Schrems II ad acta? Das neue Data Privacy Framework und seine Auswirkungen

In einer zunehmend digitalisierten Welt, in der Daten grenzüberschreitend fließen, ist der Schutz personenbezogener Daten von entscheidender Bedeutung. Dies gilt speziell für den länderübergreifenden Transfer von Gesundheitsdaten, da diese einen besonders hohen Schutzbedarf aufweisen und je nach Land unterschiedlichen Datenschutzgesetzen und -praktiken unterliegen. So besteht in der EU aufgrund der Datenschutz-Grundverordnung (DSGVO) im Vergleich zu anderen Ländern ein starker Schutzanspruch bei personenbezogenen Daten und somit auch bei Gesundheitsdaten. Ein aktueller Meilenstein in diesem Zusammenhang ist das EU-U.S. Data Privacy Framework, das im Juli von der EU-Kommission auf Grundlage eines Angemessenheitsbeschlusses für die USA verabschiedet wurde.

Welche Auswirkungen das Data Privacy Framework auf den Transfer von Gesundheitsdaten zwischen der EU und den USA hat und welche Effekte dies auf das Betreiben digitaler Gesundheitsanwendungen (DiGAs) hat, wird in diesem Blog-Beitrag beschrieben.

Rechtsgrundlagen zum Datenaustausch zwischen der EU und den USA im Zeitverlauf

Das Safe-Harbor-Abkommen wurde im Jahr 2000 zwischen der Europäischen Union (EU) und den Vereinigten Staaten (USA) geschlossen. Es sollte eine rechtliche Grundlage für den internationalen Datentransfer von personenbezogenen Daten von EU-Bürgerinnen und -Bürgern in die USA schaffen. Dieses Abkommen wurde notwendig, da die EU strenge Datenschutzstandards hatte und es Unternehmen ermöglichen sollte, personenbezogene Daten in Länder außerhalb der EU zu übertragen, solange diese Länder ein angemessenes Datenschutzniveau gewährleisteten.

Einen wichtigen Meilenstein stellt das Schrems-I-Urteil im Jahr 2015 dar. Es bezieht sich darauf, dass der österreichische Jurist Max Schrems das Unternehmen Facebook verklagte. Er klagte vor dem Europäischen Gerichtshof (EuGH), weil er Bedenken hinsichtlich der Übertragung seiner personenbezogenen Daten von der EU in die USA hatte und vermutete, dass diese nicht angemessen geschützt seien. Der EuGH entschied im Oktober 2015 zugunsten von Max Schrems und erklärte das damals gültige Safe-Harbor-Abkommen für ungültig. Diese Entscheidung hatte weitreichende Auswirkungen auf den internationalen Datentransfer und führte zur Entwicklung neuer rechtlicher Mechanismen, um den Schutz personenbezogener Daten bei grenzüberschreitenden Übertragungen zu gewährleisten.

Um den rechtlichen Rahmen zur Übertragung personenbezogener Daten zwischen der EU und den USA wiederherzustellen, wurde 2016 das Privacy Shield eingeführt. Die Vereinigung zielte darauf ab, den rechtlichen Rahmen für den Schutz personenbezogener Daten durch bestimmte Datenschutzprinzipien bei ihrer Übertragung von der EU in die USA zu klären. Zu den Prinzipien zählen beispielsweise Transparenz, Datensicherheit oder Begrenzung der Datenerhebung.

Innerhalb der Schrems-II-Entscheidung (2020) hat der österreichische Datenschutzaktivist Max Schrems erneut gegen den Datentransfer von der EU in die USA geklagt. Inhalt der Klage war die Frage, ob die Datenschutzstandards in den USA ausreichend sind, um personenbezogene Daten von EU-Bürgerinnen und -Bürgern in die USA zu übertragen. Innerhalb der Klage wurde sich auf Standardvertragsklauseln und allgemein auf den Datentransfer in Drittländer bezogen. Dabei bemängelte Schrems die weitreichenden Befugnisse der US-Behörden, auf personenbezogene Daten zuzugreifen zu können. Der EuGH entschied zugunsten von Schrems – und das führte dazu, dass Unternehmen aufgefordert wurden, ihre Datenübertragungspraktiken zu überprüfen und sicherzustellen, die Datenschutzstandards der EU einzuhalten. Aufgrund der Schrems-II-Entscheidung wurde das Privacy Shield 2020 ebenfalls wegen des fehlenden Schutzes für die Privatsphäre und der Datenschutzrechte für ungültig erklärt.

Der jüngste und aktuell gültige Angemessenheitsbeschluss wurde am 10.07.2023 verabschiedet. Das Data Privacy Framework bereitet der dreijährigen Zeit der Unsicherheit seit dem Schrems-II-Urteil ein Ende. Voraussetzung hierfür ist, dass sich die datenempfangenden Unternehmen gegenüber dem US-Handelsministerium (Department of Commerce) zur Einhaltung der Grundsätze des Datenschutzes zwischen der EU und den USA verpflichtet haben und demnach als sichere Datenempfänger gelten. Damit entfällt eine Sicherheitsmaßnahme bei der Datenübermittlung an die zertifizierten Unternehmen. Die öffentliche Liste des Data-Privacy-Framework-Programms ist unter folgendem Link einsehbar: https://www.dataprivacyframework.gov/s/. Hier ist ersichtlich, dass große Cloudanbieter wie zum Beispiel Google, Salesforce und Amazon bereits dazugehören. Darüber hinaus soll der Zugang für US-Nachrichtendienste – etwa hinsichtlich elektronischer Kommunikation – auf ein notwendiges Maß beschränkt werden. Dadurch sollen grundlegende Strukturen hinsichtlich Überwachungsmaßnahmen durch den US-Staat unterbunden werden.

Welche Auswirkungen ergeben sich aus dem neuen EU-U.S. Data Privacy Framework für digitale Gesundheitsanwendungen?

Welche Auswirkungen hat das neue Data Privacy Framework auf die personenbezogene Datenübertragung zwischen der EU und den USA für DiGAs? Wie kann das neue Data Privacy Framework bewertet werden?

Vor der Verabschiedung des aktuell gültigen Data Privacy Framework mussten Unternehmen aufgrund des fehlenden Angemessenheitsbeschlusses bei der Übermittlung von personenbezogenen Daten in die USA ein EU-gleichwertiges Datenschutzniveau nachweisen. Das bezieht sich auf Unternehmen, die ihre Daten in den USA selbst verarbeiten oder durch einen IT-Dienstleister beziehungsweise ein Subunternehmen des IT-Dienstleisters verarbeiten lassen. So kommen die meisten Softwaredienstleister wie beispielsweise Amazon, Microsoft oder ORACLE aus den USA, wodurch ein Abfluss von personenbezogenen Daten in die USA sehr wahrscheinlich ist. Dadurch, dass das Privacy Shield für ungültig erklärt und kein gleichwertiges Schutzniveau aufgebaut wurde, durften auch keine Daten mehr in die USA abfließen. Dies führte dazu, dass viele Unternehmen verunsichert waren, insbesondere im Bereich der Gesundheitsdaten. Ein Beispiel dafür ist die DiGA velibra, die bei der Behandlung von Angststörungen unterstützt. So hat die DiGA velibra personenbezogene Daten in den USA verarbeitet, obwohl dies durch das EuGH-Urteil bereits verboten war.

Doch durch die Einführung des EU-U.S. Data Privacy Framework können seit dem 10.07.2023 wieder personenbezogene Daten und somit auch die enthaltenen Gesundheitsdaten aus der EU in die USA fließen, ohne dass zusätzliche Maßnahmen notwendig sind. In Verbindung mit § 4 Abs. 2 DiGAV führt das bei der Verarbeitung von Sozialdaten bei DiGAs zu einer Öffnung des Datenverarbeitungsorts für die USA. Das Gesetz hält fest, dass eine Datenverarbeitung von personenbezogenen Daten außerhalb der EU auf Grundlage von Standardklauseln (Artikel 46 DSGVO) und verbindlichen internen Datenschutzvorschriften (Artikel 47 DSGVO) nicht zulässig ist. Durch das Urteil kann die Datenverarbeitung für DiGAs nun wieder ungehindert in den USA erfolgen. Für das inhaltsähnliche Gesetz im Kontext der Verarbeitung von Sozialdaten in Deutschland (§ 80 SGB X) ergibt sich ab dem 10.07.2023 somit ebenfalls eine Öffnung für die USA.

Ausblick für das EU-U.S. Data Privacy Framework

Es gilt festzuhalten, dass ein neuer Rechtsrahmen für den Datentransfer von der EU in die USA besteht. Allerdings wird der Rechtsrahmen bereits von dem Europäischen Zentrum für digitale Rechte (NOYB) und Herrn Schrems dahingehend kritisiert, dass es keine substanziellen Änderungen des US-Überwachungsrechts gibt und das Durchgriffsrecht weiterhin besteht. Zusammengefasst lässt sich festhalten, dass aktuell ein Zeitfenster besteht, in dem aufgrund des rechtlichen Rahmens mit geringerem Aufwand und geringeren Rechtsunsicherheiten auf die US-Anbieter zugegriffen werden kann. Dies gilt, bis ein erneutes Urteil des EuGHs erfolgt. Folglich dürfte für Unternehmen und auch speziell für DiGA-Hersteller die Unsicherheit gegenüber der US-Datenverarbeitung vorerst bewerkstelligt sein, langfristig kann sich darauf allerdings nicht ausgeruht werden.