Im Dezember 2023 trat der EU Data Act in Kraft. Damit möchte sie einen neuen Rechtsrahmen für den Umgang mit Daten schaffen, der nicht nur US-Techgiganten betrifft. Der EU Data Act wird sich auf viele Firmen auswirken, die Daten verarbeiten. Auch Medizinproduktehersteller.
Dieser Artikel hilft Ihnen zu beurteilen,
- unter welchen Umständen dieses geplante Gesetz Sie betrifft und
- welche möglichen Konsequenzen es für Sie, Ihre Produkte und Ihre Dienstleistungen haben wird.
Der EU Data Act trat im Dezember 2023 in Kraft, ist auf der Webseite der EU veröffentlicht und wird ab September 2025 verbindlich.
1. EU Data Act: Worum es geht
a) Situation
Die Digitalisierung schreitet unaufhaltsam voran:
- Ein Großteil unserer Tätigkeiten hängt von IT-Systemen ab. Sie werden dadurch beeinflusst oder sogar gesteuert.
- Die Nutzer dieser Systeme erzeugen direkt oder indirekt Datenmengen in einem bisher unbekannten Umfang.
- Die US-Techkonzerne dominieren die Datenspeicherung und Datenverarbeitung und nutzen diese Daten z. B. für die Verbesserung ihrer Angebote oder für Werbung.
- Die Daten liegen bei den Anbietern oft in Datensilos, auf die selbst die Nutzer nur teilweise zugreifen können; insbesondere nicht auf Daten, die zwar durch ihre Tätigkeiten entstanden, aber nicht direkt von ihnen eingegeben wurden.
b) Komplikation
Die Dominanz der US-Techkonzerne gefährdet einen fairen Wettbewerb. Europäische Firmen können in diesem Wettbewerb nur schwer bestehen.
Den Anwendern/Kunden dieser dominierenden Anbieter bleibt nur ein „Friss oder stirb“. Selbst ein Wechsel von einem zum anderen Anbieter ist wegen der „Lock-ins“ nur schwer möglich.
Weil viele Daten schwer zugänglich sind, gelingt es nicht, im gewünschten Maß neue Anwendungen zu erstellen, die diese Datenquellen miteinander verknüpfen und so die Vorteile der Digitalisierung erschließen.
Selbst öffentlichen Stellen wie Verwaltungen gelingt es nicht, auf die Daten zuzugreifen. Das erschwert es ihnen, ihren Auftrag zu erfüllen. Welche Folgen dies hat, zeigte sich beispielhaft während der Corona-Pandemie. So war bzw. ist es bis heute kaum möglich, zeitsynchron die Auslastung von Krankenhausbetten oder den Impfstatus der Bevölkerung zu verfolgen.
c) Lösung
Die EU-Kommission will mit dem EU Data Act diese Schwierigkeiten beseitigen und die rechtlichen Grundlagen für eine faire, effiziente und wirksame Nutzung der Daten und damit für die digitale Transformation der europäischen Wirtschaftsakteure schaffen.
2. Forderungen des EU Data Act
Der EU Data Act umfasst in der verabschiedeten Version 50 Artikel in elf Kapiteln.
a) Kapitel II: Teilen von Daten im Kontext B2B oder B2C
Klein- und Kleinstunternehmen sind ausgenommen
Eine gute Nachricht vorweg: Die Anforderungen dieses Kapitels gelten nicht für Produkte oder damit verbundene Dienstleistungen, die von Klein- und Kleinstunternehmen stammen (Artikel 7).
Das sind gemäß der EU-Empfehlung 2003/361/EG Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.
Der EU Data Act nennt weitere Ausnahmen in den Artikeln 20 und 15, die sich auf das Kapitel V beziehen.
Dass diese Unternehmen auch von den Anforderungen der Kapitel III, IV und VI ausgenommen sind, sagt das Gesetz hingegen nicht explizit. Es lässt sich nur vermuten, dass ohne eine Pflicht zur Weitergabe der Daten die damit verbundenen Pflichten obsolet werden.
