2. Januar 2025
Der Data Act trat am 11. Januar 2024 in Kraft und ist grundsätzlich ab dem 12. September 2025 anwendbar. Das betrifft auch den Medizinproduktesektor.
Als Grundlage für eine Data Sharing Economy in der EU regelt der Data Act den Zugang zu und die faire Nutzung von Daten. Die bei der Nutzung von vernetzten Geräten und verbundenen Diensten generierten Daten sollen für verschiedene Akteure nutzbar sein, um so die Datenwirtschaft zu stärken und die Entwicklung neuer, innovativer Geschäftsmodelle zu fördern.
Die neuen Regelungen bergen aber auch Risiken für die betroffenen Unternehmen in ihrer Rolle als Dateninhaber. Neben die bisher geltende Regulierung tritt nun noch der Data Act, der in einigen Fällen zu Überschneidungen und Spannungsfeldern mit bestehender Gesetzgebung führen kann. Auch wirtschaftlich kann der Data Act für die Hersteller von Medizin- und Gesundheitsprodukten eine zusätzliche Belastung darstellen. Die Umsetzung der neuen Regelungen sollte daher bereits frühzeitig in Angriff genommen werden.
Der Data Act bezieht sich auf vernetzte Produkte, sogenannte IoT-Geräte. Medizin- und Gesundheitsprodukte fallen nach Erwägungsgrund 14 des Data Act ausdrücklich in den Anwendungsbereich des Gesetzes. Darunter fallen Medizinprodukte, die Daten erlangen, generieren oder erheben und diese übermitteln, wie Herzschrittmacher, CGM-Geräte (kontinuierliche Glukosemessung), smarte Insulinpens, Fitnesstracker, etc. Auch die mit diesen vernetzten Produkten verbundene Software, im Data Act „verbundene Dienste“ genannt, fällt unter die neuen Regelungen.
Nutzer, sowohl natürliche als auch juristische Personen, haben gemäß dem Data Act einen Anspruch auf unentgeltlichen Zugang zu den Nutzungsdaten, inklusive der erforderlichen Meta-Daten, soweit diese „ohne Weiteres verfügbar“ sind, Art. 4 (1). Nicht „ohne Weiteres verfügbar“ sind Daten deren Bereitstellung einen unverhältnismäßig hohen Aufwand erfordert, da diese z.B. nur für einen Zwischenschritt verarbeitet und vom Produkt selbst gar nicht gespeichert werden.
Informationen über die Art, das Format, den Umfang der Produktdaten und weitere technische Informationen müssen dem Nutzer bereits vor dem Vertragsschluss bereitgestellt werden, Art. 3 (2) und (3).
Zusätzlich zum eigenen Zugangsrecht des Nutzers besteht aber auch ein Recht des Nutzers auf Weitergabe der Daten an Dritte, genannt Datenempfänger, Art. 5 (1). Im B2B-Bereich ist dies auch gegen eine Gegenleistung zu FRAND-Bedingungen (fair, angemessen und diskriminierungsfrei) möglich, Art. 8 (1), 9.
Der Dateninhaber selbst darf Produktdaten, die nicht-personenbezogen sind, nun nur noch auf Grundlage einer entsprechenden vertraglichen Vereinbarung mit dem Nutzer, beispielsweise zur Auswertung, nutzen, Art. 4 (13).
Weitere Regelungen des Data Act betreffen die Bereitstellung von Daten an öffentliche Stellen sowie die Datenkompatibilität, -interoperabilität und -portabilität.
Durch das Recht auf Weitergabe der Daten an Dritte entsteht für Unternehmen das Risiko Geschäftsgeheimnisse preiszugeben und wertvolle Informationen an die Konkurrenz zu verlieren.
Gleichzeitig gilt es eine Fülle bereits bestehender Normen zu beachten, deren Anwendung zu Spannungsfeldern mit dem Data Act führen kann.
Im B2B-Umfeld lassen sich zwar zumindest die Umstände der Datenweitergabe vertraglich, also beispielsweise durch den Einsatz von AGB, regeln, Art. 8 (1).
Davon sollten Dateninhaber auch Gebrauch machen und so die genauen Voraussetzungen definieren, unter denen die Datenweitergabe erfolgt. Dabei sollten sie, soweit möglich, sicherstellen, dass die Datenweitergabe im Rahmen eines geordneten Prozesses erfolgt, der alle relevanten gesetzlichen Vorgaben unter Wahrung der eigenen Interessen einhält. Dabei ist der vertragliche Gestaltungsspielraum begrenzt, denn der Data Act unterwirft einseitig auferlegte Vertragsklauseln in Bezug auf Datenzugang, Datennutzung, Haftung und den im Data Act angelegten Rechtsbehelfen einer AGB-Kontrolle, wonach „missbräuchliche Vertragsklauseln“ für die andere Partei nicht bindend sind, Art. 8 (2) und 13 (1).
