Gefährdung und Gefährdungssitation

28. September 2018

Expert: Christian Rosenzweig

Obwohl die ISO 14971 die Begriffe Gefährdung und Gefährdungssituation definiert, fällt es Medizinprodukte-Herstellern oft schwer, Sachverhalte den beiden Begriffen zuzuordnen. Dieser Artikel gibt Hilfestellung.

Inhaltsübersicht
Definition der Begriffe »
Beispiele für Gefährdungen »
Typische Fehler »

Definition von Gefährdung und Gefährdungssituation

Die ISO 14971 definiert:

Gefährdung: Potenzielle Schadensquelle
Gefährdungssituation: Umstände unter denen Menschen, Güter oder die Umwelt einer oder mehreren Gefährdungen ausgesetzt sind

Beispiele für Gefährdungen

Gefährdungen sind definitionsgemäß potentielle Schadensquellen. Man kann der Norm uneingeschränkt zustimmen, dass Viren, ionisierende Strahlung und sich bewegende Teile potentielle Schadensquellen sind. Aber eine Bedienungsanleitung? Eine unzureichende Spezifikation der Zweckbestimmung?

Das können Gründe sein, Glieder einer Ursachenkette, an deren Ende eine Gefährdung, dann eine Gefährdungssituation und dann ein Schaden steht.

Die ISO 14971 nennt als Beispiele für Gefährdungen:

Chemische Gefährdungen
Elektrische Energie
Mechanische Energie
Elektromagnetische Strahlung
Thermische Gefährdung
Biologische Gefährdungen
Gefährdungen durch (falsche) Informationen wie Handbücher oder Anzeigen.

Das letzte Beispiel führt häufig zur Verwirrung, denn durch eine falsche Information oder falsche Anzeige ist noch nie jemand — direkt — zu Schaden gekommen. Vielmehr war die Information oder Anzeige ein Element eine Ursachenkette, die letztlich zu einer Gefährdung führt.

Daher empfehlen wir folgende Ergänzung der Definition von Gefährdung:

Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.

Typische Fehler beim Umgang mit dem Begriff „Gefährdung“

Einführendes Beispiel

Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?

Das ist eine sehr gute Frage! Hier scheiden sich manchmal die Geister, weil eine präzise Definition fehlt. Die ISO 14971 spricht nur davon, dass eine Gefährdung eine potenzielle Schadensquelle sei. Damit macht sie aber nicht klar, welches Element einer Ursachenkette gemeint ist.

Daher kann man die Sache mit einer weiteren Definition klarstellen: Die Gefährdung ist das letzte Element einer Ursachenkette vor der Gefährdungssituation.

Damit sieht die Abfolge wie folgt aus:

Auslösende Ursache: Software-Fehler
Element der folgenden Ursachenkette: Falsche Anzeige eines Medikaments
Gefährdung: Das Medikament (also eine chemische Gefährdung)
Gefährdungssituation: Der Mensch, der diesem falschen Medikament ausgesetzt ist, z.B. bei der Einnahme
Schaden: allergischer Schock

Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.

Nun gibt es Firmen, denen solche Konzepte zu „hoch“ sind und daher als Gefährdung immer das nach außen sichtbare Fehlverhalten des Geräts wählen. Das wäre in diesem Fall die falsche Anzeige. Bei physikalischen Größen wie Strom, Temperatur, scharfen Kanten stimmt das mit der oben genannten ergänzten Definition überein. Bei Informationen in der Regel aber nicht.

Auch die Festlegung, dass die Gefährdung dem äußeren Fehlverhalten entspricht ist eine nützlich. Wichtig ist, dass die Hersteller sich auf eine Festlegung einigen.

Begriffsverwirrungen

Ein Blick in die Risikomanagementakte vieler Medizintechnikhersteller offenbart, dass bereits die Grundlagen des Risikomanagements nicht ganz verstanden sind: In den Tabellen, welche die Risiken, deren Ursachen und Gegenmaßnahme miteinander verknüpfen, werden Ursachen mit Gefährdungen, Gefährdungen mit Gefährdungssituationen und Risiken mit Schäden verwechselt. Entsprechend unstrukturiert sehen die Akten aus, entsprechend chaotisch sind Gegenmaßnahmen mit Risiken verknüpft. Ein Einfallstor für Auditoren.

