Gesundheitsdaten: Was Sie beim Datentransfer in Drittstaaten beachten müssen

Ganz gleich ob es sich um länderübergreifende Projekte, die Nutzung ausländischer Dienstleister:innen oder um ein Angebot an möglichst viele Kund:innen handelt: Die Übertragung von Daten macht an Ländergrenzen keinen Halt. Gerade im Gesundheitsbereich ist die überregionale Zusammenarbeit von enormer Bedeutung. Allerdings verlangt die Datenschutz-Grundverordnung (DSGVO) einen besonders sensiblen Umgang mit Gesundheitsdaten. Was heißt das für Dienstleister:innen, die im globalen Kontext mit Gesundheitsdaten arbeiten?

Rechtliche Rahmenbedingungen

Nach Art. 5 Abs. 1 lit. a muss jede Datenverarbeitung im Anwendungsbereich der DSGVO rechtmäßig sein. Der Begriff Verarbeitung ist in Art. 4 Nr. 2 DSGVO näher bestimmt. Verarbeitungen sind zunächst die Erhebung, das Speichern oder das Löschen. Darunter fällt aber auch das Offenlegen oder die Übermittlung von Daten. Damit ist auch für jede Übermittlung von Daten innerhalb und außerhalb des Anwendungsbereichs der DSGVO eine Rechtsgrundlage erforderlich. Für eine Datenübermittlung in einen sogenannten Drittstaat – ein Land außerhalb des Europäischen Wirtschaftsraums – stellt Art. 44 DSGVO noch einmal besondere Voraussetzungen auf. Eine Übermittlung darf nur dann vorgenommen werden, wenn

  • die Kommission der Europäischen Union beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet (Art. 45 DSGVO);
  • geeignete Garantien vorgesehen sind und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 DSGVO) oder
  • eine Ausnahme nach Art. 49 DSGVO greift.

Angemessenheitsbeschluss

Mittels eines Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO kann die EU-Kommission feststellen, dass ein Drittstaat ein Datenschutzniveau erreicht, das betroffenen Personen einen der DSGVO vergleichbaren Schutz bietet. Liegt ein solcher Beschluss vor, ist die Übermittlung von Daten in diesen Drittstaat unter denselben Voraussetzungen zulässig, unter denen auch eine Datenübermittlung innerhalb des Europäischen Wirtschaftsraums zulässig wäre. Das heißt: auch Übermittlungen in Drittstaaten mit angemessenem Datenschutzniveau bedürfen einer Rechtsgrundlage nach Art. 6 oder 9 DSGVO.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Aktuell gibt es 14 Angemessenheitsbeschlüsse, über die die Kommission auf ihrer Website informiert. Zwar sind viele Drittstaaten wie Israel, Kanada, Neuseeland, die Schweiz oder das Vereinigte Königreich dadurch bereits abgedeckt. Allerdings hat der Europäische Gerichtshof (EuGH) eine entsprechende Übereinkunft der EU mit den USA, das sog. Privacy-Shield-Abkommen, und den darauf beruhenden Angemessenheitsbeschluss der EU-Kommission in seinem viel beachteten Schrems II-Urteil vom 16. Juli 2020 (Az. C-311/18) für ungültig erklärt. Da amerikanischen Behörden über weitreichende Datenzugriffsrechte verfügen würden, sei das Datenschutzniveau der USA nicht angemessen, so die Begründung der Richter (mehr zu der Entscheidung und ihren Folgen finden sie hier). Nachdem die EU-Kommission und die Vereinigten Staaten im März 2022 eine grundsätzliche Verständigung auf einen neuen Transatlantischen Datenschutzrahmen (engl. Trans Atlantic Data Privacy Framework) bekanntgegeben haben, unterzeichnete der amerikanische Präsident Joe Biden im Oktober 2022 eine Verfügung (engl. Executive Order), die die Befugnisse der US-Nachrichtendienste mit Blick auf die Auswertung personenbezogener Daten von EU-Bürger:innen einschränkt und einen zweistufigen Rechtsschutzmechanismus vorsieht. Auf der ersten Stufe sollen EU-Bürger:innen, die sich in ihren Rechten verletzt sehen, eine Beschwerde bei der regional zuständigen Datenschutzbehörde einreichen, die dann bei dem/der Bürgerrechtsbeauftragten (engl. Civil Liberties Protection Officer) geprüft werden. Gegen Entscheidungen der/des Bürgerrechtsbeauftragten sollen EU-Bürger:innen von einem neu zu schaffenden Datenschutzgericht (engl. Data Protection Review Court) vorgehen können.

