Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt (EuGH, Urt. v. 16.7.2020; Az. C‑311/18) . Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern. 

1. Privacy-Shield: Worum geht es?

a) Die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass man personenbezogene Daten grundsätzlich nur dann in ein Drittland übermitteln darf, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach der DSGVO feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.

Liegt wie im Fall der USA kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Solche Garantieen können sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.

b) Ziel des Privacy-Shield-Abkommens

Das Privacy Shield enthält einen Mechanismus, der den darunter zertifizierten Unternehmen ein in der EU vergleichbares Datenschutzniveau attestiert, um so Datenübermittlungen in die USA zu legitimieren. Das Abkommen sollte bei der Verarbeitung von Daten in den USA ein vergleichbares (angemessenes) Schutzniveau wie in der EU garantieren.

Das Abkommen wurde von Datenschützern von Anfang an stark kritisiert. Mit Recht, wie das EuGH-Urteil bestätigt. Damit ist das EU-US Privacy Shield nach dem Safe-Harbor-Abkommen das zweite Abkommen zwischen den USA und der EU, das der Überprüfung des EuGH nicht stand gehalten hat.

2. Hosting in den Clouds von Amazon, Google & Co.

Rund 5000 Firmen, darunter auch Amazon (einschließlich Amazon AWS), Microsoft (einschließlich Azure) und Google (einschließlich aller von Google LLC angebotenen Dienste) fallen derzeit unter das EU-US Privacy Shield.

Da der Europäische Gerichtshof das Privacy Shield mit seinem Urteil vom 16.06.2020 für ungültig erklärt, dürfen sich Firmen bei Datenübermittlungen in die USA nicht mehr darauf stützen.

3. Mögliche Auswege

a) Ausweichen auf Rechenzentren in Deutschland

Wählt man beispielsweise bei Amazon den Rechenzentrumsstandort Deutschland/Frankfurt aus, sollte man prüfen, ob alle Gesundheitsdaten auch dort gespeichert und verarbeitet werden. Außerdem muss sichergestellt sein, dass nicht nur der Serverstandort, sondern auch der Sitz des Unternehmens in der EU liegt.

Bereits die Speicherung einer E-Mail-Adresse (z.B. in Verbindung mit der Nutzung einer DiGA) kann die Verarbeitung von Gesundheitsdaten darstellen.

b) Nutzung von Standardklauseln und Binding Corporate Rules (BCR)

Medizinproduktehersteller haben nach dem ausdrücklichen Urteil des EuGH weiterhin die Möglichkeit, durch Standardvertragsklauseln ein der EU vergleichbares Schutzniveau bei der Verarbeitung personenbezogener Daten zu garantieren.

Es muss allerdings angenommen werden, dass allein durch die Verwendung von Schutzklauseln und BCR kein angemessenes Schutzniveau gewährleistet werden kann und dies durch die zuständigen Datenschutzaufsichtsbehörden moniert wird. Vielmehr werden noch zusätzliche Schutzmaßnahmen (z.B. technische Lösungen) erforderlich werden.

c) Verschlüsseltes Speichern

Die technischen Anforderungen sind sehr hoch, die eine Verschlüsselung erfüllen muss, um eine Identifizierbarkeit der verschlüsselten Daten faktisch auszuschließen. Daher ist im Regelfall davon auszugehen, dass personenbezogene Daten trotz Verschlüsselung ihren Personenbezug behalten.

Das bedeutet, dass man die Vorgaben der DSGVO auch dann einhalten muss, wenn die Daten verschlüsselt bei dem jeweiligen Anbieter abgespeichert werden. Daher ist es in der Regel nicht möglich, das EuGH-Urteil auf diesem Wege zu umgehen.

Andererseits ist nicht auszuschließen, dass die Verschlüsselung als eine ausreichende ergänzende technische Schutzmaßnahme zu Standarddatenschutzklauseln oder BCR angesehen werden.

d) DiGA-Besonderheiten

DiGA-Hersteller müssen berücksichtigen, dass in dem aktualisierten BfArM-Leitfaden explizit darauf hingewiesen wird, dass eine Verarbeitung von personenbezogenen Daten außerhalb der EU auf Basis von Standardvertragsklauseln oder Corporate Binding Rules für DiGA nicht zulässig ist.

eine Verarbeitung außerhalb der EU in einem sog. Drittstaat ist zulässig, sofern ein vergleichbares Schutzniveau im Drittstaat besteht (Angemessenheitsbeschluss nach Artikel 45 DSGVO). Die weitreichenden Ausnahmen nach Artikel 46 und 47 DSGVO sind für DiGA aufgrund des regelhaft anzunehmenden besonderen Schutzbedarfs der verarbeitenden Daten nicht anwendbar.

