Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt ( EuGH, Urt. v. 16.7.2020; Az. C‑311/18 ). Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern.

1. Privacy-Shield: Worum geht es? a) Die DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass man personenbezogene Daten grundsätzlich nur dann in ein Drittland übermitteln darf, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach der DSGVO feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.

Liegt wie im Fall der USA kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Solche Garantien können sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.

b) Ziel des Privacy-Shield-Abkommens

Das Privacy Shield enthält einen Mechanismus, der den darunter zertifizierten Unternehmen ein in der EU vergleichbares Datenschutzniveau attestiert, um so Datenübermittlungen in die USA zu legitimieren. Das Abkommen sollte bei der Verarbeitung von Daten in den USA ein vergleichbares (angemessenes) Schutzniveau wie in der EU garantieren.

Das Abkommen wurde von Datenschützern von Anfang an stark kritisiert. Mit Recht, wie das EuGH-Urteil bestätigt. Damit ist das EU-US Privacy Shield nach dem Safe-Harbor-Abkommen das zweite Abkommen zwischen den USA und der EU, das der Überprüfung des EuGH nicht standgehalten hat.

2. Hosting in den Clouds von Amazon, Google & Co.

Rund 5000 Firmen, darunter auch Amazon (einschließlich Amazon AWS), Microsoft (einschließlich Azure) und Google (einschließlich aller von Google LLC angebotenen Dienste) fallen derzeit unter das EU-US Privacy Shield.

Da der Europäische Gerichtshof das Privacy Shield mit seinem Urteil vom 16.06.2020 für ungültig erklärt, dürfen sich Firmen bei Datenübermittlungen in die USA nicht mehr darauf stützen.

3. Mögliche Auswege a) Ausweichen auf Rechenzentren in Deutschland

Wählt man beispielsweise bei Amazon den Rechenzentrumsstandort Deutschland/Frankfurt aus, sollte man prüfen, ob alle Gesundheitsdaten auch dort gespeichert und verarbeitet werden. Außerdem muss sichergestellt sein, dass nicht nur der Serverstandort, sondern auch der Sitz des Unternehmens in der EU liegt.

Bereits die Speicherung einer E-Mail-Adresse (z.B. in Verbindung mit der Nutzung einer DiGA) kann die Verarbeitung von Gesundheitsdaten darstellen.

b) Nutzung von Standardklauseln und Binding Corporate Rules (BCR)

Medizinproduktehersteller haben nach dem ausdrücklichen Urteil des EuGH weiterhin die Möglichkeit, durch Standardvertragsklauseln ein der EU vergleichbares Schutzniveau bei der Verarbeitung personenbezogener Daten zu garantieren.

Es muss allerdings angenommen werden, dass allein durch die Verwendung von Schutzklauseln und BCR kein angemessenes Schutzniveau gewährleistet werden kann und dies durch die zuständigen Datenschutzaufsichtsbehörden moniert wird. Vielmehr werden noch zusätzliche Schutzmaßnahmen (z.B. technische Lösungen) erforderlich werden.

c) Verschlüsseltes Speichern

Die technischen Anforderungen sind sehr hoch, die eine Verschlüsselung erfüllen muss, um eine Identifizierbarkeit der verschlüsselten Daten faktisch auszuschließen. Daher i

...

zum Originalartikel