Am 16.07.2020 hat der Europäische Gerichtshof (EuGH) das Privacy-Shield-Abkommen für ungültig erklärt (EuGH, Urt. v. 16.7.2020; Az. C‑311/18). Das Urteil, das sozialen Medien wie Facebook Grenzen setzen sollte, hat massive Auswirkungen. Beispielsweise sind auch Medizinproduktehersteller betroffen, die Patientendaten in den Clouds der US-Techgiganten speichern.
1. Privacy-Shield: Worum geht es?
a) Die DSGVO
Die Datenschutz-Grundverordnung (DSGVO) bestimmt, dass man personenbezogene Daten grundsätzlich nur dann in ein Drittland übermitteln darf, wenn das betreffende Land für die Daten ein angemessenes Schutzniveau gewährleistet. Die Kommission kann nach der DSGVO feststellen, dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder seiner internationalen Verpflichtungen ein angemessenes Schutzniveau gewährleistet.
Liegt wie im Fall der USA kein derartiger Angemessenheitsbeschluss vor, darf eine solche Übermittlung nur erfolgen, wenn der in der Union ansässige Exporteur der personenbezogenen Daten geeignete Garantien vorsieht. Solche Garantien können sich u.a. aus von der Kommission erarbeiteten Standarddatenschutzklauseln ergeben.
b) Ziel des Privacy-Shield-Abkommens
Das Privacy Shield enthält einen Mechanismus, der den darunter zertifizierten Unternehmen ein in der EU vergleichbares Datenschutzniveau attestiert, um so Datenübermittlungen in die USA zu legitimieren. Das Abkommen sollte bei der Verarbeitung von Daten in den USA ein vergleichbares (angemessenes) Schutzniveau wie in der EU garantieren.
Das Abkommen wurde von Datenschützern von Anfang an stark kritisiert. Mit Recht, wie das EuGH-Urteil bestätigt. Damit ist das EU-US Privacy Shield nach dem Safe-Harbor-Abkommen das zweite Abkommen zwischen den USA und der EU, das der Überprüfung des EuGH nicht standgehalten hat.
2. Hosting in den Clouds von Amazon, Google & Co.
Rund 5000 Firmen, darunter auch Amazon (einschließlich Amazon AWS), Microsoft (einschließlich Azure) und Google (einschließlich aller von Google LLC angebotenen Dienste) fallen derzeit unter das EU-US Privacy Shield.
Da der Europäische Gerichtshof das Privacy Shield mit seinem Urteil vom 16.06.2020 für ungültig erklärt, dürfen sich Firmen bei Datenübermittlungen in die USA nicht mehr darauf stützen.
3. Mögliche Auswege
a) Ausweichen auf Rechenzentren in Deutschland
Wählt man beispielsweise bei Amazon den Rechenzentrumsstandort Deutschland/Frankfurt aus, sollte man prüfen, ob alle Gesundheitsdaten auch dort gespeichert und verarbeitet werden. Außerdem muss sichergestellt sein, dass nicht nur der Serverstandort, sondern auch der Sitz des Unternehmens in der EU liegt.
Bereits die Speicherung einer E-Mail-Adresse (z.B. in Verbindung mit der Nutzung einer DiGA) kann die Verarbeitung von Gesundheitsdaten darstellen.
b) Nutzung von Standardklauseln und Binding Corporate Rules (BCR)
Medizinproduktehersteller haben nach dem ausdrücklichen Urteil des EuGH weiterhin die Möglichkeit, durch Standardvertragsklauseln ein der EU vergleichbares Schutzniveau bei der Verarbeitung personenbezogener Daten zu garantieren.
Es muss allerdings angenommen werden, dass allein durch die Verwendung von Schutzklauseln und BCR kein angemessenes Schutzniveau gewährleistet werden kann und dies durch die zuständigen Datenschutzaufsichtsbehörden moniert wird. Vielmehr werden noch zusätzliche Schutzmaßnahmen (z.B. technische Lösungen) erforderlich werden.
c) Verschlüsseltes Speichern
Die technischen Anforderungen sind sehr hoch, die eine Verschlüsselung erfüllen muss, um eine Identifizierbarkeit der verschlüsselten Daten faktisch auszuschließen. Daher ist im Regelfall davon auszugehen, dass personenbezogene Daten trotz Verschlüsselung ihren Personenbezug behalten.
Das bedeutet, dass man die Vorgaben der DSGVO auch dann einhalten muss, wenn die Daten verschlüsselt bei dem jeweiligen Anbieter abgespeichert werden. Daher ist es in der Regel nicht möglich, das EuGH-Urteil auf diesem Wege zu umgehen.
