Sicherheit

Acht- und Wachsamkeit bei Verarbeitung von Gesundheitsdaten wichtig

Wenn es nicht schon vor der Corona-Pandemie klar war, so sollte es inzwischen jedem bewusst geworden sein: Das wichtigste Gut ist die eigene Gesundheit. In Pandemie-Zeiten rückt diese von vielen für selbstverständlich gehaltene Tatsache wieder deutlich stärker ins Bewusstsein. Die Daten über die eigene Gesundheit haben einen hohen Stellenwert im Sektor des Datenschutzes. Gibt es noch sensiblere Daten, als die über die eigene körperliche Verfassung? „Nein, diese Daten sind in einer Art und Weise sensibel, dass ihr Schutz und ihre Sicherheit nicht hoch genug angesetzt werden können“, erklärt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein aus Wuppertal. Ein Urteil des obersten Verwaltungsgerichtes Frankreichs, des Conseil d’Etat, findet daher Voßbeins Zustimmung und bringt erstmals das EuGH-Urteil „Schrems II“ zur Anwendung. Eine genaue Betrachtung der Entscheidung ist lohnenswert und erfolgt im Weiteren.

Die Plattform „Health Data Hub“ (Plateforme des données de santé) ist eine öffentliche Einrichtung. Sie wurde im November 2019 gegründet und startete am 1. Dezember 2019, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Sie soll die medizinische Versorgung und das Gesundheitssystem insbesondere mithilfe Künstlicher Intelligenz voranbringen. Derzeit erlangt sie besondere Bedeutung durch Daten über die COVID-19-Epidemie, die über diese Plattform verarbeitet werden.

Im April 2020 schloss die Plattform mit Microsoft Ireland Operation Limited, der irischen Tochtergesellschaft des amerikanischen Unternehmens Microsoft, einen Vertrag über das Hosting der Daten und die Nutzung der für ihre Verarbeitung erforderlichen Software ab. Dieser Vertrag rief zahlreiche Kritiker auf den Plan: Gewerkschaften, Verbände und Einzelpersonen klagten gegen diesen Vertrag und forderten die sofortige Einstellung der Datenverarbeitung von Gesundheitsdaten über die Plattform.

Die Kläger wurden von der Sorge getrieben, dass eine Übermittlung von sensiblen Gesundheitsdaten und weiteren personenbezogenen Daten in die USA stattfindet. Also in genau das Land, das laut Europäischem Gerichtshof über kein angemessenes Datenschutzniveau verfügt. Im Urteil „Schrems II“ hatten die EuGH-Richter dies festgestellt (dies führte zum „Sturz“ des Privacy Shields und stellte zusätzliche Anforderungen an den Abschluss von Standardvertragsklauseln/SCC). Die Kläger sahen Gefahr im Verzug und reichten einen Antrag auf Schnellverfahren ein.

Wie urteilten die französischen Verwaltungsrichter? Die Anträge der Kläger wurden als unbegründet abgewiesen, weil im Vertrag zwischen der Plattform Health Data Hub und Microsoft Ireland Operation Limited ein Datentransfer in Länder außerhalb der EU – also auch die USA – ausgeschlossen wurde. Ein Restrisiko bestehe zwar bei US-Geheimdienstaktionen, aber drei Argumente waren für die Richter des Conseil d’Etat zentral:

1) Das o. g. EuGH-Urteil habe Bedingungen für einen personenbezogenen Datentransfer in die USA definiert, aber nicht für eine Datenverarbeitung durch Tochterunternehmen von US-Unternehmen innerhalb der EU.

2) Die Kläger sehen ein Risiko für einen Datenmissbrauch, doch konnte insbesondere kein tatsächlicher Verstoß gegen die Datenschutzgrundverordnung (DSGVO) nachgewiesen werden. Auch werden die Gesundheitsdaten pseudonymisiert.

3) Es bestehe aufgrund der Corona-Pandemie ein öffentliches Interesse an einer Datenverarbeitung, um die Forschung intensivieren zu können.
Das Urteil fiel auch deswegen so aus, weil die Betreiber der Plattform sich bemühen wollen, das Restrisiko zu beseitigen, wie beispielsweise durch die Wechsel zu einem anderen Dienstleister oder durch ergänzende Sicherheitsmaßnahmen (Verschlüsselung o. ä).

„Dieses Urteil zeigt einmal mehr, wie aufmerksam mit personenbezogenen Daten und insbesondere Gesundheitsdaten umgegangen werden muss. Außerdem wird sichtbar, dass sich die Behörden innerhalb der EU verstärkt mit den Folgen des EuGH-Urteils auseinandersetzen müssen“, blickt UIMC-Geschäftsführer Dr. Jörn Voßbein voraus. „Wir sehen hierbei keine Auswirkungen z. B. auf den Einsatz von Office 365, weil hierbei nachweislich Daten in die USA übermittelt werden.“

Über die UIMC Dr. Vossbein GmbH & Co. KG

Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.

Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.

Firmenkontakt und Herausgeber der Meldung:

UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de

Ansprechpartner:
Dr. Jörn Voßbein
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel