Zum Hauptinhalt springen
ISO 14971 Risikomanagement · ISO 14971 Risikoanalyse · Medizinprodukte · ISO 13485 §7.1 · EU MDR Anhang I
Zielgruppe
QM-Beauftragte, Regulatory-Teams und Entwicklungsverantwortliche bei Medizinprodukte-Herstellern
Normgrundlage
ISO 14971:2019 §4–§10 · ISO 13485:2016 §7.1 · EU MDR 2017/745 Anhang I · ISO/TR 24971:2020
Lesezeit
ca. 9 Minuten

Risikoakte vollständig.
§4–§9 dokumentiert.
§10-Rückfluss nie aufgesetzt.

ISO 14971 ist mehr als eine Checkliste von Paragraphen — es ist ein Kreislauf der erst mit dem Post-Market-Monitoring geschlossen wird. Diese Seite erklärt die vollständige Normstruktur §4–§10, die Schnittstellen zu ISO 13485 und MDR und die vier häufigsten Audit-Fallen bei Benannte-Stelle-Audits.

Was ISO 14971 vom allgemeinen Risikomanagement unterscheidet

ISO 14971 ist kein Prozess für QM-Teams allein

ISO 14971 verknüpft Entwicklung, Regulatory Affairs und Post-Market-Management. Der Risikomanagement-Plan (§4) muss vor der Produktentwicklung vorliegen — nicht nach. Die Gefährdungsanalyse (§5) wird von Entwicklern und Klinikern gemeinsam erstellt. Die Evidenzbasis für P-Werte (§6) stammt oft aus der klinischen Bewertung. Der PMS-Rückfluss (§10) ist Aufgabe des Post-Market-Teams. Diese Normanforderungen lassen sich nicht in einer Abteilung allein erfüllen.

Der Lebenszyklusgedanke ist normativ verbindlich

ISO 14971:2019 betont explizit, dass Risikomanagement ein Prozess über den gesamten Produktlebenszyklus ist — von der Konzeptphase bis zum Ende der Nutzungsdauer und zur Entsorgung. Das hat konkrete Konsequenzen: Die Risikoakte darf nicht nach dem Design-Freeze geschlossen werden. Post-Market-Erkenntnisse (Reklamationen, MDR-Vigilanz-Meldungen, Literaturupdates) müssen systematisch auf Relevanz für die Risikoakte geprüft werden.

MDR Anhang I: Risikomanagement als Grundlegende Anforderung

EU MDR 2017/745 Anhang I §1 fordert, dass Hersteller ein Risikomanagement-System einrichten, aufrechterhalten und dokumentieren. §3 verlangt, dass bekannte und vorhersehbare Risiken so weit wie möglich minimiert werden, ohne die Leistung des Medizinprodukts zu beeinträchtigen. ISO 14971 ist die normativ anerkannte Methode zur Erfüllung dieser Anforderungen. Benannte Stellen prüfen im Technical Documentation Audit, ob ISO 14971 vollständig und korrekt angewendet wurde.

ISO 14971:2019 Normstruktur — §4 bis §10 mit Audit-Besonderheiten
§
§4

Risikomanagement-Plan

Scope, Verantwortlichkeiten, Akzeptanzkriterien (P×S-Grenzwerte) und Lebenszyklusphasen festlegen

Akzeptanzkriterien müssen VOR der Analyse festgelegt sein — nachträgliche Anpassung ist ein klassischer §4-Befund

§5

Gefährdungsidentifikation

Gefährdungen, Gefährdungssequenzen und mögliche Schäden systematisch identifizieren — für alle vorhersehbaren Verwendungssituationen

Vorhersehbarer Fehlgebrauch (reasonably foreseeable misuse) muss explizit adressiert sein — häufig unvollständig

§6

Risikoabschätzung

Eintrittswahrscheinlichkeit P und Schwere S getrennt schätzen — auf Basis dokumentierter Informationsquellen (Felddaten, Literatur, klinische Daten)

Häufigster Befund: P-Wert ohne Evidenzbasis — "Expertenschätzung" ist kein anerkannter Evidenztyp nach §6.4

§7

Risikobewertung

P×S gegen Akzeptanzkriterien aus §4 vergleichen — Entscheidung: Risikominderung erforderlich oder Restrisiko akzeptierbar

Akzeptanzentscheidung muss begründet sein — binäre Ampelfarben ohne Begründungstext sind unzureichend

