EuGH kippt Privacy Shield und fordert so DiGA-Hersteller

Am Donnerstag hat der EuGH sein lang erwartetes Urteil zum EU-US-Privacy-Shield gefällt (Rechtssache C-311/18). Wie vorhergesagt, ist das Gericht der Auffassung vieler Datenschutzbehörden und des Generalanwalts gefolgt und hat das Abkommen gekippt. Der EuGH erklärte das Abkommen für unwirksam und führte zur Begründung im Wesentlichen an, dass die Befugnisse der US-Behörden hinsichtlich des Zugriffs auf personenbezogene Daten bei US-Unternehmen nicht mit der Datenschutzgrundverordnung vereinbar sind. Die Befugnisse seien nicht auf das zwingend erforderliche Maß beschränkt und die Rechtsschutzmöglichkeiten ungenügend.

 

Das bedeutet, dass eine Datenübermittlung an US-Unternehmen ausschließlich auf Grundlage des Privacy Shields nicht mehr möglich ist. Unternehmen müssen daher auf andere Instrumente, wie etwa Binding Corporate Rules, Einzelvereinbarungen oder die Standardvertragsklauseln ausweichen, um eine rechtskonforme Datenübermittlung in die USA sicherzustellen.

 

Ein großes Problem für mit US-Unternehmen kooperierenden Hersteller digitaler Gesundheitsanwendungen: Im Rahmen der DiGAV ist ein Ausweichen auf andere Instrumente vom Gesetzgeber ganz bewusst nicht vorgesehen. Gemäß § 4 Abs. 3 DiGAV ist eine Verarbeitung von personenbezogenen Daten durch die digitale Gesundheitsanwendung selbst sowie die Verarbeitung im Auftrag in einem Drittstaat außerhalb der EU, des EWR und der Schweiz nur zulässig, sofern ein Angemessenheitsbeschluss der EU-Kommission vorliegt. Für die USA existiert ein solcher Beschluss mit dem Urteil des EuGH vom 16.07.2020 nicht mehr.

 

Zwar sind viele Anbieter digitaler Gesundheitsanwendungen selbst in Deutschland und der EU ansässig. Insbesondere für die Speicherung größerer Datenmengen greifen einige jedoch auf US-Unternehmen oder deren Tochterunternehmen zurück. In diesen Fällen besteht Handlungsbedarf.

 

Wer als Anbieter digitaler Gesundheitsanwendungen auf der sicheren Seite sein will, sollte sein Geschäftsmodell datenschutzrechtlich genau prüfen lassen und für die Verarbeitung personenbezogener Daten im Zweifel Dienstleister innerhalb der EU, des EWR, der Schweiz oder eines Drittlandes, für das ein Angemessenheitsbeschluss besteht, einsetzen.

 

Dr. Sabrina Neuendorf