Use-Case Medtech · Hamburg-Mitte · MDR + IEC 62304

MDR-Vigilance-Tickets in 15 Tagen - Severity-klassifiziert, BfArM-Reporting-ready, Notified-Body-tauglich

Q: Welche MDR-Regulatorien deckt der Decision-Layer ab?

MDR EU 2017/745 (Medizinprodukte-Verordnung), insbesondere Art. 87 (Vigilance-Reporting mit 15-Tage-Frist für serious incidents, 30 Tage für trends), MDCG 2019-11 (Klassifikation MDSW Medical Device Software), IEC 62304 (Software-Lifecycle), ISO 13485 (Medical Device Quality Management), Post-Market-Surveillance-Plan (PMS) gemäß Art. 83-86. Plus FDA 21 CFR Part 820 für US-Markt-Vigilance, falls Hamburger Medtech-Hersteller US-Lizenz hat. Notified-Body-Audits durch TÜV SÜD, BSI, DEKRA mit jährlichem Surveillance + 5-jährlichem Re-Certification.

Q: Wie wird die 15-Tage-Frist für Severity-Klassifikation eingehalten?

Service-Tickets aus 64 Ländern eingehend, häufig in Englisch mit Local-Language-Mix (Spanisch aus Lateinamerika, Portugiesisch aus Brasilien, Japanisch). Decision-Layer-Pattern: REGELWERK-Schritt prüft Frist-Status (Tag 1 von 15) und Pflichtfelder (Produkt, Seriennummer, Vorfall-Beschreibung). KI AUTONOM klassifiziert Severity nach MDCG 2019-11 (B/C/D-Skala), Sprach-Erkennung, Symptom-Match gegen Risk-Management-File. MENSCH-Pflicht bei Severity B (Serious Incident) - Compliance-Officer prüft, BfArM-Reporting wird vorbereitet. Bei Severity D (Reportable Field Safety Corrective Action) automatischer Escalation-Pfad.

Q: Wie wird IEC 62304 Software-Lifecycle bei Firmware-Updates abgebildet?

Endoskop-Firmware-Update bedeutet IEC 62304 Software-Lifecycle-Doku-Aktualisierung, Risiko-Reassessment, Notified-Body-Notifikation. Aktueller Vorlauf: 14 Wochen pro Update, Kunden warten. Decision-Layer hinterlegt IEC 62304 Software-Safety-Class (A/B/C) als Constraint, automatisiert Verification + Validation Records, generiert Risk-Management-File-Updates. Notified-Body-Notifikation strukturiert mit Audit-Trail. Mensch-Pflicht beim Risk-Acceptance-Decision durch Risk-Manager.

Q: Was ist mit dem HmbBfDI-Brief 2026-02 zu KI in Medizinprodukten?

Die Hamburgische Datenschutzaufsicht hat im Februar 2026 einen Forderungskatalog zu Algorithmen-Transparenz bei KI-gestützter Bilddiagnostik publiziert. Forderungen: Erklärbarkeit der Diagnose-Entscheidungen, Audit-Trail über Trainings-Daten, Notified-Body-zertifizierte Risk-Bewertung. Decision-Layer-Architektur erfüllt diese Anforderungen: jede KI-Bildbewertung mit Modell-Version, Input-Hash, Confidence-Score, Eskalations-Pfad an Radiologen bei niedriger Confidence. Plus DSGVO Art. 22 Anfechtungsrecht für betroffene Patienten.

Q: Adressiert der Decision-Layer auch Notified-Body-Audit-Vorbereitung mit ISO 13485?

Ja. ISO 13485 ist Pflicht-QMS-Standard für CE-zertifizierte Medizinprodukte. Decision-Layer ist als Software innerhalb des QMS klassifiziert (nicht extern). IEC 62304 Software-Safety-Class wird im Discovery-Workshop festgelegt (typisch Class B für Vigilance-Workflow-Tools). MDR Annex IX/X Konformitätsbewertung dokumentiert. Post-Market-Surveillance-Plan (PMS), PSUR und Trending werden integriert. Bei Notified-Body-Audit (TÜV SÜD/BSI/DEKRA) ist 1-Klick-Export der Audit-Trail-Sicht möglich.

MDR-Vigilance-Tickets aus 64 Ländern in 15-Tage-Frist. Severity-Klassifikation, BfArM-Reporting, IEC 62304, ISO 13485. Notified-Body-Audit-vorbereitet.

