Im Dezember 2023 trat der EU Data Act in Kraft. Damit möchte sie einen neuen Rechtsrahmen für den Umgang mit Daten schaffen, der nicht nur US-Techgiganten betrifft. Der EU Data Act wird sich auf viele Firmen auswirken, die Daten verarbeiten. Auch Medizinproduktehersteller.
Dieser Artikel hilft Ihnen zu beurteilen,
- unter welchen Umständen Sie dieses geplante Gesetz betrifft und
- welche möglichen Konsequenzen es für Sie, Ihre Produkte und Ihre Dienstleistungen haben wird.
Der EU Data Act trat im Dezember 2023 in Kraft, ist auf der Webseite der EU veröffentlicht, und wird ab September 2025 verbindlich.
1. EU Data Act: Worum es geht
a) Situation
Die Digitalisierung schreitet unaufhaltsam voran:
- Ein Großteil unserer Tätigkeiten hängt von IT-Systemen ab. Sie werden dadurch beeinflusst oder sogar gesteuert.
- Die Nutzer dieser Systeme erzeugen direkt oder indirekt Datenmengen in einem beisher unbekannten Umfang.
- Die US-Techkonzerne dominieren die Datenspeicherung und Datenverarbeitung und nutzen diese Daten z. B. für die Verbesserung ihrer Angebote oder für Werbung.
- Die Daten liegen bei den Anbietern oft in Datensilos, auf die selbst die Nutzer nur teilweise zugreifen können; insbesondere nicht auf Daten, die zwar durch ihre Tätigkeiten entstanden, aber nicht direkt von ihnen eingegeben wurden.
b) Komplikation
Die Dominanz der US-Techkonzerne gefährdet einen fairen Wettbewerb. Europäische Firmen können in diesem Wettbewerb nur schwer bestehen.
Den Anwendern/Kunden dieser dominierenden Anbieter bleibt nur ein „Friss oder stirb“. Selbst ein Wechsel von einem zum anderen Anbieter ist wegen der „Lock-ins“ nur schwer möglich.
Weil viele Daten schwer zugänglich sind, gelingt es nicht, im gewünschten Maß neue Anwendungen zu erstellen, die diese Datenquellen miteinander verknüpfen und so die Vorteile der Digitalisierung erschließen.
Selbst öffentliche Stellen wie Verwaltungen gelingt es nicht, auf die Daten zuzugreifen. Das erschwert es ihnen, ihren Auftrag zu erfüllen. Welche Folgen dies hat, zeigte sich beispielhaft während der Corona-Pandemie. So war bzw. ist es bis heute kaum möglich, zeitsynchron die Auslastung von Krankenhausbetten oder den Impfstatus der Bevölkerung zu verfolgen.
c) Lösung
Die EU-Kommission will mit dem EU Data Act diese Schwierigkeiten beseitigen und die rechtlichen Grundlagen für eine faire, effiziente und wirksame Nutzung der Daten und damit für die digitale Transformation der europäischen Wirtschaftsakteure schaffen.
2. Forderungen des EU Data Acts
Der Rest dieses Artikels bezieht sich auf den Entwurf des Data Acts. Eine Überarbeitung, die den endgültigen Gesetzestext berücksichtigt, ist für Anfang 2024 vorgesehen. Eine überarbeitete Mindmap liegt bereits vor.
Der Entwurf des EU Data Acts trägt die Nummer 2022/0047 (COD). Er umfasst insgesamt 11 Kapitel.
a) Kapitel II: Teilen von Daten im Kontext B2B oder B2C
Klein- und Kleinstunternehmen sind ausgenommen
Eine gute Nachricht vorweg: Die Anforderungen dieses Kapitels gelten nicht für Produkte oder damit verbundene Dienstleistungen, die von Klein- und Kleinstunternehmen stammen (Artikel 7).
Das sind gemäß der EU-Empfehlung 2003/361/EG Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.
Die Unternehmen müssen Daten zur Verfügung stellen
Nutzer müssen auf die Daten zugreifen können, die durch ihre Nutzung des Produkts oder Dienstes generiert wurden (Artikel 4). Sie können vom „Data Holder“ (also demjenigen, der das Produkt oder die Dienste anbietet) auch verlangen, diese Daten einem Dritten zur Verfügung zu stellen (Artikel 5).
Das soll sogar „real-time“ erfolgen und „free of charge“ sein (Artikel 4, 5).
Dazu müssen die Produkte so designt werden, dass das per Default schnell, einfach und sicher möglich ist (Artikel 3).