Andererseits ist nicht auszuschließen, dass die Verschlüsselung als eine ausreichende ergänzende technische Schutzmaßnahme zu Standarddatenschutzklauseln oder BCR angesehen werden.
d) DiGA-Besonderheiten
DiGA-Hersteller müssen berücksichtigen, dass in dem aktualisierten BfArM-Leitfaden explizit darauf hingewiesen wird, dass eine Verarbeitung von personenbezogenen Daten außerhalb der EU auf Basis von Standardvertragsklauseln oder Corporate Binding Rules für DiGA nicht zulässig ist.
eine Verarbeitung außerhalb der EU in einem sog. Drittstaat ist zulässig, sofern ein vergleichbares Schutzniveau im Drittstaat besteht (Angemessenheitsbeschluss nach Artikel 45 DSGVO). Die weitreichenden Ausnahmen nach Artikel 46 und 47 DSGVO sind für DiGA aufgrund des regelhaft anzunehmenden besonderen Schutzbedarfs der verarbeitenden Daten nicht anwendbar.
DiGA Leitfaden Seite 46
Da aufgrund der EuGH-Entscheidung es auch keinen Angemessenheitsbeschluss der EU-Kommission für die USA gibt, sollten die Hersteller auf Dienstleister innerhalb der EU, des EWR, der Schweiz oder eines Drittlandes wechseln, für das ein Angemessenheitsbeschluss besteht.
Seit der Neupositionierung des BfArM vom 28.01.2021 zum Thema Datenverarbeitung außerhalb Deutschlands (Datenverarbeitung_außerhalb_Deutschlands_FAQ.pdf (bfarm.de)) ist es unter bestimmten Voraussetzungen möglich, Cloud-Dienste einer europäischen Tochtergesellschaft eines US-amerikanischen Unternehmens zu nutzen.
| BfArM: DiGA-Leitfaden | BfArM: FAQ |
| „Dienstleister aus den USA, auch solche mit Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nicht für die Verarbeitung von personenbezogenen Daten herangezogen werden.“ | „Dienstleister (z.B. Betreiber von Rechenzentren) aus den USA, mit (selbständiger) Niederlassung in der EU, aber einem Mutterkonzern in den USA, dürfen aufgrund des EuGH-Urteils und den Vorgaben der DiGAV nur unter bestimmten Voraussetzungen für die Verarbeitung von personenbezogenen Daten herangezogen werden.“ |
Geeignete Garantien nach Art. 46 DSGVO oder Ausnahmeregelungen nach Art. 49 DSGVO sind für DiGA weiterhin ausgeschlossen.
4. Fazit und Empfehlung
Das EuGH-Urteil hat vielen Firmen die rechtliche Grundlage entzogen, um Daten bei den US-Techgiganten zu speichern, oder dies zumindest erschwert.
Daher sollten diese Firmen überprüfen, ob die bei einem unter das EU-US Privacy Shield fallenden Anbieter gespeicherten Daten personenbezogen sind. Ist das der Fall, so muss eine Absicherung durch die Standardvertragsklauseln oder BCR in Kombination mit weiteren technischen Schutzmaßnahmen erfolgen.
Aktuelle Statements der Datenschutzbehörden sollten kontinuierlich überprüft werden.
DiGA-Hersteller sollten im Zweifel den US-amerikanischen Dienstleister wechseln.
Die Standardvertragsklauseln für Auftragsverarbeiter sind im Anhang des Beschlusses 2010/87 der Europäischen Kommission zu finden.
Aktuelles
Die USA streben seit Oktober 2022 eine neue Initiative für das Datenschutzabkommen an. Sie finden hier eine erste Einordnung.
Haben Sie noch Fragen und Anmerkungen? Schreiben Sie unten in das Kommentarfeld oder direkt an die Anwältin Sonia Seubert von der Mazars Rechtsanwaltsgesellschaft mbH.
Änderungshistorie
- 2022-21-10: Link auf die Gesetzgebungsinitiative der US-Regierung ergänzt
- 2021-02-01: Änderungen des BfArMs berücksichtigt
Kleiner Fehler im Artikel: Das Urteil war erst am 16.07.2020.
Siehe https://noyb.eu/files/CJEU/judgment.pdf
Sie haben Recht, sorry, vertippt!
Danke für den Hinweis!
Bezüglich der massive Auswirkungen stimme ich Ihnen vollkommen zu.
Allein durch das Google Analytics-Tracking ist hiervon fast jeder Webseitenbetreiber betroffen.
Für das datengetriebene Marketing ergeben sich dadurch einige neue Herausforderungen, was bei all den positiven Aspekten auch bedacht werden sollte.
Es werden sich in Zukunft noch einige Dinge in dieser Hinsicht tun (Trust Tokens, …).