Workshop am Grindelberg Alle 7 Use-Cases ←

Kapitel 1 — Die 15-Tage-Frist als Engpass

80 Service-Tickets pro Tag aus 64 Ländern. Severity-Klassifikation in 15 Tagen Pflicht.

Hamburger Medtech-Hersteller (Endoskopie-Schwerpunkt, ~1.200 MA, davon 240 in Service/Außendienst weltweit) verarbeitet 80 Service-Tickets pro Tag aus 64 Ländern. Englisch-Hauptkanal mit Local-Language-Mix: Spanisch aus Lateinamerika, Portugiesisch aus Brasilien, Japanisch. MDR EU 2017/745 Art. 87 verlangt Severity-Klassifikation und BfArM-Reporting innerhalb von 15 Tagen für serious incidents, 30 Tagen für trends.

Aktuelle Praxis: 4 MA Vollzeit Compliance-Team, Wochenend-Bereitschaft kritisch. Severity-Klassifikation nach MDCG 2019-11 (B/C/D-Skala). Bei Severity B (Serious Incident: Tod, lebensbedrohlich, dauerhafte Beeinträchtigung) automatisches BfArM-Reporting. Bei Severity D (Reportable Field Safety Corrective Action) Field-Safety-Corrective-Action-Pfad mit Notified-Body-Notifikation.

Decision-Layer-Split typisch für MDR-Vigilance-Triage: 50 Prozent REGELWERK (15-Tage-Frist-Status, BfArM-Klassifikations-Trees, Pflichtfeld-Validierung Produkt/Seriennr/Vorfall), 30 Prozent KI AUTONOM (Sprach-Erkennung, Severity-Match gegen Risk-Management-File, Symptom-Klassifikation), 20 Prozent MENSCH (Vorfall-Bewertung Severity B, Notified-Body-Eskalation, Trend-Analyse bei wiederholten Vorfällen).

Im Februar 2026 hat die Hamburgische Datenschutzaufsicht einen Forderungskatalog zu KI in Medizinprodukten publiziert - Algorithmen-Transparenz bei Bilddiagnostik, Audit-Trail über Trainings-Daten, Notified-Body-zertifizierte Risk-Bewertung. Decision-Layer-Architektur erfüllt diese Anforderungen architektonisch.

Kapitel 2 — Decision-Record für ein MDR-Vigilance-Ticket

Wie ein eingehender Service-Ticket aus Sao Paulo im Decision-Layer triagiert wird.

Anonymisierter Decision-Record für ein eingehendes Service-Ticket aus Brasilien (Sao Paulo) bei einem Hamburger Endoskopie-Hersteller. Ticket-Eingang Tag 1 von 15. Severity-Klassifikation und BfArM-Reporting-Vorbereitung.

VIG-2026-05-15-BR-SP-EN450-014

Service-Ticket · Endoskop EN450 · Sao Paulo BR · Eingang 15.05.2026 09:18 · Tag 1 von 15

Ergebnis Severity B Vermutung · BfArM-Reporting eingeleitet

01 REGEL

Eingangs-Validierung + Frist-Start

Ticket aus Brasilien (Service-Center Sao Paulo) per Standard-Form. Pflichtfelder Produkt (EN450), Seriennummer (SN-2024-0488123), Vorfall-Beschreibung in PT-BR. Frist-Start 15.05.2026 09:18, Tag 1 von 15. Regel vig_eingang_v3.4.

✓ Eingang gültig
02 KI

Sprach-Erkennung + Übersetzung

Vorfall-Beschreibung in PT-BR (Portugiesisch Brasilien) erkannt. Übersetzung in EN für interne Triage. Original PT-BR bleibt für Audit-Trail. Modell multilingual-medtech-v3.1.

Confidence 0.96 · Schwelle 0.85

✓ Übersetzt
03 KI

Symptom-Klassifikation gegen Risk-Management-File

Beschriebenes Symptom (Endoskop-Überhitzung während Eingriff, Patient-Verletzung Grad 2) gegen Risk-Management-File des Produkts EN450 gemappt. Match: Risk-ID R-EN450-007 (Thermal Hazard). Modell medtech-symptom-classifier-v2.5.

Confidence 0.91 · Schwelle 0.85

✓ Risk R-EN450-007
04 REGEL

MDCG-2019-11-Klassifikation

Patient-Verletzung Grad 2 + Thermal Hazard + Eingriff-relevant = Severity B (Serious Incident: dauerhafte Beeinträchtigung möglich). Klassifikations-Tree gemäß MDCG 2019-11. Regel mdcg_2019_11_v1.7.

