Glossar · Tiefenausbau
SaMD
Software as Medical Device — eigenständige Software, die als Medizinprodukt qualifiziert wird, ohne Teil eines physischen Geräts zu sein.
Auf einen Blick
- 01Software as Medical Device, kurz SaMD, ist eigenständige Software, die einen medizinischen Zweck verfolgt, ohne Teil eines physischen Geräts zu sein. Beispiele sind Diagnose-Apps, KI-Bildanalyse und Therapieplanungs-Tools.
- 02Die Klassifizierung läuft über MDR Regel 11 in Anhang VIII. Software, die Informationen für diagnostische oder therapeutische Entscheidungen liefert, ist mindestens Klasse IIa. Bei lebensbedrohlichen Indikationen Klasse III.
- 03Für KI-basierte SaMD greifen MDR und EU AI Act parallel. Anbieter müssen beide Konformitätsbewertungen koordinieren. Synergien sind möglich, aber nicht automatisch.
Definition
Software as Medical Device, kurz SaMD, bezeichnet eigenständige Software, die einen medizinischen Zweck verfolgt, ohne Teil eines physischen Geräts zu sein. Die International Medical Device Regulators Forum (IMDRF) hat den Begriff geprägt, die MDR hat ihn übernommen und unter Anhang VIII Regel 11 reguliert.
Typische Beispiele aus dem KI-Bereich sind Diagnose-Apps, KI-Bildanalyse für Radiologie und Pathologie, Therapieplanungs-Tools, CDSS-Systeme und Triage-Assistenten. Software für reine Verwaltung, Terminbuchung oder Dokumentation fällt nicht unter die SaMD-Definition.
Abgrenzung zur Praxisverwaltungs-Software
Praxisverwaltungs-Software (PVS) ist im Grundzustand kein Medizinprodukt. Sie verwaltet Termine, Stammdaten, Abrechnungen und Dokumentation. Sobald ein KI-Modul innerhalb der PVS aber Informationen liefert, die in diagnostische oder therapeutische Entscheidungen einfließen, kippt die regulatorische Einordnung dieses Moduls. Das KI-Modul wird SaMD, auch wenn die umgebende PVS keine ist.
Der prominenteste Anwendungsfall ist der KI-gestützte ICD-Vorschlag in der PVS. Wenn das Modul Diagnosecodes auf Basis des Anamnesegesprächs vorschlägt, liefert es Information für eine diagnostische Entscheidung. Das genügt für Regel 11 und damit für die SaMD-Eigenschaft.
Klassifizierung nach Regel 11
MDR Anhang VIII Regel 11 ist die zentrale Klassifizierungsregel für Software. Sie staffelt nach Risiko der Information, die die Software liefert, gemessen am möglichen Patientenschaden.
Klasse I greift für Software ohne medizinischen Zweck oder mit reinem Verwaltungszweck.
Klasse IIa greift für Software, deren Information für diagnostische oder therapeutische Zwecke verwendet wird und deren falsche oder fehlende Information schwerwiegende Folgen für die Gesundheit haben kann, aber nicht lebensbedrohlich ist. ICD-Vorschlag, Befundungs-Assistenz und Therapieplanungs-Software fallen in der Regel hierher.
Klasse IIb greift, wenn die falsche oder fehlende Information lebensbedrohliche Folgen haben kann oder eine schwere Verschlechterung des Gesundheitszustands. Beispiele sind onkologische Therapieempfehlungen oder kritische Notfallpriorisierung.
Klasse III greift bei Software, die zum Tod oder zu einer irreversiblen Verschlechterung des Gesundheitszustands führen kann. Das ist in der Praxis selten, kann aber auf vollautonome Triage-Systeme oder bestimmte radiologische Hochrisiko-Anwendungen zutreffen.
Anbieterpflichten bei SaMD
Wer SaMD in Verkehr bringt, durchläuft die Konformitätsbewertung nach MDR. Das umfasst ein Qualitätsmanagementsystem nach ISO 13485, eine technische Dokumentation nach MDR Anhang II und III, eine klinische Bewertung nach Art. 61 mit Nachweisen zur klinischen Performance, eine Konformitätsbewertung mit Benannter Stelle ab Klasse IIa sowie Post-Market Surveillance.
