krankenkassen-direkt.de nutzt Cookies, um Ihnen
einen besseren Service zu bieten. Mehr Informationen
OK

Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Sonntag, 09.08.2020

News & Meldungen

EuGH kippt "Privacy Shield"

Datenschutz: Aufsichtsbehörden der Kassen müssen tätig werden

22.07.2020·Der Europäische Gerichtshof (EuGH) hat am 16.07.2020 ein wichtiges Datenabkommen zwischen den USA und Europa gekippt. Der Export von personenbezogenen Daten in die USA unterliegt hierdurch in der Praxis deutlich strengeren Regelungen. Dies könnte direkte Konsequenzen für zahlreiche Krankenkassen haben. Die Aufsichten sind zur Prüfung der praktischen Umsetzung des Datenschutzes nach der DSGVO verpflichtet.

Mit dem "Privacy Shield" scheitert binnen fünf Jahren bereits das zweite Abkommen der Europäischen Union mit den USA. So kippte der EuGH erst 2015 das Vorgängerabkommen namens "Safe Harbour". Wesentliche Gründe waren auch hier die durch die Enthüllungen von Edward Snowden bekannt gewordenen Überwachungspraktiken der US-Geheimdienste.
Das "Privacy Shield"-Abkommen
Privacy Shield ist eine Vereinbarung (lt. DSGVO auch "Angemessenheitsbeschluss") der EU mit den USA aus dem Jahre 2016. Unternehmen dürfen hiernach personenbezogene Daten aus EU-Ländern in die USA übermitteln, wenn Schutzmaßnahmen auf dem Niveau der Datenschutz-Grundverordnung (DSGVO) zugesagt werden. Dies erkannte die EU mit dem Privacy Shield für die USA pauschal an. US-Unternehmen wie Google, Microsoft und Facebook konnten sich auf die Privacy Shield-Liste freiwillig und nach eigenem Ermessen eintragen, wodurch sie grundsätzlich versprechen, Nutzer über die Verarbeitung zu unterrichten und sich an wesentliche Datenschutzregeln zu halten. Der Datenexport war damit bislang möglich. Mit seinem Urteil widerspricht der EuGH der EU-Einschätzung zum Niveau des Datenschutzes in den USA sehr deutlich. Den "Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Einhaltung des amerikanischen Rechts" räume das Abkommen Vorrang ein. Insbesondere seien "die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt" - das Privacy Shield stelle damit keinen zur DSGVO gleichwertigen Datenschutz dar.

Datenexport in die USA - zahlreiche Kassen betroffen

Eine Schnellprüfung der Websites von den unter Aufsicht des Bundesamtes für soziale Sicherung (BAS) stehenden Krankenkassen hatte schon im Januar 2020 ergeben, dass der Export auch personenbezogener Daten in die USA bei zahlreichen Kassen nahe liegt (vgl. "Links zum Thema"). Genutzt wurden z. B. Dienste der US-Anbeiter Google, Microsoft und Facebook - von Social Media über Tracking-Dienste bis zu einfachen Tools wie Web-Fonts. Eine entsprechende Anfrage beim BAS ergab, dass die Aufsichtsbehörde bis dahin noch keinerlei Prüfungen des Web-Datenschutzes vorgenommen hatte. Erst im Juni 2020 wurde das BAS tätig und verschickte erstmals ein Rundschreiben zum Datenschutz auf Websites an alle ihr zugeordneten Sozialversicherungsträger. Einen Hinweis zum umstrittenen Privacy Shield wollte die Behörde jedoch - auch mit Blick auf den Investitionsschutz bei teuren Internetseiten - nicht mit aufnehmen (siehe "DSGVO: Erstmalige Prüfung von Kassen-Websites steht weiter aus" unter "Links zum Thema"). Untätig war bis dahin auch der ebenfalls für Krankenkassen zuständige Bundesdatenschutzbeauftragte (BfDI), Professor Ulrich Kelber. Prüfungen bei den Kassen seien weder in der Vergangenheit erfolgt, noch für die nahe Zukunft zu erwarten, teilte er unserer Redaktion auf Nachfrage mit (vgl. "Links zum Thema", gleicher Beitrag). Mit dieser Aufsichtspraxis soll nach den Worten des EuGH jetzt Schluss sein.

