Mit der zunehmenden Digitalisierung und Vernetzung medizinischer Produkte und Anwendungen entstehen erhebliche Mengen an Nutzungsdaten, sei es im Betrieb medizintechnischer Geräte, im Rahmen labordiagnostischer Systeme oder im Zusammenspiel mit digitalen Gesundheitsdiensten. Der europäische Data Act (Verordnung (EU) 2023/2854), der seit September 2025 gilt, greift diese Entwicklung auf und schafft einen umfassenden Rechtsrahmen für den Zugang zu solchen Produkt- und Servicedaten. Ziel ist es, die Nutzung dieser Daten zu erleichtern, insbesondere für diejenigen, die Geräte oder Dienste im Alltag einsetzen.
Die Verordnung enthält konkrete Vorgaben zur technischen Ausgestaltung von Produkten, zur vertraglichen Gestaltung von Datenzugang und zur Bereitstellungspflicht gegenüber Nutzern und Dritten. Sie betrifft damit zentrale Bereiche der Produktentwicklung, Vertragsgestaltung und Datenverarbeitungspraxis.
Der folgende Kurz-Beitrag erläutert ausgewählte Bestimmungen der Artikel 3 bis 6 Data Act und ordnet sie in den regulatorischen Kontext der Life-Sciences-Branche ein. Nach einer begrifflichen Klärung werden Rechte der Nutzer, Pflichten der Dateninhaber sowie zentrale Schutzmechanismen dargestellt.
Anschließend folgen ausgewählte kurze Anwendungsbeispiele aus der Praxis.
1. Zentrale Begriffe und Regelungen
Der Data Act definiert, welche Datenkategorien unter die neuen Zugangsrechte fallen. Im Mittelpunkt stehen:
- Produktdaten: Daten, die durch die Nutzung eines vernetzten Produkts anfallen und sich vom Gerät bestimmungsgemäß auslesen lassen, etwa Sensorwerte, Nutzungsdauer, Status- oder Fehlermeldungen eines medizinischen Geräts. Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung erzeugt und diese weitergeben kann – etwa über das Internet, per Kabel oder eine Schnittstelle.
- Verbundene Dienstdaten: Daten, die im Zusammenhang mit einem vernetzten Produkt bei der Nutzung eines digitalen Dienstes entstehen, der Funktionen des Produkts ermöglicht oder erweitert - etwa Interaktionen in einer Gesundheits-App.
- Metadaten: Begleitinformationen, die zur Interpretation der eigentlichen Nutzungsdaten erforderlich sind, etwa Zeitstempel, Geräte-ID, oder Formatangaben.
- „Ohne Weiteres verfügbare“ Daten: Produkt- oder Dienstdaten (einschließlich der nötigen Metadaten), die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig aus dem Gerät oder Dienst auslesen kann. Im Kern sind damit Rohdaten gemeint, die das vernetzte Produkt oder der verbundene Dienst ohnehin erzeugt und die mit einfachen Mitteln zugänglich sind (allenfalls minimal vorverarbeitet). Nicht erfasst sind dagegen Daten, die erst durch aufwändige weitere Verarbeitung oder Analyse gewonnen werden.
2. Rechte der Nutzer und Pflichten der Dateninhaber
Nutzer erhalten durch den Data Act umfassende Rechte in Bezug auf die durch seine Nutzung generierten Daten. Konkret dürfen sie die oben definierten Produktdaten und verbundenen Dienstdaten aus der Nutzung ihres Geräts oder Dienstes einsehen und vom Grundsatz her für eigene Zwecke verwenden. Außerdem können sie diese Daten an Dritte ihrer Wahl weitergeben, etwa an externe Dienstleister, andere Software-Plattformen oder Forschungseinrichtungen.
Im Einzelnen:
Art. 3 Abs. 1 Data Act setzt bereits bei der Produktentwicklung an. Vernetzte Geräte müssen so konzipiert sein, dass die relevanten Nutzungsdaten standardmäßig einfach und direkt zugänglich sind. Dieses Prinzip, gewissermaßen „Data Access by Design“, bedeutet z. B., dass ein medizinisches Gerät idealerweise eine Daten-Schnittstelle oder Exportfunktion besitzt, anstatt die Nutzerdaten nur intern zu behalten. Darüber hinaus besteht eine vorvertragliche Informationspflicht: Vor dem Kauf, Mieten oder Leasing eines vernetzten Produkts (bzw. dem Abschluss eines Servicevertrags) muss der Anbieter dem Nutzer in verständlicher Form mitteilen, welche Daten das Produkt oder der Dienst generiert, wie und wo diese Daten gespeichert werden, ob sie ggf. in Echtzeit anfallen, und wie der Nutzer darauf zugreifen, sie auslesen oder löschen kann. Nutzer sollen also schon beim Vertragsschluss genau wissen, worauf sie sich in Sachen Datenfluss einlassen, um die Angebote vergleichen zu können. Eine Klinik könnte z. B. bereits im Kaufangebot erfahren, dass ein Diagnostikgerät bestimmte Nutzungsdaten in einer Hersteller-Cloud speichert und sich dann bewusst für oder gegen dieses Gerät entscheiden. Zudem darf der Dateninhaber entsprechende Daten nur auf Basis eines Vertrags mit dem Nutzer verwenden.
