Die Zertifizierung des Qualitätsmanagementsystems sowie die Erlangung der CE-Kennzeichnung für ihr Produkt sind wichtige Meilensteine für zukünftige Medizinproduktehersteller. Der Notified Body – oder auf Deutsch: die Benannte Stelle – nimmt in diesem Prozess als Prüfinstanz eine zentrale Rolle ein. Wir waren mit Dietmar Schaffarczyk, Auditor bei QS Schaffhausen AG / QS Services Ltd, im Gespräch, um mehr über die Perspektive eines Notified Body (NB) und dessen Erwartungen an junge MedTech-Startups sowie hilfreiche Tipps für diese zu erfahren.
Beginnen wir mit einem häufigen Missverständnis. Viele glauben, ein Notified Body könne direkte Beratung bieten. Können Sie dieses Missverständnis aufklären?
Dietmar Schaffarczyk: Natürlich. Es ist wichtig zu verstehen, dass unsere Hauptaufgabe die Bewertung und Zertifizierung gemäß den festgelegten regulatorischen Anforderungen ist, wie etwa ISO 13485, MDR/IVDR und ISO 27001. Wir können und dürfen keine direkte Beratung im Sinne einer Unternehmensberatung anbieten. Das bedeutet, wir können nicht aktiv in die Entwicklung oder Umsetzung der Qualitätsmanagementsysteme unserer Klient:innen eingreifen oder spezifische Lösungen für ihre Herausforderungen empfehlen. Unsere Rolle ist es, zu bewerten und zu bestätigen, dass deren Produkte und Systeme den regulatorischen Anforderungen entsprechen. Diese Unabhängigkeit ist wichtig, um den autarken, kritischen Blick wahren zu können.
Ein Notified Body ist eine Organisation, die von einer nationalen Akkreditierungsstelle benannt wurde, um Konformitätsbewertungsverfahren durchzuführen. Diese Verfahren sind entscheidend für Hersteller von Medizinprodukten, um zu beweisen, dass ihre Produkte den in der ISO 13485, der Medizinprodukteverordnung (MDR) bzw. der Verordnung über In-vitro-Diagnostika (IVDR) festgelegten Anforderungen entsprechen. Ihre Rolle besteht darin, die Qualitätssysteme, das Risikomanagement, die klinische Bewertung und sogar die IT-Sicherheitspraktiken im Zusammenhang mit ISO 27001 zu bewerten und zu zertifizieren.
Es scheint, als ob der Notified Body weit mehr als nur eine Prüfinstanz ist. Wie nähern Sie sich Startups, um sie durch diesen komplexen Prozess zu führen?
DS: Wir verstehen uns als NB nicht nur als Prüfinstanz, sondern auch als Partner. Unser Ziel ist es, Startups durch den gesamten Zertifizierungsprozess zu begleiten und sicherzustellen, dass sie die regulatorischen Anforderungen vollständig verstehen und erfüllen. Dabei respektieren wir sicherlich auch den momentanen Status eines Unternehmens. Ein Global Player ist anders zu beurteilen als ein Startup, in dem zwei oder drei Personen mit den unterschiedlichsten Themen beschäftigt sind. Das darf aber nicht als mögliche Entschuldigung missverstanden werden: Auch kleinste Unternehmen müssen den Regularien genügen. Die Umsetzung jedoch wird unterschiedlich sein und wird von uns auch respektiert werden.
Können Sie auf die Teamunterstützung hinter einem Notified Body eingehen?
DS: Hinter jedem Notified Body steht ein Team von Expert:innen aus verschiedenen Fachgebieten, die zusammenarbeiten, um eine umfassende Bewertung zu bieten. Dieses Team umfasst Spezialist:innen für unterschiedliche Produktgruppen, Technologien, Entwicklungsphasen und natürlich auch für spezifische Standards wie die ISO 13485 und ISO 27001, ISO 62304, ISO 14971, ISO 62366, um nur einige, wenige zu nennen. Unsere Expert:innen bringen tiefgreifendes technisches Verständnis, klinische Erfahrung und Kenntnisse der regulatorischen und technischen Landschaft mit. Diese multidisziplinäre Unterstützung ermöglicht es uns, Produkte umfassend zu bewerten.
Wie sollten Startups in der Medizintechnik dann vorgehen, um die notwendigen Kenntnisse und das Verständnis für diese Anforderungen zu entwickeln?
DS: Es ist empfehlenswert, dass Startups mit externen Expert:innen zusammenarbeiten, wie beispielsweise dem MII, die auf die Beratung und Unterstützung im Bereich der Medizinprodukteentwicklung und -zertifizierung spezialisiert sind. Diese Institute können wertvolle Einblicke und praktische Anleitungen bieten, um ein grundlegendes Verständnis der regulatorischen Landschaft zu entwickeln. Darüber hinaus können sie bei der Implementierung der notwendigen Prozesse und Systeme helfen, um Konformität sicherzustellen. Da sie Zertifizierungsprozesse schon mehrfach begleitet haben, wissen sie worauf wir als Auditor:innen Wert legen.
