Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt (EuGH, Urt. v. 16.7.2020; Az. C‑311/18). Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern.
1. Privacy-Shield: Worum geht es?
a) Die DSGVO
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass man personenbezogene Daten grundsätzlich nur dann in ein Drittland übermitteln darf, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach der DSGVO feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Liegt wie im Fall der USA kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Solche Garantien können sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.
b) Ziel des Privacy-Shield-Abkommens
Das Privacy Shield enthält einen Mechanismus, der den darunter zertifizierten Unternehmen ein in der EU vergleichbares Datenschutzniveau attestiert, um so Datenübermittlungen in die USA zu legitimieren. Das Abkommen sollte bei der Verarbeitung von Daten in den USA ein vergleichbares (angemessenes) Schutzniveau wie in der EU garantieren.
Das Abkommen wurde von Datenschützern von Anfang an stark kritisiert. Mit Recht, wie das EuGH-Urteil bestätigt. Damit ist das EU-US Privacy Shield nach dem Safe-Harbor-Abkommen das zweite Abkommen zwischen den USA und der EU, das der Überprüfung des EuGH nicht standgehalten hat.
2. Hosting in den Clouds von Amazon, Google & Co.
Rund 5000 Firmen, darunter auch Amazon (einschließlich Amazon AWS), Microsoft (einschließlich Azure) und Google (einschließlich aller von Google LLC angebotenen Dienste) fallen derzeit unter das EU-US Privacy Shield.
Da der Europäische Gerichtshof das Privacy Shield mit seinem Urteil vom 16.06.2020 für ungültig erklärt, dürfen sich Firmen bei Datenübermittlungen in die USA nicht mehr darauf stützen.
3. Mögliche Auswege
a) Ausweichen auf Rechenzentren in Deutschland
Wählt man beispielsweise bei Amazon den Rechenzentrumsstandort Deutschland/Frankfurt aus, sollte man prüfen, ob alle Gesundheitsdaten auch dort gespeichert und verarbeitet werden. Außerdem muss sichergestellt sein, dass nicht nur der Serverstandort, sondern auch der Sitz des Unternehmens in der EU liegt.
Bereits die Speicherung einer E-Mail-Adresse (z.B. in Verbindung mit der Nutzung einer DiGA) kann die Verarbeitung von Gesundheitsdaten darstellen.
b) Nutzung von Standardklauseln und Binding Corporate Rules (BCR)
Medizinproduktehersteller haben nach dem ausdrücklichen Urteil des EuGH weiterhin die Möglichkeit, durch Standardvertragsklauseln ein der EU vergleichbares Schutzniveau bei der Verarbeitung personenbezogener Daten zu garantieren.
Es muss allerdings angenommen werden, dass allein durch die Verwendung von Schutzklauseln und BCR kein angemessenes Schutzniveau gewährleistet werden kann und dies durch die zuständigen Datenschutzaufsichtsbehörden moniert wird. Vielmehr werden noch zusätzliche Schutzmaßnahmen (z.B. technische Lösungen) erforderlich werden.
c) Verschlüsseltes Speichern
Die technischen Anforderungen sind sehr hoch, die eine Verschlüsselung erfüllen muss, um eine Identifizierbarkeit der verschlüsselten Daten faktisch auszuschließen. Daher ist im Regelfall davon auszugehen, dass personenbezogene Daten trotz Verschlüsselung ihren Personenbezug behalten.
Das bedeutet, dass man die Vorgaben der DSGVO auch dann einhalten muss, wenn die Daten verschlüsselt bei dem jeweiligen Anbieter abgespeichert werden. Daher ist es in der Regel nicht möglich, das EuGH-Urteil auf diesem Wege zu umgehen.
Andererseits ist nicht auszuschließen, dass die Verschlüsselung als eine ausreichende ergänzende technische Schutzmaßnahme zu Standarddatenschutzklauseln oder BCR angesehen werden.
d) DiGA-Besonderheiten
DiGA-Hersteller müssen berücksichtigen, dass in dem aktualisierten BfArM-Leitfaden explizit darauf hingewiesen wird, dass eine Verarbeitung von personenbezogenen Daten außerhalb der EU auf Basis von Standardvertragsklauseln oder Corporate Binding Rules für DiGA nicht zulässig ist.
eine Verarbeitung außerhalb der EU in einem sog. Drittstaat ist zulässig, sofern ein vergleichbares Schutzniveau im Drittstaat besteht (Angemessenheitsbeschluss nach Artikel 45 DSGVO). Die weitreichenden Ausnahmen nach Artikel 46 und 47 DSGVO sind für DiGA aufgrund des regelhaft anzunehmenden besonderen Schutzbedarfs der verarbeitenden Daten nicht anwendbar.
DiGA Leitfaden Seite 46
Da aufgrund der EuGH-Entscheidung es auch keinen Angemessenheitsbeschluss der EU-Kommission für die USA gibt, sollten die Hersteller auf Dienstleister innerhalb der EU, des EWR, der Schweiz oder eines Drittlandes wechseln, für das ein Angemessenheitsbeschluss besteht.
Seit der Neupositionierung des BfArM vom 28.01.2021 zum Thema Datenverarbeitung außerhalb Deutschlands (Datenverarbeitung_außerhalb_Deutschlands_FAQ.pdf (bfarm.de)) ist es unter bestimmten Voraussetzungen möglich, Cloud-Dienste einer europäischen Tochtergesellschaft eines US-amerikanischen Unternehmens zu nutzen.
| BfArM: DiGA-Leitfaden | BfArM: FAQ |
„Dienstleister aus den USA, auch solche mit Niederlassung in der EU, aber einem Mutterkonzern in den USA,
dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung von personenbezogenen Daten herangezogen werden.“ | „Dienstleister (z.B. Betreiber von Rechenzentren) aus den USA, mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA,
dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nur unter bestimmten Voraussetzungen für die Verarbeitung von personenbezogenen Daten herangezogen werden.“ |
Tabelle 1: Die Formatierung der Texte erfolgte durch das Johner InstitutGeeignete Garantien nach Art. 46 DSGVO oder Ausnahmeregelungen nach Art. 49 DSGVO sind für DiGA weiterhin ausgeschlossen.
4. Fazit und Empfehlung
Das EuGH-Urteil hat vielen Firmen die rechtliche Grundlage entzogen, um Daten bei den US-Techgiganten zu speichern, oder dies zumindest erschwert.
Daher sollten diese Firmen überprüfen, ob die bei einem unter das EU-US Privacy Shield fallenden Anbieter gespeicherten Daten personenbezogen sind. Ist das der Fall, so muss eine Absicherung durch die Standardvertragsklauseln oder BCR in Kombination mit weiteren technischen Schutzmaßnahmen erfolgen.
Aktuelle Statements der Datenschutzbehörden sollten kontinuierlich überprüft werden.
DiGA-Hersteller sollten im Zweifel den US-amerikanischen Dienstleister wechseln.
Die Standardvertragsklauseln für Auftragsverarbeiter sind im Anhang des Beschlusses 2010/87 der Europäischen Kommission zu finden.
Aktuelles
Die USA streben seit Oktober 2022 eine neue Initiative für das Datenschutzabkommen an. Sie finden hier eine erste Einordnung.
Haben Sie noch Fragen und Anmerkungen? Schreiben Sie unten in das Kommentarfeld oder direkt an die Anwältin Sonia Seubert von der Mazars Rechtsanwaltsgesellschaft mbH.
Änderungshistorie
- 2022-21-10: Link auf die Gesetzgebungsinitiative der US-Regierung ergänzt
- 2021-02-01: Änderungen des BfArMs berücksichtigt
