Internationaler Datentransfer – die Schrems II-Entscheidung des EuGH
Mit seinem Urteil vom 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) die Welt des internationalen Datentransfers wachgerüttelt (sog. Schrems II-Urteil). Er hat das Recht des Einzelnen auf informationelle Selbstbestimmung gestärkt und sich dabei auf die Charta der Grundrechte der Europäischen Union berufen. Der EuGH hat in dem Urteil den EU-U.S.-Datenschutzschild für ungültig erklärt, der bis dato vier Jahre lang als Grundlage für Datenübermittlungen in die Vereinigten Staaten von Amerika genutzt werden konnte. Zudem bestätigte der EuGH sogenannte Standardvertragsklauseln der EU-Kommission (2010/87/EU), die einem internationalen Datenaustausch zugrunde gelegt werden können, hebt dabei jedoch bestimmte Pflichten der Verantwortlichen hervor, die sich aus der Verwendung dieser Klauseln ergeben. Insbesondere die zusätzlich zu den Standardvertragsklauseln gegebenenfalls zu treffenden ergänzenden Maßnahmen beschäftigen seit dem Urteil sowohl Verantwortliche, Auftragsbearbeiter als auch die Datenschutzaufsichtsbehörden. Nähere und aktuelle Informationen dazu sind auf der Website des LfDI Rheinland-Pfalz unter dem unten aufgeführten Link verfügbar.
Warum ist das Urteil auch im Alltag von ärztlichen oder psychotherapeutischen Praxen von Bedeutung? Weil beim Einsatz von digitaler Informations- und Kommunikationstechnik latent immer auch ein Transfer personenbezogener Daten in Staaten außerhalb der EU, insbesondere in die USA, verbunden sein kann. Warum? Zum Beispiel durch eine Speicherung von Daten auf außereuropäischen Servern, durch telemedizinische Anwendungen, deren Hersteller außerhalb der EU sitzen und die weiterhin in die Datenverarbeitung eingebunden sind, oder die Verwendung von Tracking-Software. Auch die Nutzung von digitalen Gesundheitsanwendungen (Apps), Praxis-Verwaltungssystemen oder Diensten zur Durchführung von Videosprechstunden birgt die Gefahr eines solchen Datentransfers. Maßgeblich kommt es daher auf die von den Praxen eingesetzten IT-Verfahren einschließlich digitaler Medizinprodukte und –anwendungen an. Die Inhaberinnen und Inhaber von Praxen müssen als Verantwortliche im Sinne des Datenschutzrechts die Zulässigkeit der Datenverarbeitung sicherstellen – auch dann, wenn von ihnen eingesetzte IT-Produkte zu einem internationalen Datentransfer führen.
Was ist zu tun? Der LfDI rät den Praxisinhaberinnen und –inhabern dringend, ihre Geschäftstätigkeit mithilfe eines auf der Website des LfDI veröffentlichten Schemas zu prüfen, ob Handlungsbedarf besteht und welche Maßnahmen ihrerseits gegebenenfalls getroffen werden können, um eine Kollision mit datenschutzrechtlichen Vorgaben bei dem Einsatz der oben genannte Produkte zu vermeiden. Bei Bedarf sollten sich die Verantwortlichen zur Unterstützung an ihre IT-Hersteller, ihre Kammern oder andere Interessenorganisationen wenden. Der LfDI erkennt darüber hinaus an, dass es für die einzelnen Verantwortlichen schwierig sein kann, eine datenschutzkonforme Lösung selbst herbeizuführen. Die Datenschutzaufsichtsbehörden in Deutschland und in der EU sind deshalb dabei, Hilfestellungen zum Beispiel für ergänzende Vertragsklauseln zu erarbeiten. Sobald verfügbar, werden diese auf der Internetseite des LfDI veröffentlicht.