„Safe Harbor“-Urteil: Es besteht noch Regelungsbedarf

dpa

Köln – Vor dem Hintergrund des „Safe Habor“-Urteils des Europäischen Gerichtshofes (EuGH) vom 6. Oktober 2015 haben die Datenschutz-Arbeitsgruppen des Bundesver­bandes Gesundheits-IT (bvitg), der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie und der Gesellschaft für Datenschutz und Datensicherheit in einer gemeinsamen Stellungnahme betroffene Arztpraxen und Krankenhäuser dazu aufgefordert, entsprechende Verträge kritisch zu prüfen. 

Unzureichender Schutz
In dem Urteil hatte der EuGH den Datentransfer zwischen US-Unternehmen und europäischen Anbietern auf Basis des „Safe-Harbor“-Abkommens für ungültig erklärt, weil persönliche Daten europäischer Nutzer in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt seien. Im Hinblick auf die informationstechnische Verarbeitung von Gesundheitsdaten betrifft die Entscheidung des Gerichts alle, die einen Auftragsdatenverarbeitungsvertrag abgeschlossen haben und dabei mindestens einer der (direkten oder indirekten) Auftragnehmer einen Sitz in den USA hat. 

„Konkret heißt das für Kunden der Gesundheits-IT-Unternehmen, beispielsweise Arztpraxen und Krankenhäuser, dass sie ihre Verträge, die sie mit den Unternehmen abgeschlossen haben, auf Bezugnahme des ,Safe-Harbor‘-Abkommens überprüfen sollten und gegebenenfalls dann die Verträge abändern müssen. Denn: Die Leistungserbringer fungieren als Dateninhaber und müssen sich im Klaren sein, dass die Einhaltung der datenschutzrechtlichen Mindeststandards bei auf ,Safe-Harbor‘-basierenden Verträgen nicht gegeben ist, wofür sie unbeschränkt haftbar gemacht werden können,“ erläuterte Pierre Kaufmann, Leiter der AG Datenschutz des bvitg. 

Die Experten weisen darauf hin, dass Verträge, die auf EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) basieren, zwar von der Unwirksamkeit des Safe-Harbor-Abkommens nicht betroffen sind. Allerdings würden BCR im Hinblick auf die Verarbeitung in den USA in Deutschland derzeit nicht mehr genehmigt, so dass letztlich nur über EU-Stardardvertragsklauseln eine rechtskonforme Datenübermittlung in ein Drittland realisiert werden könne. Hierbei sei zu beachten, dass ein derartiger Vertrag ausschließlich zwischen Auftraggeber (Datenhalter) und Datenverarbeiter im Drittland geschlossen werden könne.

Folge man der Urteilsbegründung des EuGH, gebe es jedoch in den USA kein dem europäischen Datenschutzrecht entsprechend angemessenes Datenschutzniveau, denn auch bei einer Datenübertragung nach den Standardvertragsklauseln der EU-Kommission oder nach BCR bestehe die nahezu unbeschränkte Zugriffsmöglichkeit von US-Behörden auf diese Daten. 

Empfehlung für das Vorgehen
Das Fazit der Experten: Eine rechtssichere Lösung gibt es derzeit nicht. Für diejenigen, die nicht auf die Übermittlung in ein unsicheres Drittland verzichten können, enthält die Stellungnahme eine Empfehlung für das Vorgehen. Die EU-Kommission und die nationalen Datenschutzbehörden werden zum Handeln aufgefordert. © KBr/aerzteblatt.de