Die Unternehmen müssen Daten zur Verfügung stellen
Nutzer müssen auf die Daten zugreifen können, die durch ihre Nutzung des Produkts oder Dienstes generiert wurden (Artikel 4). Sie können vom „Data Holder“ (also demjenigen, der das Produkt oder die Dienste anbietet) auch verlangen, diese Daten einem Dritten zur Verfügung zu stellen (Artikel 5).
Das soll sogar „real-time“ erfolgen und „free of charge“ sein (Artikel 4, 5).
Dazu müssen die Produkte so designt werden, dass das per Default schnell, einfach und sicher möglich ist (Artikel 3).
Zudem kommen auf die Hersteller umfangreiche Auskunftspflichten zu (Artikel 3). So müssen sie angeben, welche Daten in welchem Umfang entstehen, ob dies kontinuierlich und in Echtzeit erfolgt, und wie die Nutzer auf die Daten zugreifen können.
b) Kapitel III: Weitere Verpflichtungen für die o. g. Kontexte
Das dritte Kapitel setzt Leitplanken für die Umsetzung der Anforderungen des zweiten Kapitels:
- Die Bereitstellung der Daten muss in einer fairen und nicht diskriminierenden Weise erfolgen (Artikel 8). Der Datenempfänger und der Datensender sollen dazu Verträge schließen.
- Eine Kompensierung ist erlaubt, muss aber verhältnismäßig sein. Bei Datennutzern, die als KMU zählen, darf der „data holder“ nur seine Kosten berechnen und nichts daran verdienen (Artikel 9). Die Berechnung muss er offenlegen.
c) Kapitel IV: Verbot unfairer Vertragsbedingungen
Das vierte Kapitel enthält nur einen Artikel (Artikel 13). Der möchte vor allem die KMU vor einseitigen Vertragsbedingungen schützen.
Unter „unfair“ versteht die EU in diesem Kontext z. B. einseitige Vertragsbedingungen mit Bezug zur Haftung, zum Schadensersatz, zu Auskunftspflichten, zur Vertragsbeendigung usw.
d) Kapitel V: Bereitstellung der Daten auch für öffentliche Anspruchsgruppen
Im Fall eines außergewöhnlichen Bedarfs („exceptional needs“) öffentlicher Stellen müssen die Firmen die Daten auch diesen Stellen zur Verfügung stellen (Artikel 14, 15). Das wäre der Fall, um einen „public emergency“ zu verhindern oder darauf zu reagieren.
Noch eine weitere Hintertüre hält sich die EU offen: Auch dann, wenn öffentliche Stellen ihren expliziten Aufgaben nicht anders nachkommen können, haben sie ein Recht auf den Datenzugriff.
e) Kapitel VI: Wechsel des Datenverarbeiters
Das sechste Kapitel wechselt den Fokus. Es geht nicht mehr darum, wer wem unter welchen Umständen welche Daten zur Verfügung stellen muss. Jetzt möchte die EU sicherstellen, dass die Datennutzer ihren Datenverarbeiter möglichst leicht wechseln können.
Dazu regelt die EU z. B.:
- Kündigungsfristen (Artikel 23, 25)
- Das Recht, die Daten zu einem anderen Anbieter umzuziehen (Artikel 23, 25)
- Die Begrenzung der Kosten für diesen Umzug, die stufenweise abgeschafft werden sollen (Artikel 29)
- Das Recht, dass die Kunden bei definierten Diensten („scalable and elastic computing resources limited to infrastructural elements“) beim neuen Anbieter die gleichen Funktionalitäten nutzen können
Die aktuelle Version des Data Act spricht von Funktionsäquivalenz, welche die Kunden erreichen sollen. Im Entwurf war noch von „enjoy“ (sic!) der Dienste die Rede. Soweit möchte man offensichtlich nicht mehr gehen.
f) Kapitel VII: Internationaler Kontext
Das siebte Kapitel gibt Vorgaben, um Verstöße gegen nationale oder EU-Gesetze zu vermeiden, wenn Daten international ausgetauscht werden. Das betrifft explizit nicht (nur) personenbezogene Daten.