§8

Risikominderung

Maßnahmen nach Hierarchie: 1. inhärente Designsicherheit, 2. Schutzmaßnahmen, 3. Sicherheitsinformationen — Wirksamkeitsnachweis erforderlich

Maßnahmenhierarchie muss eingehalten werden — Sicherheitshinweis als alleinige Maßnahme muss begründet sein

§8.2

Gesamtrestrisiko

Kumulative Bewertung aller Restrisiken — nicht nur zeilenweise, sondern als gesonderter Prozessschritt mit expliziter Dokumentation

Häufig ausgelassen — "alle Zeilen grün" ist keine §8.2-Gesamtbeurteilung

§9

Risikomanagementbericht

Dokumentierter Abschluss des Risikomanagement-Prozesses — Bestätigung dass Plan vollständig durchgeführt wurde

Bericht datumsmäßig vor Produktfreigabe — fehlender Bericht oder falscher Zeitstempel ist formaler Befund

§10

Post-Market-Rückfluss

Post-Market-Surveillance-Erkenntnisse systematisch auf Relevanz für Risikoakte prüfen und ggf. Risikoabschätzung überarbeiten

PMS-Berichte ohne Risikoakten-Überprüfung sind ein häufiger §10-Befund — "kein Handlungsbedarf" muss dokumentiert sein

ISO 14971:2019. §1–§3 definieren Anwendungsbereich und Begriffe. §4–§10 beschreiben den Risikomanagement-Prozess. ISO/TR 24971:2020 enthält Implementierungsleitlinien.

Schnittstellen ISO 14971 ↔ ISO 13485 — wo die Normen direkt verknüpft sind

ISO 14971 und ISO 13485 sind keine parallelen Normsysteme — sie sind bewusst aufeinander abgestimmt. An fünf Punkten greifen sie direkt ineinander. Wer diese Schnittstellen nicht dokumentiert hat, riskiert Befunde bei gleichzeitiger Benannte-Stelle-Prüfung nach beiden Normen.

ISO 14971

ISO 14971 §4 Risikomanagement-Plan

ISO 13485

ISO 13485 §7.1 Qualitätsplanung

Risikoplanung ist Teil der Qualitätsplanung — §7.1-Input für Produktrealisierung

ISO 14971

ISO 14971 §6 Risikoabschätzung (Evidenz)

ISO 13485

ISO 13485 §7.3.3 Designeingaben

Sicherheits- und Leistungsanforderungen aus Risikoanalyse fließen als Designeingaben ein

ISO 14971

ISO 14971 §8 Risikominderungsmaßnahmen

ISO 13485

ISO 13485 §7.3.6 / §7.3.7 Design-Verifikation / Validierung

Verifikations- und Validierungsergebnisse als Wirksamkeitsnachweis für Risikomaßnahmen

ISO 14971

ISO 14971 §7.3.9 Designänderung

ISO 13485

ISO 13485 §7.3.9 Designänderungen

Jede Designänderung löst Risikoakten-Review aus — Schnittstelle muss dokumentiert sein

ISO 14971

ISO 14971 §10 PMS-Rückfluss

ISO 13485

ISO 13485 §8.2.1 Feedback + §8.5 Verbesserung

Post-Market-Daten (Reklamationen, MDR-Vigilanz) als Eingang in Risikoakten-Überarbeitung

Medizintechnik-Cluster

ISO 13485, EU-MDR und häufige QMS-Anforderungen in der Medizintechnik — mit typischen Audit-Fallen und QIMS-Integration:

QMS Medizintechnik — ISO 13485 und EU-MDR →
Vier Audit-Fallen — was Benannte Stellen bei ISO-14971-Audits systematisch prüfen
01 · P×S ohne Evidenzbasis

ISO 14971 §6.4 verlangt, dass Risikoabschätzungen auf verfügbaren Informationen basieren — wissenschaftliche Literatur, Felddaten, klinische Daten oder Ergebnisse einschlägiger Normen. Ein P-Wert ohne Quellenangabe ist für den Auditor nicht nachprüfbar. Benannte Stellen fragen systematisch nach der Informationsbasis für jeden P-Wert — besonders für P1-Schätzungen ("sehr unwahrscheinlich").

02 · Designänderung ohne Risikoakten-Review

ISO 13485 §7.3.9 verlangt, dass Designänderungen bewertet werden — einschließlich ihrer Auswirkungen auf das Endprodukt und bereits fertiggestellte Teile. Wenn eine Gebrauchsanweisung nach Risikoaktenabschluss überarbeitet wird und Use-Error-Szenarien sich verändern, muss das in der Risikoakte nachverfolgbar sein. Fehlt der Review-Nachweis, ist das ein §7.3.9-Befund.

