Schrems II

Conseil d’État FR: Zulässigkeit von Gesundheitsdaten in der Cloud nach Schrems II?


Ihr Kontakt

  
Das oberste französische Verwaltungsgericht (Conseil d’État) äusserte sich im Nachgang zum Grundsatzurteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) erstmals zur Nutzung von Cloud-Diensten von US-Anbietern. Zahlreiche Verbände, Gewerkschaften und Einzelpersonen klagten gegen die Datenverarbeitung von Gesundheitsdaten über die Plattform «Health Data Hub». Diese Plattform bezweckt den Austausch von Gesundheitsdaten zu Forschungszwecken, insbesondere auch im Zusammenhang mit der COVID-19-Pandemie. Die Daten werden durch den Vertragspartner Microsoft Ireland Operation Limited auf dem Cloud-Computing-Dienst von Microsoft Azure in den Niederlanden gehostet. Die Kläger befürchteten eine Übermittlung von personenbezogenen Daten in die USA, wo gemäss dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der EU-Datenschutzgrundverordnung (DSGVO) gewährleistet ist. Der Conseil d’État wies die Klage unter anderem mit der Begründung ab, dass kein konkreter Verstoss gegen die DSGVO vorliege und dass Kundendaten im Regelbetrieb nicht in die USA übermittelt würden. Folglich reichten die Vorbringen der Kläger nicht aus, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot anzuordnen, vielmehr wurden die Beteiligten «nur» zum Abschluss eines Datenschutzzusatzes verpflichtet.  

Klage gegen die Plattform «Health Data Hub» auf Unterlassung

Die Plattform «Health Data Hub» ist eine öffentliche Einrichtung. Sie wurde im November 2019 gegründet, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Im April 2020 schloss Health Data Hub mit Microsoft Ireland Operation Limited, einer irischen Tochtergesellschaft des US-amerikanischen Microsoft-Konzerns, einen Hosting-Vertrag ab. Die Gesundheitsdaten des Health Data Hubs sollen auf der Cloud-Computing-Plattform von Microsoft Azure gespeichert werden. Vertraglich wurden die Niederlande als Serverstandort vereinbart.

Verschiedene Verbände, Gewerkschaften und Einzelkläger in Frankreich gelangten mit einem Gesuch um vorläufigen Rechtsschutz (sog. „Référé-Liberté“) an das oberste französische Verwaltungsgericht (Conseil d’État), um der Plattform «Health Data Hub» die Bearbeitung von Gesundheitsdaten zu untersagen. In diesem beschleunigten Verfahren müssen die Kläger eine schwerwiegende Verletzung einer Grundfreiheit nachweisen, vorliegend also das Recht auf Privatsphäre, welches das Recht auf den Schutz personenbezogener Daten mitumfasst. Der Conseil d ́État als urteilende Instanz im Référé-Liberté kann lediglich vorläufige Massnahmen treffen und zwar nur dann, wenn eine schwerwiegende Verletzung einer Grundfreiheit besteht.

Die Kläger befürchteten eine Übermittlung von personenbezogenen Daten in die USA. Dort ist gemäss dem Grundsatzurteil „Schrems II“ (C‑311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet (vgl. dazu MLL-News vom 5.10.2020). Mit diesem Urteil wurde das EU-US Privacy Shield Abkommen (nachfolgend «Privacy Shield») aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der DSGVO geforderten gleichwertigen Schutzniveau führt.  

Stellungnahme der französischen Datenschutzbehörde

Angesichts der Klagebegründung wurde die französische Datenschutzbehörde (CNIL) ersucht, eine für den Conseil d’État allerdings unverbindliche Stellungnahme abzugeben. Die CNIL überprüfte den Vertrag zwischen Microsoft und dem «Health Data Hub» und kam zum Schluss, dass die Sicherheitsvorkehrungen zum Schutz der Daten vor dem US-Überwachungsrecht nicht ausreichend waren und folglich das Hosting durch Microsoft in diesem Fall unrechtmässig war. Für die CNIL waren insbesondere folgende Gründe ausschlaggebend:

  • Als Folge des «Schrems II»-Urteils sei die Berufung von Microsoft auf die Standardvertragsklauseln für EU-US-Datentransfers besonders schwierig, da Microsoft dem US Foreign Intelligence Surveillance Act (FISA) und der Executive Order (EO) 12333 unterliege.
      
  • Gemäss den US-Überwachungsgesetzen könne Microsoft Datenzugriffsanfragen der US-Regierung unterliegen, die das Unternehmen zwingen würden, personenbezogene Daten aus der EU an die USA zu übermitteln. Diese Ersuche seien aus Sicht der DSGVO als unbefugte Offenlegungen gemäss Art. 48 DSGVO zu betrachten.  