Zudem kommen auf die Hersteller umfangreiche Auskunftspflichten zu (Artikel 3). So müssen sie angeben, welche Daten in welchem Umfang entstehen, ob dies kontinuierlich und real-time erfolgt, und wie die Nutzer auf die Daten zugreifen können.
b) Kapitel III: Weitere Verpflichtungen für die o. g. Kontexte
Das dritte Kapitel setzt Leitplanken für die Umsetzung der Anforderungen des zweiten Kapitels:
- Die Bereitstellung der Daten muss in einer fairen und nicht-diskriminierenden Weise erfolgen (Artikel 8). Der Datenempfänger und Datensender sollen dazu Verträge schließen.
- Eine Kompensierung ist erlaubt, muss aber verhältnismäßig sein. Bei Datennutzern, die als KMU zählen, darf der „data holder“ nur seine Kosten berechnen und nichts daran verdienen (Artikel 9). Die Berechnung muss er offenlegen.
c) Kapitel IV: Verbot unfairer Vertragsbedingungen
Das vierte Kapitel enthält nur einen Artikel. Der möchte vor allem die KMU vor einseitigen Vertragsbedingungen schützen.
Unter „unfair“ versteht die EU in diesem Kontext z. B. einseitige Vertragsbedingungen mit Bezug zur Haftung, zum Schadensersatz, zu Auskunftspflichten, zur Vertragsbeendigung usw.
d) Kapitel V: Bereitstellung der Daten auch für öffentliche Anspruchsgruppen
Im Fall eines außergewöhnlichen Bedarfs („exceptional needs“) öffentlicher Stellen müssen die Firmen die Daten auch diesen Stellen zur Verfügung stellen (Artikel 14, 15). Das wäre der Fall, um einen „public emergency“ zu verhindern oder darauf zu reagieren.
Noch eine weitere Hintertüre hält sich die EU offen: Auch dann, wenn öffentlich Stellen ihren expliziten Aufgaben nicht anders nachkommen können, haben sie ein Recht auf den Datenzugriff.
e) Kapitel VI: Wechsel des Datenverarbeiters
Das sechste Kapitel wechselt den Fokus. Es geht es nicht mehr darum, wer wem unter welchen Umständen welche Daten zur Verfügung stellen muss. Jetzt möchte die EU sicherstellen, dass die Datennutzer ihren Datenverarbeiter möglichst leicht wechseln können.
Dazu regelt die EU z. B.:
- Kündigungsfristen (Artikel 23, 24)
- Das Recht, die Daten zu einem anderen Anbieter umzuziehen (Artikel 23, 24)
- Die Begrenzung der Kosten für diesen Umzug (Artikel 25)
- Das Recht, dass sich die Nutzer bei definierten Diensten („scalable and elastic computing resources limited to infrastructural elements“) beim neuen Anbieter der gleichen Funktionalität erfreuen („enjoy“ sic!) können
f) Kapitel VII: Internationaler Kontext
Das siebte Kapitel gibt Vorgaben, um Verstöße gegen nationale oder EU-Gesetze zu vermeiden, wenn Daten international ausgetauscht werden. Das betrifft explizit nicht (nur) personenbezogene Daten.
So fordert die EU von den Anbietern, besondere Maßnahmen zu ergreifen, um den Zugriff staatlicher Stellen selbst auf nicht personenbezogene Daten zu verhindern, wenn das mit EU-Recht unvereinbar wäre (Artikel 27). An wen die Autoren dabei dachten, liegt nahe.
g) Kapitel VIII: Interoperabilität
Anbieter von „Data Spaces“
Beachtenswert sind die Anforderungen des Kapitels 8 an die Interoperabilität. Es betrifft die „Operators of data spaces“. Den Begriff „data space“ definiert die geplante Verordnung nicht. Sie scheint ihn aber sehr breit zu verstehen, wie die Definition des Begriffs „Interoperabilität“ nahelegt:
‘interoperability’ means the ability of two or more data spaces or communication networks, systems, products, applications or components to exchange and use data in order to perform their functions;
EU Data Act, Artikel 2
Die Anforderungen betreffen u. a. die Anbieter von Datenspeichern wie beispielsweise Amazon Webservices (Artikel 28).
Anbieter von “Data Processing Services“
Im Artikel 29 weitet der Data Act die Verpflichtung auch auf die Anbieter von Datenverarbeitungsdienstleistungen an. Diesen Begriff definiert sie:
‘data processing service’ means a digital service other than an online content service as defined in Article 2(5) of Regulation (EU) 2017/1128, provided to a customer, which enables on-demand administration and broad remote access to a scalable and elastic pool of shareable computing resources of a centralised, distributed or highly distributed nature;
EU Data Act, Artikel 2
All diese Anbieter will die EU zur Interoperabilität verpflichten – und zwar auf allen Interoperabilitätsebenen. Sie erlaubt sich, entsprechende Standards vorzugeben.
