Suche
E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Unternehmensnews
Stellenmarkt
Firmenverzeichnis
Advertorials
Who is Who
Köpfe und Karrieren
Kalender
Blogs
Verbände
App des Monats
Links
Aktuelle Ausgabe
Downloads
E-HEALTH-COM App
Mediadaten
Abonnement
ePaper
Newsletter
Suche

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Health-IT |

EU-US Privacy-Shield: Was nun?

Nicht völlig überraschend: Die obersten europäischen Richter haben das EU-US Privacy Shield gekippt. Eine datenschutzrechtliche Einordnung.

Quelle: © hkama – stock.adobe.com

Was viele bereits erwartet hatten, ist nun Realität geworden. Mit Urteil vom 16. Juli 2020 (Az. C-311/18) hat der EuGH den EU-US Privacy Shield Beschluss (2016/1250) der EU-Kommission für ungültig erklärt. Was das nun für die Verarbeitung personenbezogener Daten im Ausland bedeutet und welche Konsequenzen die für den Datenschutz Verantwortlichen im Sinne der Datenschutz-Grundverordnung (DSGVO) nun ziehen sollten, wollen wir im folgenden Artikel näher beleuchten.

 

Was bisher geschah:

Das jüngste Urteil des EuGH ist der Schlussstein eines Weges, der bereits im Jahr 2000, lange vor dem Inkrafttreten der DSGVO, seinen Anfang genommen hat. Damals hatte die EU-Kommission in ihrem wegweisenden „Safe-Harbour-Beschluss“ (2000/520) festgestellt, dass die USA – im Hinblick auf die Gewährleistung der Sicherheit personenbezogener Daten – ein angemessenes Schutzniveau bieten würden. Damit war die Weiterleitung von Daten aus der EU in die USA, bspw. im Rahmen der Nutzung von Analyse-Tools wie Facebook Analytics, sofern und soweit das hinter dem Tool stehende Unternehmen unter dem Safe-Harbour-Abkommen zertifiziert war, rechtmäßig.

 

Auf diesen Beschluss folgte ein knapp über ein Jahrzehnt andauernder Burgfrieden.

Der große Paukenschlag sollte im Jahr 2013 kommen. Der Whistleblower Edward Snowden brachte ans Licht, dass US-Sicherheitsbehörden – allen voran die NSA – zu jeder Zeit einen unbeschränkten Zugriff auf die Server von in den USA ansässigen Unternehmen wie bspw. Facebook und Apple hatten und die dort gespeicherten personenbezogenen Daten, unabhängig von der Staatsangehörigkeit des Betroffenen, unter anderem für die ausgedehnte Meta-Suche im Rahmen von PRISM heranziehen konnten. Nachrichten, die die Welt des Datenschutzes nachhaltig prägen sollten.

 

Schon im Jahr 2011, also lange vor den Enthüllungen Snowdens, hatte der österreichische Datenschützer und damalige Jura-Student Max Schrems wiederholt Beschwerden bei der für Facebook zuständigen irischen Datenschutzbehörde angestrengt. Diese blieben stets unbeantwortet. Im Juli 2013 sah sich die irische Datenschutzbehörde angesichts der damaligen Enthüllungen gezwungen, erstmals Stellung zu beziehen. Die Beschwerden Schrems wurden offiziell unter Verweis auf das Safe-Harbour-Abkommen zurückgewiesen. Schrems blieb jetzt nur noch der Weg über eine Klage beim EuGH. In seinem hierauf folgenden Urteil vom 06. Oktober 2015 („Schrems I“, C-362/14) erklärte der EuGH das Safe-Harbour-Abkommen für ungültig.

