Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap
Veranstaltungskalender

Handlungsempfehlung bzgl. Umgang mit dem Urteil EuGH C-311/18 („Schrems II“)

Am 16. Juli 2020 urteilte Gerichtshofs der Europäischen Union (EuGH) im Rechtsstreit „Data Protection Commissioner gegen Facebook Ireland Ltd und Maximilian Schrems“, d. h. in einem Rechtsstreit zwischen einer Privatperson und Facebook. Das Urteil hat jedoch nicht nur Auswirkungen auf die Verarbeitung personenbezogener Daten durch Facebook in den USA, sondern berührt letztlich jede Verarbeitung in einem Drittland, also einem Land außerhalb des EWR. Auch im Gesundheitswesen erfolgt regelmäßig die Verarbeitung personenbezogener Daten in Drittländern, sodass das Urteil auch Prozesse in deutschen Forschung- und Versorgungseinrichtungen beeinflussen kann.
Kernaussage des Urteils: Alle Artikel in Kapitel V DS-GVO müssen im Licht von Art. 44 DS-GVO ausgelegt werden. Insbesondere ist das Bestehen wirksamer Rechtsbehelfe im betreffenden Drittland im Kontext einer Übermittlung personenbezogener Daten in dieses Drittland daher besonders wichtig und zwingend zu gewährleisten. U. a. dies wird durch den Privacy Shield nicht gewährleistet. Der EuGH kam zu dem Schluss, dass der Angemessenheitsbeschluss bzgl. des Privacy Shield kein der DS-GVO gleichwertiges Schutzniveau gewährleistet und somit ungültig ist. Auf dem Privacy Shield basierende Datenübermittlungen in die USA sind daher seit dem 16. Juli 2020 nicht mehr möglich.
Standardvertragsklauseln bleiben gültig. Werden personenbezogene Daten auf der Grundlage von Standarddatenschutzklauseln in ein Drittland übermittelt, so müssen diese aber ein dem EU-Recht genügendes Schutzniveaus sowohl bei der Übermittlung als auch bei der Verarbeitung in einem Drittland gewährleisten: Es muss durch die Standardvertragsklauseln ein Schutzniveau gewährleistet werden, welches dem in der Union garantierten Schutzniveau der Sache nach gleichwertig ist.
Dies wird durch vertragliche Gestaltung bei amerikanischen Unternehmen, welche unter Section 702 des FISA fallen, regelhaft nicht möglich sein. Der EuGH stellte fest, dass seitens des europäischen (deutschen) Vertragspartners geprüft werden muss, ob der amerikanische Vertragspartner US-amerikanischem Recht unterliegt, welches einen vertraglichen Schutz personenbezogener Daten in den USA nicht erlauben. In diesen Fällen können allenfalls technische Maßnahmen, welche sicher einen Zugriff des amerikanischen Dienstleisters auf personenbezogene Daten ausschließen, ein entsprechendes Schutzniveau gewährleisten. Ist eine technische Absicherung auch nicht möglich, so kann eine Übermittlung der Daten in die USA nicht rechtskonform erfolgen.

Die Ausarbeitung wurde unter einen Creative Commons-Lizenz (4.0 Deutschland Lizenzvertrag) veröffentlicht. Um sich die Lizenz anzusehen, gehen Sie bitte ins Internet auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/deed.de bzw. für den vollständigen Lizenztext auf die Webseite https://creativecommons.org/licenses/by-sa/4.0/legalcode.

Download der Ausarbeitung:

Stand der Ausarbeitung: 04. September 2020