Datenschutzrecht: „Privacy Shield“ zerbrochen, und nun?! Auswirkungen für Praxen und Anbieter digitaler Gesundheitsanwendungen

Nach dem „Safe-Harbour“-Abkommen erklären die Luxemburger Richter des EuGH mit Urteil vom 16.07.20 auch das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam.
Wie sich das auf Leistungserbringer und Anbieter von digitalen Gesundheitsanwendungen (DiGA) in Deutschland auswirkt und wer nun handeln sollte, fassen wir nachfolgend in Kürze zusammen.

Was war der Vorteil des Privacy-Shield-Abkommens?

Nicht erst seit der EU-DSGVO ist klar: Das datenschutzrechtliche Niveau der EU-Staaten übersteigt das der USA. Problematisch kann das u.a. sein, wenn man Dritte (z.B. Auftragsverarbeiter) aus den USA in einen Datenverarbeitungsprozess einbindet. Als Verantwortlicher haftet man nämlich grundsätzlich auch für Datenschutzverstöße von z.B. (Sub)Auftragsverarbeitern. Bevor man sich für ein solch drittes Unternehmen entscheidet, sollte man daher sicherstellten, dass dieses seinerseits den Anforderungen der DSGVO gerecht wird. Dies gilt erst recht, wenn der Dritte selbst gar nicht der z.B. der DSGVO unterliegt. Für dritte Unternehmen aus den USA gab es hierfür eine Lösung: Das Privacy-Shield-Zertifikat. Bei Einsatz eines solch zertifizierten Unternehmens konnte man grundsätzlich davon ausgehen, dass dieses die Daten nach EU-Niveau verarbeitet. Eine eigene – praktisch kaum durchführbare Prüfung – der datenschutzrechtlichen Maßnahmen des Dritten war nicht erforderlich. Mit dem Wegfall des Privacy-Shield-Abkommens gibt es diese „Erleichterung“ in der Form ab sofort nicht mehr.

Inwieweit betrifft die Entscheidung auch mich als Leistungserbringer oder Anbieter von DiGA´s in Deutschland?

Relevant wird die Entscheidung insbesondere im Hinblick auf Auftragsverarbeitungsverhältnisse. Wer z.B. Cloud-Dienste, für die Terminvergabe, Software-Wartung, telemedizinische Dienste im Bereich der PKV oder die eigene Homepage Drittunternehmen einbindet, sollte einmal genauer hinschauen. Die meisten dieser Auftragsverarbeiter setzen ihrerseits Subunternehmen ein. Werden dabei Daten auf Servern in den USA gespeichert, gibt es den Schutz des „Privacy-Shields“ nicht mehr. Das wird auf kurz oder lang die Aufsichtsbehörden auf den Plan rufen.

Auch die Anbieter von digitalen Gesundheitsanwendungen müssen dann reagieren, wenn sie mit US-Unternehmen zusammenarbeiten. Gemäß § 4 Abs. 3 DiGAV ist eine Verarbeitung von personenbezogenen Daten durch die digitale Gesundheitsanwendung selbst sowie die Verarbeitung im Auftrag in einem Drittstaat außerhalb der EU, des EWR und der Schweiz nur zulässig, sofern ein Angemessenheitsbeschluss der EU-Kommission gemäß Artikel 45 der Verordnung (EU) 2016/679 vorliegt.

Muss ich jetzt handeln?

Wer bislang z.B. Auftragsverarbeiter einsetzte, die ihrerseits Daten auf Servern in den USA speicherten, sollte achtsam sein und ggf. umdisponieren – und das sofort. Einen Ausweg könnten insoweit die sog. „Standardvertragsklauseln“ der EU-Kommission bieten. Diese wurden seitens des EuGH ausdrücklich nicht beanstandet. Doch auch diese sind kein Allheilmittel, da es bei der Verwendung solcher Klauseln auf den Einzelfall ankommt. Auch hier sollte also eine genauere Prüfung erfolgen. Wer sich unsicher ist, ob ihn der Wegfall des Privacy-Shield-Abkommens überhaupt betrifft, sollte im Zweifel einfach bei seinen Auftragsverarbeitern nachfragen oder selbst einen Blick in den Auftragsverarbeitungsvertrag werfen. Als letzter Ausweg bleibt stets der Wechsel zu einem Anbieter, welcher sich ohnehin an die europarechtlichen Vorgaben halten muss.

Vergleichbares gilt für Anbieter digitaler Gesundheitsanwendungen.

Veröffentlicht von

Dominik Neumaier

Rechtsanwalt