Sind die Daten nicht bereits unmittelbar auf dem Gerät oder innerhalb der Anwendung zugänglich, können Nutzer nach Artikel 4 Data Act vom Dateninhaber, in der Regel dem Hersteller des vernetzten Produkts oder dem Anbieter des verbundenen Dienstes, die Herausgabe der ohne Weiteres verfügbaren Daten verlangen. Diese Bereitstellung muss unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit geschehen. Der Dateninhaber darf dem Nutzer dabei keine unnötigen Hürden in den Weg stellen. Die Übermittlung soll auf einfachem elektronischem Weg erfolgen, etwa über ein Web-Portal oder eine API. Eine künstliche Einschränkung der Datenqualität oder der Zugriffstiefe ist unzulässig.
Neben dem unmittelbaren Datenzugang gemäß Artikel 4 Data Act haben Nutzer gemäß Artikel 5 Data Act auch das Recht, die Weitergabe der relevanten Daten an einen Dritten ihrer Wahl zu verlangen, beispielsweise an einen unabhängigen Service-Anbieter oder ein anderes Unternehmen, mit dem sie zusammenarbeiten. Die erzeugten Nutzungsdaten unterliegen grundsätzlich der freien Dispositionsbefugnis des Nutzers. Wichtig ist: Die Bereitstellung der Daten an die jeweiligen Nutzer ist stets unentgeltlich, unabhängig davon, ob es sich um Verbraucher, kleine Unternehmen oder Großkonzerne handelt. Erst im Fall der Weitergabe an einen Dritten kann im B2B-Bereich eine Vergütung verlangt werden. Diese muss jedoch transparent, fair und nicht diskriminierend ausgestaltet sein und sich im Wesentlichen an den tatsächlichen Kosten der Datenübertragung orientieren. Überzogene Gebühren oder versteckte Zugangshürden sind unzulässig.
Ebenso unzulässig sind vertragliche Regelungen, die die gesetzlich garantierten Datenzugangsrechte der Nutzer einschränken oder umgehen. Nach Artikel 13 Data Act gilt jede Klausel, die den gesetzlichen Anspruch auf Datenbereitstellung zum Nachteil des Nutzers beschränkt, als unwirksam. Hersteller sollten dies bei der Gestaltung ihrer Vertragsbedingungen und AGB zwingend berücksichtigen.
Zudem verpflichtet Artikel 4 Absatz 13 Data Act den Dateninhaber, nicht-personenbezogene, ohne Weiteres verfügbare Daten des Nutzers nur auf vertraglicher Grundlage zu nutzen. Untersagt ist insbesondere jede Nutzung solcher Daten zur Erlangung geschäftlicher Einblicke, die die wirtschaftliche Stellung des Nutzers untergraben könnten, etwa durch Rückschlüsse auf Vermögenslage, Produktionsprozesse oder Marktverhalten. Auch hier gilt: Der Schutz der Nutzerinteressen steht im Zentrum des neuen Datenregimes.
3. Grenzen des Datengebrauchs
Allerdings setzt der Data Act dem Datengebrauch durch Nutzer auch Grenzen, um Missbrauch zu verhindern. So ist es Nutzern untersagt, die erhaltenen Daten dazu zu nutzen, um ein konkurrierendes Produkt zu entwickeln, oder sie mit Dritten zu diesem Zweck zu teilen. Ebenso dürfen Nutzer keine unlauteren Mittel einsetzen, um sich Zugriff auf Daten zu verschaffen, etwa durch Hacking oder das Ausnutzen technischer Schwachstellen. Die neuen Rechte sollen auf legalem Weg ausgeübt werden, nicht durch eigenmächtige Eingriffe in die Geräte-Software. Mit anderen Worten: Wer ein Gerät nutzt, soll zwar an die Nutzungsdaten kommen, darf aber nicht die Sicherheitsmechanismen umgehen.
