13.01.2016
PressemitteilungenIT-Sicherheit

Im Rahmen der Fragestellung, welche Relevanz das Safe-Harbor-Urteil für die Hersteller und Anwender von Gesundheits-IT hat und inwiefern Handlungsbedarf besteht, haben sich die Arbeitsgruppe Datenschutz des Bundesverbandes Gesundheits-IT (bvitg), der Arbeitskreis „Datenschutz und Datensicherheit im Gesundheits- und Sozialwesen“ der Gesellschaft für Datenschutz und Datensicherheit (GDD) und die Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ der Deutschen Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie (GMDS) zusammengetan und eine gemeinsame Stellungnahme erarbeitet.

Das Urteil zum „Safe-Harbor“-Abkommen, das seit dem Jahr 2000 seinen Bestand hatte und den Datentransfer zwischen US-Unternehmen und europäischen Anbietern regelte, wurde am 06. Oktober 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Nach einer Klage eines Facebook-Nutzers aus Österreich kam der EuGH zum Ergebnis, dass US-Unternehmen nicht garantieren können, dass amerikanische Behörden keinen uneingeschränkten Zugriff auf übertragene personenbezogene Daten haben.

Im Hinblick auf die Gesundheits-IT betrifft die Entscheidung des Gerichts alle, die einen Auftragsdatenverarbeitungsvertrag („ADV-Vertrag“) abgeschlossen haben und mindestens einer der (direkten oder indirekten) Auftragnehmer einen Sitz in den USA hat. „Konkret heißt das für Kunden der Gesundheits-IT-Unternehmen, beispielsweise Arztpraxen und Krankenhäuser, dass sie ihre Verträge, die sie mit den Unternehmen abgeschlossen haben, auf Bezugnahme des „Safe-Harbor“-Abkommens überprüfen sollten und gegebenenfalls dann die Verträge abändern müssen. Denn: Die Leistungserbringer fungieren als Dateninhaber und müssen sich im Klaren sein, dass die Einhaltung der datenschutzrechtlichen Mindeststandards bei auf „Safe-Harbor“-basierenden Verträgen nicht gegeben ist, wofür sie unbeschränkt haftbar gemacht werden können,“ so Pierre Kaufmann, Leiter der AG Datenschutz des bvitg.

Verträge, die auf EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) basieren, sind von der Unwirksamkeit des Safe-Harbor-Abkommens nicht betroffen. Jedoch: Folgt man der Urteilsbegründung des EuGH gibt es in den USA kein dem europäischen Datenschutzrecht entsprechend angemessenes Datenschutzniveau. Zum Beispiel besteht auch bei anderen Möglichkeiten einer Datenübertragung unter Anwendung der Standardvertragsklauseln der EU-Kommission oder BCR die nahezu unbeschränkte Zugriffsmöglichkeit von US-Behörden auf diese Daten.

Wie Betroffene bezüglich der aufgezeigten Problematik handeln sollten, finden Sie in der vollständigen Stellungnahme unter:

http://gesundheitsdatenschutz.org/doku.php/gmds-dgi-stellungnahmen

http://gddak.eh-cc.de/materialien_und_links/