(1)   Eudamed steht autorisierten Nutzern über eine zugangsbeschränkte Website (im Folgenden „zugangsbeschränkte Website“) und nicht identifizierten Nutzern über eine öffentliche Website (im Folgenden „öffentliche Website“) zur Verfügung.

(2)   Eudamed steht den zuständigen Behörden gemäß Artikel 101 der Verordnung (EU) 2017/745 und Artikel 96 der Verordnung (EU) 2017/746 (im Folgenden „zuständige Behörden“) und den Benannten Stellen, die gemäß Artikel 3 der vorliegenden Verordnung in Eudamed registriert sind, über Maschine-zu-Maschine-Kommunikation (M2M) zur Verfügung. Die Kommission stellt jedem Mitgliedstaat und jeder Benannten Stelle Zugangsstellen für den Datenaustausch zur Verfügung, die es ihnen auf deren Anfrage ermöglicht, solche Datenaustauschdienste zu nutzen.

Eudamed ist für andere Akteure als den zuständigen Behörden und Benannten Stellen über Maschine-zu-Maschine-Kommunikation (M2M) zugänglich, sofern der LAA des betreffenden Akteurs einen Antrag auf Zugang gemäß Artikel 3 Absatz 8 Unterabsatz 1 stellt. Die Kommission genehmigt diesen Antrag unter den in Artikel 3 Absatz 8 Unterabsatz 2 dargelegten Bedingungen.

(1)   Um über die zugangsbeschränkte Website Zugang zu Eudamed zu erhalten, richtet eine natürliche Person ein Konto auf der Website des Authentifizierungsdienstes der Kommission ein.

(2)   Die Kommission registriert die zuständigen Behörden und die für die Benannten Stellen zuständigen Behörden und gewährt einer ersten natürlichen Person, die in ihrem Namen handelt, Zugang zur zugangsbeschränkten Website. Zu diesem Zweck übermitteln die Mitgliedstaaten der Kommission Informationen über ihre zuständigen Behörden, die für die Benannten Stellen zuständigen Behörden und die natürlichen Personen, die erste autorisierte Nutzer dieser Behörden werden.

(3)   Die Kommission registriert die Benannten Stellen in Eudamed auf der Grundlage der Informationen in der von der Kommission entwickelten und verwalteten Datenbank der Benannten Stellen (NANDO).

Um über die zugangsbeschränkte Website Zugang zu Eudamed zu erhalten, reicht die erste natürliche Person, die im Namen eines Akteurs handelt, bei dem es sich um eine Benannte Stelle handelt, einen Antrag auf Zugang über die zugangsbeschränkte Website ein. Die für die Benannte Stelle zuständige Behörde genehmigt den Antrag.

(4)   Damit andere als die in den Absätzen 2 und 3 genannten Stellen in Eudamed registriert werden können, reicht eine natürliche Person, die im Namen des potenziellen Akteurs handelt, einen Antrag auf Registrierung eines Akteurs über die zugangsbeschränkte Website ein. Der Antrag auf Registrierung des Akteurs enthält die unterzeichnete Erklärung über die Zuständigkeiten im Bereich der Informationssicherheit gemäß Artikel 10 Absatz 1. Eine zuständige nationale Behörde genehmigt den Antrag auf Registrierung des Akteurs, es sei denn, der Antrag betrifft einen Sponsor einer klinischen Prüfung oder einer Leistungsstudie.

Nach Genehmigung des Antrags auf Registrierung des Akteurs oder — im Falle eines Sponsors — bei Einreichung des Antrags auf Registrierung des Akteurs erhält die natürliche Person, die den Antrag gemäß Unterabsatz 1 gestellt hat, automatisch Zugang zu der zugangsbeschränkten Website und wird der erste autorisierte Nutzer, sofern die in Absatz 6 genannten Bedingungen erfüllt sind.

Für die Zwecke dieses Absatzes ist die zuständige nationale Behörde die Behörde am Ort der Niederlassung des potenziellen Akteurs. Für außerhalb der Union ansässige Hersteller ist die zuständige nationale Behörde die Behörde, die für den im Antrag auf Registrierung des Akteurs genannten Bevollmächtigten zuständig ist. Für außerhalb der Union ansässige Hersteller von Systemen oder Behandlungseinheiten ist die zuständige nationale Behörde die Behörde jenes Mitgliedstaats, in dem das erste System oder die erste Behandlungseinheit dieses Herstellers in Verkehr gebracht werden soll.

(5)   Damit eine natürliche Person Zugang zu der zugangsbeschränkten Website erhält, um im Namen eines Akteurs tätig zu werden, reicht sie einen Antrag auf Zugang über die zugangsbeschränkte Website ein. Ein LAA oder LUA dieses Akteurs genehmigt den Antrag auf Zugang.

(6)   Um autorisierte Nutzer zu werden, akzeptieren natürliche Personen die Nutzerrechte und -pflichten, die in dem in Artikel 10 Absatz 1 Buchstabe a genannten Dokument festgelegt sind, und konsultieren die Datenschutzerklärung gemäß Buchstabe c jenes Artikels.

