Compliance à trois – Wenn SaMD, MDR und C5 zusammen arbeiten müssen

Ein Drama in drei Akten – mit Cloud, Klassifizierung und Kontrollinstanzen.

In der Welt der MedTech-Compliance gibt es ein Liebesdreieck der besonderen Art – und nein, wir sprechen nicht von der Dreiecksbeziehung zwischen ärztlichem Personal, Entwicklungsteams und der Kaffeemaschine im Pausenraum. Die Rede ist von SaMD, MDR und C5. Drei Abkürzungen, die in Meetings regelmäßig für betretenes Schweigen sorgen – und in Kombination für echten Diskussionsstoff sorgen.

Doch genau dieses Trio müssen MedTech-Unternehmen heute orchestrieren, wenn sie mit ihren cloudbasierten Softwarelösungen nicht nur die Patientenversorgung revolutionieren, sondern auch die regulatorischen Hürden nehmen wollen.

Akt I: SaMD – Wenn Software plötzlich Medizin macht

„Stellt euch vor, eure App könnte Diagnosen stellen!“ Das klingt cool, oder? Willkommen in der Welt von „Software as a Medical Device“ (SaMD). Doch sobald eure Anwendung mehr kann, als nur den Puls aufzuzeichnen oder Erinnerungen zu schicken – zum Beispiel Symptome zu analysieren oder Therapievorschläge zu machen –, ist Schluss mit „nice to have“. Dann wird es ernst: Ihr betretet das Regulierungsgebiet.

Und das bedeutet: MDR ahoi.

Akt II: MDR – Die Regulatorin mit Fragenkatalog deluxe

Die Medical Device Regulation (MDR) ist die europäische Ordnungshüterin in Sachen Patientensicherheit. Sie fragt nicht nur: „Funktioniert das?“ – sondern vor allem: „Ist das sicher, nachvollziehbar und dokumentiert?“ Und das in epischer Breite.

Für SaMD bedeutet das unter anderem:

• Klinische Bewertung und Nutzen-Risiko-Abwägung.
• Risikomanagement über den gesamten Software-Lifecycle.
• Validierte Usability (ja, auch das UI muss mitspielen).
• Technische Dokumentation (Spoiler: kein Wochenendprojekt).
• Und: ein Verständnis für Cybersicherheit – denn kein Produkt ist sicher, wenn es in der Cloud lebt und keiner weiß, wer reinschaut.

Und hier wird’s spannend. Denn mit der Cloud kommt ein neuer Akteur auf die Bühne: das BSI – mit seinem C5-Katalog.

Akt III: C5 – Die Cloud will auch mitreden (und zwar laut)

C5, das klingt erstmal wie ein passives Bauteil aus einem Schaltkreis. Tatsächlich ist es aber der Cloud Computing Compliance Criteria Catalogue des BSI und damit eine der wichtigsten Referenzen, wenn’s um Cloud-Sicherheit in Deutschland geht.

Kurz gesagt: C5 stellt sicher, dass Cloud-Anbieter (und ihre User) mehr machen als nur Backups. Es geht um:

• Gesicherte Speicherung und nachvollziehbare Datenflüsse,
• strenge Zugriffskontrollen,
• ein umfassendes Logging und Monitoring sowie
• Vorfallmanagement, Notfallpläne und physische Sicherheit.

C5 ist kein MedTech-Standard, aber ein Muss, wenn Gesundheitsdaten verarbeitet werden. Und davon hat SaMD bekanntlich nicht gerade wenig.

Das Problem: Compliance im Silo = Drama mit Ansage

Viele MedTech-Teams arbeiten noch getrennt: Regulatory managt die MDR, die IT kümmert sich um die Cloud – und am Ende fragt sich das Projektteam, warum die Benannte Stelle Schnappatmung bekommt.

Dabei gilt:

• C5 allein ist keine MDR-Zulassung.
• MDR ohne IT-Sicherheit ist keine Patientensicherheit.

SaMD in der Cloud funktioniert nur, wenn MDR-Compliance und C5-Konformität von Anfang an zusammen gedacht werden – nicht erst, wenn der Launch kurz bevorsteht.

Die Lösung: Integration statt Nebeneinander

Wer cloud-basierte Medizinprodukte baut, braucht mehr als ein paar Cross-Links im Dossier. Was es braucht:

• Cloud-Anbieter nach C5-Kriterien auswählen. Zertifiziert ist besser, auditierbar ein Muss.
• Technische Dokumentation erweitern, sodass auch Sicherheitskonzepte, Logging-Strategien und Zugriffspfade beschrieben sind.
• IT-Security in die Risikoanalyse integrieren. Nicht als Fußnote, sondern als echter Risikofaktor.
• Crossfunktionales Arbeiten fördern. IT, QA, Regulatory und Produktentwicklung müssen sich verstehen – idealerweise regelmäßig bei Kaffee und Konzeptpapier.

Bonus-Insight: C5 als Business-Booster

C5 ist mehr als nur ein Compliance-Stempel. In einer Welt voller Cyber-Attacken, Datenschutzklagen und IT-Unsicherheiten ist gelebte Cloud-Sicherheit ein echter Wettbewerbsvorteil.

Wer nachweisen kann, dass er sensible Gesundheitsdaten strukturiert, sicher und transparent verarbeitet, punktet damit nicht nur bei Auditierenden, sondern auch bei:

• Krankenhäusern,
• Krankenkassen,
• Patientinnen und Patienten und
• Investoren.

Denn Vertrauen wird nicht behauptet – es wird dokumentiert.

Fazit: Compliance à trois – keine Liebelei, sondern eine strategische Ehe

Ja, die Kombination aus SaMD + MDR + C5 ist anspruchsvoll. Aber sie ist auch die Zukunft: Cloudfähig. Regulatorisch sattelfest. Sicher. Marktfähig. Wer das als Team denkt, statt in Silos zu arbeiten, macht nicht nur die Benannte Stelle glücklich – sondern auch die User.

Denn wie in jeder guten Beziehung gilt: Kommunikation, Vertrauen – und klare Verantwortlichkeiten.