Data Act & EHDS: Was Kliniken, MedTech- und Software-Hersteller wissen müssen

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Ab dem 12. September 2025 gilt der EU Data Act. Für MedTech-Hersteller, Kliniken und Digital-Health-Plattformen bedeutet das: Nutzer – und gegebenenfalls auch Dritte – müssen künftig leichteren, standardisierten Zugang zu standardisierten Daten ihrer vernetzten Produkte und verbundenen Dienste erhalten. Der Data Act schafft erstmals einen europaweit verbindlichen Anspruch auf maschinenlesbare Daten aus vernetzten Produkten und verbundenen Diensten. Hersteller müssen vor Vertragsschluss darüber informieren, welche Datenarten, Formate und Schnittstellen verfügbar sind. Zudem werden Interoperabilitätsanforderungen und "Accessibility by Design" verpflichtend.

Zudem gilt ab 2027 die Verordnung über den Europäischen Gesundheitsdatenraum (European Health Data Space, "EHDS-Verordnung"). Unternehmen sollten ihre Prozesse daher schon jetzt so gestalten, dass sie die Anforderungen des Data Act und der EHDS-Verordnung erfüllen.

Was ändert sich mit dem Data Act?

Alle Geräte und Dienste, die bei ihrer Nutzung Daten erzeugen, müssen technisch in der Lage sein, diese Daten dem Nutzer direkt oder im Nachgang bereitzustellen. Das betrifft etwa Rohdaten wie Messwerte, Logfiles oder Metadaten. Mit Geltung des Data Act entsteht für Hersteller, Diensteanbieter und Dateninhaber ein klarer Handlungsdruck: Sie müssen – je nach Konstellation – Schnittstellen schaffen, Prozesse dokumentieren und/oder Transparenzpflichten erfüllen. Der Data Act verpflichtet Unternehmen zudem, fairen und nichtdiskriminierenden Zugang zu den Daten zu ermöglichen.

Gleichzeitig zeigt sich die Verbindung zur EHDS-Verordnung: Ab 2027 greifen (mit gestuftem Geltungsbeginn) zusätzliche Pflichten für Gesundheitsdaten, insbesondere bei deren Sekundärnutzung für Forschung oder KI-Anwendungen. Wer jetzt schon Prozesse Data-Act-konform aufsetzt, kann diese später problemlos um die EHDS-Anforderungen ergänzen.

Warum der Data Act für Health & MedTech jetzt relevant ist

Für MedTech-Unternehmen und digitale Gesundheitsanbieter ist der Data Act von zentraler Bedeutung, weil er unmittelbare und verbindliche Pflichten schafft. Patienten, Ärzte und Forscher erwarten direkten Zugang zu Daten, sei es aus Wearables, vernetzten Implantaten oder verbundenen Klinikplattformen. Krankenhäuser, Krankenkassen oder App-Anbieter können dabei als Dateninhaber im Sinne der EHDS-Verordnung, MedTech-Hersteller oder Plattformbetreiber als Datenbereitsteller nach dem Data Act agieren.

Je nach Konstellation können einige Akteure auch beide Rollen einnehmen. Wer die Zusammenhänge erkennt, kann Prozesse so gestalten, dass er die Anforderungen von Data Act und EHDS-Verordnung gleichzeitig erfüllt. Das spart technischen und finanziellen Aufwand, verhindert Compliance-Lücken und erleichtert langfristig die Nutzung von Daten für die Versorgung und Forschung.

Konkrete Rechte und Pflichten aus dem Data Act

Die Rechte und Pflichten des Data Act sind klar umrissen. Der Nutzer hat einen Anspruch auf maschinenlesbare Daten und deren Weitergabe an Dritte. Hersteller und Diensteanbieter müssen die Transparenzpflichten erfüllen. B2B-Verträge zwischen Dateninhaber und Dritten müssen faire, nicht-diskriminierende Bedingungen enthalten. Ab September 2026 müssen neue Produkte "Accessibility by Design" sicherstellen, dass Datenzugang technisch problemlos möglich ist. Die Verbindung zur EHDS-Verordnung zeigt sich darin, dass ab 2027 Gesundheitsdaten zusätzlich zweckgebunden und gegebenenfalls anonymisiert oder pseudonymisiert bereitgestellt werden müssen. Nur wenn beide Anforderungen bereits bei der System- und Prozessgestaltung berücksichtigt werden, können Unternehmen spätere Nachrüstungen vermeiden.