So fordert die EU von den Anbietern, besondere Maßnahmen zu ergreifen, um den Zugriff staatlicher Stellen selbst auf nicht personenbezogene Daten zu verhindern, wenn das mit EU-Recht oder nationalem Recht im Widerspruch stünde (Artikel 32). An wen die Autoren dabei dachten, liegt nahe.
g) Kapitel VIII: Interoperabilität
Anbieter von „Data Spaces“
Beachtenswert sind die Anforderungen des Kapitels 8 an die Interoperabilität. Es betrifft die „participants in data spaces“. Den Begriff „data space“ definiert die geplante Verordnung nicht. Sie scheint ihn aber sehr breit zu verstehen, wie die Definition des Begriffs „Interoperabilität“ nahelegt:
‘interoperability’ means the ability of two or more data spaces or communication networks, systems, connected products, applications, data processing services or components to exchange and use data in order to perform their functions;
EU Data Act, Artikel 2 (40)
Die Anforderungen betreffen u. a. die Anbieter von Datenspeichern, beispielsweise Amazon Webservices (Artikel 35).
Anbieter von „Data Processing Services“
Im Artikel 29 weitet der Data Act die Verpflichtung auch auf die Anbieter von Datenverarbeitungsdienstleistungen an. Diesen Begriff definiert sie:
‘data processing service’ means a digital service that is provided to a customer and that enables ubiquitous and on-demand network access to a shared pool of configurable, scalable and elastic computing resources of a centralised, distributed or highly distributed nature that can be rapidly provisioned and released with minimal management effort or service provider interaction;
EU Data Act, Artikel 2
All diese Anbieter will die EU zur Interoperabilität verpflichten – und zwar auf allen Interoperabilitätsebenen. Sie erlaubt sich, entsprechende Standards vorzugeben.
Lesen Sie hier mehr zur Interoperabilität und den Interoperabilitätsebenen.
Anbieter von „Smart Contracts“
Schließlich will die EU auch Anbieter an die Kandare nehmen, deren Anwendungen „smart contracts“ nutzen. Allerdings betreffen diese Anforderungen nur teilweise die Interoperabilität, obwohl Artikel 36 auch Teil des achten Kapitels („Interoperability“) ist.
Die Anforderungen betreffen vielmehr Robustheit, sichere Beendigung von Algorithmen, Archivierung, Verfügbarkeit und Zugriffskontrolle.
Die EU-Verordnung bleibt etwas vage, behält sich aber vor, harmonisierte Normen und „Common Specifications“ entwickeln zu können und dann einzufordern.
h) Kapitel IX: Enforcement
Als Strafen sieht die geplante EU-Verordnung die gleiche Höhe wie bei der DSGVO vor: bis zu 20 Mio. Euro bzw. bis zu vier Prozent des erwirtschafteten Jahresumsatzes.
3. Auswirkung auf Medizinproduktehersteller
a) Anwendbarkeit des EU Data Act
Der geplante Data Act schließt alle Produkte ein. Er erwähnt bei den Erwägungsgründen explizit die „medical and health devices“. Der Data Act betrifft u. a.
- „manufacturers of connected products placed on the market in the Union and providers of related services, irrespective of the place of establishment of those manufacturers and providers;”
- „data holders, irrespective of their place of establishment, that make data available to data recipients in the Union”
- „providers of data processing services, irrespective of their place of establishment, providing such services to customers in the Union;”
Das schließt Medizinproduktehersteller ebenso ein wie Unternehmen, die Datenverarbeitungsdienstleistungen anbieten. Das wären auch Betreiber von Apps wie DiGAs.
