Published On: 26. Februar 2026

MedTech Compliance: Von Chaos zu Struktur mit dem richtigen Dokumentenmanagement

Die Medizintechnik-Branche unterscheidet sich fundamental von anderen Industrien. Ein Software-Fehler in einer Consumer-App ist ärgerlich, aber derselbe Fehler in einem Medizinprodukt kann Leben kosten. Für QA/RA-Manager, Produktentwickler und Gründer von MedTech-Startups bedeutet das: Dokumentation, Nachverfolgbarkeit und Audit-Readiness sind überlebenswichtig.

Die zentrale Herausforderung: Wie können Teams die Komplexität globaler Regularien managen, ohne im Papierchaos zu versinken? Genau hier setzen strukturierte Compliance-Management-Systeme an. Wie das genau funktioniert, erfahren Sie in unserem Blogbeitrag.

Wann wird ein Produkt zum Medizinprodukt?

Die Grenze zwischen Wellness-Tracker und Medizinprodukt verläuft nicht entlang der Hardware, sondern entlang der Zweckbestimmung. Entscheidend ist der Intended Use, also was der Hersteller über sein Produkt kommuniziert. Ein Fitness-Tracker, der Schritte zählt, bleibt ein Consumer-Produkt. Sobald er jedoch behauptet, Herzrhythmusstörungen zu erkennen, wird er zum regulierten Medizinprodukt.

Diese Zweckbestimmung definiert sich nicht nur durch die Gebrauchsanweisung, sondern durch sämtliche Claims auf der Website, in Social-Media-Posts oder in Marketingmaterialien. Ein unbedachter Post über Off-Label-Anwendungen kann erhebliche regulatorische Konsequenzen haben. Für Marketing-Teams bedeutet das: Jeder Claim muss abgestimmt, dokumentiert und von Regulatory Affairs freigegeben werden.

Das Ökosystem eines MedTech-Unternehmens

Erfolgreiche Medizintechnik-Produkte entstehen durch das Zusammenspiel spezialisierter Teams: Quality Assurance stellt sicher, dass Prozesse eingehalten werden und das Unternehmen audit-bereit ist. Regulatory Affairs navigiert durch Zulassungsprozesse und kommuniziert mit Behörden. Clinical Affairs liefert die klinische Evidenz durch Studien und Post-Market Clinical Follow-ups. R&D verwandelt Ideen in Prototypen mit dokumentierten Design-Entscheidungen und strukturierten Design Controls. Marketing und Vertrieb tragen Verantwortung für jeden Claim, der durch klinische Daten gedeckt sein muss.

Der Mehrwert eines zentralen Tools: Wenn alle Teams in einem System arbeiten, wird transparent, wer an welchem Dokument arbeitet, welche Freigaben ausstehen und welche Abhängigkeiten zwischen Anforderungen, Risiken und Tests bestehen.

Der regulatorische Rahmen: FDA und MDR im Überblick

Die globale Medizintechnik folgt keinem einheitlichen Standard. Zwei Systeme dominieren jedoch: die US-amerikanische FDA und die europäische MDR.

FDA: Class I bis Class III

Die FDA unterteilt Medizinprodukte in drei Risikoklassen. Class I umfasst Produkte mit minimalem Risiko, dazu gehören beispielsweise Mundspatel. Class II beschreibt Produkte mit mittlerem Risiko, etwa Infusionspumpen. Für diese Klasse ist meist eine 510(k)-Zulassung erforderlich. Dabei müssen Hersteller nachweisen, dass ihr neues Gerät im Wesentlichen gleichwertig zu einem bereits zugelassenen Vergleichsprodukt ist. Der Prozess dauert 90 bis 180 Tage.

Class III umfasst Hochrisiko-Produkte wie Herzschrittmacher. Diese benötigen eine Premarket Approval (PMA) mit umfassenden klinischen Studien. Die Kosten können Millionen erreichen, der Prozess dauert Jahre. Für neuartige Geräte ohne Predicate gibt es den De Novo-Prozess.

EU Medical Device Regulation (MDR)

Die MDR 2017/745 unterscheidet vier Risikoklassen (I, IIa, IIb, III) und fordert umfangreichere Technische Dokumentation sowie strengere Post-Market Surveillance. Neu ist die Position der Verantwortlichen Person nach Artikel 15 MDR, die für die Einhaltung aller regulatorischen Anforderungen zuständig ist.

