- Zielgruppe
- QM-Leiterin, RA-Verantwortliche, Entwicklung — Klasse IIa bis III
- Norm
- ISO 14971:2019 · EU-MDR Anhang I · ISO 13485 §7.5.6
- Lesezeit
- ca. 10 Minuten
Produktrisiko.
Prozessrisiko.
Risiko-Nutzen-
Analyse.
Das Risikofile ist vollständig ausgefüllt — aber enthält es die richtigen Inhalte in der richtigen Struktur? Kleine Hersteller mischen regelmäßig zwei konzeptuell verschiedene Risikotypen in einem Dokument und übersehen, dass MDR Anhang I über die ISO-14971-Risikoanalyse hinaus eine explizite Nutzen-Risiko-Abwägung verlangt. Vier Audit-Szenarien aus dem regulierten Betrieb — und was dahintersteht.
ISO 14971 adressiert Risiken, die vom Produkt ausgehen — für Patienten, Anwender und Dritte. Diese Risiken entstehen durch bestimmungsgemäßen Gebrauch, vorhersehbaren Fehlgebrauch, Materialversagen oder Wechselwirkungen mit anderen Produkten. Das ist der definierte Scope der Norm. Was ISO 14971 nicht primär adressiert: Risiken, die im Herstellungsprozess entstehen und zu nicht-konformem Produkt führen können. Die sind ISO 13485 §7.5.6 zugeordnet — Prozessvalidierung, Sonderprozesse, Fertigungskontrollen.
In der Praxis kleiner Hersteller landen beide Risikotypen regelmäßig im selben Dokument, ohne strukturelle Trennung. Das erzeugt ein Problem: Weder für den Auditor noch für den Hersteller selbst ist klar, welche Risikokontrollmaßnahme welcher Anforderung folgt — und ob alle ISO-14971-Anforderungen vollständig erfüllt sind oder Fertigungsrisiken die Lücken kaschieren.
MDR Anhang I verlangt über die ISO-14971-Risikoanalyse hinaus eine explizite Risiko-Nutzen-Abwägung: Der Hersteller muss nachweisen, dass der medizinische Nutzen das verbleibende Restrisiko überwiegt — mit klinischer Begründung, nicht als Formelsatz.
Vier Audit-Szenarien zeigen, wo kleine Betriebe bei diesen beiden Punkten regelmäßig zu Findings führen — und warum die häufigste Ursache nicht fehlende Risikodokumentation ist, sondern fehlendes Verständnis des konzeptuellen Rahmens.
Restrisiken dokumentiert. Nutzen nicht quantifiziert.
Die Risikomanagementakte enthält eine vollständige Risikoanalyse: Identifikation, Analyse, Bewertung, Maßnahmen, Restrisiko. Was fehlt: der zweite Schritt, den MDR Anhang I §1 und ISO 14971 §7 verlangen. Sobald ein Restrisiko nach allen Maßnahmen bestehen bleibt, reicht es nicht, dieses Restrisiko als "akzeptabel" einzustufen. Die Norm verlangt den expliziten Nachweis, dass der medizinische Nutzen des Produkts das verbleibende Restrisiko überwiegt — mit Begründung, nicht als Formelaussage. Auditoren benannter Stellen prüfen das bei Klasse IIa, IIb und III explizit: Wo ist die Nutzen-Risiko-Abwägung, wer hat sie freigegeben, auf welcher klinischen Basis? Ein Risikofile ohne diesen Abschnitt ist unvollständig.
Im gleichen Dokument: Patientengefährdung durch Materialversagen — und: manueller Bestückungsfehler in Fertigung.
ISO 14971 definiert den Scope eindeutig: das Risikomanagementfile adressiert Risiken für den Patienten, den Anwender und Dritte, die vom Produkt ausgehen. Produktionsrisiken — Fehler im Herstellungsprozess, die zu nicht-konformem Produkt führen können — sind primär ein §7.5.6-Thema. Sie werden über Prozessvalidierung, Eingangsprüfung und Fertigungskontrollen gesteuert. Wenn ein Hersteller beide Risikotypen im selben Risikofile zusammenführt, ohne diese Trennung kenntlich zu machen, entsteht ein strukturelles Problem: Der Auditor sieht ein File, das Produktsicherheit und Fertigungsqualität vermischt — und kann die Risikokontrollmaßnahmen keiner der beiden Normanforderungen klar zuordnen. Die Verbindung zwischen Prozessrisiko und Produktrisiko muss explizit gezogen werden: Welches Produktrisiko entsteht, wenn der Fertigungsprozess versagt?
GSPRs vollständig abgehakt. Verweis auf Risikomanagementakte: fehlt.
