ComplyOne-Pulse
Patientendaten erfordern mehr als guten Willen.
Gesundheitsunternehmen unterliegen DSGVO für Patientendaten und NIS2 für digitale Infrastruktur — beides wird aktiv durchgesetzt. Mit dem EU AI Act für klinische Algorithmen ist die regulatorische Oberfläche grösser, als die meisten Anbieter wahrnehmen.
Warum sich das Gesundheitswesen nicht auf Einwilligung und guten Glauben verlassen kann
Gesundheitsdaten sind die sensibelste Kategorie personenbezogener Daten unter der DSGVO — und genau das, was Gesundheits- und Medtech-Unternehmen verarbeiten müssen, um Versorgung zu liefern. Hinzu kommen NIS2-Cybersicherheitspflichten für digitale Infrastruktur, Hochrisiko-Klassifizierung nach EU AI Act für klinische Entscheidungsunterstützung und ein unnachgiebiges Durchsetzungsumfeld — die Kosten eines nicht-konformen Programms werden in Millionen gemessen, plus jahrelang anhaltendem Reputationsschaden.
What's included in ComplyOne-Pulse
The regulations that matter most for gesundheits- und medtech-unternehmen — covered, mapped to your business, and tracked over time.
DSGVO
Besondere Kategorie Gesundheitsdaten — explizite Rechtsgrundlage erforderlich, obligatorische DSFAs, strenge Aufbewahrungsregeln. Art. 9 setzt eine viel höhere Hürde als gewöhnliche Personendaten.
NIS2
Gesundheitswesen wird als wesentlicher Sektor benannt. Krankenhäuser, Kliniken, Diagnostikanbieter und grosse Medtech-Anbieter unterliegen ab Oktober 2024 direkten NIS2-Pflichten.
EU AI Act
KI in Medizinprodukten, klinischer Entscheidungsunterstützung, Triage und Diagnostik ist Hochrisiko. Anhang III listet Zugang zu wesentlichen Gesundheitsleistungen explizit als Hochrisiko-Kategorie.
Schweizer DSG
Schweizer Gesundheitsdienstleister unterliegen dem DSG mit seinen Hochrisiko-Profiling-Bestimmungen und persönlicher Haftung bis zu CHF 250 000. Grenzüberschreitende Datenflüsse lösen zusätzliche Regeln aus.
How ComplyOne-Pulse works
Onboard in minutes
Answer 5 questions about your business — sector, locations, data flows. No account needed for the free check.
Get your compliance map
See exactly which regulations apply to your business, where the gaps are, and what severity each carries.
Act on it
A prioritised task list, document templates, and an audit-ready evidence pack — guided through to a defensible compliance baseline.
Daily regulatory horizon scanning
ComplyOne scans EU regulatory sources every day — directives, implementing acts, regulator guidance, enforcement notices. When something changes that affects your obligation map, you get a structured alert: what changed, why it applies to you, and what you need to do. No more discovering enforcement deadlines from a news headline.
How to approach gesundheits- und medtech-unternehmen compliance
Führen Sie eine DSFA für jeden Patientendaten-Fluss durch
Art.-9-Gesundheitsdaten erfüllen praktisch immer die Hochrisiko-Schwelle für eine Datenschutz-Folgenabschätzung. Das ist nicht optionale Best Practice — es ist eine dokumentierte gesetzliche Anforderung, und es ist das Erste, das ein Aufseher sehen will.
Klassifizieren Sie klinische KI nach dem EU AI Act
Software, die eine klinische Entscheidung informieren soll, ist Hochrisiko sowohl nach EU AI Act als auch nach Medizinprodukteverordnung. Die beiden Frameworks haben überlappende, aber unterschiedliche Pflichten — Risikomanagement, menschliche Aufsicht, technische Dokumentation, Marktüberwachung nach dem Inverkehrbringen, EU-Datenbankregistrierung.
Sichern Sie Ihr NIS2-Cyber-Risikoprogramm
Gesundheitswesen ist wesentlich nach NIS2 Anhang I — was die höchste Stufe der Cybersicherheitspflichten bedeutet: dokumentiertes Risikomanagement, Vorfallmeldung (Frühwarnung innerhalb 24 Stunden, vollständiger Bericht innerhalb 72), Lieferkettensicherheit und Haftung der Geschäftsleitung für Versäumnisse.