Zentrale Standards

ISO 13485:2016 ist der internationale Standard für Qualitätsmanagementsysteme in der Medizintechnik. Ein wichtiger Meilenstein: Ab Februar 2026 übernimmt die FDA diesen Standard als Grundlage für ihre eigenen Qualitätsanforderungen (Quality Management System Regulation, QMSR). Damit werden die Anforderungen zwischen USA und Europa erstmals weitgehend harmonisiert – ein großer Vorteil für Hersteller, die auf beiden Märkten aktiv sind.

ISO 14971:2019 regelt das Risikomanagement über den gesamten Produktlebenszyklus. Anders als eine einfache FMEA fordert die Norm die kontinuierliche Bewertung des Nutzen-Risiko-Verhältnisses und umfassende Dokumentation. IEC 62304 regelt den Software-Lebenszyklus, 21 CFR Part 11 definiert Anforderungen an elektronische Signaturen und Audit Trails.

Design Controls: Vom Chaos zur nachvollziehbaren Struktur

Design Controls strukturieren den Weg von der ersten Idee bis zum marktreifen Produkt. Der Prozess beginnt mit User Needs, also den tatsächlichen Bedürfnissen der Anwender, ermittelt durch Interviews und Beobachtungen. Daraus entstehen Design Inputs, das sind quantifizierbare Anforderungen. „Das Gerät soll einfach zu bedienen sein“ ist kein Design Input. „Die Bedienung darf maximal drei Schritte umfassen, und 95% der Nutzer müssen diese ohne Schulung korrekt ausführen“ ist valide.

Die Design Outputs beschreiben die technische Umsetzung durch Zeichnungen, Spezifikationen und Code. Design Verification prüft, ob die Outputs die Inputs korrekt umsetzen („Haben wir das Produkt richtig gebaut?“). Design Validation prüft durch klinische Studien oder Usability-Tests, ob das Produkt die User Needs erfüllt („Haben wir das richtige Produkt gebaut?“).

Ein kritischer Fehler: Viele Unternehmen dokumentieren Design Controls erst kurz vor der Submission rückwärts. Das Entwicklungsteam war kreativ, aber Nachweise für Traceability fehlen. Die Lösung: Von Anfang an strukturiert arbeiten. Eine Traceability Matrix zeigt die Verbindungen zwischen allen Elementen. Wenn eine Anforderung sich ändert, wird sofort sichtbar, welche Tests und Dokumente betroffen sind.

Risikomanagement als kontinuierlicher Prozess

ISO 14971 fordert einen strukturierten Sechs-Schritte-Ansatz über den gesamten Produktlebenszyklus: Risikomanagement-Planung, Risikoanalyse (nicht nur technische Fehler, sondern auch Use Errors und Off-Label-Risiken), Risikobewertung, Risikokontrolle, Bewertung des Gesamtrestrisikos und kontinuierliches Post-Production Monitoring.

Ein Beispiel: Ein Software-Bug in einer Infusionspumpe könnte zu falscher Dosierung führen (technisches Risiko). Ein Usability-Problem könnte Pflegekräfte unter Stress zur Fehlbedienung verleiten (Use Error). Und ein Marketing-Video über Off-Label-Anwendung könnte regulatorisch problematisch sein. Alle drei Risiken müssen identifiziert, bewertet und dokumentiert werden.

Post-Market Surveillance: Die Arbeit geht weiter

Mit der Zulassung endet die regulatorische Verantwortung nicht. Die MDR fordert systematische Datensammlung über Beschwerden, Adverse Events, Field Corrective Actions, Social-Media-Feedback und wissenschaftliche Literatur. Diese Informationen fließen zurück ins Risikomanagement und führen zu Corrective and Preventive Actions (CAPA).

Wie BAYOOSOFT Themis die Komplexität beherrschbar macht

Die größte Herausforderung in der Medizintechnik ist nicht, dass Regularien existieren, sondern dass sie so komplex miteinander verwoben sind. Eine Änderung an einem Design Input betrifft Risikobewertungen, Tests, klinische Daten und möglicherweise auch die Gebrauchsanweisung. Ohne strukturiertes System führt das zu Excel-Inseln, Word-Vorlagen in verschiedenen Versionen und E-Mail-Pingpong zwischen Abteilungen.