MDR Anhang I enthält die allgemeinen Sicherheits- und Leistungsanforderungen (GSPRs). Kleine Hersteller behandeln diese oft als eigenständige Checkliste: jede Anforderung wird einem Dokument zugeordnet — Normennachweis, technische Spezifikation, Prüfbericht. Was dabei fehlt: Für sicherheitsrelevante GSPRs ist die Risikomanagementakte das primäre Nachweisdokument. MDR Anhang I §3 verlangt explizit, dass Hersteller bei der Auswahl von Lösungen zur Erfüllung der Anforderungen einen risikobasierten Ansatz anwenden. Das bedeutet: Die Entscheidung, wie eine Sicherheitsanforderung erfüllt wird, muss im Kontext des Risikomanagementprozesses getroffen und dokumentiert sein — nicht als isolierter Normennachweis. Ein GSPR-Nachweis, der nicht auf den Risikomanagementprozess verweist, beantwortet die Frage "konform?" — aber nicht die Frage "risikobasiert entschieden?".
Abschlusserklärung: "Alle verbleibenden Restrisiken werden als akzeptabel bewertet." Unterschrift. Fertig.
ISO 14971 §7 verlangt keine pauschale Sammel-Akzeptanz, sondern die Bewertung jedes einzelnen Restrisikos — nach zwei Kriterien: Erstens wurde das Risiko so weit reduziert, wie es mit vertretbarem Aufwand möglich ist (ALARP-Prinzip). Zweitens überwiegt der medizinische Nutzen des Produkts das verbleibende Restrisiko. Eine Sammelerklärung am Ende des Risikofiles beantwortet weder das ALARP-Kriterium für jeden Eintrag noch die individuelle Nutzen-Risiko-Abwägung. Auditoren benannter Stellen prüfen dabei nicht nur ob eine Akzeptanzaussage existiert — sie prüfen, ob die Bewertungskriterien dokumentiert sind, die der Hersteller zur Festlegung akzeptabler Risiken verwendet hat, und ob diese Kriterien konsistent auf alle Einträge angewendet wurden. Ein fehlendes Akzeptanzkriterium ist ein strukturelles Finding, kein Formfehler.
Alle vier Szenarien haben einen gemeinsamen Kern: Das Risikofile existiert — aber sein Scope ist unklar, seine Struktur trennt nicht zwischen Risikotypen, und der Abschnitt, den MDR Anhang I zusätzlich zur ISO-14971-Analyse verlangt, fehlt. Auditoren benannter Stellen kennen diese Muster — und suchen sie gezielt.
Die Abgrenzung zwischen Produkt- und Prozessrisiko ist keine akademische Frage — sie bestimmt, welche Norm-Anforderung greift, welche Kontrollmaßnahme erwartet wird und welches Dokument als Nachweis gilt. Beide Risikotypen sind real und müssen adressiert werden. Aber sie werden mit unterschiedlichen Werkzeugen gesteuert.
Die Verbindung zwischen beiden: Wenn ein Fertigungsprozess versagt und das zu nicht-konformem Produkt führt, entsteht am Ende ein Produktrisiko — das defekte Produkt kann den Patienten gefährden. Diese Verbindung muss explizit gezogen werden: im Risikofile als Szenario ("Prozessversagen → nicht-konformes Produkt → Patientengefährdung"), und in der Prozessvalidierung als Nachweis, dass dieser Fehlermode durch validierten Prozess auf ein akzeptables Niveau kontrolliert ist.
Risiken, die vom Produkt ausgehen — für Patienten, Anwender und Dritte. Entstehen durch bestimmungsgemäßen Gebrauch, vorhersehbaren Fehlgebrauch, Ausfall, Materialversagen oder Wechselwirkungen mit anderen Produkten. Werden in der Risikomanagementakte nach ISO 14971 adressiert.
Elektrischer Schlag durch Isolationsversagen · Falschdosierung durch UI-Fehler · Materialunverträglichkeit · mechanisches Versagen bei Belastung
Liegt beim Produkt — unabhängig davon, wie es hergestellt wurde.
Risiken, die im Herstellungsprozess entstehen und zu nicht-konformem Produkt führen können. Werden über Prozessvalidierung (§7.5.6), Eingangsprüfung (§7.4.3) und Fertigungskontrollen gesteuert. Verbindung zur Risikomanagementakte: Was passiert mit dem Produktrisiko, wenn der Prozess versagt?
Schweißnaht außerhalb Toleranz · Kontamination durch unvalidierten Reinraumprozess · Falschbestückung durch manuelle Montage · Parameterabweichung außerhalb validierten Bereichs
Liegt beim Herstellungsprozess — wird über §7.5.6 adressiert, nicht über ISO 14971.
Ein Fertigungsrisiko ohne Rückbezug auf das Produktrisiko ist keine ISO-14971-Anforderung — es ist eine §7.5.6-Anforderung. Wer beides im gleichen Risikofile führt, ohne das kenntlich zu machen, schafft Unklarheit über den Scope beider Normanforderungen.
