Das oberste Verwaltungsgericht (Conseil d´État) äußert sich im Verfahren des vorläufigen Rechtsschutzes sog. „Référé-Liberté“ zu einem mit der irischen Tochtergesellschaft von Microsoft abgeschlossenen Vertrag über das Hosting von Gesundheitsdaten in der EU

Verbände, Gewerkschaften und Einzelkläger in Frankreich haben im Verfahren „Référé-Liberté“[i] beantragt, die Datenverarbeitung von Gesundheitsdaten über die Plattform „Health Data Hub“ einzustellen.

Die Plattform Health Data Hub (Plateforme des données de santé) ist eine öffentliche Einrichtung, die im November 2019 gegründet wurde, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Zurzeit werden insbesondere Daten über die COVID-19-Epidemie über diese Plattform verarbeitet.

Im April 2020 schloss die Plattform einen Vertrag mit Microsoft Ireland Operation Limited, der irischen Tochtergesellschaft des amerikanischen Unternehmens Microsoft, über das Hosting der Daten und die Nutzung der für ihre Verarbeitung erforderlichen Software ab.

Die Kläger befürchten nun eine Übermittlung von personenbezogenen Daten in die USA, wo laut dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet ist.

Um eine solche Übermittlung von Gesundheitsdaten in die USA zu verhindern, leiteten die Kläger mit Antrag vom 28. September 2020 das Schnellverfahren Référé-liberté ein, Verfahren in dem die Kläger eine schwerwiegende Verletzung einer Grundfreiheit (hier das Recht auf Privatsphäre, das das Recht auf den Schutz personenbezogener Daten einschließt) nachweisen müssen.

Der Conseil d´Etat hat in seinem Beschluss (Ordonnance de référé) vom 13.10.2020 folgendes festgestellt und beschlossen (siehe hier am Ende unter „lire la décision en référé“):

Keine Datenübermittlung von gesundheitlichen Daten in die USA aufgrund des mit Microsoft Ireland Operation Limited abgeschlossenen Vertrages

Der Conseil d´Etat stellt fest, dass die Plattform und Microsoft Ireland Operation Limited vereinbart haben, keine Gesundheitsdaten in Länder außerhalb der EU zu übermitteln. Im Übrigen sei eine solche Übermittlung von Gesundheitsdaten aufgrund eines am 9. Oktober 2020 erlassener Ministerialerlass verboten.

Die Anträge seien daher unbegründet.

Ein Restrisiko ist zwar nicht ausgeschlossen…

Darüber hinaus stellt der Conseil d´Etat fest, dass nicht völlig ausgeschlossen werden kann, dass die Behörden der Vereinigten Staaten im Rahmen von Überwachungs- und Aufklärungsprogrammen Microsoft und seine irische Tochtergesellschaft um Zugang zu bestimmten Daten ersuchen.

… es begründet aber nicht die sofortige Einstellung der Datenverarbeitung von Gesundheitsdaten durch die Plattform

Dies begründet der Conseil d´Etat wie folgt:

  • In seinem Schrems II-Urteil vom 16.07.2020 habe sich der EuGH lediglich über die Bedingungen geäußert, unter denen personenbezogenen Daten in die USA übermittelt werden dürfen und nicht über die Bedingungen unter denen personenbezogene Daten innerhalb der EU durch Tochtergesellschaften von amerikanischen Gesellschaften verarbeitet werden dürfen.
  • Die Kläger berufen sich nicht auf einen aktuellen Verstoß gegen die DSGVO, sondern nur auf das Risiko eines solchen Verstoßes, falls Microsoft nicht in der Lage sein sollte, sich einem Antrag der US-Behörden auf Zugang zu bestimmten Daten zu widersetzen.
    Die Gesundheitsdaten würden darüber hinaus pseudonymisiert bevor sie von der Plattform gehostet würden und mittels den von Microsoft zur Verfügung gestellten Tools verschlüsselt.
  • Schließlich gebe es ein wichtiges öffentliches Interesse daran, eine solche Datenverarbeitung für die Zwecke der Forschung und Bekämpfung der Covid-19-Epidemie zu ermöglichen, außerdem stehe eine vergleichbare Alternative zurzeit nicht zur Verfügung.

Folglich wird keine schwerwiegende und offensichtlich rechtswidrige Verletzung einer Grundfreiheit durch eine juristische Person des öffentlichen Rechts, die eine sofortige Einstellung der Datenverarbeitung durch die Plattform Health Data Hub rechtfertigen würde, festgestellt.

Der Conseil d´Etat stellt im Übrigen fest, dass die zuständigen Behörden den Willen geäußert haben, dieses Restrisiko zu beseitigen, sei es z.B. durch die Wahl eines anderen Dienstleisters oder durch ergänzende Sicherheitsmaßnahmen.

Erwähnt wird hierzu eine durch die CNIL vorgeschlagene Lösung (sog. „accord de licence“): die US-Gesellschaft und die europäische Gesellschaft würden vereinbaren, dass die europäische Gesellschaft von den Dienstleistungen und der Expertise der US-Gesellschaft profitieren könnte, dass aber nur die europäische Gesellschaft Zugriff auf die verschlüsselten Daten hätte.
Diese Lösung wird zurzeit durch die CNIL und weitere Datenschutzbehörden als zusätzliche Maßnahmen im Sinne des EuGH Urteil-Schrems II geprüft.

Der Conseil d´Etat als Richter im Référé Liberté kann lediglich vorläufige Maßnahmen treffen und kann solche nur anordnen, wenn eine schwerwiegende Verletzung einer Grundfreiheit besteht.

Auch wenn die Anträge zurückgewiesen wurden, werden sich die CNIL und die für die Plattform zuständigen Behörden verstärkt mit den Rechtsfolgen des EuGH Urteils „Schrems II“ beschäftigen müssen.

 

[i]„Référé-Liberté“ gem. Art. L-521-2 Code de justice admnistrative sieht vor, dass der zuständige Richter alle Maßnahmen im Verfahren des vorläufigen Rechtsschutzes anordnen kann, die zur Wahrung einer Grundfreiheit notwendig ist, die eine juristische Person des öffentlichen Rechts oder eine juristische Person des Privatrechts, die mit der Ausübung eines öffentlichen Dienstes betraut ist, schwerwiegend und offenkundig rechtswidrig verletzt hätte. Siehe auch Art. L.511-1 CJA.