Ist die Übermittlung von (Patienten-) Daten in Länder außerhalb der EU verboten?

Aus aktuellem Anlass erhalten Sie heute ausführliche Informationen zum Thema Übermittlung von (Patienten-)Daten in Länder außerhalb der EU.

Die Geltung der DSGVO soll unter anderem dadurch ausgedehnt werden, dass die Übermittlung personenbezogener Daten in sog. „Drittländer“ außerhalb der EU bzw. EWR, wie z. B. die USA, China oder Indien, nur gestattet ist, wenn im Empfängerstaat ein der EU angemessenes Datenschutzniveau garantiert werden kann. Übermittlungen in Drittstaaten, auch ohne konkrete Einwilligung des Betroffenen, oder weil sie ihrem Wesen nach notwendig sind, sind nur legal, wenn u. a. eine der folgenden drei Bedingungen erfüllt ist:

1. Es existiert ein EU-Angemessenheitsbeschluss, dass in einem bestimmten Staat generell ein der DSGVO angemessenes Datenschutzniveau garantiert wird. Dies ist z. B. bei der Schweiz, Neuseeland, Andorra, Argentinien, den Färöer Inseln, Guernsey, Japan und im Wesentlichen bei Kanada und Israel der Fall. Solche Staaten gelten dann nicht mehr als „Drittstaaten“.
2. Das Empfängerunternehmen (z. B. in den USA) und der Datenexporteur (z. B. ein deutsches Unternehmen) haben einen von der EU vorgegebenen Vertrag nach EU-Standardvertragsklauseln (häufig auch als Standard Contractual Clauses (SCC) bezeichnet) abgeschlossen oder verwenden andere genehmigte vertragliche Vereinbarungen, die das Datenschutzniveau absichern sollen (vgl. etwa Art. 40 DSGVO), und könnten diese Vereinbarung auch vor dem Hintergrund ihres nationalen Rechts (z.B. Überwachungsgesetze in den USA) auch einhalten.
3. Das Empfängerunternehmen hat sich dem Privacy-Shield-Abkommen zwischen der EU und den USA unterworfen, welches betroffenen Personen ausreichende Datenschutzrechte zur Durchsetzung ihrer in der DSGVO zugesicherten Rechte einräumen sollte.

In der am 16. Juli 2020 veröffentlichten Rechtssache C-311/18 hatte der EuGH über die Punkte 2 (Standardvertragsklauseln) und 3 (Privacy-Shield-Abkommen) zu entscheiden. Die auch als „Schrems II“ bezeichnete Entscheidung hat für Aufsehen gesorgt, da das Gericht den „Privacy-Shield“, auf den sich zahlreiche Dienste US-amerikanischer Unternehmen berufen, für ungültig erklärt. Aus Sicht des Gerichts würde die Vereinbarung zwischen der EU-Kommission und der US-Regierung gegenüber einem unverhältnismäßigen Zugriff von US-Sicherheitsbehörden keinen ausreichenden Schutz bieten, und es würden EU-Bürgern nicht genügend Rechtsbehelfe zur Verfügung stehen, um sich wirksam gegen Rechtsverletzungen zu erwehren.

Die Standardvertragsklauseln dagegen seien zwar grundsätzlich wirksam, aber ihre Verwender müssten in einer rechtlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können, oder ob gesetzliche Regelungen des Drittlandes der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Bei der Beurteilung dieses Schutzniveaus sind sowohl die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Datenexporteur und dem im betreffenden Drittland ansässigen Empfänger der Übermittlung vereinbart wurden, als auch, was einen etwaigen Zugriff der Behörden dieses Drittlands auf die übermittelten Daten betrifft, die maßgeblichen Aspekte der Rechtsordnung dieses Landes. Und ob EU-Bürger Datenschutzrechte im Drittland haben, die sie zur Not auch gerichtlich durchsetzen können.

Diese Prüfung ist zu dokumentieren, insbesondere sollte beschrieben werden, auf welche Weise das verlangte Schutzniveau gewährleistet ist und welche Schutzmechanismen und Rechtsbehelfe zur Verfügung stehen. Da in den USA mehrere Überwachungsgesetze existieren und nicht alle Kategorien von Datenempfängern diesen Überwachungsgesetzen in gleicher Weise unterliegen, ist dabei zu beachten, welchen Überwachungsgesetzen der jeweilige Importeur konkret unterliegt. Unterschiede können sich hier z. B. für Handelsunternehmen, für IT-Unternehmen oder Cloud-Anwender ergeben.