b) Mapping der Anforderungen auf Medizinprodukte
Betroffene Daten
Alle oben genannten Anforderungen gelten auch für Medizinprodukte. Dazu zählt u. a. die bereits genannte Anforderung in Artikel 4:
“Where data cannot be directly accessed by the user from the connected product or related service, data holders shall make readily available data, as well as the relevant metadata necessary to interpret and use those data, accessible to the user without undue delay, of the same quality as is available to the data holder, easily, securely, free of charge, in a comprehensive, structured, commonly used and machine-readable format and, where relevant and technically feasible, continuously and in real-time. […]”
EU Data Act, Artikel 4, Absatz 1
Wenn beispielsweise ein Nutzer in seine DiGA sein Gewicht eingibt, kann er diese Daten selbst wieder abrufen. Daraus ergibt sich keine Pflicht für den Hersteller.
Wenn hingegen der Hersteller aus der Anwendung seines Produkts weitere Daten generiert, so wären diese neuen Daten zur Verfügung zu stellen. Das wären z. B. vom Hersteller berechnete
- statistische Auswertungen von Vitalparametern,
- Prozesskennzahlen wie die Prozessdauer oder der Anteil der Prozessabbrüche und
- Statistiken des Nutzungsverhaltens.
(Möglicherweise) nicht betroffene Daten
Es wird sicher Diskussionen darüber geben, welche Daten unter „data generated by the use of a connected product“ fallen. Umstritten oder gar untersagt sein könnten:
- Trainierte Machine-Learning-Modelle (wahrscheinlich nicht erlaubt wegen „Trade Secrets“)
- Audit-Logs
- Daten, deren Erhebung und Bereitstellung Patienten gefährden. Beispielsweise würde die Bereitstellung von Real-time-Daten eines Implantats dessen Batterielebensdauer senken und damit eine frühere Explantation bedingen.
Konsequenzen für Hersteller
Die Anforderungen des Data Act haben eine direkte Auswirkung auf die Hersteller und deren Produkte:
- Produkte ändern
Die Produkte müssen Schnittstellen anbieten, die die Vorgaben an die Interoperabilität erfüllen und die Daten „where applicable continuously and in real-time“ bereitstellen. - IT-Sicherheit erhöhen
Die Pflicht zur Bereitstellung der Daten auch für vom Nutzer autorisierte Dritte erhöht die Anforderungen an die IT-Sicherheit signifikant. - Erhöhte Wettbewerbsgefahr beherrschen
Die Gefahr, dass Wettbewerber die Daten nutzen, steigt. Zwar verbietet die EU den Nutzern explizit (Artikel 5, Absatz 5), die Daten für die Entwicklung von Wettbewerbsprodukten zu nutzen. Aber wie will man so etwas nachweisen? - Kosten tragen
Das Bereitstellen der Daten „free of charge“ (Artikel 3, Artikel 4 Absatz 1) erhöht die Kosten. Die Kostenfreiheit schränkt Artikel 9 wieder ein; jener verbietet aber KMUs, daran zu verdienen.
c) Vergleichbare Anforderungen
So hart viele Medizinproduktehersteller die Anforderungen finden werden, ganz neu sind sie nicht: Auch andere Gesetze sollen den Zugang zu Daten und deren Portabilität erleichtern. Dazu zählen der SGB V § 374a (Daten von Implantaten), die DSGVO (Datenportabilität) und der SGB V mit mehreren Paragrafen zur Interoperabilität.
Der Artikel zum DVPMG verschafft speziell für Medizinprodukte Hintergrundinformationen zu den Auswirkungen des SGB V, u. a. des § 374a.
Welche Organisationen betrifft der Data Act? Müssen Medizinproduktehersteller dessen Anforderungen einhalten? Oder gibt es Argumente und Konstellationen, die von diesen Pflichten befreien?
Antworten liefert diese Podcast-Episode mit dem IT-Rechtsexperten Prof. Dr. Marc Strittmatter.
Diese und weitere Podcast-Episoden finden Sie auch hier.
