Spätestens seit dem vielbeachteten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) im Jahr 2020 wird die Möglichkeit des Einsatzes von Dienstleistern für Cloud Computing, die ihren Konzernsitz in den USA haben, intensiv debattiert. Die große Sorge der Datenschützenden ist hier stets das Risiko eines Zugriffs auf – auch in Europa gespeicherte – Daten durch die US-Behörden. Die Herausgabe von Daten an US-Institutionen wäre ein sogenannter Drittlandstransfer. Hervorzuheben ist jedoch, dass dieser zulässig sein kann, zum Beispiel wenn bestimmte Schutzmaßnahmen getroffen werden.
Anders als teilweise behauptet, ist seit der Schrems-II-Entscheidung des EuGH keineswegs der Einsatz von Cloud-Dienstleistern mit US-Konzernverbindungen pauschal verboten. Verkürzt sagt der EuGH, dass die Unternehmen beim Einsatz solcher Dienstleister „geeignete Garantien“ im Sinne des Kapitel V der Datenschutz-Grundverordnung (DSGVO) schaffen müssen, damit ein Drittlandstransfer nicht ohne angemessene Schutzmaßnahmen stattfindet. Solche Maßnahmen können durch vertragliche Absprachen, interne organisatorische Konzepte und technische Vorkehrungen sichergestellt werden.
Herausforderungen im Gesundheitssektor
Organisationen im deutschen Gesundheitswesen müssen neben der DSGVO auch noch Bundes- und Landesregelungen beachten. So gelten beispielsweise für Krankenkassen die Vorschriften aus dem Sozialgesetzbuch (SGB) V und X und für Hersteller digitaler Gesundheitsanwendungen (DiGA) die Regelungen der DiGAV. Krankenhäuser wiederum sind den Vorschriften in den Landeskrankenhausgesetzen unterworfen, deren Regelungen nicht bundesweit einheitlich sind. Diese Zersplitterung der relevanten rechtlichen Rahmenbedingungen erschwert es Unternehmen des Gesundheitssektors, einen Überblick über die jeweils geltenden Regelungen zu erhalten.
Aktuelle Entwicklungen auf deutscher und europäischer Ebene zeigen einmal mehr, dass die Nutzung von Cloud-Services rechtlich zulässig ist – auch im öffentlichen Sektor und im Gesundheitswesen. Im Jahr 2022 wurden in den Landeskrankenhausgesetzen in Berlin und Bayern die Regelungen zum Einsatz von Auftragsverarbeitern überarbeitet, sodass Krankenhäuser in diesen Bundesländern nun leichter Cloud-Dienstleister einsetzen können. In einem wegweisenden Beschluss hat das Oberlandesgericht (OLG) Karlsruhe im September des Jahres 2022 entschieden, dass öffentliche Krankenhäuser einen Anbieter für digitales Entlassmanagement beauftragen dürfen, der die europäische Tochtergesellschaft einer US-Mutter als Hosting-Anbieterin einbindet. Die Vergabekammer Bund bestätigte diese Auffassung für Sozialdaten im März 2023.
Cloud geht nicht – gibt’s nicht
Deutschland nähert sich somit an die Ansichten und die Rechtsprechung in anderen europäischen Staaten an. So wurde in Frankreich vom Conseil d’État bereits in den Jahren 2020 und 2021 entschieden, dass der Einsatz eines Cloud-Dienstleisters mit Konzernverbindungen in die USA zulässig ist, wenn die Daten verschlüsselt sind. Der Europäische Datenschutzausschuss (EDSA) hat sich in seinem Bericht zur „Coordinated Enforcement Action“ zum Einsatz von Cloud-Dienstleistern im öffentlichen Sektor geäußert. Hervorzuheben ist auch hier, dass der Einsatz von Cloud-Dienstleistern mit Konzernverbindungen in die USA unter Einhaltung eines Maßnahmenkatalogs zulässig sein kann. Auch mit Blick auf den Drittlandstransfer tut sich etwas: Endlich nimmt das EU-U.S. Data Privacy Framework Formen an, auf dessen Grundlage noch dieses Jahr von der EU-Kommission ein Angemessenheitsbeschluss erlassen werden soll, der die USA als ein Drittland mit einem angemessenen Schutzniveau anerkennt. Fazit: Lassen Sie sich nicht abschrecken!
Autor:
Prof. Dr. med. Dr. iur. Christian Dierks ist Rechtsanwalt und Facharzt für Allgemeinmedizin in Berlin
Kommentare & Fragen:
christian.dierks(at)dierks.company