ISO 14971:2019 ist harmonisiert unter MDR — ihre Anforderungen sind aber nicht deckungsgleich mit MDR Anhang I. Die Norm beschreibt einen Prozess. Die MDR beschreibt das Ergebnis, das dieser Prozess liefern muss. Vier MDR-Anhang-I-Abschnitte haben in der Audit-Praxis besondere Relevanz für kleine Hersteller.
Nachweis eines akzeptablen Nutzen-Risiko-Profils
Der Hersteller muss nachweisen, dass jedes identifizierte Risiko im Verhältnis zum Nutzen für den Patienten akzeptabel ist. Diese Abwägung ist kein optionaler Abschnitt im Risikofile — sie ist normativ verpflichtend und Bestandteil der technischen Dokumentation.
Risikobasierte Auswahl von Schutzmaßnahmen
Die Hierarchie der Schutzmaßnahmen (inhärente Sicherheit → Schutzmaßnahmen → Benutzerinformation) muss eingehalten und dokumentiert werden. Die Entscheidung, warum eine bestimmte Maßnahmenhierarchie gewählt wurde, muss begründet und nachvollziehbar sein.
Risikobasierter Ansatz bei der Erfüllung der GSPRs
Die Erfüllung der allgemeinen Sicherheits- und Leistungsanforderungen muss im Rahmen des Risikomanagementprozesses nachgewiesen werden. Normenkonformität allein (z. B. IEC 60601-1) reicht nicht — der Hersteller muss begründen, warum der gewählte Weg das identifizierte Risiko angemessen kontrolliert.
Eliminierung oder Minimierung von Risiken über den Lebenszyklus
Der Risikomanagementprozess endet nicht mit der CE-Kennzeichnung. Post-Market Surveillance und Post-Market Clinical Follow-Up liefern Informationen, die in die laufende Risikobewertung einfließen müssen. MDR Anhang I §5 koppelt das an die Pflicht zur Überarbeitung der technischen Dokumentation, wenn neue Risikoinformationen vorliegen.
Restrisiko-Akzeptanz ist kein administrativer Abschlussschritt — sie ist eine inhaltliche Entscheidung, die dokumentiert, begründet und freigegeben sein muss. ISO 14971 §7 formuliert dafür zwei Kriterien, die beide erfüllt sein müssen: Das Risiko muss so weit reduziert sein, wie es mit vertretbarem Aufwand möglich ist — das ALARP-Prinzip (As Low As Reasonably Practicable). Und wenn trotz aller Maßnahmen ein Restrisiko verbleibt, muss der medizinische Nutzen des Produkts dieses Restrisiko überwiegen.
Das ALARP-Kriterium bedeutet nicht Null-Risiko — es bedeutet, dass der Hersteller aktiv nachweist, dass weitere Risikoreduktion entweder technisch nicht realisierbar ist oder einen Aufwand erfordern würde, der in keinem angemessenen Verhältnis zur Risikoreduktion steht. Diese Abwägung muss für jeden verbleibenden Risikoeintrag dokumentiert sein — nicht als Pauschalsatz, sondern als nachvollziehbare Begründung.
Die Nutzen-Risiko-Abwägung setzt klinische Daten voraus: Welchen Nutzen hat das Produkt für den Patienten — in quantifizierbarer Form? Dieser Nutzen muss aus klinischer Evidenz abgeleitet sein, nicht aus Marketingaussagen. Auditoren benannter Stellen prüfen die Qualität dieser Evidenzbasis explizit — und die Verbindung zwischen klinischen Daten, Post-Market Clinical Follow-Up und der Aktualisierung der Nutzen-Risiko-Abwägung bei neuen Erkenntnissen aus dem Feld.
Eine Restrisiko-Akzeptanz, die nicht zeigt, auf welchen Bewertungskriterien sie basiert, wer sie freigegeben hat, und welche klinische Evidenz den Nutzen belegt, ist keine Akzeptanzentscheidung — sie ist eine Lücke in der technischen Dokumentation.
ISO 14971 als laufender Prozess: fünf Phasen, Bewertungshistorie und typische Stolperstellen kleiner Hersteller →
Prozessvalidierung · ISO 13485 §7.5.6 · IQ/OQ/PQProzessrisiken steuern: §7.5.6, Sonderprozesse, Revalidierungsauslöser und die Abgrenzung zur Design-Validierung →
Lieferantenmanagement · ISO 13485 §7.4 · ISO 14971ISO 14971 als Basis der Lieferantenkritikalität: Wie die Risikoanalyse den Qualifizierungsumfang nach §7.4.1 bestimmt →
Risiko
bewertet.
Nutzen
belegt.
In einer Demo zeigen wir, wie QIMS die Risiko-Nutzen-Abwägung, Restrisiko-Akzeptanz und die Verbindung zwischen Produktrisiko, Prozessrisiken und Post-Market Surveillance systemseitig strukturiert und nachvollziehbar abbildet.
Kein Pitch. Kein Abschlussgespräch nach dem Termin.