Recht


Aktuelles Urteil des Europäischen Gerichtshofs zum Datenschutz

18.01.2021

.
.

Der EuGH hat mit Urteil vom 16.07.2020 (Az C-311/18) den Privacy Shield zwischen der Europäischen Union und den USA für unwirksam erklärt. Diese Vereinbarung sollte Daten aus Europa bei Verarbeitung und Speicherung in den Vereinigten Staaten nach europäischem Standard schützen. Wegen des nachrichtendienstlichen Zugriffs auf Daten in den USA genügen die Bestimmungen des Privacy Shields aber den Bestimmungen der in Europa gültigen DS-GVO nach Ansicht des Gerichtes nicht. 

Für die Praxisinhaber hat dieses Urteil im Rahmen des Datenschutzes dann Bedeutung, wenn sie Daten über in den USA ansässige Unternehmen verarbeiten, verarbeiten lassen oder z.B. ihre Internetseite Bausteine amerikanischer Firmen nutzt. Bei Verstößen drohen empfindliche Strafen.

Auskunft der BLZK, wie auf dieses Urteil zu reagieren ist

Daher haben wir bei der BLZK angefragt, wie auf dieses Urteil zu reagieren ist. Hier die Auskunft: „Die Übermittlung personenbezogener Daten in ein Drittland kann jedoch unter den Voraussetzungen des Art. 46 DS-GVO zulässig sein. Hiernach darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland oder eine internationale Organisation nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Solche geeigneten Garantien stellen die von der Europäischen Kommission genehmigten Standarddatenschutzklauseln (früher: Standardvertragsklauseln) dar, Art. 46 Abs. 2 lit. c) DS-GVO.

Im besten Fall nutzen Zahnarztpraxen EDV-Programme solcher Dienstleister, die ihren Hauptsitz in Deutschland oder der EU haben. Eine Übermittlung personenbezogener Daten in ein Drittland kann so ausgeschlossen werden. Wir empfehlen Zahnarztpraxen, sich mit ihren IT-Dienstleistern in Verbindung zu setzen, um zu klären, ob durch die Nutzung der EDV-Programme personenbezogene Daten in die USA oder ein anderes Drittland übermittelt werden. Sofern Zahnarztpraxen EDV-Programme von Unternehmen nutzen, die ihren Sitz in den USA haben, sollte darauf geachtet werden, dass anstelle des US-Privacy-Shield Standarddatenschutzklauseln abgeschlossen werden. Eine rechtmäßige Übermittlung personenbezogener Daten kann so gewährleistet werden.“

Weitere Hinweise durch Datenschutzexperten Stefan Leißl

Aufgrund dieser Hinweise und wegen der Komplexität der Thematik haben wir den Datenschutzexperten Stefan Leißl um Informationen gebeten. Er führt Folgendes aus:

Die Vereinbarung für den Datenaustausch zwischen Europa und den USA, das sogenannte Privacy Shield, ist vom höchsten EU-Gericht gekippt worden. Informationen über europäische Verbraucher seien auf US-Servern nicht vor dem Zugriff dortiger Behörden und Geheimdienste geschützt, so die Richter. Die Entscheidung betrifft amerikanische IT-Konzerne wie Facebook oder Google, aber auch zahlreiche weitere Dienste wie Hoster, Newsletter-Anbieter, Cloud-Anbieter oder z.B. auch Tools, um Termine über die eigene Website zu vereinbaren.

Das Privacy-Shield-EuGH-Urteil hat auch Folgen für Arztpraxen. US-Tools sind in deutschen Unternehmen weit verbreitet. In EU-Unternehmen, die sich bislang auf das Privacy Shield verlassen und weiterhin amerikanische Cloud-Dienste im Einsatz haben, herrscht Rechtsunsicherheit. Das Urteil zieht Konsequenzen nach sich.

Was Sie jetzt wissen müssen

Von den Aufsichtsbehörden sind deutliche Aussagen zu vernehmen: Vonseiten der Aufsichtsbehörden müssen entsprechende Verbote zur Datenübermittlung folgen und Betroffene hätten ein Recht auf „Schmerzensgeld“, welches in „abschreckender Höhe“ festzulegen sei.

Was bedeutet das Urteil in der Praxis?

Das Urteil des EuGHs bedeutet eigentlich, dass jetzt erst einmal keine Nutzerdaten aus der EU mehr in die USA übertragen und dort verarbeitet werden dürfen, was das Aus für unzählige Tools und Dienste bedeuten würde, die aktuell auf deutschen Webseiten oder in der Praxis genutzt werden.

Standardvertragsklauseln? Ja? Nein?

Weiterhin offen steht den Praxen der Einsatz sogenannter Standardvertragsklauseln. Hier kommt das große „Aber“: Diese Klauseln müssen von Praxisinhabern hinterfragt und geprüft werden – dahingehend, ob der Datenschutz vom Anbieter hinreichend gewährleistet werden kann, und hierzu zählt auch, ob eine Gefahr durch staatlichen Zugriff besteht.

Bedenkt man die Hintergründe für die aktuelle Situation, d.h. weshalb ein Privacy Shield benötigt wurde und weshalb es gekippt ist, so scheint es allerdings mehr als wahrscheinlich, dass US-Unternehmen auch die Standardvertragsklauseln nicht einhalten können.

Welche Dienste können betroffen sein?