Ein sensibler Punkt ist der Umgang mit Geschäftsgeheimnissen und sicherheitskritischen Informationen. Gerade in High-Tech-Medizinprodukten könnten bestimmte Datensätze Rückschlüsse auf interne Abläufe oder Algorithmen des Herstellers zulassen, was aus Herstellersicht schützenswert ist. Der Data Act trägt dem nach Ansicht zahlreicher Kritiker eher schlecht als recht Rechnung: Er bestimmt zunächst einmal, dass der Dateninhaber dem Nutzer den Zugang zu den Nutzungsdaten nicht mit der Begründung verweigern darf, diese würden (auch) Geschäftsgeheimnisse enthalten. Bevor enthaltene Geschäftsgeheimnisse herausgegeben werden müssen, müssen sich Nutzer und Dateninhaber auf angemessene Schutzvorkehrungen einigen (Art. 4 Abs. 6 Data Act). Das kann z. B. bedeuten, dass der Nutzer eine Geheimhaltungsvereinbarung (NDA) unterzeichnen, bestimmte Sicherheitsprotokolle einhalten muss bzw. nur berechtigten Personen Zugriff gewähren darf. Der Dateninhaber muss seinerseits kennzeichnen, welche der angeforderten Daten ein Geschäftsgeheimnis beinhalten, damit klar ist, was vertraulich zu behandeln ist. Kommt eine Einigung hierüber nicht zustande oder hält sich der Nutzer später nicht daran und gefährdet die Vertraulichkeit, darf der Dateninhaber die Datenherausgabe verweigern bzw. vorläufig aussetzen (Art. 4 Abs. 7 Data Act). Er muss diesen Schritt schriftlich begründen und der zuständigen Behörde anzeigen.
Allerdings erlaubt der Data Act nur in eng begrenzten Ausnahmefällen eine dauerhafte Verweigerung der Bereitstellung enthaltener Geschäftsgeheimnisse. Ein solcher Fall liegt vor, wenn der Dateninhaber nachweisen kann, dass selbst unter Berücksichtigung angemessener Schutzmaßnahmen die Offenlegung bestimmter Informationen zu einem erheblichen wirtschaftlichen Schaden führen würde (Art. 4 Abs. 8 Data Act). Wann diese Schwelle tatsächlich erreicht ist, wird voraussichtlich der künftigen Klärung durch die Gerichte vorbehalten bleiben. Denkbar wäre dies etwa bei besonders sensiblen, einzigartigen Informationen, die ein wesentliches Alleinstellungsmerkmal des Produkts betreffen und deren Bekanntwerden dem Hersteller substanzielle Nachteile bereiten könnte. Die Anforderungen an einen solchen Nachweis sind jedoch hoch: Der Dateninhaber muss die drohende Gefährdung im Einzelfall nachvollziehbar und objektiv begründen, etwa mit Blick auf die eingeschränkte Durchsetzbarkeit von Geheimnisschutz in bestimmten Drittstaaten oder die besondere Innovationshöhe des betroffenen Produkts. Auch eine auf diese Ausnahme gestützte Verweigerung ist gegenüber der zuständigen Behörde anzuzeigen. Klar ist: Die vollständige Verweigerung der Datenbereitstellung bleibt eine ultima ratio.
Ebenfalls berücksichtigt der Data Act besondere Sicherheitsinteressen. Nutzer und Hersteller dürfen vereinbaren, bestimmte Daten nicht zugänglich zu machen, wenn eine Datenweitergabe die Gesundheit, Sicherheit oder öffentliche Ordnung gefährden würde (Art. 4 Abs. 2 Data Act). Diese Klausel zielt z. B. auf Szenarien ab, in denen durch das Teilen von Gerätedaten gravierende IT-Sicherheitsrisiken entstehen könnten. In solchen Fällen kann der Datenzugang beschränkt oder untersagt werden, allerdings nur auf Grundlage bestehender einschlägiger Gesetze und mit strenger Dokumentation. Verweigert ein Hersteller mit Verweis auf Sicherheitsvorgaben die Datenteilung, muss er auch dies der Aufsichtsbehörde melden. Zudem haben Nutzer ein Beschwerderecht, falls sie die Einschränkung für unbegründet halten (Art. 4 Abs. 3 und 4 Data Act).
