CRA vs. MDR: Compliance-Leitfaden für medizinnahe Produkte und Digital Health

Die Grenze zwischen Verbraucher-Wellness-Produkten und regulierten Medizinprodukten ist nicht immer klar. Einige vernetzte Gesundheitsprodukte fallen unter den CRA, einige unter MDR/IVDR und einige unter beide. Das Verständnis, welche Vorschriften gelten, ist entscheidend, um sowohl Über-Compliance als auch Nicht-Compliance zu vermeiden.

Dieser Leitfaden klärt die CRA-MDR-Grenze für Hersteller von gesundheitsbezogenen vernetzten Produkten.

Die CRA-Medizinprodukte-Ausnahme

Was der CRA sagt

CRA Artikel 2(2) nimmt Produkte explizit aus, die bereits von bestimmten Verordnungen abgedeckt werden:

"Diese Verordnung gilt nicht für Produkte mit digitalen Elementen, die [...] Medizinprodukte gemäß Verordnung (EU) 2017/745 [MDR] oder Verordnung (EU) 2017/746 [IVDR] sind..."

Die Ausnahme ist klar: Wenn ein Produkt als Medizinprodukt oder IVD unter MDR/IVDR klassifiziert ist, gilt der CRA nicht dafür.

Warum die Ausnahme existiert

MDR und IVDR enthalten bereits Cybersicherheitsanforderungen:

• Anhang I Abschnitt 17.2 (MDR): Software-Lebenszyklus und IT-Sicherheit
• Anhang I Abschnitt 17.4 (MDR): Sicherheit vernetzter Geräte
• MDCG-Leitfaden zur Cybersicherheit (MDCG 2019-16)

Die EU hat Doppelregulierung vermieden, indem MDR/IVDR-Produkte vom CRA ausgenommen wurden.

Produktklassifizierung: Die Schlüsselfrage

Ist es ein Medizinprodukt?

Die kritische Frage für jedes gesundheitsbezogene Produkt:

Medizinprodukt (MDR Artikel 2(1)):

"jedes Instrument, Apparat, Gerät, Software, Implantat, Reagenz, Material oder sonstiger Gegenstand, das/der vom Hersteller zur Verwendung [...] für einen oder mehrere der folgenden spezifischen medizinischen Zwecke bestimmt ist:

• Diagnose, Verhütung, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten
• Diagnose, Überwachung, Behandlung, Linderung oder Kompensation von Verletzungen oder Behinderungen
• [...] "

Schlüsselfaktoren:

• Zweckbestimmung (was der Hersteller behauptet)
• Medizinische Behauptung (Diagnose, Behandlung, Überwachung von Krankheit/Zustand)
• Zielpopulation (Patienten vs. allgemeines Wellness)

Klassifizierungsbeispiele

PRODUKTKLASSIFIZIERUNGSBEISPIELE

MEDIZINPRODUKT (MDR gilt, CRA ausgenommen):
✓ Kontinuierlicher Glukosemonitor (Diabetes-Management)
✓ Intelligente Insulinpumpe
✓ Herzrhythmus-Überwachungs-App
✓ Digitale Therapie für Depression
✓ KI-Diagnosesoftware
✓ Vernetzter Blutdruckmessgerät (klinische Verwendung)
✓ Pulsoximeter (medizinische Klasse)

WELLNESS-PRODUKT (CRA gilt, MDR nicht):
✓ Fitness-Tracker (Schrittzählung, allgemeine Aktivität)
✓ Schlafqualitätsmonitor (Lifestyle, nicht-diagnostisch)
✓ Meditations-/Entspannungs-App
✓ Allgemeines Wellness-Wearable
✓ Intelligente Waage (keine medizinischen Behauptungen)
✓ Sport-Herzfrequenzmonitor

GRENZWERTIG (Klassifizierung entscheidet):
? Blutdruckmessgerät (abhängig von Behauptungen)
? SpO2-Messgerät (abhängig von Zweckbestimmung)
? Stressüberwachungsgerät
? Schlafapnoe-Screening (Screening vs. Diagnose)
? Periodenverfolgungs-App (Wellness vs. Fertilitätsbehandlung)