Warum ist es für Startups zusätzlich wichtig, Regulatory-Know-how intern im Unternehmen aufzubauen?
DS: Ein tiefes Verständnis der regulatorischen Anforderungen und der Prozesse, die zur Erfüllung dieser Anforderungen notwendig sind, ist entscheidend für den langfristigen Erfolg eines MedTech-Startups. Nicht nur, um die anfängliche Zertifizierung zu erlangen, sondern auch um die kontinuierliche Einhaltung der Vorschriften zu gewährleisten. So kann dauerhaft die Sicherheit und Qualität des Medizinprodukts sichergestellt werden. Dafür ist unter anderem die Entwicklung und Aufrechterhaltung eines wirksamen Qualitätsmanagementsystems, das Risikomanagement sowie eine fortlaufende klinische Bewertung und Marktüberwachung nötig. Internes Know-how ermöglicht es Startups, agil und proaktiv auf Veränderungen in der regulatorischen Umgebung zu reagieren und Innovationen schneller und sicherer auf den Markt zu bringen. Und zu guter Letzt: Nur wer selbst über ein Verständnis für regulatorische Anforderungen und deren Zusammenhänge verfügt, kann auf Augenhöhe mit externen Berater:innen und Auditor:innen ins Gespräch kommen.
Stichwort ins Gespräch kommen – wann und wie geht man als Startup am besten auf einen Notified Body zu?
DS: Wie und wann – das ist eine schwierige Frage, um sie allgemeingültig zu beantworten. Wichtig ist auf alle Fälle zu beachten, dass auch ein NB oder CB (Certification Body) ein „kritischer Dienstleister“ im Sinne der ISO 13485:2016 darstellt. Daher ist es unerlässlich, Benannte Stellen rechtzeitig zu evaluieren: Passt der Scope des NB zum Produkt meines Unternehmens? Wo ist der Sitz des NB? Ergeben sich vielleicht unerwünschte Reise- und Übernachtungskosten, weil z.B. der NB im Ausland seinen Sitz hat? Wie ist die Response-Zeit des NB auf eine unverbindliche Anfrage? Welche Gebühren und Kosten fallen NB-seitig an? Es ist wichtig, sich rechtzeitig ein umfängliches Bild der NB/CB-Landschaft zu machen. Für die Firmenzertifizierung sollte das eigene QMS nach ISO 13485:2016 mindestens zu 65% implementiert sein, bevor man einen NB oder CB unverbindlich anspricht. Die Dokumente sollten zu 85% implementiert sein, wenn man den Auftrag erteilt. Für das Stage 1 Audit muss zudem bereits ein Internes Audit abgeschlossen und ausgewertet sowie die Management Review durchgeführt worden sein.
Abschließend, welchen Rat würden Sie Startups geben, die sich auf den Weg der Zertifizierung machen?
DS: Mein wichtigster Rat wäre, die regulatorischen Anforderungen nicht als Hindernis, sondern als Chance zu sehen. Die Einhaltung dieser Anforderungen gewährleistet nicht nur die Sicherheit und Wirksamkeit ihrer Produkte, sondern stärkt auch das Vertrauen der Kund:innen und Patient:innen in ihre Marke. Daher mein Appell an alle MedTech-Gründer:innen: Beginnen Sie frühzeitig mit der Planung Ihrer regulatorischen Roadmap, suchen Sie aktiv den Dialog mit erfahrenen Berater:innen und nutzen Sie die Ressourcen, die Ihnen zur Verfügung stehen, um diese Herausforderungen zu meistern. Und vergessen Sie nicht, dass der Aufbau internen Know-hows in regulatorischen Angelegenheiten ein entscheidender Schritt auf diesem Weg ist.
Wir bedanken uns herzliche bei Dietmar Schaffarczyk für seine Einblick aus Sicht als Auditors und halten fest: Frühzeitig die C2-Certification-Roadmap planen, den richtigen NB für das eigene Vorhaben identifizieren und Dokumente ausreichend vorbereiten, bevor man auf den NB zugeht. Beim MII unterstützen wir MedTech-Startups dabei, diese Meilensteine zu meistern – zeiteffizient und mit ganzheitlichem Blick auf das Geschäftsmodell!
Univ.-Doz. (ETH) Dietmar Schaffarczyk arbeitet als Dipl. Lead Auditor und Lead Technical Assessor für die QS Schaffhausen AG (CB) und für die QS Services Ltd. (CB/NB). Er lehrt Regultory Thinking an der ETH Zürich, D-HEST sowie Regulatory Compliance an der Carinthia University of Applied Sciences, Austria. Dietmar ist Coach beim MII und 4C Accelerator und als Managing Partner an mehreren Medizintechnikunternehmen beteiligt. Mehr über Dietmar Schaffarczyk erfahrt ihr hier.