DiGA Leitfaden Seite 46

Da aufgrund der EuGH-Entscheidung es auch keinen Angemessenheitsbeschluss der EU-Kommission für die USA gibt, sollten die Hersteller auf Dienstleister innerhalb der EU, des EWR, der Schweiz oder eines Drittlandes wechseln, für das ein Angemessenheitsbeschluss besteht.

Seit der Neupositionierung des BfArM vom 28.01.2021 zum Thema Datenverarbeitung außerhalb Deutschlands (Datenverarbeitung_außerhalb_Deutschlands_FAQ.pdf (bfarm.de)) ist es unter bestimmten Voraussetzungen möglich, Cloud-Dienste einer europäischen Tochtergesellschaft eines US-amerikanischen Unternehmens zu nutzen.

BfArM: DiGA-LeitfadenBfArM: FAQ
„Dienstleister aus den USA, auch solche mit Niederlassung in der EU, aber einem Mutterkonzern in den USA,
dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung von personenbezogenen Daten herangezogen werden.“		„Dienstleister (z.B. Betreiber von Rechenzentren) aus den USA, mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA,
dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nur unter bestimmten Voraussetzungen für die Verarbeitung von personenbezogenen Daten herangezogen werden.“
Tabelle 1: Die Formatierung der Texte erfolgte durch das Johner Institut

Geeignete Garantien nach Art. 46 DSGVO oder Ausnahmeregelungen nach Art. 49 DSGVO sind für DiGA weiterhin ausgeschlossen.

4. Fazit und Empfehlung

Das EuGH-Urteil hat vielen Firmen die rechtliche Grundlage entzogen, um Daten bei den US-Techgiganten zu speichern, oder dies zumindest erschwert.

Daher sollten diese Firmen überprüfen, ob die bei einem unter das EU-US Privacy Shield fallenden Anbieter gespeicherten Daten personenbezogen sind. Ist das der Fall, so muss eine Absicherung durch die Standardvertragsklauseln oder BCR in Kombination mit weiteren technischen Schutzmaßnahmen erfolgen.

Aktuelle Statements  der Datenschutzbehörden sollten kontinuierlich überprüft werden.

DiGA-Hersteller sollten im Zweifel von den US-amerikanischen Dienstleister wegwechseln.

Die Standardvertragsklauseln für Auftragsverarbeiter sind im Anhang des Beschlusses 2010/87 der Europäischen Kommission zu finden.

Haben Sie noch Fragen und Anmerkungen? Schreiben Sie unten in das Kommentarfeld oder direkt an die Anwältin Sonia Seubert von der Kanzlei Dierks + Company.

Änderungshistorie

  • 2021-02-01: Änderungen des BfArMs berücksichtigt

Wie hilfreich war dieser Beitrag?

Bitte bewerten Sie:

Durchschnittliche Bewertung 3.7 / 5. Anzahl Bewertungen: 26

Geben Sie die erste Bewertung!

Ähnliche Beiträge

Beliebteste Beiträge

Montag, 10. Mai 2021

Medical Device Regulation MDR – Medizinprodukteverordnung (2017/745) (Stand 2021)
Regulatory Affairs

Sonntag, 2. Mai 2021

Regulatorische Anforderungen an Medizinprodukte mit Machine Learning
Auf was Sie bei der Systementwicklung von Medizinprodukten achten müssen

Dienstag, 27. April 2021

Stoffliche Medizinprodukte: Was Sie jetzt tun müssen, um Ihre Bestandsprodukte unter der MDR weiter vermarkten zu dürfen

Kategorien: Regulatory Affairs

7 Kommentare

  1. Igor Lankin | Donnerstag, 23. Juli 2020 um 08:53 Uhr - Antworten

    Kleiner Fehler im Artikel: Das Urteil war erst am 16.07.2020.
    Siehe https://noyb.eu/files/CJEU/judgment.pdf

  2. Data-Driven | Samstag, 15. August 2020 um 13:03 Uhr - Antworten

    Bezüglich der massive Auswirkungen stimme ich Ihnen vollkommen zu.

    Allein durch das Google Analytics-Tracking ist hiervon fast jeder Webseitenbetreiber betroffen.

    Für das datengetriebene Marketing ergeben sich dadurch einige neue Herausforderungen, was bei all den positiven Aspekten auch bedacht werden sollte.

    Es werden sich in Zukunft noch einige Dinge in dieser Hinsicht tun (Trust Tokens, …).