Die Grenze verstehen

Zweckbestimmung bestimmt Klassifizierung

Die gleiche Hardware kann entweder ein Medizinprodukt oder ein Wellness-Produkt sein, basierend auf der Zweckbestimmung:

GLEICHE TECHNOLOGIE, UNTERSCHIEDLICHE KLASSIFIZIERUNG

BEISPIEL: Herzfrequenzmonitor

ALS WELLNESS-PRODUKT (CRA):
"Verfolgen Sie Ihre Fitnessziele und überwachen
Sie die Herzfrequenz beim Training"
→ Keine medizinische Behauptung
→ Allgemeines Wellness
→ CRA gilt

ALS MEDIZINPRODUKT (MDR):
"Überwachen Sie den Herzrhythmus und erkennen
Sie Arrhythmien bei Patienten mit Herzerkrankungen"
→ Medizinische Behauptung (Diagnose, Überwachung)
→ Patientenpopulation
→ MDR gilt

Vorsicht bei Behauptungen

Warnung: Sie können MDR nicht vermeiden, indem Sie einfach keine medizinischen Behauptungen aufstellen, wenn das Produkt offensichtlich medizinischer Natur ist.

MDCG 2019-11 bietet Leitlinien zu Grenzfällen und Klassifizierung. Wenn Ihr Produkt:

• Einen offensichtlichen medizinischen Zweck hat
• Neben Medizinprodukten vermarktet wird
• Von Gesundheitsdienstleistern für die Patientenversorgung gekauft wird
• Funktionen hat, die nur für medizinische Verwendung relevant sind

...kann es als Medizinprodukt klassifiziert werden, unabhängig von Marketingaussagen.

Hybrid-Situationen

Medizinprodukt + Nicht-medizinische Komponenten

Einige Systeme umfassen sowohl medizinische als auch nicht-medizinische Komponenten:

HYBRID-SYSTEM-BEISPIEL

TELEMEDIZIN-PLATTFORM:
┌─────────────────────────────────────────┐
│ Patientenüberwachungssoftware (MDR)     │
│ - EKG-Analysealgorithmus                │
│ - Diagnostische Entscheidungshilfe      │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Kommunikationsinfrastruktur (CRA?)      │
│ - Videokonferenzen                      │
│ - Datenübertragung                      │
│ - Patientenportal                       │
└─────────────────────────────────────────┘
            │
            ▼
┌─────────────────────────────────────────┐
│ Verbraucher-Wearable (CRA)              │
│ - Fitness-Tracking                      │
│ - Wellness-Metriken                     │
└─────────────────────────────────────────┘

Ansatz:

• Medizinprodukt-Komponenten klar trennen
• Entsprechende Verordnung auf jede anwenden
• Grenzen und Schnittstellen dokumentieren
• Systemweite Sicherheit berücksichtigen

Software als Medizinprodukt (SaMD)

Software kann unabhängig von Hardware ein Medizinprodukt sein:

SaMD-KLASSIFIZIERUNG

KLASSE I (Niedriges Risiko):
- Verwaltungssoftware
- Einfache Überwachung

KLASSE IIa (Mittel-niedrig):
- Behandlungsvorschläge
- Überwachung nicht-vitaler Funktionen

KLASSE IIb (Mittel-hoch):
- Diagnoseunterstützung
- Vitalfunktionsüberwachung

KLASSE III (Hoch):
- Diagnostische Entscheidungen
- Lebenskritische Funktionen

Wenn Software SaMD ist: MDR gilt, CRA nicht Wenn Software Wellness ist: CRA gilt

Anforderungsvergleich

Cybersicherheitsanforderungen: MDR vs. CRA

Beide Verordnungen erfordern Cybersicherheit mit erheblicher Überschneidung:

Wesentliche Unterschiede

MDR-CYBERSICHERHEIT vs. CRA

MDR-SPEZIFISCH:
- Teil breiterer Sicherheits-/Leistungsanforderungen
- Bewertung durch Benannte Stelle (Klasse IIa+)
- Marktüberwachung für Sicherheit
- Klinische Bewertungsanforderungen
- UDI (Eindeutige Produktidentifizierung)

