Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt (EuGH, Urt. v. 16.7.2020; Az. C‑311/18) . Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern. 

1. Privacy-Shield: Worum geht es?

a) Die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass man personenbezogene Daten grundsätzlich nur dann in ein Drittland übermitteln darf, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach der DSGVO feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.

Liegt wie im Fall der USA kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Solche Garantieen können sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.

b) Ziel des Privacy-Shield-Abkommens

Das Privacy Shield enthält einen Mechanismus, der den darunter zertifizierten Unternehmen ein in der EU vergleichbares Datenschutzniveau attestiert, um so Datenübermittlungen in die USA zu legitimieren. Das Abkommen sollte bei der Verarbeitung von Daten in den USA ein vergleichbares (angemessenes) Schutzniveau wie in der EU garantieren.

Das Abkommen wurde von Datenschützern von Anfang an stark kritisiert. Mit Recht, wie das EuGH-Urteil bestätigt. Damit ist das EU-US Privacy Shield nach dem Safe-Harbor-Abkommen das zweite Abkommen zwischen den USA und der EU, das der Überprüfung des EuGH nicht stand gehalten hat.

2. Hosting in den Clouds von Amazon, Google & Co.

Rund 5000 Firmen, darunter auch Amazon (einschließlich Amazon AWS), Microsoft (einschließlich Azure) und Google (einschließlich aller von Google LLC angebotenen Dienste) fallen derzeit unter das EU-US Privacy Shield.

Da der Europäische Gerichtshof das Privacy Shield mit seinem Urteil vom 16.06.2020 für ungültig erklärt, dürfen sich Firmen bei Datenübermittlungen in die USA nicht mehr darauf stützen.

3. Mögliche Auswege

a) Ausweichen auf Amazons Rechenzentrum in Frankfurt

Wählt man beispielsweise bei Amazon den Rechenzentrumsstandort Deutschland/Frankfurt aus, sollte man prüfen, ob alle Gesundheitsdaten auch dort gespeichert und verarbeitet werden. Außerdem muss sichergestellt sein, dass nicht nur der Serverstandort, sondern auch der Sitz des Unternehmens in der EU liegt.

Bereits die Speicherung einer E-Mail-Adresse (z.B. in Verbindung mit der Nutzung einer DiGA) kann die Verarbeitung von Gesundheitsdaten darstellen.

b) Nutzung von Standardklauseln

Medizinproduktehersteller haben nach dem ausdrücklichen Urteil des EuGH weiterhin die Möglichkeit, durch Standardvertragsklauseln ein der EU vergleichbares Schutzniveau bei der Verarbeitung personenbezogener Daten zu garantieren.

c) Verschlüsseltes Speichern

Die technischen Anforderungen sind sehr hoch, die eine Verschlüsselung erfüllen muss, um eine Identifizierbarkeit der verschlüsselten Daten faktisch auszuschließen. Daher ist im Regelfall davon auszugehen, dass personenbezogene Daten trotz Verschlüsselung ihren Personenbezug behalten.

Das bedeutet, dass man die Vorgaben der DSGVO auch dann einhalten muss, wenn die Daten verschlüsselt bei dem jeweiligen Anbieter abgespeichert werden. Daher ist es in der Regel nicht möglich, das EuGH-Urteil auf diesem Wege zu umgehen.

4. Fazit und Empfehlung

Das EuGH-Urteil hat vielen Firmen die rechtliche Grundlage entzogen, um Daten bei den US-Techgiganten zu speichern.

Daher sollten diese Firmen überprüfen, ob die bei einem unter das EU-US Privacy Shield fallenden Anbieter gespeicherten Daten personenbezogen sind. Ist das der Fall, so muss eine Absicherung durch die Standardvertragsklauseln erfolgen.

Die Standardvertragsklauseln für Auftragsverarbeiter sind im Anhang des Beschlusses 2010/87 der Europäischen Kommission zu finden.

Haben Sie noch Fragen und Anmerkungen? Schreiben Sie unten in das Kommentarfeld oder direkt an die Anwältin Sonia Seubert von der Kanzlei Dierks + Company.

Wie hilfreich war dieser Beitrag?

Bitte bewerten Sie:

Durchschnittliche Bewertung 3.4 / 5. Anzahl Bewertungen: 15

Geben Sie die erste Bewertung!

Ähnliche Beiträge

Regulatory Affairs

Dienstag, 21. Juli 2020

Post-Market Surveillance: Mit einem PMS-Plan die Anforderungen der ISO TR 20416 erfüllen
Regulatory Affairs

Montag, 20. Juli 2020

Post-Market Surveillance und Überwachung der Produkte im Markt
Regulatory Affairs

Dienstag, 14. Juli 2020

Warum Sie die Datenbank ClinicalTrials.gov Hunderttausende Euro kosten kann

Kategorien: Regulatory Affairs

2 Kommentare

  1. Igor Lankin | Donnerstag, 23. Juli 2020 um 08:53 Uhr - Antworten

    Kleiner Fehler im Artikel: Das Urteil war erst am 16.07.2020.
    Siehe https://noyb.eu/files/CJEU/judgment.pdf

Hinterlassen Sie einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.