Für Hersteller ist die Erkenntnis oft überraschend, dass nicht mehr ihr Produkt die Gefährdung darstellen muss, insbesondere bei Benutzungsschnittstellen, die nicht gebrauchstauglich sind oder sogar falsche Daten anzeigen.

Innere und äußere Ursachenkette

In der klassischen Medizintechnik stellt nämlich immer die Außenkante des Medizinprodukts die Gefährdung dar:

Das heiße Gehäuse (thermische Gefährdung)
Das unter Spannung stehende Gehäuse (Gefährdung durch elektrische Energie)
Die scharfe Kante (mechanische Gefährdung)

Nun kann es passieren, dass eine falsche Anzeige z.B. einer Medikamentendosis bei einem klinischen Informationssystem zu der Einnahme eines falschen Medikaments führt. D.h. nicht das Informationssystem stellt die Gefährdung dar, sonder das falsche Medikament (chemische Gefährdung). Dennoch muss der Hersteller diese Gefährdungen im Rahmen der Risikoanalyse analysieren und bewerten.

Weitere Erläuterungen

Der Auditgarant hilft Ihnen mit über einem Dutzend Videotrainings Schritt für Schritt

die Definitionen in Ihrer Risikomanagementakte korrekt zu verwenden,
Gefährdungen mit Verfahren wie der PHA, FMEA und FTA systematisch zu analysieren und identifizieren,
geeignete Maßnahmen zu wählen, umzusetzen und zu validieren und
eine ISO 14971 konforme Risikomanagementakte zu erstellen und damit im Audit erfolgreich zu sein.

Videotrainings im Auditgarant ansehen

Beispiele für Gefährdungen durch Medizinprodukte

Kennen Sie die Veröffentlichung „TOP 10 HEALTH TECHNOLOGY HAZARDS FOR 2018“?

Fast jede zweite Gefährdung hat mehr oder weniger direkt mit Software zu tun.

Alarm hazards
Medication administration errors using infusion pumps
Unnecessary exposures and radiation burns from diagnostic radiology procedures
Patient/data mismatches in EHRs and other health IT systems
Interoperability failures with medical devices and health IT systems
Air embolism hazards
Inattention to the needs of pediatric patients when using “adult” technologies
Inadequate reprocessing of endoscopic devices and surgical instruments
Caregiver distractions from smartphones and other mobile devices
Surgical fires

Werden wir diesen Gefährdungen wirklich gerecht? Der Blick in manche Risikomanagementakte lässt mich zweifeln.

PS: Als Leser des ganzen Beitrags wissen Sie aber, dass obige Liste Gefährdungen und Ursachen für Gefährdungen vermischt…

9 Kommentare

Bruno Gretler sagt:

23. September 2018 um 17:23 Uhr

Hallo Christian
Eventl sollte folgender Textteil geringfügig richtig gestellt werden…

Textabschnitt: Typische Fehler beim Umgang mit dem Begriff „Gefährdung“

Die Eingangsfrage lautet:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung, fragt mich ein Beratungskunde. Die fehlerhafte Software oder die falsche Anzeige?
…
Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das fehlerhaft (dosierte Medikament).

Aus meiner Sicht sollte entweder die Frage oder die Antwort in diesem Beispiel angepasst werden.

Eingangsfrage:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsche Dosis eines Medikamentes anzeigt.
…

Oder:
Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software eine falsches Medikament anzeigt.
…

Die Antwort dann entsprechend…
– falsche dosiertes Medikament oder
– falsches Medikament

Liebe Grüsse,
Bruno

Antworten
- Prof. Dr. Christian Johner sagt:
  
  23. September 2018 um 17:40 Uhr
  
  Danke, lieber Bruno! Das bist Du noch auf einen uralten Beitrag gestoßen, der dringend der Aktualisierung bedarf. Ich habe das weitgehend schon getan, mache mich aber nochmals ans Werk. Danke!
  Liebe Grüße, Christian
  