03 · PMS-Erkenntnisse ohne §10-Rückkopplung

ISO 14971 §10 verpflichtet Hersteller, Post-Market-Erkenntnisse systematisch auf Relevanz für die Risikoakte zu prüfen. Ein PMS-Bericht der Ausfallmuster dokumentiert, ohne zu prüfen ob die Risikoabschätzung überarbeitet werden muss, ist ein §10-Befund. Der Auditor fragt: "Welche PMS-Erkenntnisse der letzten 24 Monate haben eine Risikoakten-Überarbeitung ausgelöst — und wenn keine, warum nicht?"

04 · §8.2 Gesamtrestrisiko ausgelassen

ISO 14971 §8.2 verlangt eine explizite Gesamtbeurteilung des Restrisikos — nicht nur die zeilenweise Einzelbewertung. Wenn zwei oder mehr Restrisiken denselben Patienten kumulativ betreffen können, muss das kumulierte Restrisiko gesondert bewertet und dokumentiert sein. "Alle Zeilen grün" ist keine §8.2-konforme Gesamtbeurteilung.

QIMS — ISO-14971-Risikoakte digital, vollständig und auditbereit

Die häufigste ISO-14971-Lücke in der Praxis ist nicht fehlendes Normwissen — es ist fehlende Systemunterstützung für den §10-Rückfluss. PMS-Berichte werden erstellt. MDR-Vigilanz-Meldungen werden bearbeitet. Aber die systematische Prüfung "Hat diese Erkenntnis Auswirkungen auf unsere Risikoakte?" findet nicht statt — weil kein System die Verbindung herstellt.

QIMS bildet den vollständigen ISO-14971-Prozess ab: Das QIMS-Modul M32 FMEA-Risikoanalyse erfasst Gefährdungen mit P×S-Bewertung und Evidenzbasis, verfolgt Maßnahmen bis zur Wirksamkeitsprüfung und triggert automatisch §8.2-Gesamtrestrisiko-Prüfungen. Post-Market-Erkenntnisse aus dem QIMS-Modul M44 Reklamationsmanagement werden mit der Risikoakte verknüpft — §10 wird zum dokumentierten Prozessschritt, nicht zur manuellen Suchaufgabe.

M32 FMEA-Risikoanalyse

Gefährdungen mit P×S und Evidenzquelle — vollständig nach ISO 14971 §5–§8 dokumentiert.

M44 Reklamation → §10

8D-Reklamationsergebnisse werden automatisch auf Risikoakten-Relevanz geprüft — §10 dokumentiert.

§8.2 als Prozessschritt

Gesamtrestrisiko-Beurteilung ist ein strukturierter Abschlussschritt — nicht implizit aus Einzelzeilen.

ISO-14971-Risikoakte die beim Benannte-Stelle-Audit standhält

In einer 30-Minuten-Demo zeigen wir, wie QIMS die vollständige ISO-14971-Risikoakte digital abbildet — von der Gefährdungserfassung mit Evidenz bis zum §10-PMS-Rückfluss.

Demo vereinbaren → Risikobewertungs-Vorlage ansehen
Häufige Fragen zu ISO 14971 Risikomanagement 5 Fragen

Gilt ISO 14971 auch für Software-Medizinprodukte?

Ja — ISO 14971 gilt für alle Medizinprodukte unabhängig von der Technologie, einschließlich Software as a Medical Device (SaMD). Für Software-Risikomanagement gibt es ergänzend IEC 62304 (Software-Lebenszyklus) und IEC 62366-1 (Gebrauchstauglichkeit), die beide auf ISO 14971 verweisen und die Risikoakte als gemeinsamen Referenzpunkt nutzen. Die Gefährdungsszenarien für Software sind spezifisch: Use-Errors, Systemintegrationsfehler, Datenfehler und Sicherheitslücken müssen explizit adressiert sein — was in physisch-orientierten Risikoanalysen häufig fehlt.

Muss ich ISO 14971 als Medizinproduktehersteller kaufen?

Für Hersteller unter EU MDR ist die Anwendung von ISO 14971 keine formale Pflicht, aber sie ist der weltweit anerkannte Stand der Technik für Risikomanagement bei Medizinprodukten. Benannte Stellen prüfen im Audit, ob die Anforderungen aus MDR Anhang I §1 und §8 erfüllt sind — und nutzen ISO 14971 als Referenz für die Beurteilung. Wer die Norm nicht anwendet, muss eine gleichwertige Alternative belegen, was in der Praxis schwieriger ist. Die aktuelle Version ISO 14971:2019 ist über die nationalen Normungsinstitute (DIN, Beuth) erhältlich.

