Digitale Gesundheitsanwendungen, kurz DiGA, sind längst fester Bestandteil der modernen Gesundheitsversorgung. Viele Unternehmen entwickeln Apps oder webbasierte Anwendungen für Patienten, Ärzte oder andere Leistungserbringer. Rechtlich stellt sich dabei jedoch früh eine zentrale Frage: Handelt es sich nur um Gesundheitssoftware oder bereits um ein Medizinprodukt? Genau diese Einordnung entscheidet über regulatorische Pflichten, Marktzugang und Erstattungsfähigkeit.
DiGA als Medizinprodukte
DiGA, meist Apps oder Web-Software, unterstützen Versicherte bei der Erkennung, Überwachung, Behandlung oder Linderung von Krankheiten. Damit eine Anwendung als DiGA in Betracht kommt, muss sie nicht nur digital funktionieren, sondern auch ein Medizinprodukt sein.
§ 33a Abs. 1 SGB V beschreibt DiGA als Medizinprodukte, deren Hauptfunktion wesentlich auf digitalen Technologien beruht und die bestimmte medizinische Zwecke unterstützen. Nur geprüfte DiGA dürfen ärztlich verordnet und von gesetzlichen Krankenkassen erstattet werden. Für Hersteller ist die Einordnung daher nicht nur juristisch, sondern auch wirtschaftlich von erheblicher Bedeutung.
Wann wird Software zum Medizinprodukt?
Nicht jede Gesundheits-App ist automatisch ein Medizinprodukt. Entscheidend ist die vom Hersteller festgelegte Zweckbestimmung. Die Frage, ob eine Anwendung ein Medizinprodukt ist, ist dabei keine bloße Formalität. Sie entscheidet über den gesamten regulatorischen Weg. Wer eine Software zu Unrecht nicht als Medizinprodukt behandelt, setzt sich erheblichen rechtlichen Risiken aus. Umgekehrt kann auch eine zu strenge Einordnung unnötige Kosten und Verfahren verursachen. Für Entwickler und Hersteller digitaler Gesundheitsanwendungen ist es daher entscheidend, die regulatorische Strategie früh festzulegen. Das betrifft die Zweckbestimmung, die Klassifizierung, die technische Dokumentation, den Datenschutz und, falls KI eingesetzt wird, auch die Anforderungen des AI-Act.
Nach Art. 2 Nr. 1 MDR gilt auch Software als Medizinprodukt, wenn sie für Menschen bestimmt ist und einem medizinischen Zweck dient, etwa der Diagnose, Überwachung, Prognose, Behandlung oder Linderung einer Krankheit. Reine Fitness- oder Wellness-Apps fallen demgegenüber in der Regel nicht darunter. Sie dienen meist der allgemeinen Gesundheitsförderung oder Prävention, nicht aber einem konkreten medizinischen Zweck.
Typische DiGA sind häufig Standalone-Softwarelösungen, etwa Apps zur Therapieunterstützung. Möglich sind aber auch andere Ausgestaltungen, etwa als Steuerungssoftware, als eingebettete Software in einem Gerät oder als Zubehör zu einem Medizinprodukt. Diese Unterscheidung ist rechtlich relevant, weil davon die weitere Klassifizierung und das Konformitätsbewertungsverfahren abhängen.
Risikoklassifizierung von Software für die Medizin
Für Software ist im Rahmen der Verordnung (EU) 2017/745 über Medizinprodukte (MDR) vor allem Regel 11 des Anhangs VIII von zentraler Bedeutung. Sie bestimmt, in welche Risikoklasse eine Software fällt.
Software, die Informationen für diagnostische oder therapeutische Entscheidungen bereitstellt, ist grundsätzlich mindestens der Klasse IIa zuzuordnen. Steigen die möglichen Risiken für Patienten, etwa bis hin zu schwerwiegenden gesundheitlichen Verschlechterungen oder lebensgefährlichen Situationen, kommen auch die Klassen IIb oder III in Betracht. Andere Software kann in Klasse I fallen, etwa wenn sie nur unterstützende oder allgemein präventive Hinweise gibt und nicht für konkrete medizinische Entscheidungen bestimmt ist.