  Antworten
Ulrich Günther sagt:

9. September 2020 um 10:14 Uhr

Sehr geehrter Herr Johner,

ich stimme Ihrer Feststellung zu, dass die Definition der „Gefährdung“ wirklich sehr schwer ist. Aus diesem Grund würde ich in Ihrem Beispiel die Gefährdung wahrscheinlich auch woanders sehen:

Das Beispiel lautet:
„Angenommen ein Patient kommt zu Schaden, weil eine stand-alone Software ein falsches Medikament anzeigt. Was ist dann die Gefährdung? Die fehlerhafte Software oder die falsche Anzeige?“

Ihre Antwort dafür lautet:
„Die Antwort auf die eingangs gestellte Frage lautet somit: Weder noch. Es ist das (fehlerhafte) Medikament.“

Ich denke, es können hier zwei Szenarien für die Bewertung unterschieden werden:

– Wenn man die Risikobetrachtung „nur“ für die Software vornimmt, dann wäre meine Analyse: Die Gefährdung liegt in der Funktion „Anzeigen eines Medikaments“. Denn sowohl „fehlerhafte Software“ sowie „falsche Anzeige“ sind ja bereits real gewordene Gefährdungssituationen. Das entspricht am meisten einem Besipiel für mechanische Gefährdung durch Lagern schwerer Güter in größeren Höhen, bei dem das Risiko „Person wird durch herabfallende Güter verletzt“ sich vermeiden ließe, indem direkt an der Gefährdung angegriffen wird und die Güter auf dem Boden gelagert werden. In Ihrem Beispiel ließe sich das Risiko vermeiden, indem direkt an der Gefährdung angegriffen wird und kein Medikament angezeigt wird, sondern z.B. „nur“ ein Diagnosehinweis oder ein Messwert. (Das ist ein gutes Beispiel der zunehmenden Verantwortungsübernahme durch eine Software, derer sich jeder Software-Entwickler bewusst sein sollte: Anzeigen eines nackten Messwerts (geringste Verantwortung) -> Anzeigen eines Analyseergebnis -> Anzeige einer Diagnose -> Anzeige einer Medikamentierung -> Start einer Behandlung, z.B. Infusion (höchste Verantwortung))

– Erweitert man die Betrachtung auf den ganzen Prozess bis zum Schaden des Patienten kann man die Gefährdung natürlich in der Verwendung eines Medikaments sehen (auch hier ist das falsche Medikament bereits wieder der Beginn einer realgewordenen Gefährdungssituationskette), man kann aber auch als Gefährdung die Verwendung einer Software für die Definition eines Medikaments sehen.

Für mich eine wichtige Frage in dieser Diskussion ist allerdings, in wieweit eine scharfe, genaue Definition zur der Qualität einer Risikoanalyse beiträgt. Sicherlich kann es die Übersichtlichkeit steigern, aber wichtiger scheint mir die Identifizierung von Gefährdungssituationen und den damit verbundenen Risiken (Schaden x Auftretenswahrscheinlichkeit) und daraus resultierend geeignete Gegenmaßnahmen, gleichgültig, ob sie an der Gefährdung oder der Gefährdungssituation angreifen.

Mit Grüßen

Ulrich Günther

Antworten
- Prof. Dr. Christian Johner sagt:
  
  9. September 2020 um 14:51 Uhr
  Sehr geehrter Herr Günther,
  
  danke für die wichtige Nachfrage!
  
  Wir haben diese Diskussion, da die Norm uns von Seiten der Definition etwas alleine lässt. Die Definition erlaubt sowohl das Medikament als auch die falsche Anzeige als Gefährdung zuzulassen.
  
  D.h. man benötigt eigene Definitionen, die die obige Definition präzisieren, um zu konsistenten Akten zu gelangen. Beispiele für diese Ergänzungen sind:
  1. Gefährdung := letztes Element der Ursachenkette vor der Gefährdungssituation. Dann ist das Medikament die Gefährdung.
  2. Gefährdung := äußeres Fehlverhalten des Produkts. Dann ist die falsche Anzeige die Gefährdung.
  Die genaue Festlegung ist deshalb wichtig, weil sonst inkonsistente Daten in der Akte landen, was wiederum zu unvollständigen weil unsystematischen Analysen führen kann.
  