4. Fazit, Zusammenfassung
a) Ein gewaltiger Eingriff
Mit dem EU Data Act möchte die EU viel bewirken. Es geht ihr im Bereich Digitalisierung um die Zukunft Europas. Entsprechend groß sind die geplanten Eingriffe und die Folgen:
- Die EU gibt den Anwendern nicht nur das Recht, jederzeit auf die von ihnen bereitgestellten Daten zuzugreifen und zu entscheiden, was damit geschieht. Sogar an von den Anwendern benannte Dritte müssen die „Data Holder“ die Daten herausgeben.
- Das bedeutet einen substanziellen Eingriff in die Freiheit der Vertragsgestaltung, auch durch die Begrenzung der Vertragsdauer.
- Viele Hersteller müssen ihre Produkte und IT-Systeme neu gestalten, um die Anforderungen zu erfüllen. Dazu zählen auch die Anforderungen an die Interoperabilität.
Die EU zielt mit dem EU Data Act auch auf die US-Techgiganten. Aber sie trifft ebenso viele andere Firmen. Denn die Ausnahmen für KMU betreffen nur wenige Artikel.
b) Vieles bleibt zu klären
Dass eine EU-Verordnung nicht alle Fragen beantwortet, ist normal. Aber gerade bei horizontalen Regulierungen sollten die Schnittpunkte mit den vertikalen, d. h. branchenspezifischen Regulierungen besser geklärt sein.
Es ist sogar offen, ob die EU Widersprüche zu bereits bestehenden Regularien schafft. Wir hatten einen vergleichbaren Konflikt mit dem Entwurf zum bereits zitierten SGB V § 374a), wie ein lesenswertes Rechtsgutachten von Dierks + Company zeigt.
So bleibt unklar:
- Kann nicht jeder Medizinproduktehersteller die Anforderungen aushebeln, indem er sagt, dass das Verfügbarmachen der Daten die Risiken, aber nicht den Nutzen für den Patienten erhöht und damit von der MDR bzw. IVDR verboten ist?
- Welche Nachweise muss ein Hersteller erbringen, um zu begründen, dass seine Geschäftsgeheimnisse gefährdet sind?
- Wen betrachtet der Data Act als Nutzer eines Produkts, wenn sowohl Ärzte als auch Patienten ein Produkt nutzen? Welcher Rolle müssen dann welche Daten bereitgestellt werden?
- Welche Daten müssen Hersteller offenbaren, wenn sie ihre Machine-Learning-Modelle durch die Nutzung trainieren?
c) Abwarten sollte nicht die einzige Strategie sein
Der EU Data Act sollte für die Hersteller ein weiteres Indiz dafür sein, dass die Zeit der isolierten Medizinprodukte endet.
Digitale Transformation bedeutet nicht, den bisherigen Blechkasten (bitte als Metapher verstehen) mit einer Datenschnittstelle auszustatten. Digitale Transformation bedeutet das Denken in Prozessen.
Produkte können dabei Datensenken und Datenquellen bilden. Wenn sie aber nicht in der Lage sind, sich in übergeordnete Systemlandschaften und Prozesse einzugliedern, werden sie schwer im Markt bestehen können. Und das unabhängig davon, ob der EU Data Act in dieser Form kommen wird oder nicht.
Das Johner Institut unterstützt Medizinproduktehersteller, Benannte Stellen und Behörden bei deren digitaler Transformation. Melden Sie sich gleich, damit wir gemeinsam herausfinden, wie Sie Ihren Weg erfolgreich beschreiten können.
Änderungshistorie
- 2025-09-17: Beitrag aktualisiert, um dem endgültigen Gesetzestext zu entsprechen. Dazu referenzierte Artikel des Data Act, Definitionen, Mindmap und einzelne Aussagen angepasst
- 2024-02-05: Link auf finalen Text eingefügt
- 2023-11-30: Hinweis ergänzt, dass der Data Act verabschiedet wurde
- 2022-03-22: Erste Version des Beitrags, die sich auf den Entwurf der Verordnung bezieht