CRA-SPEZIFISCH:
- Dedizierte Cybersicherheitsverordnung
- SBOM explizit erforderlich
- ENISA-Schwachstellenmeldung
- Harmonisierte Normenpfad
- Wichtig/Kritisch-Klassifizierung

ÜBERSCHNEIDUNG:
- Security-by-Design
- Schwachstellenmanagement
- Update-Mechanismen
- Risikobewertung
- Dokumentationsanforderungen

Leitfaden für Produktkategorien

Fitness-Tracker und Wearables

FITNESS-WEARABLES

TYPISCHE FUNKTIONEN:
- Schrittzählung
- Herzfrequenz (Trainingszonen)
- Schlafverfolgung (Dauer, Phasen)
- Aktivitätsklassifizierung
- Kalorienabschätzung

KLASSIFIZIERUNG: Wellness (CRA gilt)

VERMEIDEN SIE ÜBERGANG ZU MDR:
✗ "Unregelmäßige Herzrhythmusmuster erkennen"
✗ "Symptome von Schlafstörungen überwachen"
✗ "Vitalzeichen für Gesundheitszustände verfolgen"
✗ Irgendetwas "diagnostizieren"

Intelligente Waagen

INTELLIGENTE WAAGEN

WELLNESS (CRA):
- Gewichtsverfolgung
- BMI-Berechnung
- Körperzusammensetzungsabschätzung
- Zielverfolgung

MEDIZINISCH (MDR):
- Für Patientenüberwachung bestimmt
- Klinisches Gewichtsmanagement
- Mit Behandlungsentscheidungen verknüpft
- Integration mit Gesundheitsdienstleistern

Blutdruckmessgeräte

BLUTDRUCKMESSGERÄTE

Diese Kategorie ist typischerweise medizinisch:

DIE MEISTEN SIND MDR:
- Blutdruckmessung ist inhärent klinisch
- Selbst Verbraucher-Blutdruckmessgeräte sind meist Klasse IIa
- Sehr schwierig, "nur Wellness" zu behaupten

AUSNAHME KÖNNTE SEIN:
- Reine Trendverfolgung ohne Messungen
- Keine numerischen Blutdruckwerte
- Klar als Wellness positioniert

EMPFEHLUNG:
- Gehen Sie davon aus, dass MDR für Blutdruckmessgeräte gilt
- Konsultieren Sie Benannte Stelle bei Unsicherheit

Schlafüberwachungsgeräte

SCHLAFÜBERWACHUNG

WELLNESS (CRA):
"Verstehen Sie Ihre Schlafmuster für
bessere Lifestyle-Entscheidungen"
- Schlafdauerverfolgung
- Schlafphasenschätzung
- Umgebungsüberwachung (Temp., Geräusche)
- Allgemeiner Schlafqualitätswert

MEDIZINISCH (MDR):
"Screening oder Überwachung von Schlafapnoe"
- SpO2-Überwachung während des Schlafs
- Apnoe/Hypopnoe-Erkennung
- Schlafstörungs-Screening
- Verschriebene Schlafüberwachung

Gesundheits-Apps

GESUNDHEITS-APPS

WELLNESS (CRA):
- Meditation und Entspannung
- Allgemeines Fitness-Tracking
- Ernährungsprotokollierung
- Mentales Wellness (nicht-therapeutisch)
- Symptomtagebücher (informativ)

MEDIZINISCH (MDR):
- Digitale Therapeutika
- Diagnoseunterstützung
- Behandlungsmanagement
- Klinische Entscheidungsunterstützung
- Verschriebene Apps

Telemedizin-Ausrüstung

TELEMEDIZIN-AUSRÜSTUNG

VIDEOKONFERENZEN (Meist CRA):
- Allgemeine Kommunikation
- Nicht-diagnostisches Video
- Administrative Terminplanung

DIAGNOSTISCHE AUSRÜSTUNG (Meist MDR):
- Fernuntersuchungswerkzeuge
- Diagnostische Bildaufnahme
- Patientenüberwachungsgeräte
- Klinische Messgeräte