Zwar ersetzt die Executive Order keinen Angemessenheitsbeschluss. Dennoch können sich Unternehmen – beispielsweise im Rahmen einer Datenschutz-Folgenabschätzung – darauf berufen, dass die Verfügung bereits jetzt zu einem verbesserten Schutzniveau der EU-Bürger:innen führt. Der endgültige Angemessenheitsbeschluss für die Vereinigten Staaten ist in Vorbereitung und wird nach derzeitigem Stand in der ersten Jahreshälfte 2023 erwartet. Ob er auch vor dem EuGH Bestand haben wird, bleibt abzuwarten.

Whitepaper zum European Health Data Space

Standardvertragsklauseln und Verbindliche Interne Datenschutzvorschriften

Liegt kein Angemessenheitsbeschluss vor, so kann eine Datenübermittlung gleichwohl rechtmäßig sein, wenn geeignete Garantien zum Schutz personenbezogener Daten vorliegen und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Als besonders praxisrelevant erweisen sich in diesem Zusammenhang die Standardvertragsklauseln (engl. Standard Contractual Clauses, SCC) und die Verbindlichen Internen Datenschutzvorschriften (engl. Binding Corporate Rules, BCR).

Bei den SCC handelt es sich um Vertragsklauseln, die von der EU-Kommission vorgegeben werden und die zwischen einem/einer Datenexporteur:in und einem/einer Datenimporteur:in abgeschlossen werden können (Mehr Details dazu finden Sie hier). Der bloße Abschluss von SCC reicht als Rechtgrundlage für eine Drittlandsübermittlung allerdings nicht aus. Das hat der EuGH im bereits erwähnten Schrems II-Urteil festgestellt. Dort hat der EuGH außerdem die darüber hinaus für die Datenübermittlung in Drittländer geltenden Anforderungen aus den Artikeln 44 ff. DSGVO konkretisiert. Danach müssen die Verantwortlichen eigenverantwortlich prüfen, ob die personenbezogenen Daten, die übermittelt werden sollen, im Drittland gleichwertigen Schutz genießen (sog. Data Transfer Impact Assessment, TIA). Ist dies nicht der Fall, müssen zusätzliche vertragliche, technische oder organisatorische Maßnahmen (TOM) ergriffen werden, um ein Schutzniveau sicherzustellen, das mit dem Niveau des Europäischen Wirtschaftsraums vergleichbar ist.

Die soeben skizzierten Anforderungen gelten auch für konzerninterne Datenübermittlungen auf der Grundlage von BCR. Eine Unternehmensgruppe kann sich selbst verbindliche Regelungen auferlegen, die dann von den Aufsichtsbehörden noch einmal genehmigt werden müssen. Da BCR eine Vielzahl von Kriterien erfüllen müssen, um genehmigt zu werden (vgl. Art 47 Abs. 2 DSGVO), sind sie nicht für jede:n Anbieter:in von Gesundheitsdienstleistungen gleichermaßen geeignet. Gerade für internationale Unternehmen, die in großer Zahl personenbezogene Gesundheitsdaten in Drittländer übermitteln, bieten sie jedoch die Chance, maßgeschneiderte, rechtssichere und im Ergebnis kostengünstigere Lösungen zu entwickeln.


Das könnte Sie auch interessieren:


Ausnahmen

Falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DSGVO vorliegt noch geeignete Garantien nach Art. 46 DSGVO ist die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur unter den in Art. 49 DSGVO genannten Bedingungen zulässig. Praktisch bedeutsam ist vor allem die Einwilligung nach Art. 49 Abs. 1 S. 1 lit. a DSGVO. Sie bietet sich besonders dort an, wo die Datenverarbeitung von Vornherein auf eine Einwilligung gestützt wird. Wichtigstes Kriterium ist hierbei, dass die betroffene Person ausdrücklich und ordnungsgemäß über die Risiken einer Drittlandsübermittlung aufgeklärt wird und eine freiwillige und informierte Entscheidung treffen kann.

Während der EuGH in seiner Schrems II-Entscheidung noch explizit auf die Ausnahmeregelungen als gleichwertige Alternative zum Angemessenheitsbeschluss und den geeigneten Garantien nach Art. 46 DSGVO verwies, vertreten die europäischen Datenschutzaufsichtsbehörden eine restriktivere Auffassung. Sie sind der Ansicht, dass die Ausnahmetatbestände des Art. 49 DSGVO eng auszulegen seien und nur für eine gelegentliche Datenübermittlungen infrage kämen. Daher ist in jedem Einzelfall sorgfältig abzuwägen, ob und unter welchen Bedingungen eine Drittlandsübermittlung auf einen Ausnahmetatbestand gestützt werden kann.