EuGH: Aufsichtsbehörden zur Prüfung "verpflichtet"

Durch den Wegfall des Privacy Shield als Rechtsgrundlage ist der Datenexport in die USA nicht grundsätzlich ausgeschlossen. Insbesondere die sogenannten "Standardvertragsklauseln" behalten nach Würdigung des EuGH ihre Gültigkeit. Vergleichbar dem Vertragsrecht sichern Unternehmen hierbei einander individuell zu, den Datenschutz auf dem Niveau der DSGVO einzuhalten. Neben einer individuellen Zustimmung der betroffenen Nutzer nach entsprechender Aufklärung zu den Risiken des Exports dürften die Standardvertragsklauseln für Krankenkassen vorerst das Mittel der Wahl sein. Mit einem Nachfolgeabkommen zum Privacy Shield ist aufgrund der amerikanischen Geheimdienstpraktiken - zumindest bis zur US-Wahl im November 2020 - nicht zu rechnen. Vor diesem Hintergund ist eine Klarstellung des EuGH mit Blick auf die Standardvertragsklauseln besonders wichtig: "Hinsichtlich der Pflichten, die den Aufsichtsbehörden im Zusammenhang mit einer solchen Übermittlung obliegen, befindet der Gerichtshof, dass diese Behörden, sofern kein gültiger Angemessenheitsbeschluss der Kommission vorliegt, insbesondere verpflichtet sind, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie im Licht der Umstände dieser Übermittlung der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten nicht mit anderen Mitteln gewährleistet werden kann, es sei denn, der in der Union ansässige Datenexporteur hat die Übermittlung selbst ausgesetzt oder beendet."

Direkte Konsequenzen des Urteils für Krankenkassen

Die Gültigkeit des Privacy Shield ist mit dem Urteil des EuGH bereits aufgehoben. Krankenkassen, die nicht auf eine Reaktion der Aufsichtsbehörden zum Urteil warten möchten, könnten in einem ersten Schritt die zunächst augenfälligen Konsequenzen für ihre Webdienste prüfen:

Erstellung einer Liste der genutzten US-Dienste
Substituierung der Dienste durch europäische Anbieter bzw. durch Workarounds (z. B. bei Web-Fonts durch das Ladem von eigenen Servern)
Prüfung, ob bei verbleibenden Diensten personenbezogene Daten (z. B. IP-Adressen) in die USA exportiert werden
Check, ob entsprechende US-Dienste für EU-Kunden eigene Regelungen (wie Rechenzentren innerhalb der EU) anbieten
Überprüfung und Anpassung der Datenschutzerklärung auf Regelungen nach dem Privacy Shield

 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


Termine

Terminhinweis zu den Themen Krankenkasse, Gesundheitspolitik und Karriere in der GKV:

Termine
Weitere News

Elektronische Patientenakte ab 2021

Bundestag beschließt Patientendaten-Schutz-Gesetz

Mittels App können Versicherte ihre E-Rezepte künftig in einer Apotheke ihrer Wahl einlösen. Facharzt-Überweisungen lassen sich digital übermitteln. Und Patienten...

 

Nach Kritik und Änderungen

Bundestag beschließt Intensivpflege- und Rehabilitationsstärkungsgesetz

Im Vorfeld des Beschlusses war das von Bundesgesundheitsminister Jens Spahn (CDU) eingebrachte Gesetz in wichtigen Punkten noch geändert worden. Sozialverbände,...

 

Datenschutz-Grundverordnung DSGVO

Aufsichtsbehörden kündigen erstmalige Prüfung der Websites von Krankenkassen an

Sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, als auch das Bundesamt für Soziale Sicherung...

mehr News...