▲ Severity B
05 MENSCH

Compliance-Officer Pflicht-Review

Pflicht-Stop bei Severity B Vermutung. Compliance-Officer Frau B. (MDR-zertifiziert) erhält strukturierten Datensatz mit Symptom, Risk-ID, Sprache-Original und Klassifikations-Begründung. Bestätigt Severity B nach 35 Min Review. Dokumentiert mit Zeitstempel.

✓ Severity B bestätigt
06 REGEL

BfArM-Reporting-Vorbereitung

Severity B löst BfArM-Reporting innerhalb 15 Tagen aus (Tag 1 läuft). Strukturierter Datensatz für BfArM-Pflicht-Form generiert (Produkt, Seriennummer, Vorfall, Patient-Status, Risk-Klassifikation, Hersteller-Maßnahmen). Regel bfarm_reporting_v4.2.

✓ BfArM-Form vorbefüllt
07 KI

Trend-Analyse gegen Vorvorfall-Datenbank

Symptom + Produkt + Risk-ID gegen letzte 24-Monate-Vorfälle abgeglichen. 2 ähnliche Vorfälle (Lima 2024-11, Frankfurt 2025-08). Trend-Indikator: 'wachsend' nicht erfüllt (3/24 Monate < Trend-Schwelle 5/24). Modell trend-analyzer-v2.0.

✓ Kein Trend
08 REGEL

PMS-Update + Notified-Body-Pre-Notification

Vorfall in Post-Market-Surveillance-Plan integriert. PSUR-Update für nächste Periode vorgemerkt. TÜV SÜD (Notified Body für EN450) erhält Pre-Notification mit Tracking-ID (Pflicht bei Severity B). Regel pms_psur_v3.1.

✓ PMS aktualisiert
09 REGEL

Audit-Trail + ISO-13485-QMS-Persist

Vollständiger Decision-Record mit Modell-Versionen, Input-Hashes, Mensch-Eingriff (Frau B. Zeitstempel + Begründung), BfArM-Reporting-Status persistiert. Audit-Trail-Sicht für Notified-Body-Surveillance-Audit. ISO 13485 QMS-Record automatisch erstellt. Regel iso13485_audit_v1.4.

✓ Audit-Trail persistiert

Kapitel 3 — IEC 62304 + Notified-Body-Workshop am Grindelberg

Hauptsitz Hallerstrasse 8 - 12 Min nach Hamburg-Mitte zum Medtech-Cluster.

Hauptsitz Hallerstraße 8 ist 12 Min mit dem Auto im Hamburg-Mitte-Medtech-Cluster (Endoskopie-Hersteller, Imaging-Spezialisten, Klinik-Suppliers). Vor-Ort-Termine bei Compliance-Officern oder Notified-Body-Auditoren im selben Tag erreichbar. Engineering-Counterpart sitzt in Hamburg, kennt MDR-Realität, nicht in Berlin oder München.

IEC 62304 Software-Lifecycle: Decision-Layer ist als Software innerhalb des QMS klassifiziert (nicht extern). Software-Safety-Class wird im Discovery-Workshop festgelegt - typisch Class B für Vigilance-Workflow-Tools (no-injury direct, but possible indirect impact). Verification + Validation Records werden automatisiert, Risk-Management-File-Updates strukturiert generiert. Bei Firmware-Updates des Medtech-Produkts trägt der Decision-Layer parallel die Lifecycle-Doku-Aktualisierung.

Workshop am Grindelberg adressiert Notified-Body-Realität: TÜV-SÜD-/BSI-/DEKRA-Auditor-Trainings im separaten Raum mit Audit-Trail-Live-Demo. Compliance-Officer mit MDR-Vigilance-Klassifikations-Walkthrough. ISO-13485-QMS-Integration mit Mock-Surveillance-Audit. Quellcode des Decision-Layers geht mit Repository-Übergabe an den Medtech-Hersteller - inklusive QMS-Dokumentation für Notified-Body-Surveillance.

Optional Medtech-Co-Pilot: Bei Bedarf bringen wir Notified-Body-erfahrene Compliance-Beratung (z.B. Johner-Institut-Partnerschaft, MT-Procons) als Co-Pilot in den Workshop mit - für QMS-Konformitäts-Bewertung, MDR-Audit-Prep, IEC-62304-Reviews. Decision-Layer bleibt Gosign-Naturraum, Compliance-Beratung Co-Pilot.