Sehr geehrter Herr Prof. Johner,
vielen Dank für die Aufstellung der Folgen nach dem Fall des US Privacy Shields. Ich habe immer meine Kunden als Datenschutzberater/-beauftragter vor dem Fall des Abkommens gewarnt, schon allein die „Zertifizierung“ der US Firmen hierfür bedeutete ja lediglich eine Meldung an das US-Ministerium (also keine inhaltliche Prüfung!). Ich sehe aber auch die andere Seite als Mitgründer eines österreichischen eHealth-Startups als kleiner der (EU)Norm-Unterworfenen, wie schwer es ist, mit (mit hohem Aufwand) oder ohne (noch höherem technischen Aufwand) US-Diensten etwas aufzubauen.
Das beginnt schon beim Server – und da wundert mich Ihr Hinweis unter 3a) mit „Ausweichen auf Amazons Rechenzentrum in Frankfurt“. Trotz des Standortes in Deutschland ist aws eben eine US Firma, die den US Gesetzen unterworfen ist, die letztlich das Privacy Shield nicht ermöglichen (FISA 702 und EO 12.333) – siehe Entscheidung EuGH. Aus meiner Sicht gibt es noch den US Cloud Act, der Zugriff der US Behörden weltweit auf US-Firmen Server in Verdachtsfällen ermöglicht…
Der Verein noyb.eu (Max Schrems) bietet selbst Information an, wie man mit dem Wegfall des US Privacy Shields umgehen soll: https://noyb.eu/en/next-steps-eu-companies-faqs
Auf der Website werden Firmen aufgelistet, die unter das besagte FISA 702 fallen – Amazon aws ist auch darunter (Status als pdf downloadbar).
Der Druck auf die der Norm-Unterworfenen wird weiter hoch bleiben – noyb.eu hat bereits 101 weitere Beschwerden bei den europäischen Datenschutzbehörden eingereicht: https://noyb.eu/en/101-complaints-eu-us-transfers-filed.
Haben Sie mehr Informationen, die die Nutzung von aws in Frankfurt „rechtssicher“ macht?
Vielen Dank,
bg Bernhard Redl
Sehr geehrter Herr Redl,
vielen Dank für Ihre Anmerkung und Hinweise.
Wie Sie zutreffend beschreiben und auch in dem Beitrag betont wurde, reicht es generell nicht aus, wenn allein der Standort des Servers in der EU ist. Entscheidend ist vielmehr, dass die Übermittlung der personenbezogenen Daten rechtsmäßig erfolgt. Das ist grundsätzlich der Fall, wenn die Übermittlung innerhalb der EU stattfindet, bzw. im Drittstaat ein vergleichbares Schutzniveau besteht (insb. Angemessenheitsbeschluss nach Artikel 45 DSGVO). Denkbar ist eine rechtsmäßige Datenverarbeitung außerhalb der EU zudem auf Basis von Art. 46 DSGVO (Standardvertragsklauseln) oder Art. 47 (Corporate Binding Rules). Ferner können auch Ausnahmen nach Art. 49 DSGVO einschlägig sein. Es muss daher im Einzelfall geprüft werden, ob eine der Regelungen anwendbar und umsetzbar ist, um die Nutzung eines bestimmten Servers als „rechtssicher“ bezeichnen zu können.
Beste Grüße
Sonia Seubert
Europa tut sich keinen Gefallen, wenn Unternehmen wegen potenziellem Zugriff von Geheimdiensten aus der digitalen Wirtschaft zurücksteigen. Im digitalen Raum sind die Geheimdienste der G8 natürlich global aktiv und nicht beherrschbar.
Praktisch ist keine europäische, wirtschaftlich competitive Struktur vorhanden. Die Analyse der Unternehmen, die von digitalen Leistungen von US-Firmen abhängig sind, zeigt die Dimension.
Die Nicht-Nutzung von Microsoft (KMGUs), Amazon AWS (MGUs), Amazon als Plattform (KMUs) oder Facebook (KMUs) hätte für 99% der Wirtschaft gravierende Folgen. (Die 99% beinhalten Domino-Effekte).
Mit diesen Fakten muss Europa über seine digitale strategische Position nachdenken. Wie könnte der Rückstand aufgeholt werden: Europa ist transparent und nicht sehr engagiert. Die sehr viel ambitionierteren Vorreiter erkennen jede Bemühung und antizipieren aggressiv.
Was wie ein amerikanisches Problem aussieht, ist in Wahrheit „frech gegen schüchtern“.
Unternehmerisch ist die Lösung bei der Wahl zwischen diesen beiden „Geschmacksrichtungen“ sehr klar:
Ethische Grundsätze bei Aufbau und Umgang mit Daten, juristisch mit einer gesunden Portion „frech“ im Compliance-Fachbereich, kluges Risikomanagement im Controlling.
Das ist bereits 50% der to-do-Liste für die #digitaleTransformation.
Danke für Ihre wertvollen Gedanken, Herr Karas!