Anzeige

Datentransfer

In einem gemeinsamen Positionspapier fordern der deutsche Industrieverband SPECTARIS und die VDMA Arbeitsgemeinschaft Medizintechnik zukunftsfähige und international wettbewerbsfähige Datenschutz-Anforderungen für den Industriestandort Deutschland. Dazu sehen die Verbände einen bundesweit einheitlichen Rechtsrahmen zur Nutzung von US-Cloud-Services bei personenbezogenen Daten vor.

Die je Bundesland jeweils eigenständig agierenden Datenschutzbehörden und eine dadurch fragmentierte Auslegung der Datenschutzgrundverordnung (DSGVO) sollen somit abgelöst werden. „Ziel muss es sein, den internationalen Datentransfer für Unternehmen langfristig rechtssicher zu gestalten. Bleiben die jetzigen fragmentierten und komplexen Datenschutzanforderungen bestehen, sind massive Wettbewerbsnachteile für deutsche Unternehmen, sowohl im globalen als auch im europäischen Marktumfeld die Folge,“ mahnt Jörg Mayer, Geschäftsführer des Deutschen Industrieverbands SPECTARIS.

Mit dem so genannten Schrems II-Urteil vom 16. Juli 2020 erklärte der Europäische Gerichtshof (EuGH) das EU-US-Privacy Shield für unrechtmäßig, das dazu diente, personenbezogene Daten europäischer Bürger DSGVO-konform an US-Unternehmen zu übermitteln. Für Unternehmen in Deutschland und Europa hat das Schrems II-Urteil zur Folge, dass US-amerikanische Email-Dienste oder Cloud-Services nicht mehr rechtssicher genutzt werden können. Zudem stehen Unternehmen in Deutschland im Vergleich zu anderen EU-Mitgliedstaaten durch das föderale Prinzip der Datenschutzaufsicht vor einer enorm komplexen Rechtslage. Besonders problematisch stellt sich die Situation im Gesundheitswesen dar, nicht nur für Leistungserbringer und Kostenträger, sondern auch für Hersteller von Medizinprodukten. So zum Beispiel für die Hersteller von digitalen Gesundheitsanwendungen (DiGA). Diese dürfen personenbezogene Daten ihrer Nutzer nur innerhalb der EU verwalten und speichern. Zwar lassen sich US-Dienstleister mit EU-Niederlassung nutzen, jedoch nur, wenn der US-Dienstleister zusichert, dass weder Datentransfer noch Datenverarbeitung in den USA stattfindet. Diese gesetzliche Vorgabe des Bundesgesundheitsministeriums ist zugleich unverbindlich, denn abweichende Einschätzungen der zuständigen Datenschutzbehörden können je Bundesland zu veränderten Datenschutzanforderungen führen.
 

Mangel an europäischen Cloud-Services

So ergibt sich für deutsche DiGA-Hersteller eine enorme Rechtsunsicherheit auf institutioneller Ebene: „Dem Harmonisierungsansatz der DSGVO wird man nicht gerecht, wenn sich deutsche Unternehmen stets an den abweichenden Vorgaben ihrer jeweiligen Landesdatenschutzbehörden orientieren müssen“, betont Mayer. Die Leidtragendenden dieser unnötigen Komplexität sind vor allem Unternehmen in Deutschland mit Standorten in mehreren Bundesländern. Um die regulatorischen Differenzen zu überwinden, müssen sich Gesundheits- und Datenschutzbehörden hierzulande unter dem Ziel gemeinsamer und harmonisierter DSGVO-Anforderungen abstimmen. „Über ein Jahr nach dem Schrems II-Urteil braucht es endlich einen bundesweit einheitlichen Rechtsrahmen für die Nutzung von US-amerikanischen Cloud-Services. Nur so kann langfristige Planungssicherheit für die deutsche Gesundheitswirtschaft geschaffen werden“, erklärt  Niklas Kuczaty, Geschäftsführer der Arbeitsgemeinschaft Medizintechnik des VDMA.

Dass die genutzten Cloud-Services für das Verarbeitern personenbezogener Daten noch immer überwiegend aus den USA stammen, sehen die Verbände vor allem dem Mangel an europäischen Alternativen geschuldet. „US-Cloud-Services bilden für den Großteil der mittelständischen Unternehmen in Deutschland schon seit vielen Jahren die Geschäftsgrundlage. Der deutsche Mittelstand ist somit maßgeblich auf den internationeln Datenaustausch angewiesen. Fehlende europäische Ausweichmöglichkeiten werden den Unternehmen durch ein viel zu komplexes und fragmentiertes Netz aus Datenschutzvorgaben gedankt. Europa kann mehr“, bekräftigt Mayer abschließend.

www.pressebox.de/www.spectaris.de


Weitere Artikel

Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…
Datenschutz

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf…
Datenschutz

Datensouveränität umsetzen - das sind die Prioritäten

GAIA-X, die europäische Initiative zum Aufbau einer leistungsfähigen und sicheren Dateninfrastruktur, schläft nicht. Erst vor kurzem haben sich mit Commerzbank, Deutsche Bahn und Software AG drei Konzerne aus Deutschland dem Projekt angeschlossen. Die…
Serverraum

Welche Datensätze würden Sie schützen?

Unstrukturierte Daten, personenbezogene Informationen, sensible, gar kritische Daten: Sind bestimmte Datenkategorien schützenswerter als andere? Sind die von der Datenschutz-Grundverordnung stark ins Augenmerk gefassten Daten nicht der sprichwörtliche Baum,…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.