Verwandte Use-Cases

Häufige Fragen

Welche MDR-Regulatorien deckt der Decision-Layer ab?

MDR EU 2017/745 (Medizinprodukte-Verordnung), insbesondere Art. 87 (Vigilance-Reporting mit 15-Tage-Frist für serious incidents, 30 Tage für trends), MDCG 2019-11 (Klassifikation MDSW Medical Device Software), IEC 62304 (Software-Lifecycle), ISO 13485 (Medical Device Quality Management), Post-Market-Surveillance-Plan (PMS) gemäß Art. 83-86. Plus FDA 21 CFR Part 820 für US-Markt-Vigilance, falls Hamburger Medtech-Hersteller US-Lizenz hat. Notified-Body-Audits durch TÜV SÜD, BSI, DEKRA mit jährlichem Surveillance + 5-jährlichem Re-Certification.

Wie wird die 15-Tage-Frist für Severity-Klassifikation eingehalten?

Service-Tickets aus 64 Ländern eingehend, häufig in Englisch mit Local-Language-Mix (Spanisch aus Lateinamerika, Portugiesisch aus Brasilien, Japanisch). Decision-Layer-Pattern: REGELWERK-Schritt prüft Frist-Status (Tag 1 von 15) und Pflichtfelder (Produkt, Seriennummer, Vorfall-Beschreibung). KI AUTONOM klassifiziert Severity nach MDCG 2019-11 (B/C/D-Skala), Sprach-Erkennung, Symptom-Match gegen Risk-Management-File. MENSCH-Pflicht bei Severity B (Serious Incident) - Compliance-Officer prüft, BfArM-Reporting wird vorbereitet. Bei Severity D (Reportable Field Safety Corrective Action) automatischer Escalation-Pfad.

Wie wird IEC 62304 Software-Lifecycle bei Firmware-Updates abgebildet?

Endoskop-Firmware-Update bedeutet IEC 62304 Software-Lifecycle-Doku-Aktualisierung, Risiko-Reassessment, Notified-Body-Notifikation. Aktueller Vorlauf: 14 Wochen pro Update, Kunden warten. Decision-Layer hinterlegt IEC 62304 Software-Safety-Class (A/B/C) als Constraint, automatisiert Verification + Validation Records, generiert Risk-Management-File-Updates. Notified-Body-Notifikation strukturiert mit Audit-Trail. Mensch-Pflicht beim Risk-Acceptance-Decision durch Risk-Manager.

Was ist mit dem HmbBfDI-Brief 2026-02 zu KI in Medizinprodukten?

Die Hamburgische Datenschutzaufsicht hat im Februar 2026 einen Forderungskatalog zu Algorithmen-Transparenz bei KI-gestützter Bilddiagnostik publiziert. Forderungen: Erklärbarkeit der Diagnose-Entscheidungen, Audit-Trail über Trainings-Daten, Notified-Body-zertifizierte Risk-Bewertung. Decision-Layer-Architektur erfüllt diese Anforderungen: jede KI-Bildbewertung mit Modell-Version, Input-Hash, Confidence-Score, Eskalations-Pfad an Radiologen bei niedriger Confidence. Plus DSGVO Art. 22 Anfechtungsrecht für betroffene Patienten.

Adressiert der Decision-Layer auch Notified-Body-Audit-Vorbereitung mit ISO 13485?

Ja. ISO 13485 ist Pflicht-QMS-Standard für CE-zertifizierte Medizinprodukte. Decision-Layer ist als Software innerhalb des QMS klassifiziert (nicht extern). IEC 62304 Software-Safety-Class wird im Discovery-Workshop festgelegt (typisch Class B für Vigilance-Workflow-Tools). MDR Annex IX/X Konformitätsbewertung dokumentiert. Post-Market-Surveillance-Plan (PMS), PSUR und Trending werden integriert. Bei Notified-Body-Audit (TÜV SÜD/BSI/DEKRA) ist 1-Klick-Export der Audit-Trail-Sicht möglich.

Workshop am Grindelberg vereinbaren

3 Tage Discovery: Tag 1 Prozessanalyse, Tag 2 Decision-Layer-Mapping, Tag 3 Use-Case-Priorisierung. Konkretes Liefer-Artefakt.

Termin vereinbaren

Discovery-Workshop unter 10.000 €. Pilot-Festpreis besprechen wir nach dem Workshop.

← Zur Übersicht: AI Agents Hamburg (7 Use-Cases)