Was ist der Unterschied zwischen ISO 14971:2019 und der Vorgängerversion?

ISO 14971:2019 hat gegenüber ISO 14971:2007 drei wesentliche Änderungen: Erstens wurden Begriffsdefinitionen präzisiert (u. a. "Risiko", "Restrisiko", "Gesamtrestrisiko"). Zweitens wurde die Informationsnorm ISO/TR 24971 als eigenständiges Dokument ausgelagert (Implementierungsleitfaden). Drittens wurde der PMS-Rückfluss (Post-Market Surveillance) explizit als §10-Anforderung aufgenommen — in der 2007er-Version war das implizit. Für Hersteller die noch nach ISO 14971:2007 arbeiteten: die IVDR und MDR verlangen die 2019er-Version als Basis.

Wie integriert ISO 14971 mit dem Design-Prozess nach ISO 13485?

ISO 13485 §7.1 verlangt, dass Risikomanagement in die Qualitätsplanung für Produkt und Realisierung integriert wird. ISO 14971 ist das Verfahren, das §7.1 ausfüllt. In der Praxis bedeutet das: Jede Designeingabe (§7.3.3) sollte auf Risikorelevanz geprüft werden, jede Designänderung (§7.3.9) sollte eine Risikoakten-Überprüfung auslösen, und Design-Verifikation (§7.3.6) / -Validierung (§7.3.7) liefern Evidenzdaten für P-Werte. Die Risikoakte ist keine parallele Dokumentation — sie ist ein integraler Teil des Designdossiers.

Wann reicht ein Risikoregister, wann brauche ich eine vollständige Risikoakte?

Ein Risikoregister als einfache Liste identifizierter Risiken reicht für ISO 9001 §6.1 aus — dort ist kein strukturierter Risikomanagement-Prozess vorgeschrieben. Für Medizinprodukte-Hersteller unter ISO 13485 und ISO 14971 ist eine vollständige Risikoakte mit allen §4–§10-Elementen erforderlich: Risikomanagement-Plan, Gefährdungsidentifikation, Risikobewertung mit Evidenz, Maßnahmen mit Wirksamkeitsnachweis, Gesamtrestrisiko-Beurteilung und PMS-Rückfluss-Dokumentation. Das Format kann digital oder papierbasiert sein — aber alle Elemente müssen vorhanden und nachvollziehbar verknüpft sein.

Weiterführende Ressourcen
Risikomanagement QMS · ISO 14971 · ISO 9001 §6.1 · IATF 16949

Risikomanagement im QMS: Der vollständige Leitfaden — Prozess, Normverankerung und Audit-Fallen →

Risikobewertung Vorlage · Risikoregister · 12 Pflichtfelder

Risikobewertungs-Vorlage: 12 Pflichtfelder nach ISO 14971 und warum leere Evidenz-Spalten als Finding gewertet werden →

PFMEA · DFMEA · IATF 16949 · AP-Zahl

Risikomanagement nach IATF 16949: PFMEA, AP-Zahl und was IATF-Auditoren an §9.1.2 prüfen →

Risiko · CAPA · Maßnahmen · Übergang

Risikomanagement und CAPA: Wann öffne ich eine CAPA auf Basis einer Risikoanalyse →

Auditmanagement · ISO 13485 §8.2.4 · Benannte Stelle

Auditmanagement im QMS: 8 Phasen interner Audits und CAPA-Übergang — vollständiger Leitfaden →

Medizintechnik · ISO 13485 · EU-MDR · QMS

QMS für Medizintechnik: ISO 13485, EU-MDR Anforderungen und typische Audit-Fallen →

ISO 14971 vollständig — §4 bis §10 und PMS-Rückfluss

§4 geplant.
§6 mit Evidenz.
§10 dokumentiert.
Benannte Stelle zufrieden.

Vollständige Risikoakte von der Gefährdungsanalyse bis zum Post-Market-Rückfluss — QIMS bildet ISO 14971 §4–§10 digital ab, mit Schnittstellen zu ISO-13485-Designkontrolle und MDR-Vigilanz.

Entwickelt nach den Anforderungen aus ISO 14971:2019. Einsetzbar für Medizinprodukte Klasse I bis III.

Demo vereinbaren → Risikomanagement-Leitfaden