk, sondern ein solides Fundament von Tag eins an.

Spezialisiert auf DiGA, SaMD und digitale Therapielösungen begleiten wir dich von der initialen Regulatorikberatung über die Konzeption bis zur Zertifizierung – alles aus einer Hand.

Arzt und Patient im Gespräch über eine DiGA

Weitere relevante Normen

Ergänzend zur ISO 13485 sind für Software- Medizinprodukte insbesondere folgende Normen relevant:

IEC 62304 – Software-Lebenszyklus-Prozesse
ISO 14971 – Risikomanagement

IEC 62366 – Gebrauchstauglichkeit
IEC 82304 – Gesundheitssoftware (Standalone)

Einige Referenzen von Projekten, die wir erfolgreich zielgruppengerecht umgesetzt haben, findet ihr hier:

Dein Experte

Malte Bornholdt Experte für Digital Health

Malte BornholdtDigital-Health-Experte Bornholdt Lee GmbH

Product Owner, IT-Experte, Digital-Health-Spezialist mit über 20 Jahren IT-Projekterfahrung in der Konzeption und Umsetzung digitaler Gesundheitsanwendungen.

Gespräch buchen LinkedIn

FAQs

Die ISO 13485 selbst ist keine gesetzliche Pflicht, sondern ein freiwilliger Standard. Wer jedoch Medizinprodukte in der EU in Verkehr bringen möchte, muss nach der MDR ein Qualitätsmanagementsystem nachweisen.

In der Praxis erwarten benannte Stellen und Aufsichtsbehörden nahezu ausnahmslos eine ISO 13485-Zertifizierung – sie ist damit faktisch unverzichtbar.

Beide Normen regeln Qualitätsmanagementsysteme, richten sich aber an unterschiedliche Zielgruppen.

Die ISO 9001 ist ein branchenübergreifender Standard mit Fokus auf Kundenzufriedenheit und kontinuierliche Verbesserung.

Die ISO 13485 ist speziell auf Medizinprodukte ausgerichtet und legt zusätzlich besonderen Wert auf Patientensicherheit, regulatorische Konformität und die lückenlose Dokumentation über den gesamten Produktlebenszyklus.

Eine ISO 9001-Zertifizierung ersetzt die ISO 13485 in keinem relevanten Markt.

Ja. Die Norm gilt für alle Medizinprodukte, unabhängig davon, ob es sich um Hardware oder Software handelt. Allerdings lassen sich einzelne Anforderungen, die für Software nicht zutreffen (z. B. Sterilisation oder physische Kontaminationskontrolle), als „nicht anwendbar“ deklarieren, sofern dies begründet dokumentiert wird.

Ergänzend zur ISO 13485 ist für Software-Medizinprodukte die IEC 62304 einzuhalten, die den Software-Entwicklungslebenszyklus im Detail regelt.

Das hängt stark von der Ausgangssituation, der Unternehmensgröße und der Produktkomplexität ab. Erfahrungsgemäß sollten Start-ups und kleine Unternehmen mit einem Zeitraum von 6 bis 18 Monaten rechnen – von der ersten Prozessdokumentation bis zur erfolgreichen Zertifizierung durch eine benannte Stelle.

Der Einsatz vorgefertigter Templates und die Begleitung durch einen erfahrenen Berater können diesen Zeitraum deutlich verkürzen.

Die Erstzertifizierung erfolgt durch ein externes Audit einer akkreditierten Zertifizierungsstelle (z. B. TÜV, DQS), die prüft, ob das QMS den Normforderungen entspricht. Anschließend finden jährliche Überwachungsaudits statt, um die fortlaufende Konformität sicherzustellen. Alle drei Jahre ist zudem ein vollständiges Rezertifizierungsaudit erforderlich. Parallel dazu ist das Unternehmen verpflichtet, regelmäßig interne Audits selbst durchzuführen.