 

Die EU-Kommission sah sich nun in Zugzwang, ging mit der Ungültigkeit des Safe-Harbour-Abkommens doch auch gleichzeitig die Rechtswidrigkeit jeglicher Datenverarbeitungstätigkeit einher, im Rahmen derer Daten aus der EU in die USA übertragen wurden. Bereits im Juli 2016 wurde daher der Nachfolger des Safe-Harbour-Abkommens, das EU-US Privacy Shield beschlossen. Von Beginn an sah sich das neue Abkommen großer Kritik ausgesetzt, war es doch in viel zu kurzer Zeit – innerhalb nur eines Jahres – ausgehandelt und beschlossen worden, ohne dass es zu einer ernsthaften Auseinandersetzung mit den tatsächlichen Missständen – den Zugriffsmöglichkeiten der US-Behörden auf personenbezogene Daten von Europäern – gekommen wäre.

 

Schrems legte hierauf erfolglos Beschwerde bei der irischen Datenschutzaufsichtsbehörde ein und sah sich erneut gezwungen, den EuGH anzurufen. Dieses Verfahren endete nun mit Urteil vom 16. Juli 2020 („Schrems II“, C-311/18), in welchem der EuGH jetzt auch das EU-US Privacy Shield für ungültig erklärt.

 

Das Privacy Shield im Kontext der DSGVO

Um die Tragweite des jüngsten Urteils des EuGH zu verstehen, muss man sich zunächst mit der Rolle des EU-US Privacy Shields im Kontext der Datenschutz-Grundverordnung (DSGVO) auseinandersetzen. Nach dem Wortlaut von Art. 44 S. 1 DSGVO ist eine Übermittlung personenbezogener Daten zu Verarbeitungszwecken in ein Drittland (z.B. die USA) nur dann zulässig, wenn der Verantwortliche (oder sein Auftragsverarbeiter) die Bestimmungen der DSGVO vollumfänglich einhält. Mit anderen Worten: Das Drittland muss ein DSGVO-konformes Datenschutzniveau bieten.

 

Diesbezüglich hat die Kommission nach Art. 45 Abs. 1 S. 1 DSGVO die Möglichkeit, einen sog. Angemessenheitsbeschluss zu erlassen. Liegt ein solcher Angemessenheitsbeschluss in Bezug auf ein bestimmtes Drittland vor, so wird die Gewährleistung eines DSGVO-konformen Datenschutzniveaus unterstellt. Der Verantwortliche kann sich insoweit im Hinblick auf die Rechtmäßigkeit der Datenübermittlung in das jeweilige Drittland, auf den Angemessenheitsbeschluss berufen. Weitere Genehmigungen sind dann nach Art. 45 Abs. 1 S. 2 DSGVO nicht mehr erforderlich.

 

Welche Folgen hat das Urteil?

Das EU-US Privacy Shield ist dadurch gekennzeichnet, dass dem Abkommen ein solcher Angemessenheitsbeschluss zugrunde liegt. Daher durften Verantwortliche – bis zu dem jüngsten Urteil des EuGH – bei Diensten von Unternehmen, die unter dem EU-US Privacy Shield zertifiziert waren, vom Bestehen eines DSGVO-konformen Datenschutzniveaus ausgehen. Die Ungültigkeit des EU-US Privacy Shields hat nun zur Folge, dass die Datenübermittlung in Drittländer nicht mehr gemäß Art. 45 Abs. 1 S. 1 DSGVO über den Angemessenheitsbeschluss der EU-Kommission, welcher im Zusammenhang mit dem Privacy Shield gefasst wurde, gerechtfertigt werden kann.

 

Nach Art. 46 Abs. 1 DSGVO kann die Datenübermittlung in ein Drittland allerdings auch dadurch gerechtfertigt sein, dass der Verantwortliche (bzw. der Auftragsverarbeiter) geeignete Garantien zur Aufrechterhaltung des Datenschutzniveaus im Sinne der DSGVO vorsieht. Eine geeignete Garantie können dabei insbesondere nach Art. 46 Abs. 2 lit. c DSGVO die sog. Standardvertragsklauseln (SVK) darstellen, die von der EU-Kommission im Rahmen eines speziellen Prüfverfahrens erlassen werden.