Entscheidungsrahmen

Schrittweise Klassifizierung

KLASSIFIZIERUNGS-ENTSCHEIDUNGSBAUM

START: Hat das Produkt digitale Elemente?
│
├─ NEIN → Weder CRA noch MDR
│
└─ JA → Beabsichtigt Hersteller medizinischen Zweck?
    │
    ├─ JA → Ist es unter MDR/IVDR reguliert?
    │   │
    │   ├─ JA → MDR/IVDR gilt, CRA AUSGENOMMEN
    │   │
    │   └─ UNKLAR → Zuständige Behörde/NB konsultieren
    │
    └─ NEIN → Gibt es offensichtliche medizinische Verwendung?
        │
        ├─ JA → Risiko der Umklassifizierung
        │        MDR trotzdem berücksichtigen
        │
        └─ NEIN → CRA gilt
                  Wellness-Produkt

Wann Expertenrat einholen

Suchen Sie Expertenrat bei:

• Produktfunktion ähnelt Medizinprodukten
• Unsicherheit über Zweckbestimmungs-Positionierung
• Funktionen könnten medizinische Behauptungen unterstützen
• Gesundheitsdienstleister könnten das Produkt verwenden
• Grenzfall zwischen Wellness und Diagnose
• Konkurrenzprodukte sind MDR-reguliert

Compliance-Strategien

Für reine Wellness-Produkte

Wenn Ihr Produkt eindeutig Wellness/Lifestyle ist:

WELLNESS-PRODUKT CRA-STRATEGIE

1. ZWECKBESTIMMUNG DOKUMENTIEREN:
   - Klare Wellness-Positionierung
   - Keine medizinischen Behauptungen im Marketing
   - Benutzerdokumentation vermeidet medizinische Begriffe

2. CRA-ANFORDERUNGEN UMSETZEN:
   - Security by Design
   - SBOM-Generierung
   - Schwachstellenbehandlung
   - 5-Jahre-Support
   - CE-Kennzeichnung (unter CRA)

3. GRENZEN EINHALTEN:
   - Marketing auf Behauptungs-Drift überwachen
   - Vertriebsteam über Einschränkungen schulen
   - Benutzerfeedback für medizinische Verwendung → adressieren

4. NORMENAUSRICHTUNG:
   - EN 303 645 für Verbraucher-IoT
   - Relevante harmonisierte CRA-Normen

Für Medizinprodukte

Wenn Ihr Produkt ein Medizinprodukt ist:

MEDIZINPRODUKT-STRATEGIE (CRA AUSGENOMMEN)

1. MDR/IVDR BEFOLGEN:
   - Korrekt klassifizieren (Regel 11 für Software)
   - Konformitätsbewertung je nach Klasse
   - Einbeziehung Benannter Stelle (falls erforderlich)
   - MDCG 2019-16 Cybersicherheit

2. CYBERSICHERHEIT UNTER MDR:
   - Anhang I Abschnitt 17 Anforderungen
   - IEC 62443 oder gleichwertig
   - MDCG 2019-16 Leitfaden
   - Post-Market Cybersicherheitsüberwachung

3. AUSNAHME DOKUMENTIEREN:
   - Klare MDR-Klassifizierung
   - Nachweis der MDR-Compliance
   - Cybersicherheit unter MDR adressiert

4. HINWEIS FÜR TECHNISCHE UNTERLAGEN:
   "Dieses Produkt ist als Medizinprodukt unter
   MDR 2017/745 klassifiziert und daher gemäß
   Artikel 2(2) vom CRA ausgenommen."

Für Grenzprodukte

Wenn die Klassifizierung unsicher ist:

GRENZPRODUKT-STRATEGIE

1. SORGFÄLTIG BEWERTEN:
   - MDCG 2019-11 Leitfaden prüfen
   - Zweckbestimmung genau betrachten
   - Alle Funktionen evaluieren

2. BEI BEDARF KONSULTIEREN:
   - Nationale zuständige Behörde
   - Benannte Stelle (vorläufige Meinung)
   - Regulierungsberater

3. BEGRÜNDUNG DOKUMENTIEREN:
   - Warum Produkt (kein) Medizinprodukt ist
   - Zweckbestimmungserklärung
   - Risikobasierte Begründung

