Der EU Data Act gilt ab 12. September 2025 und verlangt von Kliniken, ihre Datenstrategie, Systemarchitektur und Verträge konsequent zu überdenken. Medizinprodukthersteller sowie Betreiber digitaler Plattformen und Gesundheitsdienste müssen Patienten, Nutzer und – über gezielte Mechanismen – auch Dritten zukünftig direkten, standardisierten Zugang zu maschinenlesbaren Gerätedaten ermöglichen. Für IT-Manager im Krankenhaus ergeben sich daraus beträchtliche technische, organisatorische und vertragsrechtliche Herausforderungen – zugleich aber Chancen für interoperable, innovationsfreundliche Datenökosysteme.

Der Data Act betrifft sämtliche vernetzte Produkte und „verbundene Dienste“, also praktisch alle smarten Medizinprodukte, Wearables, Diagnostikgeräte, Patientenportale und Klinikplattformen. Krankenhäuser stehen meist als Dateninhaber und in vielen Szenarien auch als Bereitsteller im Fokus. Besonders relevant: Alle im Krankenhausbetrieb generierten Rohdaten – etwa Messwerte, Logfiles oder Metadaten – müssen technisch zugänglich, maschinenlesbar und strukturiert bereitgestellt werden. Hersteller sind bereits vor Vertragsabschluss zur Offenlegung der betroffenen Datentypen, Formate und Schnittstellen verpflichtet.

Anforderungen an Datenbereitstellung und Interoperabilität

Künftig muss ein sicherer, medienbruchfreier Zugriff auf die eigenen Daten und – mit Einwilligung – auch deren Weitergabe an Dritte für Forschung und Innovation gewährleistet sein. Voraussetzung sind nicht nur die Einführung von Interoperabilitätsstandards und „Accessibility by Design“, sondern auch systematische Dokumentation und Nachvollziehbarkeit: Schnittstellen, Exportmechanismen und Datenpools müssen auditiert und regulatorisch abgesichert werden. Prozesse nach dem Data Act zu gestalten, erleichtert zudem ab 2027 die parallel wirksam werdenden Anforderungen des European Health Data Space (EHDS).

Cloud Switching: Keine Ausreden mehr für Vendor Lock-in

Ein zentrales Innovationsfeld des Data Act ist das verpflichtende Cloud Switching. Anbieter von datenverarbeitenden Diensten (also typischen Cloud-Leistungen wie IaaS, PaaS oder SaaS) dürfen künftig keine kommerziellen, technischen oder organisatorischen Hürden mehr gegen einen Cloud-Wechsel errichten. Für Krankenhäuser bedeutet das: Bestands- und Neuverträge müssen aktiv darauf geprüft werden, ob der Wechsel zu alternativen Anbietern oder in die eigene Infrastruktur ohne Zusatzentgelte, mit voller Datenportabilität und klaren Exit-Szenarien möglich ist. Ab 2027 entfallen alle Wechselentgelte vollständig. Kündigungsfristen und Exit-Support (Unterstützung beim Umzug von Daten und Workloads) sind detailliert zu vertraglichen Fixpunkten zu machen.

Was sofort zu tun ist

Für die praktische Vorbereitung empfehlen sich folgende Schritte:

• Dateninventur und Bewertung: Welche Daten werden wo und wie generiert, gespeichert und verarbeitet? Welche Schnittstellen bestehen, welche Formate sind maschinenlesbar?
• Vertragsprüfung: Sämtliche laufenden und geplanten Datennutzungs- und Cloudverträge müssen im Hinblick auf Datenzugänglichkeit, Portabilität und Wechselbedingungen geprüft und angepasst werden.
• Prozesse und Governance: Es braucht Rollen- und Rechtekonzepte, um Transparenz, Nachverfolgbarkeit und Compliance sicherzustellen.
• Technische Umsetzung: Standardisierung von Datenexport, API-Design und Nutzerkontrolle – idealerweise bereits EHDS-konform.
• Sensibilisierung: IT, Einkauf und Recht müssen sich das notwendige Know-how aneignen, um Data-Act-Konflikte frühzeitig zu erkennen und strategisch zu nutzen.

IT-Manager sollten sich systematisch auf die neuen regulatorischen Anforderungen des Data Act vorbereiten, um Haftungsrisiken und teure Nachrüstungen zu vermeiden. Zentrale Aufgaben sind die gemeinsame Koordination von IT, Recht, Einkauf und Datenmanagement, die technische Modernisierung der Infrastruktur sowie ein Update sämtlicher relevanter Verträge und Prozesse.

Roadmap zur Data-Act-Compliance

• Dateninventur und Schnittstellenprüfung: Zunächst empfiehlt sich eine Bestandsaufnahme aller im Krankenhaus vorhandenen und genutzten Datenquellen, inklusive Schnittstellen, Formate und Orte der Speicherung. Nur wer weiß, wo und wie Daten fließen, kann regulatorisch steuerbar handeln.
• Rollen und Prozesse für Datenzugriff: Rollenbasierte Prozesse für Datenanforderungen durch Patienten und Dritte müssen entwickelt, Verantwortlichkeiten, Kontaktstellen und schnelle, dokumentierte Datenbereitstellung definiert und trainiert werden.
• Vertragscheck und Anpassung: Sämtliche Cloud-, Dienstleistungs- und B2B-Verträge sind konsequent auf Data-Act-konforme Klauseln zu prüfen. Neue Verträge benötigen klare Exit-Szenarien, Festlegungen zu Datenportabilität, Fristen und Unterstützungsleistungen beim Cloudwechsel. Nicht-konforme Altverträge sollten nachverhandelt werden.
• Technische Umsetzung: Systeme zur Datenexportfunktion und maschinenlesbare, standardisierte Schnittstellen sind zu etablieren. Parallel ist ein Monitoring für Compliance und eine lückenlose Dokumentation der Datenbewegungen aufzubauen.
• Schulung und Sensibilisierung: Mitarbeitende aller relevanten Bereiche – von IT bis Einkauf und Recht – sollten praxisnah zu den neuen Anforderungen und Prozessen geschult werden. Sensibilisierung für den Umgang mit Einwilligungen, Datennutzungsrechten und neuen Formen der Zugangsverwaltung ist essenziell.
• Synergien mit AI-Act und DSGVO: Data-Act-Anforderungen überschneiden sich vielfach mit bestehenden Vorgaben (z.B. DSGVO, SGB V). Idealerweise erfolgt die Entwicklung einheitlicher Governance-Strukturen, so dass Synergieeffekte und Reibungsminderung entstehen.

Aktuell die System- und Vertragsarchitekturen Data-Act-ready zu gestalten, verhindert nicht nur Compliance-Lücken und Sanktionen, sondern positioniert das Krankenhaus zugleich als Partner in einer zukunftsfähigen, souveränen Datenwirtschaft. Wer die neuen regulatorischen Pflichten als Chance für eigene Innovations- und Effizienzprogramme begreift, kann das Krankenhaus strategisch positionieren – und rechtzeitig Wettbewerbsnachteile durch Compliance-Lücken vermeiden.

Autor: Wolf-Dietrich Lorenz

Symbolbild: vxnaghiyev / AdobeStock