 

Der EuGH hat in seinem Urteil vom 16. Juli 2020 ausdrücklich bestimmt, dass das EU-US Privacy Shield zwar ungültig ist, die Gültigkeit der Standardvertragsklauseln, auf die sich mittlerweile auch Facebook stützt, jedoch unberührt bleibt. In diesem Zusammenhang hat der EuGH jedoch auch ausdrücklich betont, dass die Überprüfung, ob die Standardvertragsklauseln im betreffenden Drittland eingehalten werden bzw. eingehalten werden können, allein den zu-ständigen Datenschutzaufsichtsbehörden obliegt. Mit diesem Hinweis schießt der EuGH hinter vorgehaltener Hand gegen die irische Datenschutzaufsichtsbehörde, die schon lange wegen ihres unkritischen Umgangs mit Facebook in der Kritik steht.

 

Was jetzt getan werden muss!

Bereits im Vorwege des Urteils hatte die EU-Kommission im Rahmen einer kleinen Anfrage durch den FDP-Europaabgeordneten Moritz Körner (E-001120/2020) vom 19. Mai 2020 durchblicken lassen, dass man sich auf alle möglichen Szenarien vorbereite und mit allen wesentlichen Akteuren in Kontakt stehe. Insoweit ist davon auszugehen, dass die EU-Kommission bereits an einem Entwurf für ein Nachfolge-Abkommen arbeitet. Es bleibt abzuwarten, ob es sich dabei – genau wie seinerzeit das Privacy Shield – um einen Schnellschuss oder um einen großen Wurf handeln wird.

 

Verantwortliche i.S.d. DSGVO sollten nun unbedingt alle Datenverarbeitungstätigkeiten, im Rahmen derer es zu Datenübermittelungen in Drittländer kommt oder kommen kann, über-prüfen. Relevant kann dies vor allem, aber nicht ausschließlich, im Rahmen der Verwendung von Analyse-Tools, wie z.B. Facebook Analytics, oder bestimmten Newsletter-Diensten werden. Hier muss im Besonderen geprüft werden, ob sich die Datenübermittlung ausschließlich auf das nun ungültige EU-US Privacy Shield oder auf die zulässigen Standardvertragsklauseln stützt, die im jeweiligen Drittland allerdings auch tatsächlich umgesetzt werden müssen.

 

Gegebenenfalls kann in diesem Zusammenhang sogar die Durchführung einer Datenschutz-Folgenabschätzung notwendig werden. Diese Prüfungen sind komplex und beinhalten zahlreiche Unsicherheitsfaktoren. Es empfiehlt sich daher, einen Spezialisten zur Unterstützung heranzuziehen, der sowohl die datenschutz-technischen Vorgänge als auch die rechtlichen Aspekte im Blick behalten und einordnen kann.

 

Autoren:

Sebastian Vorberg, LL.M. (Houston)

Rechtsanwalt und Fachanwalt für Medizinrecht

office(at)vorberg.law

 

Philip Kopf

Dipl. Jurist und Datenschutzbeauftragter (TÜV)

info(at)qur.digital

 

 

 

 

 

 

 

 

Meistgelesen

Blog
DiGA: Die unerschlossene Welt der IVD-Daten
Unternehmensnews
Kooperation geschlossen: Nui Care und DAK-Gesundheit unterstützen pflegende Angehörige
Unternehmensnews
„Noah Labs Ark“ erhält die medizinische Zulassung
Unternehmensnews
Arvato Systems übernimmt Betrieb und Weiterentwicklung der AOK-Webpräsenz

Cookies auf e-health-com.de

Diese Website nutzt Cookies, um ihre Dienste anbieten zu können und Zugriffe zu analysieren. Dabei ist uns der Datenschutz sehr wichtig.

Legen Sie hier Ihre Cookie-Einstellungen fest. Sie können Sie jederzeit auf der Seite Cookie-Informationen ändern.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts