Bereits in der Vergangenheit hat der Conseil d’Etat – Frankreichs oberstes Verwaltungsgericht und Beratungsgremium der Regierung in Rechtsfragen – sich zur Anwendung von Schrems II geäußert. Im Rahmen der Corona-Impfkampagne in Frankreich hat er wiederum die Gelegenheit erhalten, sich über einen Datentransfer zu Dienstleistern mit Verbindungen zu US-Dienstleistern zu äußern.

Terminvergabe für Impfungen mithilfe von Amazon Web Services

In Frankreich ist es möglich die Plattform „Doctolib“ zu nutzen, um eine Liste von Impfzentren zu finden und direkt online Termine für eine COVID19-Impfung zu vereinbaren. Doctolib wurde in Frankreich vom Gesundheitsministerium mit der Verwaltung von Online-Impfterminen betraut. Dazu greift Doctolib für das Hosten der Daten auf die AWS Sarl in Luxemburg, eine Tochtergesellschaft der Amazon Web Services in den USA, zurück.

Schrems II und AWS

Gewerkschaften und Berufsverbände waren der Ansicht, dass mit Einbeziehung der AWS Sarl durch Doctolib ein Datenschutzverstoß bestehe. Da die AWS Sarl ein Tochterunternehmen der AWS in den USA ist, bestehe das Risiko einer Zugriffsanfrage basierend auf US-Recht, die sich auch auf Daten im Zugriffsbereich von AWS und ihren Tochtergesellschaften befinden, selbst wenn diese nicht in die USA übermittelt und gehostet würden. Daher beantragten sie bei dem Conseil d’Etat in einem Eilverfahren eine Aussetzung des Vertrags zwischen Doctolib und dem Gesundheitsministerium.

Sie führten weiter aus, dass das Hosten von Gesundheitsdaten durch ein an US-Recht gebundenes Unternehmen nach „Schrems II“ mit der DSGVO unvereinbar sei und damit gegen Bestimmungen der DSGVO verstoße.

Das Gericht stellte fest, dass das Hosten der Daten zur Terminvergabe, aber nicht zur Speicherung von Gesundheitsdaten durch AWS Sarl als Tochterunternehmen von AWS in Rechenzentren in Frankreich erfolgt. Die AWS Sarl mit Sitz in Luxemburg könne allerdings durchaus Gegenstand von Zugriffsanfragen durch US-Behörden im Rahmen von US-Überwachungsprogrammen auf der Grundlage von Artikel 702 des Foreign Intelligence Surveillance Act oder der Executive Order 12333 sein.

Daher sei in Hinblick auf das Schrems II Urteil zu prüfen, ob ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten vorläge. Dies vorausgeschickt prüfte das Gericht die geschlossenen Verträge zwischen Doctolib und AWS Sarl. sowie die technischen Garantien unter Berücksichtigung der Art der betroffenen Daten.

Datenschutzkonform bei Verschlüsselung

Im Ergebnis kam das Gericht zu dem Schluss, dass das Schutzniveau beim Hosten der Daten angemessen sei und führte zur Begründung folgende Punkte an:

  • Für den Fall eines Zugangsantrags einer ausländischen Behörde hätten Doctolib und AWS Sarl ein spezielles Verfahren vereinbart, das u.a. vorsieht, dass AWS Sarl jeden allgemeinen Zugangsantrag einer Behörde anfechten werde.
  • Die von AWS Sarl gehosteten Daten sind verschlüsselt und der Schlüssel wird von einer in Frankreich ansässigen dritten Partei und nicht von AWS Sarl gehalten. Dritte könnten daher die Daten nicht lesen.
  • Es würden keine Gesundheitsdaten an Doctolib übermittelt und daher auch nicht von AWS Sarl gehostet.
  • Die Daten würden nach drei Monaten gelöscht. Die Daten könnten auch früher gelöscht werden, wenn von der betroffenen Person gewünscht.

Fazit

Der Conseil d’Etat sieht es nicht als Voraussetzung an, dass die Daten tatsächlich in die USA übermittelt werden müssen. Für ihn genügt es, dass sich der Hauptsitz des Dienstleisters in den USA befindet und die Daten in dessen Zugriffsbereich liegen, egal wo auf der Welt. Daher müssen nach dem Conseil d’Etat die vom EuGH geforderten Voraussetzungen für ein angemessenes Datenschutzniveau im Schrems II Urteil erfüllt werden. Dies ist nur konsequent, da der CLOUD Act die US-Unternehmen verpflichtet, Behörden Zugriff auf die Daten zu gewährleisten, selbst wenn die Daten nicht in den USA gespeichert werden. Zugriff bedeutet, dass der Dienstleister Daten herausgeben muss, wenn er tatsächlich die Möglichkeit hat. Ähnliches gilt für den Foreign Intelligence Surveillance Act (FISA), wonach gemäß Abschnitt 702 Diensteanbieter „zur unverzüglichen Bereitstellung aller erforderlichen Informationen, Anlagen oder Hilfen an die Regierung für den Erwerb“ ausländischer Geheimdienstinformationen angehalten sind.

Dass US-Dienstleister trotzdem genutzt werden können, zeigt diese Entscheidung. Kernelement einer datenschutzrechtlich zulässigen Nutzung ist die Verschlüsselung der Daten, so dass der US-Dienstleister allenfalls verschlüsselte Daten herausgeben kann, ohne selbst den Schlüssel zu besitzen.