Diese aufwendige Einzelfallprüfung ist jedoch oftmals eine lediglich theoretische Option, die aber für die Praxis kaum umsetzbar sein dürfte. Für Unternehmen in den USA, die der „Massenüberwachung“ in den USA unterliegen, ist ein Ausweichen auf SCC zudem keine rechtssichere Option.

Was heißt das konkret für Datenübermittlungen einer ärztlichen Praxis?

Wer heute beliebte US-Dienste einsetzt – sei es Office 365 für seine Korrespondenz, Chrome oder Edge als Browser, Zoom für Videokonferenzen, Mailchimp für seine Newsletter oder Dropbox und die iCloud von Apple, Google-Analytics für die Webseite und viele vergleichbare Dienste – müsste sich nunmehr nach dem Richterspruch und dem Willen der Datenschutzaufsichtsbehörden unverzüglich nach einem anderen Anbieter umsehen, der idealerweise seinen Hauptsitz nicht in einem „Drittstaat“ wie den USA hat und keiner „Massenüberwachung“ im dortigen Staat unterliegt. Entsprechendes gilt auch für deutsche Anbieter, die z.B. auf Amazon Web Service (AWS) als Cloud-Speicher und Hosting-Provider setzen, z.B. im Rahmen von medizinischen KI-Anwendungen.

Ebenfalls gilt es Fernwartungsverträge zu überprüfen, ob die Vertragspartner nicht im Drittland sitzen oder sich eines Subunternehmens bedienen, welches im Drittland sitzt. Dies kann z.B. bei Medizingeräteherstellern der Fall sein. Eine Übergangsperiode ist dafür nicht vorgesehen, manche Aufsichtsbehörden kündigen zeitnahe Maßnahmen an. Allerdings: Für viele dieser Dienste gibt es – anders als Politik und Aufsichtsbehörden immer wieder öffentlich behaupten – keine adäquaten Alternativen, ganz unabhängig von den Kosten. Wie dieses Problem gelöst werden soll, ist noch völlig offen, und eine Verschärfung der Friktionen zwischen der Theorie der DSGVO und der Realität des globalen Internets ist vorprogrammiert.

Dies kann für hausärztliche, internistische oder diabetologisch tätige Praxen sowie für Kliniken durchaus Auswirkungen haben - wenn etwa die elektronische Auswertung von Patientendaten aus Blutzuckermessgerät oder Insulinpumpe auf cloudbasierten (Management-) Lösungen beruht, die Dienste aus Drittstaaten für sich nutzen.

Lediglich hinsichtlich der für die ärztliche Praxis üblichen Datenverarbeitungen selbst ergeben sich keine wesentlichen Änderungen oder rechtliche Unsicherheiten: Anwendungen, wie Praxismanagementsysteme, dürften weder auf „Privacy Shield“ noch SCC gegründet sein. Für die eventuell notwendige Übermittlung ärztlicher Abrechnungen oder Befunde in Drittstaaten bei „Medizintouristen“ dürfte zudem regelmäßig eine Notwendigkeit im Sinne des Art. 49 DSGVO bestehen, oder eine bewusste Einwilligung des (ausländischen) Patienten vorliegen. Denn wenn dieser etwa die Abrechnung mit seiner Versicherung oder einem Kostenträger im Ausland wünscht oder wenn die Übermittlung von Patientendaten zwischen vor- und nachbehandelnden Ärzten im Rahmen einer Behandlung erforderlich ist, bedarf es der speziellen Garantien, die Gegenstand des Verfahrens „Schremms II“ waren, nicht. Ergänzend kommt bei Patientendaten hinzu, dass diese nicht nur dem Datenschutz unterliegen, sondern auch dem strafrechtlichen Berufsgeheimnis, § 203 StGB, welches sowieso schon nicht durch die Übermittlung von Patientendaten in Staaten ohne vergleichbaren Schutz ausgehöhlt werden darf.

Für viele andere Anwendungsgebiete des beruflichen wie privaten Alltags aber lässt dieses Urteil die Rechtsanwender mit einer erheblichen Rechtsunsicherheit zurück, die erst durch die Politik wird geheilt werden können.

Freundliche Grüße
Jan Mönikes, Rechtsanwalt

Redaktion Datenschutz in Arztpraxen