Lesen Sie hier mehr zur Interoperabilität und den Interoperabilitätsebenen.
Anbieter von „Smart Contracts“
Schließlich will die EU auch Anbieter an die Kandare nehmen, deren Anwendungen „smart contracts“ nutzen. Allerdings betreffen diese Anforderungen nur teilweise die Interoperabilität, obwohl Artikel 30 auch Teil des achten Kapitels („Interoperability“) ist.
Die Anforderungen betreffen vielmehr Robustheit, sichere Beendigung von Algorithmen, Archivierung, Verfügbarkeit und Zugriffskontrolle.
Die EU-Verordnung bleibt etwas vage, behält sich aber vor, harmonisierte Normen und „Common Specifications“ entwickeln zu können und dann einzufordern.
h) Kapitel IX: Enforcement
Als Strafen sieht die geplante EU-Verordnung die gleiche Höhe wie bei der DSGVO vor: Bis zu 20 Mio. Euro bzw. bis zu 4 % des erwirtschafteten Jahresumsatzes.
3. Auswirkung auf Medizinproduktehersteller
a) Anwendbarkeit des EU Data Acts
Der geplante Data Act schließt alle Produkte ein. Er erwähnt bei den Erwägungsgründen explizit die „medical and health devices“. Der Data Act betrifft u. a.
- “manufacturers of products and suppliers of related services placed on the market in the Union and the users of such products or services;”
- “data holders that make data available to data recipients in the Union;”
- “providers of data processing services offering such services to customers in the Union.”
Das schließt Medizinproduktehersteller ebenso ein wie Unternehmen, die Datenverarbeitungsdienstleistungen anbieten. Das wären auch Betreiber von Apps wie DiGAs.
b) Mapping der Anforderungen auf Medizinprodukte
Betroffene Daten
Alle oben genannte Anforderungen gelten auch für Medizinprodukte. Dazu zählt u. a. die bereits genannte Anforderung in Artikel 4:
“Where data cannot be directly accessed by the user from the product, the data holder shall make available to the user the data generated by its use of a product or related service without undue delay, free of charge and, where applicable, continuously and in real-time. […]”
EU Data Act, Artikel 4, Absatz 1
Wenn beispielsweise ein Nutzer in seine DiGA sein Gewicht eingibt, kann er diese Daten selbst wieder abrufen. Daraus ergibt sich keine Pflicht für den Hersteller.
Wenn hingegen der Hersteller aus der Anwendung seines Produkts weitere Daten generiert, so wären diese neuen Daten zur Verfügung zu stellen. Das wären z. B. vom Hersteller berechnete
- statistische Auswertungen von Vitalparametern,
- Prozesskennzahlen wie die Prozessdauer oder der Anteil der Prozessabbrüche und
- Statistiken des Nutzungsverhaltens.
(Möglicherweise) nicht betroffene Daten
Es wird sicher Diskussionen darüber geben, welche Daten unter „data generated by its use of a product“ fallen. Umstritten oder gar untersagt sein könnten:
- Trainierte Machine-Learning-Modelle (wahrscheinlich nicht erlaubt wegen „Trade Secrets“)
- Audit-Logs
- Daten, deren Erhebung und Bereitstellung Patienten gefährden. Beispielsweise würde die Bereitstellung von Real-time-Daten eines Implantats dessen Batterielebensdauer senken und damit eine frühere Explantation bedingen.
Konsequenzen für die Hersteller
Die Anforderungen des Data Acts haben eine direkte Auswirkung auf die Hersteller und deren Produkte:
- Produkte ändern
Die Produkte müssen Schnittstellen anbieten, die die Vorgaben an die Interoperabilität erfüllen und die Daten „where applicable continuously and in real-time“ bereitstellen. - IT-Sicherheit erhöhen
Die Pflicht zur Bereitstellung der Daten auch für vom Nutzer autorisierte Dritte erhöht die Anforderungen an die IT-Sicherheit signifikant. - Erhöhte Wettbewerbsgefahr beherrschen
Die Gefahr, dass Wettbewerber die Daten nutzen, steigt. Zwar verbietet die EU den Nutzern explizit (Artikel 5, Absatz 5), die Daten für die Entwicklung von Wettbewerbsprodukten zu nutzen. Aber wie will man so etwas nachweisen? - Kosten tragen
Das Bereitstellen der Daten „free of charge“ (Artikel 4 Absatz 1) erhöht die Kosten. Die Kostenfreiheit schränkt Artikel 9 wieder ein, jener verbietet aber KMUs, daran zu verdienen.
c) Vergleichbare Anforderungen
So hart viele Medizinproduktehersteller die Anforderungen finden werden, ganz neu sind sie nicht: Auch andere Gesetze sollen den Zugang zu Daten und deren Portabilität erleichtern. Dazu zählen der SGB V § 374a (Daten von Implantaten), die DSGVO (Datenportabilität) und der SGB V mit mehreren Paragrafen zur Interoperabilität.
