Digitale Medien erobern unsere Welt. So ist es weniger verwunderlich, dass immer mehr Bereiche gerade auch wegen der Pandemie auf ein digitales Angebot umstellen. Auch das Gesundheitswesen war gezwungen, neben den klassischen Sprechstunden auf virtuelle Leistungen via Messenger und Video umzustellen. Diese Angebote unterliegen in den Mitgliedsstaaten der EU seit Mai 2018 der DSGVO, denn letztlich werden besonders sensible persönliche Daten verwendet und auch gespeichert. In den USA greift seit März 2018 der CLOUD Act. Viele IT-Anbieter haben ihren Firmensitz in den Vereinigten Staaten, weshalb Nutzer:innen nicht nur mit der DSGVO, sondern auch mit dem CLOUD Act in Berührung kommen. Doch worin unterscheiden sich die beiden Gesetzgebungen und was bedeutet das für den Schutz unserer persönlichen Daten?
Das Speichern von nutzerbezogenen Daten außerhalb von Deutschland
Der „Clarifying Lawful Overseas Use of Data Act”, kurz CLOUD Act, ist ein Gesetz, das amerikanischen Behörden den Zugriff auf Daten gestattet, die US-amerikanische IT-Dienstleister oder Internetfirmen im Ausland speichern. Durch dieses Gesetz ist es egal, ob Daten in einer Cloud oder in einem lokalen Datenzentrum in den Vereinigten Staaten oder außerhalb liegen. Es betrifft alle Daten in der Obhut des Unternehmens. Also auch die von Kund:innen und Nutzer:innen. Durch den CLOUD Act sind amerikanische Firmen selbst dann zur Datenherausgabe verpflichtet, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Einen richterlichen Beschluss brauchen US-Behörden dafür nicht. Im Falle einer Untersuchung müssen Unternehmen sowohl personenbezogene Daten als auch Unternehmensdaten herausgeben. Einen Schutz von Betriebsgeheimnissen oder geistigem Eigentum gibt es nicht.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union regelt die Nutzung von und den Umgang mit personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Ziel dieser Verordnung ist es, die Grundrechte und -freiheiten der EU-Bürger:innen zu wahren. Sie beinhaltet sowohl den Schutz personenbezogener Daten als auch den von Betriebsgeheimnissen. Laut DSGVO dürfen persönliche Informationen ausschließlich anlassbezogen eingesehen werden. Nicht-EU-Länder wie die USA dürfen laut dieser Verordnung Daten nur zugespielt bekommen, wenn ein Rechtshilfeabkommen vorliegt. Zwischen den Vereinigten Staaten und der Europäischen Union gibt es kein solches Abkommen.
US-Software weist im Zweifel Datenleck auf
Das Angebot eines US-Unternehmens kann, sobald Anbieter oder Nutzer:innen aus irgendeinem Grund das Interesse einer US-Behörde erregen, nicht mehr DSGVO-konform sein. Kommt der CLOUD Act zur Anwendung, muss das US-Unternehmen alle vorliegenden Daten preisgeben. Dabei kann es den in der DSGVO verankerten Schutz der privaten Informationen seiner Nutzer:innen nicht sicherstellen, ohne sich vor einem US-Gericht zu verantworten. Daher ist eine DSGVO-Erklärung in diesem Fall von vornherein nicht verlässlich. Werden im Gesundheitswesen Tools genutzt, die ihren Ursprung in den USA haben, ist im Zweifel ein uneingeschränkter Zugriff auf die Arbeit des medizinischen Personals aber auch auf Persönliches der Patient:innen möglich. In einem weiteren Schritt ist zu bezweifeln, ob die ärztliche Schweigepflicht, die in einem derartigen Vertrauensverhältnis Voraussetzung sein sollte, gewährleistet werden kann.
Was hat der Cloud Act mit deutschen Krankenakten zu tun?
Auch wenn medizinisches Pflegepersonal, Praxen und Krankenhäuser mit Daten arbeiten, die für die US-Behörden auf den ersten Blick nicht von Belang sind, ist dies keine gute Rechtfertigung auf Treu und Glauben einen US-Server zu nutzen. Gerade im Zuge der Pandemie, der Globalisierung und der grenzüberschreitenden Digitalisierung können auch Gesundheitsdaten europäischer Nutzer:innen für US-Behörden interessant werden. Krankenakten und medizinische Daten aus Arztpraxen, Kliniken und vertraulichen Gesprächen über Kommunikationstools, wie Video oder Messenger, sind hier greifbar nah. Außerdem untergräbt man den Grundgedanken der DSGVO, die Nutzer:innen den Schutz ihrer Daten und ihres geistigen Eigentums zusichert. Daher empfiehlt es sich auch für die Gesundheitsbranche, die Auswirkungen des CLOUD Acts für sich selbst kritisch zu prüfen. Dazu kommt, dass weder amerikanische noch europäische Gesetzgebungen in Stein gemeißelt sind. Der CLOUD Act könnte dementsprechend ausgeweitet werden und den jetzt schon kaum gehinderten Zugriff von US-Behörden auf Informationen in der Zukunft noch erweitern.
Sind meine persönlichen Daten sicher?
Nicht jede IT-Anwendung oder Cloud lässt eine Verschlüsselung zu. Häufig müssen Daten in Reinform eingegeben werden. Und selbst wenn eine Verschlüsselung durch die Anwender:innen möglich ist, stellt dies keine absolute Sicherheit dar. Zum einen, da die meisten Verschlüsselungen auch ihren Key in der Cloud aufbewahren. Zum anderen erlaubt die US-Gesetzgebung es ihren Behörden, Daten zu entschlüsseln. Auch wenn ein Anbieter in seinen allgemeinen Geschäftsbedingungen verspricht, dass die Verschlüsselung der Informationen nicht offengelegt wird, nützt das im Ernstfall wenig. Der CLOUD Act ist ein Bundesgesetz und steht somit über einer Geschäftsvereinbarung.
Fazit: Digitale Dienstleister innerhalb der EU wählen!
Wer wie Gesundheitsteams mit sensiblen privaten Daten oder als Unternehmen mit wirtschaftlich relevanten Betriebsgeheimnissen digital arbeitet, sollte bei der Wahl des IT-Services besonders kritisch sein. Nutzer:innen von US-amerikanischen Dienstleistern sitzen rechtlich immer zwischen den Stühlen und können sich durch den CLOUD Act nicht mehr auf die DSGVO verlassen. Daher empfiehlt es sich hier besonders darauf zu achten, einen IT-Anbieter zu wählen, dessen Hauptsitz und Server innerhalb der EU liegen, und der keine Tochter- oder Schwesterfirma in den USA hat. So sind alle persönlichen Daten, Betriebsgeheimnisse und das geistige Eigentum durch die europäische Gesetzgebung gesichert.