Ein Blick noch auf die Dritten, denen Nutzer ihre Daten weitergeben: Auch diese Datenempfänger werden vom Data Act in die Pflicht genommen, um einen verantwortungsvollen Umgang sicherzustellen. Ein externer Dienstleister, der vom Nutzer Gerätedaten erhält (etwa zur Analyse oder Wartung), darf die Daten nur für den mit dem Nutzer vereinbarten Zweck nutzen und muss sie löschen, sobald sie dafür nicht mehr benötigt werden (Art. 6 Abs. 1 Data Act). Insbesondere darf er die erhaltenen Daten nicht einfach weiterreichen: Eine Weitergabe an weitere Dritte ist nur erlaubt, wenn der Nutzer dem zugestimmt hat und der Dritte alle mit dem Dateninhaber vereinbarten Schutzanforderungen einhält, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren (Art. 6 Abs. 2 Buchst. c Data Act). Profiling der Nutzer ist untersagt, sofern es nicht zur Erbringung des Dienstes absolut notwendig ist (Art. 6 Abs. 2 b Data Act). Der Dritte darf die Daten außerdem nicht an einen marktmächtigen Plattformbetreiber (einen sogenannten Gatekeeper im Sinne des Digital Markets Act) weitergeben und sie nicht verwenden, um selbst ein konkurrierendes Produkt zum Gerät des Herstellers zu entwickeln (Art. 6 Abs. 2 d–e Data Act). Damit wird verhindert, dass große Tech-Konzerne oder direkte Wettbewerber indirekt über die Nutzerdaten an wertvolles Know-how gelangen und den Hersteller kopieren. Ebenso muss der Dritte darauf achten, dass er durch seine Nutzung der Daten keine Sicherheitsrisiken für das Ursprungssystem schafft, etwa indem er die Einschleusung von Schadsoftware erleichtert oder Schutzeinstellungen umgeht (Art. 6 Abs. 2 f–g Data Act). Und schließlich darf ein Dienstleister einen Nutzer, der Verbraucher ist, nicht vertraglich daran hindern, seine Daten auch anderen Parteien zur Verfügung zu stellen (Art. 6 Abs. 2 h Data Act). All diese Vorgaben zielen darauf ab, ein vertrauenswürdiges Daten-Ökosystem zu schaffen: Der Nutzer soll frei wählen können, wer seine Daten bekommt, ohne Angst, dass diese missbraucht werden oder unkontrolliert in falsche Hände geraten.
4. Anwendungsfälle aus der Life-Sciences-Praxis
Wie wirken diese abstrakten Vorgaben nun in der Praxis? Im Life-Sciences-Umfeld gibt es vielfältige Szenarien, in denen vernetzte Geräte und digitale Dienste zum Einsatz kommen, etwa:
- Klinikbetrieb: In Krankenhäusern werden zunehmend vernetzte Medizingeräte eingesetzt, etwa Infusionspumpen, Beatmungsgeräte oder Überwachungssysteme. Diese Geräte erzeugen kontinuierlich Produktdaten, beispielsweise zu Betriebsstatus, Fehlermeldungen oder Nutzungshäufigkeit. Nach den Vorgaben des Data Act müssen Hersteller mit den Nutzern Vereinbarungen über die Verwendung von Nutzungsdaten treffen und sicherstellen, dass Einrichtungen wie Krankenhäuser als Nutzer Zugriff auf diese Daten erhalten. Ein typisches Beispiel ist die Anforderung von Wartungsdaten durch die Klinik, um sie einem unabhängigen Servicedienstleister bereitzustellen. Auch wenn die Daten in einem Cloud-Dienst des Herstellers gespeichert werden, müssen sie auf Anforderung bereitgestellt und in geeigneter Form weitergegeben werden. Für Hersteller bedeutet dies, frühzeitig technische Schnittstellen einzuplanen und Datenzugriffe rechtssicher zu organisieren. Zugleich sind Krankenhäuser gefordert, den zusätzlichen Datenzugang sinnvoll in ihre bestehenden Systeme zu integrieren. Dabei müssen sie die Anforderungen an Datenschutz, IT-Sicherheit und sonstige Regulatorik beachten.