Für KI-SaMD greift der EU AI Act parallel. Risikomanagement nach Art. 9, Datenqualität nach Art. 10, technische Dokumentation nach Art. 11 und Anhang IV, Aufzeichnungspflichten, Transparenz, Vorbereitung der menschlichen Aufsicht und Cybersicherheit. Die Konformitätsbewertungen für MDR und AI Act laufen formal getrennt, lassen sich aber operativ synergetisch aufsetzen.
Eigenentwicklung im Krankenhaus
Art. 5 Abs. 5 MDR erlaubt die In-house-Herstellung von Medizinprodukten in Gesundheitseinrichtungen unter engen Voraussetzungen. Wer eine eigene KI im Krankenhaus entwickelt und ausschließlich intern einsetzt, kann unter Umständen den vollen Anbieterpflichtenkanon vermeiden. Die Anforderungen sind aber substanziell. Ein Qualitätsmanagementsystem ist auch hier verpflichtend, die Dokumentation der klinischen Wirkung muss vorliegen, und die Auseinandersetzung mit der Aufsichtsbehörde ist nicht zu vermeiden.
Wer den engen Rahmen von Art. 5 Abs. 5 verlässt, etwa durch Weitergabe der Software an externe Einrichtungen oder durch Vermarktung, wird regulärer Hersteller mit allen Pflichten. Die Schwelle ist tiefer, als viele IT-Abteilungen annehmen.
Konsequenzen für Betreiber
Betreiber von SaMD sind in der Regel auch Betreiber von Hochrisiko-KI nach AI Act, weil die SaMD-Eigenschaft die Hochrisiko-Einstufung über Anhang I auslöst. Damit greifen die sechs Betreiberpflichten aus Art. 26, die DSFA-Pflicht und die Aufbewahrung der Logs. Eine SaMD-Einstufung beim Anbieter ist immer auch ein Compliance-Signal beim Betreiber.
Häufige Fragen
Ist ChatGPT ein SaMD, wenn ein Arzt es zur Diagnoseunterstützung nutzt?
ChatGPT ist nicht als SaMD in Verkehr gebracht. Der Anbieter beschreibt es nicht als Medizinprodukt. Wer es als Arzt zur Diagnoseunterstützung einsetzt, verändert die Zweckbestimmung und kann nach Art. 25 EU AI Act selbst zum Anbieter werden. Das löst die volle Anbieterhaftung aus, faktisch ein nicht zertifiziertes Medizinprodukt.
Welche Konsequenzen hat die Klassifizierung als SaMD?
Anbieter müssen ein Qualitätsmanagementsystem nach ISO 13485 führen, eine technische Dokumentation nach MDR Anhang II erstellen, eine klinische Bewertung nach Art. 61 durchführen, eine Konformitätsbewertung mit Benannter Stelle durchlaufen und Post-Market Surveillance betreiben. Für KI-SaMD kommt der AI Act mit einer eigenen Konformitätsbewertung hinzu.
Was ist der Unterschied zwischen Klasse IIa und Klasse III?
Klasse IIa ist Software, deren Information schwerwiegende Verschlechterung des Gesundheitszustands oder einen chirurgischen Eingriff verursachen könnte. Klasse III ist Software, deren Information zum Tod oder zu einer irreversiblen Verschlechterung des Gesundheitszustands führen kann. Beispiele für Klasse III sind KI-gestützte Triage in der Notaufnahme oder onkologische Therapieempfehlungen.
Können Betreiber selbst SaMD entwickeln?
Nicht ohne die Anbieterpflichten zu übernehmen. Eine Eigenentwicklung im Krankenhaus oder MVZ ist möglich, gilt aber als In-house-Herstellung nach Art. 5 Abs. 5 MDR mit besonderen Anforderungen. Wer den dort definierten Rahmen verlässt, ist regulärer Hersteller und muss CE-Kennzeichnung und Konformitätsbewertung durchlaufen.