Auswirkungen des Data Act auf die Gesundheitsbranche

Der Countdown läuft: Ab dem 12. September 2025 gilt der europäische Data Act unmittelbar in allen EU-Mitgliedstaaten. Für Hersteller vernetzter Medizinprodukte und Anbieter verbundener Dienste bleibt nur noch wenig Zeit, um Prozesse, Produkte und Verträge anzupassen – dann bieten sich neue Chancen für Datennutzer, etwa für das Training von KI-Systemen.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Welche Medizinprodukte sind vom Data Act betroffen?

Der Data Act betrifft insbesondere vernetzte Medizinprodukte (IoMT) wie:

  • Herzschrittmacher,
  • CGM-Systeme
  • oder smarte Insulinpumpen.

Auch die mit diesen Produkten verbundene Software – Steuerungs-Apps, Embedded Software (SiMD) oder Zubehör – ist erfasst.

Rechtlicher Rahmen

Inhaltlich ergänzt der Data Act die Datenschutz-Grundverordnung (DSGVO) und schafft ein neues Datenwirtschaftsrecht. Erfasst sind sämtliche Produkt-, Dienst- und Metadaten, die bei der Nutzung vernetzter Geräte oder verbundener Dienste anfallen.

Personenbezogene Daten und Geschäftsgeheimnisse genießen weiterhin besonderen Schutz – doch bestehen hier komplexe Wechselwirkungen, die im Einzelfall sorgfältig bewertet werden müssen.

Praxis-Leitfaden

Der Data Act: Was Unternehmen jetzt wissen müssen

Ein praktischer Leitfaden mit den wichtigsten und relevantesten Aspekten, die Sie bei der Umsetzung des Data Act in Ihrem Unternehmen beachten müssen. Fordern Sie den Leitfaden jetzt kostenlos an.

Was ist die Summe aus 4 und 4?

*Ihre Einwilligung für den Versand unseres Newsletters umfasst auch die aggregierte Nutzungsanalyse (Öffnungsrate & Linkklicks). Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung

Gestaffelte Rechtspflichten des Data Act: Zeitlicher Umsetzungsplan

Die neuen Pflichten treten gestaffelt in Kraft. Ab dem 12. September 2025 haben Nutzer Anspruch auf unentgeltlichen, maschinenlesbaren und qualitativ gleichwertigen Datenzugang, einschließlich der Weitergabe an Dritte.

Hersteller müssen ihre eigene Datennutzung vertraglich absichern und Nutzer bereits vor Vertragsschluss umfassend über Datenarten, Formate und Zugriffswege informieren.

Im B2B-Bereich gilt das Gebot fairer, angemessener und nicht-diskriminierender Bedingungen (FRAND-Grundsätze).

Ab September 2026 müssen neue Produkte nach dem Prinzip „Accessibility by Design“ so ausgestaltet sein, dass ein direkter und sicherer Datenzugang gewährleistet ist. Schließlich eröffnet die Verordnung über den Europäischen Gesundheitsdatenraum (EHDS-VO) ab 2029 weitere Möglichkeiten des Datenzugangs über ein behördliches Genehmigungsverfahren.

Schnittstellen des Data Act zum Medizinprodukterecht (MDR) und zum AI Act

Darüber hinaus bestehen enge Schnittstellen zum Medizinprodukterecht und zum AI Act. Das Prinzip „Accessibility by Design“ wirkt sich nicht nur auf den Datenzugang aus, sondern auch auf regulatorische Anforderungen nach der MDR.

Neue Datenschnittstellen und technische Anpassungen können Einfluss auf die Risikobewertung, die Cybersicherheit und die CE-Kennzeichnung haben und im Einzelfall Änderungsverfahren bei benannten Stellen auslösen. Hersteller müssen daher sicherstellen, dass jede Umsetzung des Data Act MDR-konform erfolgt und die regulatorischen Prozesse lückenlos dokumentiert sind.

Compliance-Anforderungen des Data Act und Umsetzungsmaßnahmen

Unternehmen sollten deshalb rechtzeitig prüfen, ob Produkte, Verträge und Prozesse den neuen Vorgaben entsprechen und die notwendigen Anpassungen vornehmen. Das gilt insbesondere im Hinblick auf:

  • DSGVO-Schnittstellen,
  • den Schutz von Geschäftsgeheimnissen,
  • Dateninventare,
  • Vertragsklauseln
  • und Produktdesign.

Unternehmen, die nicht reagieren, setzen sich erhöhten Compliance-Risiken und möglichen Wettbewerbsnachteilen aus.

Mit den neuen Pflichten gehen zugleich erhebliche Chancen einher.

Datennutzer erhalten künftig Zugang zu wertvollen Daten, die sich für Forschung, Entwicklung und die Verbesserung von Produkten nutzen lassen. Wer hier frühzeitig strategisch vorgeht, kann sich klare Wettbewerbsvorteile sichern.

To-do-Checkliste für Unternehmen der Gesundheitsbranche

  • Dateninventar erstellen, Datenarten identifizieren, Anwendbarkeit von Data Act und DSGVO prüfen.
  • Ggf. Produktdesign und MDR-Zulassungsprozesse überprüfen („Accessibility by Design“).
  • DSGVO-Schnittstellen und Geschäftsgeheimnisschutz analysieren.
  • Verträge und Lizenzmodelle anpassen (inkl. FRAND-Prinzipien).
  • Interdisziplinäre Taskforce bilden (Regulatory, Datenschutz, IT-Security, Vertrieb, Data Science).
  • Frühzeitig strategische Nutzungsmöglichkeiten (z. B. KI-Training, Forschung, Kooperationen) aufsetzen.

So unterstützen wir Unternehmen und Organisationen im Gesundheitssektor

Schürmann Rosenthal Dreyer Rechtsanwälte unterstützt Sie umfassend bei der rechtssicheren Umsetzung: von der Betroffenheitsanalyse über die Vertragsgestaltung und den Geschäftsgeheimnisschutz bis hin zur Vorbereitung auf den EHDS und der Durchsetzung neuer Datenzugangsrechte. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

  • Wir bieten Ihnen maßgeschneiderte Beratungsleistungen an, um die durch den Data Act entstehenden Herausforderungen und Möglichkeiten optimal zu nutzen.
  • Wir helfen Ihnen, die Rechte und Pflichten, die sich aus dem Data Act ergeben, zu verstehen.
  • Wir unterstützen Sie dabei, geeignete Vertragsregelungen zu treffen und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Termin vereinbaren

Inhalt

Ihre Ansprechpartner:innen

Johannes Gilch, LL.M. (Dresden/Strasbourg)

Rechtsanwalt, Senior Associate Berlin

Dr. Maximilian Wagner

Rechtsanwalt, Senior Associate Berlin