BAYOOSOFT Themis ist als Dokumentenmanagement- und Compliance-System speziell für diese Anforderungen entwickelt:

Zentrale Traceability: Anforderungen, Risiken, Tests und klinische Daten sind miteinander verknüpft. Änderungen werden transparent, Auswirkungen auf nachgelagerte Dokumente sofort sichtbar.
Vorlagen und Workflows: Statt jedes Mal von vorne zu beginnen, bietet Themis strukturierte Vorlagen für SOPs, Risk Management Files, Design History Files und andere regulatorisch geforderte Dokumente. Workflows stellen sicher, dass die richtigen Personen zur richtigen Zeit involviert sind.
Rollenmodelle für multidisziplinäre Teams: QA, RA, Clinical Affairs und R&D arbeiten mit unterschiedlichen Perspektiven am gleichen Produkt. Themis bildet diese Rollenverteilung ab und zeigt jedem Team nur die für sie relevanten Informationen.
Audit-Trail und elektronische Signaturen: Für die Erfüllung von 21 CFR Part 11 und ISO 13485 ist nachvollziehbar, wer wann welches Dokument geändert oder freigegeben hat. Themis dokumentiert jeden Schritt revisionssicher.
Unterstützung bei ISO 13485, ISO 14971 und MDR: Das System ist so strukturiert, dass es die Anforderungen dieser Standards direkt unterstützt. Bei Audits können Teams schnell nachweisen, dass Prozesse definiert sind, eingehalten wurden und dokumentiert sind.

Ein konkretes Szenario: Ohne strukturiertes System würde eine eingehende Risikomeldung per E-Mail an verschiedene Abteilungen weitergeleitet. RA, QA und weitere Beteiligte müssten manuell prüfen, welche Anforderungen, Maßnahmen und Dokumente (z. B. Instructions for Use) betroffen sind, und am Ende ist oft unklar, ob alle Beteiligten die finale, abgestimmte Version gesehen und freigegeben haben.

Mit BAYOOSOFT Themis wird die Risikomeldung als Dokument im System angelegt, automatisch mit den relevanten Anforderungen, Maßnahmen und zugehörigen Dokumenten verknüpft, und ein Workflow stellt sicher, dass alle notwendigen Bewertungen und Freigaben erfolgt sind, bevor Änderungen umgesetzt werden.

Fazit: Qualität durch Struktur, nicht durch Zufall

MedTech-Unternehmen stehen unter enormem Druck: Regulatorische Anforderungen werden strenger, Zulassungsprozesse komplexer, und der Wettbewerb schläft nicht. Gleichzeitig steigen die Erwartungen von Patient:innen, Ärzt:innen und Kostenträgern an Produktqualität und Sicherheit.

Der Unterschied zwischen erfolgreichen und gescheiterten Medizinprodukten liegt oft nicht in der Technologie, sondern in der Fähigkeit, Komplexität zu managen. Design Controls frühzeitig aufsetzen, Risikomanagement konsequent durchziehen, Traceability von Anfang an sicherstellen: Das sind keine Hürden, sondern Erfolgsfaktoren.

Ein strukturiertes Dokumentationsmanagement-System wie BAYOOSOFT Themis verwandelt die regulatorische Last in einen Wettbewerbsvorteil. Teams arbeiten effizienter, Audits verlaufen stressfrei, und bei Änderungen bleibt die Übersicht erhalten. Statt im Papierchaos zu versinken, können sich Entwickler, QA-Manager und RA-Experten auf das konzentrieren, was wirklich zählt: sichere, effektive Produkte zu bauen, die Leben verbessern.

So unterstützen wir Sie

Mit BAYOOSOFT Themis digitalisieren Sie verknüpfte Prozesse und reduzieren nachhaltig die Dokumentationsaufwände, während Sie gleichzeitig redundante Daten minimieren. So behalten Sie beim Thema Leistungsbewertung den Überblick über Ihre erforderlichen Nachweise und Dokumente und werden so den Regularien gerecht.

Mehr erfahren

FAQ: Häufige Fragen zu Medizinprodukte-Compliance und Qualitätsmanagement

Was ist der Unterschied zwischen ISO 13485 und 21 CFR Part 820?

ISO 13485:2016 ist der internationale Standard für Qualitätsmanagementsysteme in der Medizintechnik, der weltweit anerkannt ist. Die US-amerikanische Regulation 21 CFR Part 820 (Quality System Regulation, QSR) war das US-spezifische Pendant. Seit Februar 2026 wird die frühere Quality System Regulation (QSR) von der Quality Management System Regulation (QMSR) abgelöst, welche die Anforderungen von ISO 13485:2016 integriert. Damit harmonisieren sich die Anforderungen zwischen USA und dem Rest der Welt deutlich.

Ist ISO 13485-Zertifizierung für MDR-Konformität verpflichtend?

Nein, ISO 13485-Zertifizierung ist nicht zwingend vorgeschrieben. Die MDR verlangt ein funktionierendes QMS, spezifiziert aber nicht die Form. Allerdings ist ISO 13485 der einzige QMS-Standard, der in der EU-Liste harmonisierter Normen aufgeführt ist. In der Praxis nutzen daher die meisten Hersteller ISO 13485 als Rahmen, da Benannte Stellen (Notified Bodies) diese Struktur erwarten und anerkennen.