Die ärztliche Schweigepflicht – eine zusätzliche Hürde

Gesundheitsdaten sind nicht nur durch das Datenschutzrecht geschützt. Ihre unbefugte Weitergabe kann in bestimmten Fällen auch strafrechtlich relevant sein. So stellt beispielsweise § 203 Abs. 1 Nr. 1 des Strafgesetzbuches (StGB) Verletzungen der ärztlichen Schweigepflicht unter Strafe – also auch das unbefugte Offenbaren von Patientendaten. Dieses Offenbarungsverbot stellt Ärzt:innen vor Herausforderungen. Sie müssen vielfach auf die Expertise externer Dienstleister:innen (z. B. im IT-Bereich) zurückgreifen, dürfen ihnen aber keine Informationen offenbaren, die von der ärztlichen Schweigepflicht umfasst sind.

Um auf das Spannungsfeld von zunehmender Digitalisierung und arbeitsteiligem Handeln auf der einen Seite und der Verschwiegenheitsverpflichtung von Ärzt:innen und weiteren Berufsgeheimnisträger:innen auf der anderen Seite zu reagieren, ist der Gesetzgeber mit dem Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen tätig geworden. Der neu eingefügte § 203 Abs. 3 StGB und das entsprechend geänderte bereichsspezifische Berufsrecht sehen seit 2017 weitgehend gleichlautende Erlaubnistatbestände für die Offenlegung vertraulicher Informationen gegenüber externen Dienstleister:innen vor. Danach darf der/die Berufsgeheimnisträger:in/Dienstleister:in den Zugang zu Patienten:innendaten eröffnen, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist. Wegen der fundamentalen Bedeutung des Vertrauensverhältnisses zwischen Arzt/Ärztin und Patient:in sieht der Gesetzgeber eine enge Auslegung der Erforderlichkeit als geboten an. Erforderlich ist die Offenbarung von Berufsgeheimnisträger:innen anvertrauten Geheimnissen danach nur, wenn die Erbringung der Dienstleistung ohne Kenntnis des Geheimnisses nicht möglich ist (Need-to-know-Prinzip). Der/die Berufsgeheimnisträger:in ist laut Gesetzgeber verpflichtet, seine:n Dienstleister:in sorgfältig auszuwählen. Außerdem ist es ihm/ihr verboten, eine:n Dienstleister:in, dessen Eignung zweifelhaft ist, zu beauftragen.

Bei der Auswahl geeigneter Dienstleister:innen kann auch der Sitz des Dienstleisters/der Dienstleisterin eine Rolle spielen. Ärzt:innen und andere Berufsgeheimnisträger:innen dürfen zwar grundsätzlich auch im Ausland tätige Dienstleister:innen beauftragen. Neben der Erforderlichkeit der Tatsachenoffenbarung muss hierbei jedoch zwingend sichergestellt sein, dass der Schutz der Geheimnisse auch im Ausland gewahrt bleibt, genauer: Der Geheimnisschutz im Ausland muss dem in der Bundesrepublik vergleichbar sein. Laut Gesetzesbegründung kann für EU-Mitgliedsstaaten in der Regel von einem hinreichenden Geheimnisschutz ausgegangen werden. Bei der Beauftragung von externen Dienstleistern in Drittstaaten ist hingegen ein erhöhtes Maß an Vorsicht geboten. Sobald Ärzt:innen oder andere Berufsgeheimnisträger:innen beim Gesundheitsdatentransfer in Drittstaaten involviert sind, ist eine mögliche strafrechtliche Relevanz zu bedenken. Sonst können je nach Einzelfall nicht nur datenschutzrechtliche Konsequenzen, sondern auch eine persönliche Strafbarkeit von eingebundenen Berufsgeheimnisträgern wie Ärzten drohen.

Fazit

Im Bereich der Gesundheitsdienstleistungen, der durch hohe Internationalisierung und Spezialisierung gekennzeichnet ist, ist eine Arbeit ohne internationale Partner:innen schwer vorstellbar. Da sich viele dieser Partner:innen auch außerhalb des Europäischen Wirtschaftsraums befinden, muss es Anbieter:innen solcher Leistungen möglich sein, Gesundheitsdaten in Drittländer zu übermitteln. Der deutsche und der europäische Gesetzgeber stellen hohe Anforderungen an eine solche Drittlandsübermittlung. Nach dem Schrems-II-Urteil des EuGH gestaltet sie sich nun noch anspruchsvoller. Die notwendige Implementierung der neuen SCC, die damit einhergehende Prüfung des Schutzniveaus wie auch das Erfordernis ggf. ergänzender Schutzmaßnahmen verursachen erhebliche Rechtsunsicherheit und stellen Unternehmen vor große Herausforderungen. Berufsgeheimnisträger:innen müssen in diesem Zusammenhang besonders umsichtig handeln, da sie außerdem eine strafbewehrte Verschwiegenheitspflicht trifft. Unsere Expert:innen unterstützen Sie gerne dabei, die datenschutzrechtlichen und strafrechtlichen Vorgaben umzusetzen und die damit verbundenen Herausforderungen zu meistern.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.