04.07.2019 | Datenschutz

Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen

Gerade im Gesundheitsbereich ist die überregionale Zusammenarbeit von enormer Bedeutung. Gleich ob es sich dabei um länderübergreifende Forschungsprojekte, die Nutzung technischer Dienstleister oder einfach ein Angebot an möglichst viele Kunden handelt, in all diesen Fällen macht die Übertragung von Daten an Ländergrenzen keinen Halt. Doch was heißt das für Anbieter, die mit Gesundheitsdaten arbeiten, sind diese doch unter Art. 9 Datenschutz-Grundverordnung (DSGVO) als besonders schützenswert eingestuft?

Die DSGVO setzt einen datenschutzrechtlichen Rahmen, innerhalb dessen Daten im europäischen Wirtschaftsraum zu verarbeiten sind. Viele Länder, die für Kooperationen im Gesundheitsbereich interessant sind, befinden sich jedoch außerhalb davon. Hier sind natürlich zuvorderst die USA zu nennen, doch auch auf asiatische Staaten wie Japan und China und in nicht allzu ferner Zukunft auch auf das „nach-Brexit-Großbritannien“ finden diese Regeln keine Anwendung. Das heißt aber nicht, dass Anbieter in Zusammenarbeit mit diesen Ländern keine Regeln zu beachten haben.

Aus der Datenschutz-Grundverordnung lässt sich entnehmen, dass jegliche Verarbeitung von Daten solange verboten ist, bis es eine Erlaubnisregelung gibt. Somit ist auch für die Übermittlung von Daten aus dem europäischen Wirtschaftsraum hinaus eine Rechtsgrundlage erforderlich. Dieses Prinzip wird in Art. 44 DSGVO noch einmal ausdrücklich festgeschrieben. In derselben Norm findet man allerdings auch schon die möglichen Ausnahmen, welche eine Datenübertragung gestatten. Im folgenden Text sollen (nicht abschließend) die gängigsten Möglichkeiten zur Datenübermittlung vorgestellt werden.

Angemessenheitsbeschluss

Art. 45 DSGVO eröffnet gleich die umfassendste Möglichkeit zur Datenübermittlung. Mittels eines Angemessenheitsbeschlusses kann die EU-Kommission feststellen, dass ein Land außerhalb des europäischen Wirtschaftsraums (sog. Drittstaat) durch seine Gesetzgebung ein Datenschutzniveau hat, dass den europäischen Bürgern einen der DSGVO insgesamt vergleichbaren Schutz bietet. Liegt solch ein Beschluss vor, ist die Übermittlung von Daten in diesen Drittstaat generell erlaubt. Natürlich greifen aber auch hier die allgemeinen Regelungen der DSGVO, auch Übermittlungen in Drittstaaten bedürfen einer Rechtsgrundlage der Art. 6 und/oder 9 DSGVO!

Aktuell gibt es 13 solcher Angemessenheitsbeschlüsse, über die die Kommission auf ihrer Webpräsenz informiert. Für Anbieter im Bereich Health & Pharma sicherlich am interessantesten sind die Übereinkünfte mit Kanada, Israel, Neuseeland, der Schweiz und den USA. Viele interessante Kooperationspartner sind dadurch abgedeckt. Aber Vorsicht, gerade für die USA, den wahrscheinlich wichtigsten Drittstaat, liegt ein Ausnahmefall vor. Der Angemessenheitsbeschluss mit den USA erstreckt sich nicht auf sämtliche Bereiche der Vereinigten Staaten. Vielmehr sind von dem Beschluss nur Unternehmen erfasst, die sich dem EU-US Privacy Shield Abkommen unterworfen haben, welches eine Reihe sehr spezifischer Regelungen trifft. Obwohl das Abkommen durchaus in der Kritik steht und an seiner weiteren Zukunft gezweifelt werden kann, ist es stand jetzt eine valide Grundlage für den Datentransfer in die USA. Trotzdem ist hier immer genau darauf zu achten, ob der gewünschte Kooperationspartner dem Privacy Shield unterfällt. Ist dies nicht der Fall ist eine Übermittlung auf Grundlage des Angemessenheitsbeschluss nicht möglich!

Sofern für den gewünschten Kooperationspartner kein Angemessenheitsbeschluss vorliegt, bestehen dennoch Chancen zur Zusammenarbeit.

Standardvertragsklauseln und Binding Corporate Rules

Als besonders praxisrelevant erweisen sich hier die Standardvertragsklauseln. Dabei handelt es sich um vorgegebene Regelungen zur Datenübermittlung, die von der Kommission genehmigt werden. Sobald solche Standardklauseln genutzt werden, ist eine Übermittlung gem. Art 46 Abs. 2 DSGVO möglich. Zur Zeit existieren solche Standardklauseln für die Auftragsverarbeitung und können somit zum Beispiel für das Outsourcing von IT-Dienstleistungen an Unternehmen aus Drittländern genutzt werden. Natürlich ist aber auch hier immer zu prüfen ob das konkret angestrebte Verarbeitungsziel von den Klauseln abgedeckt wird, individuell geändert werden dürfen diese nämlich nicht.