  Konnte ich Ihre Frage beantworten? Falls nicht, dann haken Sie einfach nach.
  
  Beste Grüße, Christian Johner
  Antworten
Markus Misselwitz sagt:

21. April 2021 um 10:26 Uhr

Stellt der unberechtige Abfluss von Patientendaten auch eine Gefährung dar? Ständig rutschen in unsere Analyse Datenschutzthemen (DSGVO, Mandantenfähigkeit) rein, wo ich immer argumentiere, dass von denen keine unmittelbare Gefahren auf Patienten ausgeht. Meiner Meinung sollten nur Gefahren betrachtet werden, die zu einem Vorkommnis führen könnten. Sehen Sie das genauso?

Wie weit muss ich mit der Ursachenkette gehen? Man könnte ja argumentieren, dass die Patientendaten einer prominenten Person durch einen Softwarefehler abgeflossen sind und in einer Zeitung veröffentlicht wurden. Nun ist diese prominente Person depressiv geworden und hat einen Selbsttötungsversuch unternommen.

Antworten
- Prof. Dr. Christian Johner sagt:
  
  21. April 2021 um 17:52 Uhr
  
  Sehr geehrter Herr Misselwitz,
  
  die Frage, ob der Abfluss von Patientendaten eine Gefährdung darstellt, hängt davon ab, wie weit sie die Definition des Begriffs Schaden auslegen.
  
  Die ISO 14971 subsumiert unter dem Schaden nicht nur physische Verletzungen oder Beeinträchtigungen der Gesundheit, sondern auch die Beeinträchtigungen von Gütern oder der Umwelt. Wenn man Geld zu den Gütern zählt, dann müsste man Ihre Frage bejahen.
  
  Ich würde Ihnen aber empfehlen, die körperlichen Schäden und die finanziellen Schäden getrennt zu bewerten und zu betrachten. Sonst kommen Sie beim Thema Risikoakzeptanz in die unschöne Situation, beide Schäden miteinander aufwiegen zu müssen.
  
  Bei der Analyse von Ereignisketten soweit zu gehen, wie Sie es darstellen, halte ich für etwas zu weit hergeholt. Sie landen dann bei sehr kleinen Wahrscheinlichkeiten. Wenn Sie die alle berücksichtigen wollten, würde sich Ihre Risikoanalyse so aufblähen, bis sie kaum noch überblickbar wäre.
  
  Dass Sie aber die rechtlichen Folgen einer Datenschutzverletzung analysieren müssen, steht außer Frage.
  
  Viele Grüße, Christian Johner
  
  Antworten
Alberto Di Benedetto sagt:

17. April 2022 um 22:31 Uhr

Sehr geehrter Herr Prof. Johner,

ich finde die Diskussion rund um die Definition von Gefährdung sehr spannend und möchte mit dem folgenden Beispiel dazu – hoffentlich nicht zur Verwirrung- beitragen:
Das Medizinprodukt „X“ wir vom Anwender falsch bedient. Die falsche Bedienung führt zu einer zu niedrigeren Zugabe des Arzneimittels Y.
Gefährdungssituation: Ein Patient wird behandelt und (durch die Fehlbedienung) bekommt er eine zu niedrige Dosis des Arzneimittels Y.
Gefährdung: „biochemische Gefährdung“ (zu niedrige Dosis eines Arzneimittels).
Die Gefährdung ist nicht der Anwendungsfehler. Der Anwendungsfehler ist ein Element der Ursachenkette.
Sehen Sie das auch so?
Danke und beste Grüße
Alberto Di Benedetto

Antworten
- Prof. Dr. Christian Johner sagt:
  
  18. April 2022 um 09:13 Uhr
  
  Sehr geehrter Herr Di Benedetto,
  
  das ist ein sehr schönes Beispiel, und ich stimme Ihnen völlig zu.
  
  Die sehr breite Definition von Gefährdung hätte zwar erlaubt, den Anwenderfehler auch als solche zu bezeichnen, aber im Artikel ging es mir genau darum, das einzuschränken, um ein handhabbares Konzept zu haben. Sie haben das perfekt aufgegriffen.
  