Wird Software dazu verwendet, ein anderes Medizinprodukt zu steuern oder dessen Anwendung zu beeinflussen, übernimmt sie grundsätzlich dessen Risikoklasse. Greifen mehrere Klassifizierungsregeln gleichzeitig, ist die strengste maßgeblich.
Gerade bei Software zeigt sich in der Praxis immer wieder, dass die Abgrenzung schwierig ist. Fehler in der Klassifizierung können erhebliche Folgen haben, etwa unzutreffende Zulassungsverfahren, Verzögerungen beim Markteintritt oder aufsichtsrechtliche Maßnahmen.
KI in DiGA: Zusätzliche Pflichten durch den AI-Act
Noch komplexer wird die Rechtslage, wenn Künstliche Intelligenz eingesetzt wird. Dann kann neben der MDR auch der AI-Act relevant werden.
Ob eine Anwendung unter den AI-Act fällt, hängt nicht allein vom medizinischen Zweck ab, sondern davon, ob überhaupt ein KI-System im regulatorischen Sinn vorliegt. Maßgeblich sind insbesondere autonome Funktionsweisen, Anpassungsfähigkeit und die Erzeugung von Vorhersagen, Empfehlungen oder Entscheidungen.
Für KI-gestützte Medizinprodukte stellt sich dann die weitere Frage, ob es sich um ein Hochrisiko-KI-System handelt. Das ist regelmäßig dann der Fall, wenn das KI-System selbst ein Medizinprodukt oder Sicherheitsbauteil eines Medizinprodukts ist und dieses Produkt einer Konformitätsbewertung durch eine benannte Stelle unterliegt. Bei DiGA der Klasse IIa oder höher ist das häufig der Fall.
Für Hersteller bedeutet das: Neben den MDR-Anforderungen können zusätzlich umfassende Pflichten aus dem AI-Act greifen, etwa zu Risikomanagement, Daten-Governance, Transparenz und Qualitätssicherung. Die regulatorischen Anforderungen laufen dann parallel und müssen gemeinsam betrachtet werden.
DiGAV und Anforderungen an Datenschutz und Datensicherheit
Selbst wenn eine Software als DiGA einzuordnen ist, endet die regulatorische Prüfung nicht mit der MDR. Hinzu kommen die Anforderungen der Digitale-Gesundheitsanwendungen-Verordnung, kurz DiGAV.
Diese stellt insbesondere Anforderungen an Datenschutz und Datensicherheit. Hersteller müssen nachweisen, dass ihre Anwendung sensible Gesundheitsdaten nach dem Stand der Technik schützt. Gerade im Gesundheitsbereich ist das von besonderer Bedeutung, weil hier regelmäßig besondere Kategorien personenbezogener Daten verarbeitet werden.
In der Praxis spielen dabei technische Sicherheitsstandards, Dokumentationspflichten und Nachweise gegenüber Behörden eine zentrale Rolle. Wer diese Anforderungen zu spät berücksichtigt, riskiert Verzögerungen im Zulassungsprozess oder Probleme bei der Aufnahme in das DiGA-Verzeichnis.
Wie WINHELLER unterstützen kann
Die Entwicklung und Vermarktung digitaler Gesundheitsanwendungen erfordert nicht nur technisches Know-how, sondern auch eine rechtssichere regulatorische Einordnung. WINHELLER unterstützt Hersteller, Entwickler und Anbieter bei der Qualifizierung und Klassifizierung von Software nach MDR, bei der Bewertung von KI-Komponenten unter dem AI-Act sowie bei den Anforderungen aus DiGAV, Datenschutzrecht und IT-Sicherheit. Kommen Sie gern mit Ihren Fragen auf uns zu!