Gerade für internationale Unternehmen, die in großer Zahl Identifikations- und Gesundheitsdaten in Drittländer übermitteln, kann sich auch die Einführung von verbindlichen, internen Datenschutzvorschriften (besser bekannt unter der englischen Bezeichnung Binding Corporate Rules – BCR) auszahlen. Hier kann sich eine Unternehmensgruppe selbst verbindliche Regelungen auferlegen, die dann von den Aufsichtsbehörden genehmigt werden müssen, nach der Genehmigung aber eine legitime Erlaubnis für den Datenübermittlung liefern. Da die BCR hierfür eine Vielzahl von Kriterien (vgl. Art 47 Abs. 2 DSGVO) erfüllen müssen, sind sie sicherlich nicht für jeden Anbieter von Gesundheitsleistungen eine Option. Wo möglich, liefern sie aber Unternehmen eine Chance, maßgeschneiderte und rechtssichere Lösungen für sich zu entwickeln.

Erweist sich keine der oben dargestellten Möglichkeiten für ein individuelles Übermittlungsvorhaben als einschlägig, bleiben als letzte Option noch die Ausnahmeregelungen des Art. 49 DSGVO. Diese sind sehr stark an die generellen Erlaubnistatbestände des Art. 6 DSGVO, jedoch ist hier das berechtigte Interesse keine Rechtfertigung. Praktisch relevant ist vor allem die Einwilligung. Diese bietet sich in Szenarien an, wo die grundsätzliche Datenverarbeitung eh bereits auf eine Einwilligung gestützt wird, z.B. wenn im Falle einer multinationalen Studie eine Auswertung von Patientendaten bei einem US-Partner erfolgen soll, der nicht dem Privacy Shield unterfällt. Wichtigstes Kriterium ist hier, dass die betroffene Person ausdrücklich über die (vermeintlichen) Risiken einer solchen Übermittlung aufgeklärt werden und dann eine freiwillige und informierte Entscheidung treffen können.

Die ärztliche Schweigepflicht – eine zusätzliche Hürde

Im Vergleich zu anderen Datenübermittlungen, kommt im Fall der Verarbeitung von Gesundheitsdaten auch noch eine weitere Herausforderung auf den Anwender zu. Gesundheitsdaten sind nicht nur durch das Datenschutzrecht, sondern auch durch das Strafrecht geschützt. Die ärztliche Schweigepflicht (historisch eine der ersten Datenschutzregelungen überhaupt) ist in Deutschland in § 203 des Strafgesetzbuches (StGB) gegen Verletzungen geschützt. Von der Norm ist jegliches Offenbaren von Patientendaten durch einen Arzt geschützt. Dies betrifft somit natürlich auch das Übermitteln solcher Daten in Drittstaaten. Glücklicherweise hat der Gesetzgeber hier inzwischen erkannt, dass in einem hochspezialisierten Umfeld, Arbeitsteilung eher Regel als Ausnahme ist und gibt dem Arzt inzwischen eine handvoll an Optionen, Daten dennoch zu übermitteln. Dazu gehört auch hier die Einwilligung durch die betroffene Person oder die Einbindung von Dienstleistern als sog. mitwirkende Personen. Auch eine wirksame Pseudonymisierung soll den Datenversand möglich machen. Trotzdem ist hier jeweils im Einzelfall zu prüfen, ob die Übermittlung von den Ausnahmen gedeckt ist. Sonst drohen nicht nur datenschutzrechtliche Konsequenzen, sondern auch eine persönliche Strafbarkeit von eingebundenen Ärzten.

Fazit

Im Bereich der Gesundheitsdienstleistungen, der durch hohe Internationalisierung und Spezialisierung gekennzeichnet ist, ist eine Arbeit ohne internationale Partner schwer vorstellbar. Da sich viele dieser Partner auch außerhalb der EU befinden, muss es Anbieter solcher Leistungen auch möglich sein, personenbezogene Daten inklusive Gesundheitsdaten in diese Länder zu versenden. Der hohe Anspruch des Gesetzgebers an das Schutzniveau für die Daten der betroffenen Person und die strafrechtlich verankerte ärztliche Schweigepflicht stellen hier zu beachtende Hürden dar. Die Datenschutz-Grundverordnung bietet für die Datenübermittlung jedoch verschiedene Möglichkeiten, die jeweils individuell auf ihre Anwendbarkeit im konkreten Anwendungsfall zu prüfen sind. Bei diesen Prüfungen und allen anderen Fragen zum Datenschutz von Gesundheitsdaten unterstützen unsere Experten sie gerne!

Lesen Sie auch folgende Beiträge:

Datenschutzkonformes Outsourcing im Gesundheitswesen

Datenverarbeitung bei klinischen Studien: Anforderungen im Datenschutz

KI im Gesundheitswesen: Mit Datenschutz zum Ziel?

Datenschutz-Folgenabschätzung im Gesundheitswesen: Mit Datenschutz zum Erfolg?



Weitere Artikel

Anwälte der Kanzlei empfohlen durch: