L'objectif du RGPD est de garantir un marché unique du traitement des données personnelles dans toute l'UE. Étant donné que tous les États membres de l'UE / EEE ont désormais des niveaux de protection des données équivalents, peu importe dans quel État membre les données sont stockées ou traitées. Les États membres ne peuvent généralement pas limiter ce marché unique par des lois nationales.
En outre, un traitement sécurisé peut être possible en dehors de l'UE / EEE, comme indiqué au chapitre 5 du RGPD. Certains pays comme le Japon se sont vu affirmer un niveau adéquat de protection des données, de sorte qu'aucune mesure de sécurité particulière n'est nécessaire. Pour d'autres pays, un transfert de données personnelles peut être possible en vertu de ce que l'on appelle des clauses contractuelles types qui détaillent les responsabilités de l'exportateur / importateur de données.
Cependant, la récente décision Schrems II a invalidé le (partiel) décision d'adéquation pour les États-Unis et a fortement laissé entendre que les CSC ne fonctionnent que si les parties sont réellement en mesure d'honorer leurs responsabilités en vertu de la CSC (ce qui n'est pas le cas avec certaines lois de surveillance). La protection des données n'est probablement pas assurée pour le traitement aux États-Unis ou par des sociétés sous contrôle américain (même si le traitement a généralement lieu dans l'UE). Étant donné la sensibilité des données de santé, cela signifie que vous devriez probablement éviter d'utiliser les fournisseurs de cloud public typiques (quelle que soit la région de disponibilité). Selon l'endroit où votre entreprise est basée, vous pourriez également être disqualifié en tant que sous-traitant de données par les contrôleurs de données de l'UE.
Le RGPD n'a donc pas d'exigences de résidence des données qui limitent le traitement / le stockage en Allemagne, mais certaines exigences de résidence des données pour conserver les données dans l'UE. Cependant, il peut y avoir des obligations non-GDPR qui prescrivent la manière dont les données peuvent être traitées, mais je ne les connais pas (le paysage réglementaire allemand pour la télésanté est très inégal, diffère entre les États allemands, mais s'améliore également beaucoup. récemment).
Étant donné que vous traitez des données de santé, vous devez prêter une attention particulière à l'article 9 (3) du RGPD qui est étendu dans la loi allemande par le §22 BDSG pour répertorier un catalogue de mesures de sécurité possibles à prendre en compte, mais aucune d'entre elles ne l'est. liés à la résidence des données. §78 Le BDSG a de plus amples détails sur les transferts vers des pays non membres de l'UE, par exemple en soulignant que les droits de l'homme doivent être garantis dans le pays cible.