Verwalten Sie Auftragsverarbeiter- und gemeinsame-Verantwortlichen-Beziehungen
Gesundheitsworkflows umfassen typischerweise eine Kette von Auftragsverarbeitern — EHR-Anbieter, Laborsysteme, Abrechnungsdienste, Bildgebungsarchive, Telemedizin-Plattformen. Jeder benötigt einen dokumentierten Art.-28-Vertrag, Sub-Verarbeiter-Kontrollen und Vorfallmeldungs-Verpflichtungen, die straff genug sind, um das DSGVO-Fenster von 72 Stunden zu erfüllen.
Dokumentieren Sie Datenflüsse für grenzüberschreitende und Forschungsszenarien
Multistandort-Kliniken, grenzüberschreitende Telemedizin, Forschungskooperationen, Registereinreichungen — alle schaffen Übermittlungsszenarien, die Standardvertragsklauseln, Übermittlungsfolgenabschätzungen und explizite Rechtsgrundlage benötigen. Falsch gemacht, wird ein Forschungszuschuss zu einem regulatorischen Vorfall.
Swiss-hosted
All data hosted in Switzerland — outside US data-access frameworks.
10 EU regulations
GDPR, AI Act, NIS2, DORA, FADP, UK GDPR, Data Act, CSRD, AMLR, CRA — one platform.
Daily horizon scanning
Regulatory changes alerted, mapped to your obligations, every day.
Frequently asked questions
Sind wir automatisch NIS2-wesentlich, weil wir ein Krankenhaus sind?+
Die meisten Krankenhäuser sind wesentlich nach NIS2 Anhang I, ja. Die Schwellen variieren nach Mitgliedstaat, decken aber jeden Gesundheitsdienstleister ab, der die Grössenkriterien erfüllt — typischerweise grösser als eine kleine Klinik. Auch kleinere Anbieter können als 'wichtig' statt 'wesentlich' eingestuft werden, was immer noch erhebliche Pflichten mit sich bringt. Die nationalen zuständigen Behörden führen die Register.
Gilt der EU AI Act, wenn unsere KI bereits ein CE-zertifiziertes Medizinprodukt ist?+
Ja — beide Regime gelten. Der EU AI Act sieht eine gewisse Integration mit dem MDR-Framework vor, fügt aber zusätzliche Pflichten hinzu: KI-Risikomanagement, Gestaltung menschlicher Aufsicht, Marktüberwachung von KI nach dem Inverkehrbringen und EU-KI-Datenbankregistrierung zusätzlich zur MDR. ComplyOne kartiert die dualen Regime-Pflichten und hilft, doppelten Aufwand zu vermeiden.
Welche Rechtsgrundlage deckt die Verarbeitung von Patientendaten ab?+
Mehrere Grundlagen laufen parallel. Erbringung von Gesundheitsversorgung und Verwaltung von Gesundheits- oder Sozialfürsorgesystemen (Art. 9 Abs. 2 lit. h) deckt die meiste direkte Versorgung ab. Öffentliches Interesse an öffentlicher Gesundheit (Art. 9 Abs. 2 lit. i) deckt einige Szenarien ab. Forschung hat ihre eigene Grundlage (Art. 9 Abs. 2 lit. j). Einwilligung ist selten die richtige Grundlage für die primäre klinische Versorgung, obwohl sie am häufigsten angenommen wird.
Wie geht ComplyOne mit den 24-Stunden- und 72-Stunden-Meldefristen um?+
ComplyOne stellt Vorfall-Berichtsvorlagen bereit, die auf die NIS2-Fristen (24-Stunden-Frühwarnung, 72-Stunden-Vollmeldung, Abschlussbericht nach 1 Monat) und das DSGVO-72-Stunden-Verletzungsfenster abgestimmt sind. Strukturierte Workflows stellen sicher, dass Sie jedes erforderliche Feld vor der Einreichung erfassen, und vermeiden Spätänderungs-Szenarien, die die Aufseheraufsicht verstärken.
Wie schnell kann ein Gesundheitsdienstleister starten?+
Der Compliance-Check dauert etwa 5 Minuten und erstellt Ihre Karte anwendbarer Vorschriften. Gesundheitsprogramme dauern typischerweise länger als andere Sektoren, um eine verteidigbare Basis zu erreichen, aufgrund der DSFA-Tiefe und der klinischen-KI-Dokumentation — planen Sie 4 bis 6 Wochen strukturierte Arbeit ein, mit ComplyOne, das den Fortschritt verfolgt und die risikoreichsten Lücken zuerst sichtbar macht.
See where you stand — in 60 seconds
Free compliance check, no signup required. Get your obligation map and gap report instantly.