Allgemein definiert Art. 13 (3), dass eine Klausel dann missbräuchlich ist, „wenn ihre Anwendung eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt“. Dies hilft zum jetzigen Zeitpunkt jedoch nur bedingt, da es diesbezüglich noch keine gute Geschäftspraxis geben dürfte, weshalb die Generalklausel für Unternehmen wenig Orientierung bietet. Hilfreicher sind die Absätze 4 und 5 des Artikel 13, die Kataloge mit Beispielen, sowohl auf Seiten des Datenempfängers als auch des Dateninhabers, aufführen und den Begriff „missbräuchlich“ konkretisieren.
Eine weitere Orientierung und Hilfe für die rechtskonforme Ausgestaltung solcher Vereinbarungen dürften die gem. Art. 41 Data Act noch von der Europäischen Kommission bis zum 12. September 2025 zu erstellenden unverbindlichen Mustervertragsklauseln und Standardvertragsklauseln für den Datenzugang und die Datennutzung, einschließlich der Bedingungen für die angemessene Vergütung und den Schutz von Geschäftsgeheimnissen sein.
Zum Schutz von Geschäftsgeheimnissen hilft der Einsatz von AGB jedoch nur bedingt, da sich ein Datenzugang so grundsätzlich nicht verhindern lässt.
Der Data Act selbst erkennt an, dass es bei der Herausgabe von Daten zu einer Interessenskollision mit dem Geschäftsgeheimnisschutz kommen kann. Grundsätzlich genießen die Ziele des Data Act jedoch eine privilegierte Stellung, wenngleich Art. 8 (6) klarstellt, dass die Pflicht zur Datenweitergabe an Dritte den Dateninhaber nicht zur Offenlegung von Geschäftsgeheimnissen verpflichtet.
Primär ist daher vorgesehen, dass der Dateninhaber Maßnahmen zum Schutz seiner Geschäftsgeheimnisse mit dem Nutzer bzw. dem Dritten trifft, Art. 4 (6) und Art. 5 (9). Dabei können sowohl technische als auch organisatorische Maßnahmen, sofern erforderlich, getroffen werden. Beispiele, die im Data Act selbst aufgeführt werden, sind Vertraulichkeitsvereinbarungen, Mustervertragsklauseln, Zugangskontrollen, technische Normen und Verhaltenskodizes.
Wenn es hinsichtlich dieser Maßnahmen jedoch nicht zu einer Einigung kommt oder der Nutzer bzw. der Dritte diese nicht umsetzt, kann der Dateninhaber die Herausgabe dieser betroffenen Daten verweigern, Art. 4 (7) und Art. 5 (10). Diese Entscheidung muss jedoch schriftlich begründet und der zuständigen Behörde gemäß Art. 37 mitgeteilt werden. Der Nutzer bzw. Dritte kann die Entscheidung der Verweigerung zudem anfechten, Art. 4 (9) und Art. 5 (12).
Nur unter außergewöhnlichen Umständen kann der Dateninhaber ein Datenzugangsverlangen für die betroffenen Daten im Einzelfall ablehnen, Art. 4 (8) und Art. 5 (11). Dies setzt jedoch einen Nachweis aufgrund objektiver Fakten voraus, dass es selbst bei Ergreifung geheimniswahrender Maßnahmen mit hoher Wahrscheinlichkeit zu einem schweren wirtschaftlichen Schaden durch die Offenlegung käme. Dies kann bei der fehlenden Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in Drittländern gegeben sein. Auch hier ist eine Meldung an die zuständige Behörde notwendig.
Verboten ist jeweils die Nutzung der Daten zur Herstellung konkurrierender Produkte oder die Weitergabe der Daten an einen Dritten um Einblick in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden zu erhalten, Art. 4 (10) & Art. 6 (2) e). Die Probleme dürften hier jedoch im Nachweis der Nutzung der Daten, insbesondere bei Abfluss dieser ins Ausland, liegen, sodass dieses Verbot wohl keinen effektiven Schutz von Geschäftsgeheimnissen bieten dürfte.
Bei Verstößen gegen getroffene Vereinbarungen oder der Nutzung von Daten zur Entwicklung eines konkurrierenden Produkts kann der Dateninhaber von dem Dritten bzw. dem Datenempfänger die Löschung der Daten, die Vernichtung rechtsverletzender Waren sowie Schadensersatz verlangen, Art. 11 (2).
Bei der verpflichtenden Interoperabilität für Datenverarbeitungsdienste nach Art. 23 ff., die Nutzern eine Mitnahme der Daten zu anderen Diensten gleicher Art ermöglichen soll, sind Geschäftsgeheimnisse ausweislich der Definition in Art. 2 Nr. 38 von vornherein ausgenommen.
Der Data Act selbst räumt der Datenschutz-Grundverordnung (DSGVO) in Art. 1 (5) den Vorrang ein. Da Daten, die von Medizin- und Gesundheitsprodukten erfasst oder generiert werden, häufig auch personenbezogene Daten sind, ist hier besondere Vorsicht geboten.