- Laborumgebung: Auch in der Labordiagnostik kommen zunehmend vernetzte Systeme zum Einsatz, etwa automatisierte Analysegeräte, Sequenzierer oder robotergestützte Probenverarbeitungseinheiten. Diese Systeme erfassen nicht nur Rohmesswerte, sondern auch Kalibrierinformationen, Gerätezustände und Nutzungsprotokolle. Nutzer wie Laborbetreiber können auf Grundlage des Data Act verlangen, dass ihnen diese Daten bereitgestellt werden, etwa zur Auswertung in eigenen Systemen oder zur konsolidierten Nutzung geräteübergreifender Informationen. Hinzu kommen verbundene Dienstdaten, die in angebundenen Online-Services des Herstellers entstehen, etwa automatisch erstellte Ergebnisberichte oder Logdateien. Auch diese Informationen können unter die Bereitstellungspflicht fallen. Für Anbieter ergibt sich daraus die Notwendigkeit, klare Abgrenzungen zwischen Standard- und Zusatzdaten vorzuhalten und gleichzeitig ihre Geschäftsgeheimnisse zu schützen. Für Labore kann der Datenzugang neue Flexibilität bedeuten, gleichzeitig aber auch neue Anforderungen an Infrastruktur und Datenmanagement mit sich bringen.
- Digitale Nachsorge: Im ambulanten Bereich gewinnen digitale Gesundheitsanwendungen weiter an Bedeutung, insbesondere zur Nachsorge nach Klinikaufenthalten. Dabei kommen zunehmend vernetzte Wearables oder therapiebegleitende Apps zum Einsatz, die sowohl Produktdaten, etwa zu Bewegungsmustern oder Vitalparametern, als auch verbundene Dienstdaten wie Medikationsdokumentationen oder Symptomtagebücher erfassen. Der Data Act verpflichtet die Anbieter solcher Anwendungen, diese Daten den jeweiligen Nutzern zugänglich zu machen und auf deren Wunsch auch an externe Stellen zu übermitteln, etwa an Reha-Einrichtungen oder andere Versorgungsplattformen. Für Hersteller ergibt sich daraus nicht nur die Pflicht zur technischen Bereitstellung, sondern auch die Verantwortung, klare Prozesse für Authentifizierung, Datenformatierung und Sicherheit zu etablieren. Institutionelle Nutzer wie Kliniken oder Versorgungszentren profitieren von der Möglichkeit, Nachsorgedaten systematisch einzubinden, müssen aber zugleich sicherstellen, dass der Transfer im Einklang mit Datenschutz- und Versorgungsregelungen erfolgt.
5. Fazit und Ausblick
Mit dem Data Act etabliert die Europäische Union erstmals ein umfassendes Regime zum verpflichtenden Datenzugang bei vernetzten Produkten und verbundenen Diensten. Auch im Life-Sciences-Sektor schafft die Verordnung neue rechtliche und wirtschaftliche Rahmenbedingungen, die voraussichtlich erhebliche Auswirkungen auf etablierte Strukturen und Geschäftsmodelle haben werden. Hersteller medizinischer Geräte, Softwareanbieter sowie Krankenhäuser als datenverarbeitende Einrichtungen sehen sich mit einem Paradigmenwechsel konfrontiert: Nutzungsdaten gelten künftig nicht mehr als exklusive Ressource des Anbieters, sondern als eine Art Mitbenutzungsrecht des Kunden.
Für Hersteller bedeutet dies insbesondere, dass sie ihr Datenhandling, die Ausgestaltung ihrer Produkte und Schnittstellen sowie ihre Vertragsdokumentation grundlegend überprüfen sollten. Technische Systeme sollten so angelegt sein, dass relevante Daten tatsächlich zugänglich gemacht werden können. Zudem sind rechtssichere Verfahren zur Identifikation und Abgrenzung geschützter Inhalte wie Geschäftsgeheimnisse oder sicherheitsrelevante Informationen zu etablieren. In der Praxis stellt sich häufig die Frage, ob bestimmte Informationen als „ohne Weiteres verfügbar“ oder doch als geschützt einzustufen sind.
Zudem ist zu erwarten, dass Dritte, etwa Wettbewerber, technische Dienstleister oder neue Marktakteure, künftig gezielt versuchen werden, über die Nutzer Zugang zu Produktdaten und verbundenen Dienstdaten zu erhalten, um in bestehende Wertschöpfungsketten einzudringen. Die wirtschaftlichen Auswirkungen der neuen Pflichten, etwa in Bezug auf Margen, Kundenbindung oder Datenmonetarisierung, sind derzeit kaum absehbar.
Gleichzeitig dürften sich auch neue Perspektiven für größere Einrichtungen wie Klinikverbünde oder Labornetzwerke eröffnen, die nun aktiver mit ihren Systemdaten arbeiten und externe Lösungen effizienter einbinden können. Eine frühzeitige technische, rechtliche und strategische Auseinandersetzung mit den Vorgaben des Data Act scheint daher unverzichtbar.