In der Arztpraxis wird es vermutlich hauptsächlich Dienste, welche auf der Website eingebunden sind, betreffen. Dies können z.B. sein: Social Media Plug-ins wie Facebook, Twitter und Instagram, Dienste wie Google Analytics, Google Web Fonts, Google Maps oder Google reCAPTCHA. Aber auch „außerhalb“ der Website können Dienste von US-Unternehmen im Praxisalltag vorkommen. Dies könnte der Fall sein, wenn Daten in einer Cloud gespeichert werden oder wenn Sie einen Auftragsverarbeiter einsetzen, welcher wiederum Subunternehmer aus den USA einsetzt.

Was Sie jetzt konkret tun sollten

Nicht in Panik verfallen. Nutzen Sie die nächsten Tage und Wochen für folgende Schritte:

Erstellen Sie eine Liste, in der Sie alle Verarbeitungen aufführen, mit denen Sie personenbezogene Daten verarbeiten. Zur Verarbeitung gehört auch das Speichern (Stichwort „Cloud“).

Damit kommen Sie auch gleich einer wichtigen Vorgabe der DS-GVO nach: das Erstellen des Verzeichnisses der Verarbeitungen nach Art. 30 DS-GVO. Im Anschluss prüfen Sie, mit welcher Software Sie die Daten verarbeiten und filtern die Softwareanbieter und Dienstleister aus den USA heraus. Achten Sie auch darauf, falls Sie Daten zur Verarbeitung an einen europäischen Dienstleister übergeben, ob dieser Subunternehmer aus den USA einsetzt. Dies sollte aus dem Vertrag zur Auftragsverarbeitung, den Sie mit dem Dienstleiter abgeschlossen haben, hervorgehen. Analysieren Sie, ob hier personenbezogene Daten an diese Unternehmen übermittelt werden.

Vergessen Sie nicht, Ihre Internetseite genau zu prüfen

Ebenfalls gilt es, Fernwartungsverträge zu überprüfen, ob die Vertragspartner nicht im Drittland sitzen oder sich eines Subunternehmens bedienen, welches im Drittland sitzt. Dies kann z.B. bei Medizingeräteherstellern der Fall sein. Prüfen Sie, ob Ihr Anbieter eine Regelung für Kunden aus der EU treffen wird, oder schreiben Sie die Anbieter an und fragen nach, welche Lösungen das Unternehmen treffen wird. Suchen Sie für die Dienste, die Daten in den USA verarbeiten, nach deutschen bzw. europäischen Alternativen. Auf manche Dienste, die auf der Website eingebunden sind, kann man auch getrost ganz verzichten.

Hier ein paar Beispiele:

  • Google Fonts lassen sich oft direkt auf dem eigenen Server installieren
  • Google Maps kann man durch ein Bild der Straßenkarte ersetzen und mit dem Bild einen Link zu Google Maps setzen.
  • Google Analytics: Dieser Dienst wird sehr gerne von Webdesignern auf der Seite integriert, aber im Grunde nie ausgewertet. Diesen Dienst kann man ersatzlos streichen.

Wenn Sie Änderungen an Ihrer Website vornehmen, vergessen Sie nicht, auch Ihre Datenschutzerklärung anzupassen.

Was, wenn es keine Alternativen gibt?

Gerade bei Fernwartungsverträgen mit Medizingeräteherstellern besteht oft nicht die Möglichkeit, auf europäische oder deutsche Alternativen zu wechseln.

In diesem Fall rate ich dazu, genau zu dokumentieren welche Anstrengungen Sie unternommen haben, um eine Lösung zu finden, und warum es keine Alternative gibt. Damit können Sie den Aufsichtsbehörden zumindest nachweisen, dass Sie sich mit dem Thema befasst haben.

Wird es eine neue Vereinbarung zwischen der EU und den USA geben?

Über kurz oder lang wird es eine entsprechende Vereinbarung geben „müssen“. Der EU-Justizkommissar und der US-Handelsminister suchen bereits nach neuen Datenschutzregeln, die den transatlantischen Datenverkehr legalisieren würden. Wann es hier zu einem neuen Vertrag kommen wird, weiß man aber noch nicht. Also einfach abzuwarten und nichts zu unternehmen, ist keine Lösung.


Quelle:

Prof. Dr. Dr. E. Fischer-Brandies
Albert-Roßhaupter-Straße 73
81369 München
Opens window for sending emailpraxis(at)fischer-brandies.de

Consulting-L Stefan Leißl
Datenschutzbeauftragter, Datenschutzmanagement,
IT-Sicherheitsbeauftragter, IT-Sicherheitsmanagement
Sanderstraße 47, 86161 Augsburg
Tel: 0821-6508 8580
www.consulting-l.de


Die Zukunft der Prophylaxe liegt in Ihren Händen!
csm 16 9 Girl AF MAX2.jpg 713f648fd20e63a2f51947c87c212f7d a9f8a692e6

Buchen Sie jetzt Ihre GBT Live Demo mit dem AIRFLOW® Prophylaxis Master direkt und unverbindlich in Ihrer Praxis!

Im 3. Teil der Webinarreihe von Permadental werden am 12.03.2021 von 13:00–14:00 Uhr das permawhite-System, die Vorgehensweise von der Planung bis zur Nachsorge sowie die Organisation mit dem Labor thematisiert.

Jetzt kostenlos anmelden