Obwohl mit dem “EU-US Data Privacy Framework” (DPF) eine Nachfolgeregelung für den Datentransfer in die USA geschaffen wurde, hat sich die Lage jüngst wieder verschärft. Die rechtliche Stabilität dieses Abkommens wird zunehmend infrage gestellt. Für Sie als Betreiber einer Praxis-Homepage bedeutet dies: Sich allein auf das DPF zu verlassen, ist riskant. Es besteht dringender Handlungsbedarf.
Was hat sich konkret verändert?
Die neueste Entwicklung ist nicht ein einzelnes neues Gesetz, sondern eine wachsende Welle der Unsicherheit aus zwei Richtungen:
- Politische Instabilität in den USA: Die Grundlage des DPF sind Zusicherungen der US-Regierung. Jüngste politische Entwicklungen und Ankündigungen aus den USA führen zu erheblichen Zweifeln, ob diese Zusicherungen Bestand haben werden. Datenschutzrechtler warnen, dass das Abkommen politisch geschwächt oder sogar aufgehoben werden könnte, was die Rechtsgrundlage für Datentransfers über Nacht beseitigen würde.
- Erste kritische Gerichtsentscheidungen: Auch in Deutschland wächst der juristische Druck. So hat das Oberlandesgericht Köln in einem Urteil bereits eine Datenübermittlung in die USA für unzulässig erklärt, obwohl das DPF in Kraft war. Dies zeigt, dass deutsche Gerichte sehr genau prüfen und die alleinige Zertifizierung eines US-Dienstleisters nach dem DPF nicht immer als ausreichenden Schutz ansehen. Eine neue Klagewelle gegen das DPF vor dem Europäischen Gerichtshof (Stichwort “Schrems III”) wird erwartet.
Für Ihre Praxis-Homepage bedeutet das: Jeder Dienst, der Daten Ihrer Patientinnen und Patienten oder Webseitenbesucher in die USA sendet (z.B. Google Analytics, Google Maps, US-Newsletter-Tools, Social-Media-Plugins), steht auf wackeligem rechtlichem Fundament.
Unsere verschärften Handlungsempfehlungen – Was Sie jetzt tun müssen: - Sofortige Risikoanalyse (falls noch nicht geschehen): Identifizieren Sie alle Dienste auf Ihrer Webseite, die Daten in die USA übertragen. Prüfen Sie, ob die Anbieter nach dem DPF zertifiziert sind. Aber verlassen Sie sich nicht allein darauf!
- Standardvertragsklauseln (SCCs) als Pflicht: Der alleinige Verweis auf das DPF reicht nicht mehr aus. Schließen Sie zwingend mit jedem US-Dienstleister die aktuellen Standardvertragsklauseln der EU ab. Diese sind Ihre wichtigste rechtliche “Rückfallposition”, sollte das DPF für ungültig erklärt werden.
- Einwilligungsbanner (Cookie-Banner) überprüfen: Ihr Banner muss die Nutzer explizit und unmissverständlich über den Datentransfer in die USA und die damit verbundenen Risiken (möglicher Zugriff durch US-Behörden) aufklären. Die Einwilligung muss aktiv (keine vorausgefüllten Haken) und für jeden Dienst einzeln erteilt werden können.
- Europäische Alternativen ernsthaft prüfen und umsetzen: Die sicherste Methode ist, den Datentransfer in die USA gänzlich zu vermeiden. Prüfen Sie europäische Alternativen für Analyse-Tools (z.B. Matomo), Karten-Dienste oder Newsletter-Anbieter. Ein Wechsel ist oft die nachhaltigste und rechtssicherste Lösung.
- Datenschutzerklärung anpassen: Informieren Sie transparent über die genutzten Dienste, die Datenübermittlung in die USA, die damit verbundenen Risiken und die Rechtsgrundlagen (sowohl DPF als auch SCCs).
Die aktuelle Lage ist unbeständig. Um teure Abmahnungen und Bußgelder durch Datenschutzbehörden zu vermeiden, ist jetzt proaktives Handeln gefordert. Bitte nehmen Sie diese Hinweise ernst und ziehen Sie bei Bedarf einen spezialisierten IT-Dienstleister oder Rechtsanwalt zurate.
Schützen Sie Ihre Praxis und die Daten Ihrer Patientenschaft!
Ihr MEDI Südwest Team