4. AUF BEIDES VORBEREITEN:
   - MDR-Pfad bereit, falls umklassifiziert
   - CRA-Compliance bereit, falls Wellness
   - Bereit sein, sich anzupassen

Zukunftsüberlegungen

Konvergenz der Anforderungen

MDR- und CRA-Cybersicherheitsanforderungen könnten konvergieren:

• Gemeinsame Normenentwicklung
• Abgestimmte Schwachstellenbehandlung
• Gemeinsame Terminologie
• Potenzielle Leitlinien zur Interaktion

KI und maschinelles Lernen

KI-basierte Gesundheitsprodukte erhöhen die Komplexität:

• KI-Verordnung könnte auch gelten
• Medizinische KI typischerweise MDR-reguliert
• Wellness-KI typischerweise CRA-reguliert
• Klassifizierungsherausforderungen für adaptive Systeme

Checkliste für gesundheitsbezogene Produkte

REGULATORISCHE CHECKLISTE FÜR GESUNDHEITSPRODUKTE

KLASSIFIZIERUNG:
[ ] Zweckbestimmung dokumentiert
[ ] Medizinische Behauptungen geprüft (Marketing, Doku)
[ ] MDCG 2019-11 berücksichtigt
[ ] Klassifizierungsentscheidung dokumentiert

FALLS MEDIZINPRODUKT:
[ ] MDR-Klassifizierung bestimmt
[ ] Benannte Stelle ausgewählt (falls erforderlich)
[ ] Cybersicherheit gemäß Anhang I Abschnitt 17
[ ] CRA-Ausnahme dokumentiert

FALLS WELLNESS-PRODUKT:
[ ] CRA-Klassifizierung bestimmt
[ ] Security-by-Design umgesetzt
[ ] SBOM-Fähigkeit
[ ] Schwachstellenbehandlung
[ ] 5-Jahre-Supportplan
[ ] CE-Kennzeichnung (CRA)

DOKUMENTATION:
[ ] Technische Unterlagen vorbereitet (entsprechende Verordnung)
[ ] Zweckbestimmungserklärung
[ ] Benutzerdokumentation (keine medizinischen Behauptungen bei Wellness)
[ ] Risikobewertung

Wichtige Ressourcen

REGULATORISCHE RESSOURCEN

MDR/IVDR:
Verordnung (EU) 2017/745 (MDR)
Verordnung (EU) 2017/746 (IVDR)
https://health.ec.europa.eu/medical-devices-sector_en

MDCG-Leitfäden:
MDCG 2019-11 (Grenzfall-Klassifizierung)
MDCG 2019-16 (Cybersicherheitsleitfaden)
MDCG 2021-5 (Software-Qualifizierung)
https://health.ec.europa.eu/medical-devices-sector/new-regulations/guidance-mdcg-endorsed-documents-and-other-guidance_en

CRA:
Verordnung (EU) 2024/2847
https://eur-lex.europa.eu

NORMEN:
IEC 62443 (Cybersicherheit)
IEC 82304-1 (Gesundheitssoftware)
ISO 14971 (Risikomanagement für Medizinprodukte)

Verwandte Leitfäden:

• CRA-Produktklassifizierung: Ist Ihr Produkt Default, Important oder Critical?
• Die CRA-Technische Dokumentation: Was in jeden Abschnitt gehort (Anhang VII Aufschlusselung)

Wie CRA Evidence hilft

Für Wellness-Produkte unter CRA bietet CRA Evidence:

• Klare Grenzdokumentation: Dokumentieren Sie, warum CRA (nicht MDR) gilt
• Wellness-Produktvorlagen: Technische Unterlagen-Strukturen für gesundheitsnahe Produkte
• SBOM-Management: Erforderlich für CRA, nützlich für MDR
• Schwachstellenverfolgung: Abgestimmt auf beide regulatorischen Rahmenwerke
• Multi-Produkt-Management: Portfolio mit verschiedenen Verordnungen handhaben

Starten Sie Ihre CRA-Compliance unter app.craevidence.com.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung, insbesondere zur Medizinprodukteklassifizierung, wenden Sie sich an qualifizierte Regulierungsberater.