Der Artikel zum DVPMG verschafft speziell für Medizinprodukte Hintergrundinformationen zu den Auswirkungen des SGB V u. a. des §374a.
Welche Organisationen betrifft der Data Act? Müssen Medizinproduktehersteller dessen Anforderungen einhalten? Oder gibt es Argumente und Konstellationen, die von diesen Pflichten befreien?
Antworten liefert diese Podcast-Episode mit dem IT-Rechtsexperten Prof. Dr. Marc Strittmatter.
Diese und weitere Podcast-Episoden finden Sie auch hier.
4. Fazit, Zusammenfassung
a) Ein gewaltiger Eingriff
Mit dem EU Data Act möchte die EU viel bewirken. Es geht ihr im Bereich Digitalisierung um die Zukunft Europas. Entsprechend groß sind die geplanten Eingriffe und die Folgen:
- Die EU gibt den Anwendern nicht nur das Recht, jederzeit auf die von ihnen bereitgestellten Daten zuzugreifen und zu entscheiden, was damit geschieht. Sogar an von den Anwendern benannte Dritte müssen die „Data Holder“ die Daten herausgeben.
- Das bedeutet einen substanziellen Eingriff in die Freiheit der Vertragsgestaltung, auch durch die Begrenzung der Vertragsdauer.
- Viele Hersteller müssen ihre Produkte und IT-Systeme neu gestalten, um die Anforderungen zu erfüllen. Dazu zählen auch die Anforderungen an die Interoperabilität.
Die EU zielt mit dem EU Data Act auch auf die US Techgiganten. Aber sie trifft ebenso viele andere Firmen. Denn die Ausnahmen für KMU betreffen nur wenige Artikel.
b) Vieles bleibt zu klären
Dass eine EU-Verordnung nicht alle Fragen beantwortet, ist normal. Aber gerade bei horizontalen Regulierungen sollten die Schnittpunkte mit den vertikalen, d. h. branchenspezifischen Regulierungen besser geklärt sein.
Es ist sogar offen, ob die EU Widersprüche zu bereits bestehenden Regularien schafft. Wir hatten einen vergleichbaren Konflikt mit dem Entwurf zum bereits zitierten SGB V § 374a), wie ein lesenswertes Rechtsgutachten von Dierks + Company zeigt.
So bleibt unklar:
- Kann nicht jeder Medizinproduktehersteller die Anforderungen aushebeln, indem er sagt, dass das Verfügbarmachen der Daten die Risiken, aber nicht den Nutzen für den Patienten erhöht und damit von der MDR bzw. IVDR verboten ist?
- Welche Nachweise muss ein Hersteller erbringen, um zu begründen, dass seine Geschäftsgeheimnisse gefährdet sind?
- Wen betrachtet der Data Act als Nutzer eines Produkts, wenn sowohl Ärzte als auch Patienten ein Produkt nutzen? Welcher Rolle müssen dann welche Daten bereitgestellt werden?
- Welche Daten müssen Hersteller offenbaren, wenn sie ihre Machine-Learning-Modelle durch die Nutzung trainieren?
c) Abwarten sollte nicht die einzige Strategie sein
Der EU Data Act sollte für die Hersteller ein weiteres Indiz dafür sein, dass die Zeit der isolierten Medizinprodukte zu Ende geht.
Digitale Transformation bedeutet nicht, den bisherigen Blechkasten (bitte als Metapher verstehen) mit einer Datenschnittstelle auszustatten. Digitale Transformation bedeutet das Denken in Prozessen.
Produkte können dabei Datensenken und Datenquellen bilden. Wenn sie aber nicht in der Lage sind, sich in übergeordnete Systemlandschaften und Prozesse einzugliedern, werden sie schwer im Markt bestehen können. Und das unabhängig davon, ob der EU Data Act in dieser Form kommen wird oder nicht.
Das Johner Institut unterstützt Medizinproduktehersteller, Benannte Stellen und Behörden bei deren Digitalen Transformation. Melden Sie sich gleich, damit wir gemeinsam herausfinden, wie Sie Ihren Weg erfolgreich beschreiten können.
Änderungshistorie
- 2024-02-05: Link auf finalen Text eingefügt
- 2023-11-30: Hinweis ergänzt, dass der Data Act verabschiedet wurde
- 2022-03-22: Erste Version des Artikels, die sich auf den Entwurf der Verordnung bezieht