  3. Bernhard Redl | Donnerstag, 20. August 2020 um 11:34 Uhr - Antworten

    Sehr geehrter Herr Prof. Johner,
    vielen Dank für die Aufstellung der Folgen nach dem Fall des US Privacy Shields. Ich habe immer meine Kunden als Datenschutzberater/-beauftragter vor dem Fall des Abkommens gewarnt, schon allein die „Zertifizierung“ der US Firmen hierfür bedeutete ja lediglich eine Meldung an das US-Ministerium (also keine inhaltliche Prüfung!). Ich sehe aber auch die andere Seite als Mitgründer eines österreichischen eHealth-Startups als kleiner der (EU)Norm-Unterworfenen, wie schwer es ist, mit (mit hohem Aufwand) oder ohne (noch höherem technischen Aufwand) US-Diensten etwas aufzubauen.
    Das beginnt schon beim Server – und da wundert mich Ihr Hinweis unter 3a) mit „Ausweichen auf Amazons Rechenzentrum in Frankfurt“. Trotz des Standortes in Deutschland ist aws eben eine US Firma, die den US Gesetzen unterworfen ist, die letztlich das Privacy Shield nicht ermöglichen (FISA 702 und EO 12.333) – siehe Entscheidung EuGH. Aus meiner Sicht gibt es noch den US Cloud Act, der Zugriff der US Behörden weltweit auf US-Firmen Server in Verdachtsfällen ermöglicht…
    Der Verein noyb.eu (Max Schrems) bietet selbst Information an, wie man mit dem Wegfall des US Privacy Shields umgehen soll: https://noyb.eu/en/next-steps-eu-companies-faqs
    Auf der Website werden Firmen aufgelistet, die unter das besagte FISA 702 fallen – Amazon aws ist auch darunter (Status als pdf downloadbar).
    Der Druck auf die der Norm-Unterworfenen wird weiter hoch bleiben – noyb.eu hat bereits 101 weitere Beschwerden bei den europäischen Datenschutzbehörden eingereicht: https://noyb.eu/en/101-complaints-eu-us-transfers-filed.

    Haben Sie mehr Informationen, die die Nutzung von aws in Frankfurt „rechtssicher“ macht?

    Vielen Dank,
    bg Bernhard Redl

    • Sonia Seubert | Sonntag, 23. August 2020 um 15:44 Uhr - Antworten

      Sehr geehrter Herr Redl,

      vielen Dank für Ihre Anmerkung und Hinweise.
      Wie Sie zutreffend beschreiben und auch in dem Beitrag betont wurde, reicht es generell nicht aus, wenn allein der Standort des Servers in der EU ist. Entscheidend ist vielmehr, dass die Übermittlung der personenbezogenen Daten rechtsmäßig erfolgt. Das ist grundsätzlich der Fall, wenn die Übermittlung innerhalb der EU stattfindet, bzw. im Drittstaat ein vergleichbares Schutzniveau besteht (insb. Angemessenheitsbeschluss nach Artikel 45 DSGVO). Denkbar ist eine rechtsmäßige Datenverarbeitung außerhalb der EU zudem auf Basis von Art. 46 DSGVO (Standardvertragsklauseln) oder Art. 47 (Corporate Binding Rules). Ferner können auch Ausnahmen nach Art. 49 DSGVO einschlägig sein. Es muss daher im Einzelfall geprüft werden, ob eine der Regelungen anwendbar und umsetzbar ist, um die Nutzung eines bestimmten Servers als „rechtssicher“ bezeichnen zu können.

      Beste Grüße
      Sonia Seubert

  4. Helmut Karas | Dienstag, 1. September 2020 um 13:37 Uhr - Antworten

    Europa tut sich keinen Gefallen, wenn Unternehmen wegen potenziellem Zugriff von Geheimdiensten aus der digitalen Wirtschaft zurücksteigen. Im digitalen Raum sind die Geheimdienste der G8 natürlich global aktiv und nicht beherrschbar.

    Praktisch ist keine europäische, wirtschaftlich competitive Struktur vorhanden. Die Analyse der Unternehmen, die von digitalen Leistungen von US-Firmen abhängig sind, zeigt die Dimension.
    Die Nicht-Nutzung von Microsoft (KMGUs), Amazon AWS (MGUs), Amazon als Plattform (KMUs) oder Facebook (KMUs) hätte für 99% der Wirtschaft gravierende Folgen. (Die 99% beinhalten Domino-Effekte).

    Mit diesen Fakten muss Europa über seine digitale strategische Position nachdenken. Wie könnte der Rückstand aufgeholt werden: Europa ist transparent und nicht sehr engagiert. Die sehr viel ambitionierteren Vorreiter erkennen jede Bemühung und antizipieren aggressiv.
    Was wie ein amerikanisches Problem aussieht, ist in Wahrheit „frech gegen schüchtern“.

    Unternehmerisch ist die Lösung bei der Wahl zwischen diesen beiden „Geschmacksrichtungen“ sehr klar:

    Ethische Grundsätze bei Aufbau und Umgang mit Daten, juristisch mit einer gesunden Portion „frech“ im Compliance-Fachbereich, kluges Risikomanagement im Controlling.

    Das ist bereits 50% der to-do-Liste für die #digitaleTransformation.

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.