(7)   Der erste autorisierte Nutzer eines Akteurs ist automatisch der erste LAA dieses Akteurs.

(8)   Ein LAA kann über die zugangsbeschränkte Website bei der Kommission eine Maschine-zu-Maschine-Verbindung für den Datenaustausch zwischen der Datenbank des Akteurs und Eudamed beantragen.

Die Kommission kann den Antrag gemäß Unterabsatz 1 genehmigen, sofern der LAA bestätigt hat, dass der Akteur die in Artikel 10 Absatz 1 genannten Anforderungen an die Informationssicherheit für den Datenaustausch erfüllt.

(1)   Die Kommission richtet ein Team zur Anwendungsunterstützung ein, das Nutzern von Eudamed zeitnah Hilfe leistet und über eine spezielle funktionale Mailbox erreichbar ist.

(2)   Die Kommission stellt den Nutzern von Eudamed die einschlägige technische Dokumentation über Eudamed, häufig gestellte Fragen zu Eudamed und die Dokumentation zur Unterstützung von Maschine-zu-Maschine-Kommunikation (M2M) zur Verfügung.

(1)   Die Kommission ist Eigentümerin von Eudamed und verfügt über uneingeschränkte Verwaltungsrechte.

(2)   Personenbezogene Daten werden in Eudamed verarbeitet, um den Verpflichtungen aus den Verordnungen (EU) 2017/745 und (EU) 2017/746 nachzukommen.

(3)   Folgende Kategorien personenbezogener Daten werden verarbeitet:

(1)   Die Übermittlung von Daten in Eudamed gilt als an dem Tag und zu dem Zeitpunkt ausgeführt, zu dem die Daten erfolgreich in Eudamed registriert wurden. Datum und Uhrzeit der Übermittlung werden auf der Grundlage der mitteleuropäischen Zeit (MEZ) bzw. der mitteleuropäischen Sommerzeit (MESZ) festgelegt.

(2)   Eudamed ist jederzeit zugänglich, außer während notwendiger und zuvor angekündigter Ausfallzeiten aufgrund von Wartungstätigkeiten, die auch die Veröffentlichung neuer Versionen umfassen können. Die Kommission veröffentlicht dazu im Voraus einen entsprechenden Hinweis auf der zugangsbeschränkten Website bzw. der öffentlichen Website.

(1)   Die Kommission ergreift alle erforderlichen Maßnahmen, um jegliche Störung zu verhindern und das Eintreten einer Störung unverzüglich festzustellen.

(2)   Vermutet ein Akteur oder ein autorisierter Nutzer eine Störung, so setzt er die Kommission unverzüglich davon in Kenntnis.

(3)   Stellt die Kommission eine Störung fest, so ergreift sie folgende Maßnahmen:

Setzt die Kommission die Fristen für die Übermittlung der Daten an Eudamed gemäß Unterabsatz 1 Buchstabe b aus, so werden in der Störungsmeldung der Zeitpunkt der Anzeige der Störungsmeldung und die voraussichtliche Dauer der Aussetzung angegeben.

(4)   Zusätzlich zu der Aussetzung der Fristen gemäß Absatz 3 Unterabsatz 1 Buchstabe b gilt für den Fall, dass eine Störung die Erfüllung einer der in Artikel 80, Artikel 87 Absatz 1, Artikel 89 Absätze 5, 7, 8 und 9, Artikel 95 Absätze 2, 4 und 6 oder Artikel 98 Absatz 2 der Verordnung (EU) 2017/745 oder in Artikel 76, Artikel 82 Absatz 1, Artikel 84 Absätze 5, 7, 8 und 9, Artikel 90 Absätze 2, 4 und 6 oder Artikel 93 Absatz 2 der Verordnung (EU) 2017/746 genannten Pflichten behindert, eines der folgenden Verfahren:

(5)   Zusätzlich zu der in Absatz 3 Unterabsatz 1 Buchstabe b genannten Aussetzung der Fristen gilt im Falle einer Störung, die die Erfüllung einer der in der Verordnung (EU) 2017/745 oder der Verordnung (EU) 2017/746 festgelegten Pflichten, mit Ausnahme der Pflichten gemäß Absatz 4, behindert, folgendes Verfahren:

(6)   Stellt die Kommission fest, dass die Störung beendet ist, so teilt sie dies den zuständigen Behörden mit. Darüber hinaus veröffentlicht die Kommission einen entsprechenden Hinweis auf der zugangsbeschränkten Website bzw. der öffentlichen Website. Sowohl in der Mitteilung als auch in dem Hinweis ist die Dauer der Störung und der Aussetzung der in Absatz 3 Buchstabe b genannten Fristen anzugeben.

(7)   Wenn die Kommission den in Absatz 6 genannten Hinweis angezeigt hat, geben die Akteure unverzüglich die Daten ein, die sie während der Störung in Eudamed nicht übermitteln konnten.