  Beste Grüße, Christian Johner
  
  Antworten
Alberto Di Benedetto sagt:

18. April 2022 um 19:36 Uhr

Sehr geehrter Herr Prof. Johner,

vielen Dank für Ihre Rückmeldung.
Bezüglich meines Beispiels könnte man vielleicht als Gefährdung „Fehlende Therapie“ angeben. Unter „Fehlende Therapie“ sind alle Gefährdungen zu verstehen, die mit einer nicht erfolgten Therapie zusammenhängen (z.B. unerwünschte biochemische Prozesse im Körper des Patienten). Es ist eine Art Sammelbegriff für alle chemischen und biologischen Vorgängen im Körper des Patienten, die anders als gewünscht stattfinden (das hängt natürlich vom spezifischen Fall ab).

Warum diese Präzisierung? Wenn beispielsweise eine zu hohe Dosis eines Arzneimittels aufgrund eines Anwenderfehlers verabreicht wird, ist die „chemische Gefährdung“ auf das Arzneimittel zurückzuführen. Wird hingegen das Arzneimittel nicht verabreicht, ist die chemische Gefährdung nicht auf das Arzneimittel zurückzuführen sondern auf das Fehlen des Arzneimittels, das heißt auf das Nichtzustandekommen der Therapie. Daher wäre vielleicht beim zweiten Nachdenken eine „fehlende Therapie“ – oder in gewissen Fällen eine verspätete bzw. eine nicht vollständige Therapie – als Gefährdung zu betrachten.

Herzlichen Dank und beste Grüße,
Alberto Di Benedetto

Antworten

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Benutzerdefiniert
Name	Benutzerdefiniert
Anbieter	statcounter.com
Zweck	Diese Website nutzt Funktionen des Webanalysedienstes Statcounter. Anbieter ist die StatCounter, Guinness Enterprise Centre, Taylor's Lane, Dublin 8, Ireland. Statcounter verwendet so genannte "Cookies". Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Statcounter nach Irland übertragen und dort gespeichert. Personenbezogene Daten werden jedoch nicht verwaltet.
Datenschutzerklärung	https://statcounter.com/about/legal/#privacy
Cookie Name	is_unique
Cookie Laufzeit	393 Tage

Akzeptieren	Google Analytics
Name	Google Analytics
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Cookie von Google für Website-Analysen. Erzeugt statistische Daten darüber, wie der Besucher die Website nutzt.
Datenschutzerklärung	https://policies.google.com/privacy?hl=de
Cookie Name	_ga,_gat,_gid
Cookie Laufzeit	2 Jahre

Akzeptieren	HubSpot
Name	HubSpot
Anbieter	HubSpot Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA
Zweck	HubSpot ist ein Verwaltungsdienst für Benutzerdatenbanken bereitgestellt von HubSpot, Inc. Wir nutzen HubSpot auf dieser Website für unsere Online Marketing-Aktivitäten.
Datenschutzerklärung	https://legal.hubspot.com/privacy-policy
Host(s)	*.hubspot.com, hubspot-avatars.s3.amazonaws.com, hubspot-realtime.ably.io, hubspot-rest.ably.io, js.hs-scripts.com
Cookie Name	__hs_opt_out, __hs_d_not_track, hs_ab_test, hs-messages-is-open, hs-messages-hide-welcome-message, __hstc, hubspotutk, __hssc, __hssrc, messagesUtk
Cookie Laufzeit	Sitzung / 30 Minuten / 1 Tag / 1 Jahr / 13 Monate

Akzeptieren	LinkedIn
Name	LinkedIn
Anbieter	LinkedIn
Zweck	Conversion Tracking von LinkedIn
Datenschutzerklärung	https://www.linkedin.com/legal/privacy-policy?trk=content_footer-privacy-policy
Host(s)	.linkedin.com
Cookie Name	li_fat_id, li_giant, VID
Cookie Laufzeit	365

Definition von Gefährdung und Gefährdungssituation

Beispiele für Gefährdungen