Gerade bei Auseinanderfallen von Nutzer im Sinne des Data Act und dem tatsächlichen Nutzer des Geräts kann eine unrechtmäßige Datenweitergabe zu hohen Bußgeldern führen. Denkbar ist hier die Verwendung eines smarten Medizinprodukts durch einen Arzt oder im Krankenhaus, dass die Daten eines Patienten erfasst. Besonders zu beachten ist hier, dass sich der Dateninhaber nicht auf den Data Act als Erfüllung einer rechtlichen Verpflichtung i.S.d. Art. 6 (1) c DSGVO berufen kann, da dies ausweißlich des Erwägungsgrundes 7 des Data Acts explizit keine datenschutzrechtliche Anspruchsgrundlage darstellt. Bei Gesundheitsdaten ist die Rechtsgrundlage zudem in Art. 9 (2) DSGVO zur Verarbeitung besonderer Kategorien personenbezogener Daten zu suchen.
Gleichzeitig kann die unrechtmäßige Verweigerung der Herausgabe der Daten unter Berufung auf die DSGVO zu hohen Bußgeldern nach dem Data Act führen. Unternehmen sollten hier bereits im Vorfeld Prozesse entwerfen und Verantwortlichkeiten klären, wie in Zweifelsfällen zu verfahren ist, da die Abgrenzung von personen- und nicht-personenbezogenen (Meta-)Daten oft nicht trennscharf zu vollziehen ist.
Medizinprodukte sind aufgrund der mit ihrer Anwendung verbundenen Risiken bereits von einer großen Anzahl an Verordnungen und Gesetzen betroffen. Eine hohe Relevanz haben unter anderem die EU-Verordnungen über Medizinprodukte (MDR) und über In-vitro-Diagnostika (IVDR). Diese enthalten unter anderem Vorgaben für die Durchführung von Konformitätsbewertungsverfahren und Verpflichtungen zur Einhaltung bestimmter Sicherheitsstandards.
Besonders Art. 3 (1) des Data Acts hat große Auswirkungen auf Medizinprodukte. So sollen vernetzte Produkte und verbundene Dienste bereits so konzipiert sein, dass der Zugriff auf die erzeugten Daten einfach, sicher, unentgeltlich und, sofern technisch möglich, direkt möglich ist. Diese Verpflichtung zu „access by design“ kann im Zweifel zu umfangreichen Änderungen an den bereits bestehenden Produkten führen. Stellt eine solche Änderung einen „substantial change“, also eine wesentliche Änderung, nach den EU-Verordnungen über Medizinprodukte (MDR) und In-vitro-Diagnostika (IVDR) dar, bedarf es einer neuen Konformitätsbewertung des betroffenen Medizinproduktes. Solche Änderungen sind erfahrungsgemäß sehr langwierig und mit zusätzlichen Kosten verbunden.
Diese Verpflichtung gilt nach Art. 50 für vernetzte Produkte und die mit ihnen verbunden Dienste, die nach dem 12. September 2026 in Verkehr gebracht wurden. Bei Zugrundelegung der Vorlaufzeit für die Forschung und Entwicklung neuer Produkte, ist dies ein eng bemessener Zeitraum. Insofern sollten die Vorgaben aus dem Data Act bereits jetzt berücksichtigt werden.
Der Data Act hat vielfältige Auswirkungen auf Medizin- und Gesundheitsprodukte und bedarf nicht nur einer Anpassung von Prozessen im Unternehmen, sondern unter Umständen auch der Produkte selbst. Gerade im Medizinproduktesektor sind solche Änderungen jedoch kosten- und zeitintensiv, da es gegebenenfalls einer erneuten Zertifizierung des Produkts bedarf. Hier gilt es daher vorausschauend zu agieren und die Produktentwicklung frühzeitig entsprechend anzupassen, sodass zum Zeitpunkt der Anwendbarkeit der entsprechenden Regelungen alle Anforderungen erfüllt werden.
In Bezug auf den Geheimnisschutz gilt es Maßnahmen, wie den Entwurf entsprechender Klauseln oder AGB, im Vorfeld zu erarbeiten und festzulegen, und so den vom Data Act begrenzten vertraglichen Gestaltungsspielraum rechtskonform zu nutzen. Dabei sind besonders die vor dem 12. September 2025 von der Kommission gemäß Art. 41 zu erstellenden Mustervertragsklauseln im Auge zu behalten.
Bei der Verarbeitung und Bereitstellung von personenbezogenen Daten unter dem Data Act, wie insbesondere sensible Gesundheitsdaten, müssen unbedingt die Datenschutzgesetze eingehalten werden. Dies umfasst insbesondere die Ermittlung der einschlägigen Rechtsgrundlagen zur Datenverarbeitung und die Erfüllung von Transparenzpflichten, wie die Bereitstellung von Datenschutzhinweisen für die Nutzer von Medizin- und Gesundheitsprodukten.
Unternehmen sollten außerdem die Entwicklungen in Verbindung mit dem Europäischen Raum für Gesundheitsdaten beobachten, der unter anderem auf den Elementen des Data Acts aufbaut.