(1)   Die Kommission stellt den Akteuren Websites für Tests und Schulungen zur Nutzung von Eudamed zur Verfügung (im Folgenden „Websites für Tests und Schulungen“).

Die auf den Websites für Tests und Schulungen eingegebenen Daten gelten als fiktiv und dürfen der Öffentlichkeit nicht zugänglich gemacht werden.

(2)   Bevor ein Akteur zum ersten Mal die Maschine-zu-Maschine-Kommunikation in Anspruch nimmt, unternimmt er mindestens einen erfolgreichen Versuch, Daten über eine Maschine-zu-Maschine-Verbindung mittels einer Website für Tests und Schulungen zu übermitteln.

(3)   Alle Änderungen, die die Kommission an der Eudamed-Maschine-zu-Maschine-Kommunikation einzuführen beabsichtigt, werden von ihr zunächst auf den Websites für Tests und Schulungen vorgenommen und stehen für einen Zeitraum, der von der Kommission in Zusammenarbeit mit der gemäß Artikel 103 der Verordnung (EU) 2017/745 eingesetzten Koordinierungsgruppe Medizinprodukte im Voraus festzulegen ist, auf diesen Websites zur Verfügung.

Die Kommission unterrichtet die betroffenen Akteure über Eudamed im Voraus über die geplanten Änderungen und den Zeitraum, in dem sie auf den Websites für Tests und Schulungen zur Verfügung stehen.

(1)   Die Kommission stellt die folgenden Dokumente auf der zugangsbeschränkten Website zur Verfügung:

(2)   Die Akteure halten die Bedingungen ein, die in den in Absatz 1 Buchstabe b und gegebenenfalls Buchstabe d genannten Dokumenten festgelegt sind.

(3)   Hat die Kommission den Verdacht, dass ein IT-Sicherheitsvorfall, ein IT-Sicherheitsrisiko oder eine IT-Sicherheitsbedrohung im Sinne von Artikel 2 Nummern 15, 22 und 25 des Beschlusses (EU, Euratom) 2017/46 eingetreten ist, die ihrer Ansicht nach für Eudamed, Eudamed-Daten oder deren Vertraulichkeit potenziell schädlich sind (im Folgenden „IT-Sicherheitsvorfall, IT-Sicherheitsrisiko oder IT-Sicherheitsbedrohung“), kann die Kommission jeglichen Zugang zu Eudamed aussetzen.

(4)   Die Kommission kann die Funktionen der elektronischen Systeme von Eudamed ganz oder teilweise aussetzen, wenn sie einen IT-Sicherheitsvorfall, ein IT-Sicherheitsrisiko oder eine IT-Sicherheitsbedrohung feststellt.

Behindert die Aussetzung nach Unterabsatz 1 die Eingabe von Daten in Eudamed, so gelten Artikel 8 Absätze 3, 4 und 5 entsprechend.

(5)   Jeder Akteur oder jeder autorisierte Nutzer, der einen IT-Sicherheitsvorfall, ein IT-Sicherheitsrisiko oder eine IT-Sicherheitsbedrohung feststellt oder vermutet, setzt die Kommission und die betroffenen Mitgliedstaaten unverzüglich davon in Kenntnis.

(1)   Vermutet eine zuständige Behörde, ein LAA oder ein LUA einen betrügerischen Antrag auf Zugang zu Eudamed, so lehnen sie den Antrag ab und unterrichten die Kommission unverzüglich über das in Artikel 5 Absatz 1 genannte Team zur Anwendungsunterstützung über eine solche Ablehnung, wobei sie darauf hinweisen, dass es sich um einen mutmaßlich betrügerischen Antrag auf Zugang handelt.

(2)   Hegt die Kommission einen begründeten Verdacht auf betrügerische Aktivitäten eines autorisierten Nutzers, die die IT-Sicherheit von Eudamed beeinträchtigen, so setzt sie den Zugang dieses autorisierten Nutzers zu Eudamed vorübergehend aus. In diesem Fall unterrichtet die Kommission unverzüglich alle Mitgliedstaaten und die betroffenen Akteure über die Aussetzung und die entsprechende Begründung.

(3)   Jeder Akteur oder jeder autorisierte Nutzer, der betrügerische Aktivitäten eines autorisierten Nutzers vermutet, unterrichtet die Kommission und die Mitgliedstaaten unverzüglich über das in Artikel 5 Absatz 1 genannte Team zur Anwendungsunterstützung über die mutmaßlich betrügerischen Aktivitäten.

(4)   Stellt die Kommission in Eudamed betrügerische Aktivitäten fest, so unterbindet sie unverzüglich den Zugang der betreffenden autorisierten Nutzer zu Eudamed und ergreift die erforderlichen Maßnahmen, einschließlich gegebenenfalls der Verhinderung eines künftigen Zugangs zu Eudamed von den entsprechenden Konten, die auf der Website des Authentifizierungsdienstes der Kommission eingerichtet wurden. Die Kommission unterrichtet die jeweils zuständigen nationalen Behörden und die betroffenen Akteure unverzüglich über alle gemäß diesem Absatz ergriffenen Maßnahmen.