Der Data Act verpflichtet ab 12. Sept. 2025 Hersteller smarter Geräte und Medizingeräte, sämtliche beim Betrieb generierten Nutzungsdaten herauszugeben. Dies gilt auch bei Geräten wie Herzschrittmachern, Insulinpens oder Fitnesstrackern. Zu den herauszugebenden Daten zählen sowohl maschinell erzeugte nicht-personenbezogene Daten als auch, sofern der Nutzer betroffen ist, persönliche Gerätdaten. Dazu gehören Informationen über Gerätezustand, Nutzung, Fehlerprotokolle oder Wartungsdaten sowie Daten aus mit dem Gerät verbundenen digitalen Diensten; Hersteller müssen diese Daten „zugänglich machen“ und dem Nutzer den Zugang technisch einfach, sicher und kostenlos ermöglichen („Access by Design“). Die Pflicht betrifft auch Daten im Standby-Betrieb und kann umfassende Anpassungen an Produktdesign und Schnittstellen notwendig machen. Besonders bei Medizinprodukten sind neue Konformitätsbewertungen nach MDR/IVDR oft zwingend.
DSGVO und Data Act wirken zusammen: Die DSGVO gilt weiterhin vollständig für personenbezogene Daten. Der Data Act kann nicht als Rechtsgrundlage für deren Weitergabe dienen, das heißt: Hersteller dürfen personenbezogene Daten nur herausgeben, sofern die DSGVO dies zulässt und der Nutzer seine eigenen Daten anfordert. Für andere (z. B. Daten von Dritten, Beschäftigten oder aggregierte Datensätze) besteht kein Herausgabeanspruch ohne Rechtsgrundlage. Hersteller müssen daher penibel zwischen personenbezogenen und nicht-personenbezogenen Daten unterscheiden und transparente Prozesse zum Schutz der Privatsphäre etablieren. Eine Datenweitergabe ohne rechtskonforme DSGVO-Basis bedeutet ein hohes Compliance-Risiko.
Hersteller von Medizingeräten müssen nach dem Data Act alle Daten zugänglich machen, die durch die Nutzung des Geräts direkt erzeugt werden, indirekt daraus entstehen oder selbst im inaktiven Modus aufgezeichnet werden. Dazu zählen essentielle Nutzungsdaten wie Messwerte (z.?B. Glukose-Level bei CGM-Geräten, Herzfrequenzdaten, Beatmungsparameter), Fehlerprotokolle, Wartungs- und Statusdaten, Logfiles sowie Gerätediagnosen, die bei laufender, aber auch im Standby-Betrieb entstehen.
Datenzugang nach Prinzip „Access by Design“
Die Offenlegungspflichten umfassen außerdem Daten, die von verbundenen digitalen Diensten oder Software generiert werden – etwa abgeleitete Statistiken, aggregierte Vitaldaten, Nutzungsprofile und Prozesskennzahlen, sofern sie beim Betrieb des Medizinprodukts entstehen und dem jeweiligen Nutzer zuordenbar sind. Auch Rohdaten und Meta-Daten, die für die Funktion, Qualitätssicherung oder Fehleranalyse relevant sind, fallen darunter. Ausgenommen sind trainierte Machine-Learning-Modelle und Daten, deren Herausgabe Geschäftsgeheimnisse oder Patientensicherheit gefährden würde.
Für den Datenzugang gilt das Prinzip „Access by Design“: Die Daten müssen technisch einfach, sicher, maschinenlesbar, unentgeltlich und – wenn möglich – sogar kontinuierlich bzw. in Echtzeit zugänglich werden, auch für autorisierte Dritte. Bei besonders schützenswerten Gesundheitsdaten greift zusätzlich die DSGVO, sodass eine Herausgabe nur bei Einwilligung oder anderer Rechtsgrundlage erfolgen darf.
Bei Versäumnissen drohen empfindliche Sanktionen: Das Bußgeld reicht von bis zu EUR 50.000 für geringfügige Verstöße über bis zu EUR 500.000 bei grober Nichtbeachtung der Pflichten. Gatekeeper-Unternehmen riskieren sogar Strafen bis zu 5 Mio. EUR oder bis zu 4% des EU-weiten Jahresumsatzes. Zusätzlich können Zwangsgelder von bis zu 10 Mio. EUR verhängt werden. Wer als Hersteller nicht proaktiv konforme technische und organisatorische Maßnahmen ergreift, riskiert wirtschaftliche Nachteile und juristische Interventionen
Autor: Wolf-Dietrich Lorenz
Symbolbild: Ronnayut / AdobeStock