Was sind Design Controls und wer muss sie umsetzen?

Design Controls sind strukturierte Verfahren zur Steuerung der Produktentwicklung, wie sie in 21 CFR 820.30 und ISO 13485 definiert sind. Sie gelten für Class II und Class III Medizinprodukte sowie für bestimmte Class I Geräte in den USA. Design Controls umfassen Planning, Design Inputs, Design Outputs, Design Review, Verification, Validation, Design Transfer und Design Changes. Ziel ist, sicherzustellen, dass Produkte die Nutzerbedürfnisse erfüllen und sicher sind.

Wie unterscheiden sich 510(k) und PMA?

Ein 510(k) Premarket Notification wird für Class II Geräte benötigt und basiert auf dem Nachweis, dass das neue Gerät einem bereits zugelassenen Predicate Device substantially equivalent ist. Der Prozess dauert 90–180 Tage und erfordert meist keine klinischen Studien. Ein PMA (Premarket Approval) ist für Class III Hochrisiko-Geräte erforderlich und verlangt umfassende klinische Studien, die Sicherheit und Wirksamkeit unabhängig beweisen. Die FDA hat 180 Tage Prüfzeit, der Gesamtprozess kann aber Jahre dauern.

Was ist der Unterschied zwischen FMEA und ISO 14971?

Die FMEA (Failure Mode and Effects Analysis) wird oft fälschlicherweise als vollständige Risikoanalyse verstanden, ist jedoch primär ein Werkzeug der präventiven Qualitätssicherung. Sie konzentriert sich auf technische Fehlerursachen und -folgen, um Produkt- oder Prozessfehler zu vermeiden. Eine umfassende Risikoanalyse nach ISO 14971 betrachtet dagegen potenzielle Gefährdungen und ihre tatsächlichen Auswirkungen auf Anwender und Patienten im gesamten Produktlebenszyklus und geht damit deutlich über den Fokus einer FMEA hinaus.

Was muss ein Dokumentenmanagementsystem für Medizinprodukte können?

Ein Medical Device Document Management System (DMS) muss Versionskontrolle, Freigabe-Workflows, Audit Trails und elektronische Signaturen nach 21 CFR Part 11 unterstützen. Es sollte Traceability zwischen Anforderungen, Risiken, Tests und klinischen Daten ermöglichen, Zugriffe rollenbasiert steuern und für Audits schnell alle relevanten Dokumente bereitstellen können.

BAYOOSOFT Themis ist kein reines Dokumentenmanagementsystem, sondern eine spezialisierte Lösung für technisches Dokumentationsmanagement im Medizinproduktebereich. Die Software digitalisiert und verknüpft technische Dokumentation gemäß MDR und IVDR, unterstützt Risikomanagement nach ISO 14971 und stellt eine „Single Source of Truth“ für Anforderungen, Risiken und zugehörige Nachweise bereit, inklusive Versionierung, Freigabe-Workflows und Audit Trail.

Was ist Traceability und warum ist sie so wichtig?

Traceability bezeichnet die Fähigkeit, jeden Schritt der Produktentwicklung lückenlos nachzuvollziehen – von User Needs über Design Inputs und Outputs bis zu Verification, Validation und Post-Market-Daten. ISO 13485 und FDA-Regularien fordern explizit Traceability. Sie ist entscheidend, um bei Audits nachzuweisen, dass alle Anforderungen erfüllt wurden, bei Produktänderungen Auswirkungen zu bewerten und bei Recalls schnell reagieren zu können.

Welche Dokumente gehören in die Design History File (DHF)?

Die Design History File (DHF) ist die Sammlung aller Aufzeichnungen, die zeigen, dass ein Gerät nach dem genehmigten Design-Plan entwickelt wurde. Dazu gehören: Design-Pläne, User Needs, Design Inputs und Outputs, Risikoanalysen, Verification- und Validation-Reports, Design Reviews, Design Changes und Traceability Matrices. Die DHF ist zentral für Audits und regulatorische Submissions.

Was ist Post-Market Surveillance (PMS) und wer muss es durchführen?

Post-Market Surveillance ist die systematische Überwachung eines Medizinprodukts nach der Markteinführung. Die MDR fordert von allen Herstellern ein PMS-System, das Beschwerden, Adverse Events, wissenschaftliche Literatur und Felddaten kontinuierlich sammelt und bewertet. Ziel ist, neue Risiken frühzeitig zu erkennen, Corrective Actions einzuleiten und die klinische Bewertung aktuell zu halten. PMS-Daten fließen in die jährliche PSUR (Periodic Safety Update Report) ein.