Moderne Medizintechnik ist vernetzt. Ob System zur kontinuierlichen Blutzuckermessung, Herzschrittmacher oder Beatmungssystem: Die Produkte erfassen eine Vielzahl von Daten, speichern sie und leiten sie weiter. Vernetzte Software, häufig mit künstlicher Intelligenz, analysiert diese Daten und hilft, Therapien zu optimieren.
Doch längst nicht alle Daten, die solch komplexe Geräte erfassen, sind auch zugänglich. Patienten, Krankenhäuser und sonstige Dritte kommen nur an diejenigen Datensätze heran, die der Hersteller freigibt. Warum eigentlich? Sollten Patienten, Krankenhäuser oder Dienstleister nicht einen weitergehenden Anspruch auf Herausgabe derjenigen Daten haben, die durch ihre Nutzung des Medizinprodukts aufgezeichnet wurden?
Wenn es nach der EU geht, wohl schon. Sie hat den EU Data Act – Verordnung (EU) 2023/2854 – auf den Weg gebracht. Er hat zum Ziel, den Zugang zu Daten zu verbessern und Datensilos aufzubrechen. Im Fokus dürften dabei andere Industrien, wie Automobile, Maschinenbau und Telekommunikation gestanden haben. Aber die Verordnung enthält keine Bereichsausnahme. Also ist auch der Gesundheitssektor erfasst, und damit die Medizintechnik.
Verkürzt gesagt sollen Hersteller von Medizinprodukten im Prinzip verpflichtet werden, all diejenigen Daten herauszugeben, die durch die Nutzung des Geräts direkt erzeugt werden, sich indirekt daraus ergeben oder auch nur im inaktiven Modus aufgezeichnet werden. Das gilt für personenbezogene und nicht-personenbezogene Daten. Nach der Vorstellung des Gesetzgebers sollen so deutlich mehr Gesundheitsdaten als bisher verfügbar gemacht werden – zur Verbesserung von Innovation und Versorgung.
Was auf den ersten Blick positiv klingt, birgt Risiken. Denn sind wirklich alle aufgezeichneten Daten hilfreich? Rohdaten lassen sich ohne Kontext möglicherweise nicht richtig interpretieren und können bei Fehldeutungen sogar die Patientensicherheit gefährden. Was passiert, wenn das Medizinprodukt eigentlich nicht auf die Übertragung größerer Datenmengen ausgelegt ist? Wer haftet, wenn die Batterie schneller aufgibt, der Speicher voll ist oder die Bandbreite fehlt? Wenn Produkte zur Ermöglichung der Datenübertragung technisch angepasst werden müssen – wer trägt dafür die Kosten? Und wenn sie hoch sind, ist das zumutbar und verhältnismäßig? Fraglich auch, wie Hersteller Produktänderungen im Zertifizierungsprozess einsteuern sollen – führen sie doch unter Umständen dazu, dass Produkte nicht mehr von der CE-Zertifizierung gemäß der EU Medizinprodukteverordnung gedeckt sind und damit eigentlich nicht mehr auf den Markt gebracht werden dürfen. Und last but not least: Wie steht es um Geschäftsgeheimnisse, Schutzrechte und das Know How des Herstellers? Wenn diese mit den Daten entschlüsselt werden könnten oder direkt abfließen würden, wäre das aus Herstellersicht schlecht – und würde perspektivisch auch Innovationen hemmen.
Es zeigt sich: Der EU Data Act wirft im Medtech-Sektor viele Fragen auf. Einfache Antworten gibt es nicht. In der Industrie kommt die Diskussion langsam in Schwung. Es besteht Handlungsbedarf. Um nicht auf dem falschen Fuß erwischt zu werden, empfiehlt sich ein systematischer Angang, gewissermaßen eine Roadmap für EU Data Act Compliance. Hersteller, aber auch die EU Kommission und Aufsichtsbehörden, werden sich Gedanken machen müssen, wie die richtige Balance zwischen dem Zugang zu Daten auf der einen Seite und dem notwendigen Schutz von Gesundheit, Produktsicherheit, Geschäftsgeheimnissen und regulatorischer Compliance zu finden ist. Viel Zeit bleibt nicht: In weniger als einem Jahr, am 12. September 2025, gilt der EU Data Act.