Conseil d’État teilte die Auffassung der CNIL nicht

Der Conseil d’État teilte die Auffassung der CNIL nicht und argumentierte in seinem Beschluss (Ordonnance de référé N° 444937) vom 13. Oktober 2020 wie folgt:

  • Der EuGH habe sich in seinem «Schrems II»-Urteil nur mit der Frage auseinandergesetzt, unter welchen Bedingungen personenbezogene Daten in die USA übermittelt werden dürfen. Die Voraussetzungen, unter welchen personenbezogene Daten innerhalb der EU durch Tochtergesellschaften von amerikanischen Unternehmen verarbeitet werden dürfen, seien hingegen nicht Gegenstand des «Schrems II»-Urteils gewesen. Nach Auffassung des Conseil d’État soll deshalb die «Schrems II»-Rechtsprechung nicht auf Datenbearbeitungen angewendet werden, bei denen die Daten «at rest» im Gebiet der EU gespeichert sind.
      
  • Es sei durch die Kläger kein aktueller Verstoss gegen die DSGVO vorgebracht worden, sondern lediglich das Risiko eines solchen Verstosses, wenn Microsoft sich einem Antrag der US-Behörden auf Zugang zu bestimmten Daten nicht widersetzen könne.
      
  • Die Gesundheitsdaten würden pseudonymisiert und mittels eines von Microsoft bereitgestellten Tools verschlüsselt, bevor sie auf Microsoft Azure gehostet würden.
      
  • Da als Serverstandort die Niederlande vereinbart wurde und der Vertrag zwischen Microsoft und der Plattform vorsah, dass Microsoft Kundendaten nicht ohne Zustimmung ausserhalb des Serverstandorts bearbeiten dürfe (auch nicht für Support oder Wartung), sei nicht zu erwarten, dass im Regelbetrieb Kundendaten in die USA gelangen würden.
      
  • An der Datenverarbeitung bestehe ein wichtiges öffentliches Interesse für die Zwecke der Forschung und die Bekämpfung im Rahmen des Gesundheitswesens (aktuell z.B. der COVID-19-Pandemie). Es bestehe derzeit auch keine vergleichbare alternative Lösung. 

Conseil D’État weist die Klage ab

Der Conseil d’État stellte zum Schluss fest, dass keine Datenübermittlung von Gesundheitsdaten aufgrund des zwischen der Plattform und Microsoft Ireland Operation Limited vereinbarten Vertrages in die USA erfolge. Als Restrisiko sei zwar nicht ausgeschlossen, dass die amerikanischen Behörden im Rahmen von Überwachungs- und Aufklärungsprogrammen Microsoft und seine irische Tochtergesellschaft um Zugang zu bestimmten Daten ersuchen. Dies genüge allerdings nicht, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot der Datenverarbeitung durch die Plattform «Health Data Hub» anzuordnen. Die Anträge der Kläger seien daher unbegründet, weshalb der Conseil d’État die Klage abwies.  

Folgen des Entscheids und Ausblick

Die Parteien wurden im Entscheid des Conseil d’État aufgefordert, dem Gericht innerhalb von 15 Tagen die Kopie eines neuen Datenschutzzusatzes zwischen Microsoft und der Plattform «Health Data Hub» vorzulegen. Diese Zusatzvereinbarung müsse beinhalten, dass alle Microsoft-Dienste dem EU-Recht und den einschlägigen Gesetzen der Mitgliedstaaten unterliegen. Des Weiteren müsse darin bestätigt werden, dass keine von Microsoft erbrachten Dienste die Übermittlung personenbezogener Daten von der EU in die USA zur Folge haben werden.

Der französische Staatssekretär für Digitales kündigte im Vorfeld der Entscheidung des Conseil d’État bereits an, dass die französische Regierung den «Health Data Hub» auf eine französische oder andere europäische Cloud-Plattform übertragen wolle. Angesichts der geringen Anzahl von Anbieter, welche technisch und datenschutzrechtlich genügend Sicherheit bieten können, sei dies allerdings kein einfaches Unterfangen. Der französische Gesundheitsminister führte diesbezüglich aus, dass es kurzfristig aus technischer Sicht keine optimale Lösung gebe und ein Kompromiss gefunden werden müsse, idealerweise in den nächsten 12 bis 18 Monaten. Dieses Dilemma stellt sich aufgrund des «Schrems II»-Urteils einer Vielzahl von Unternehmen, wobei eine Lösung zurzeit noch ausstehend ist (vgl. dazu auch MLL-News vom 23.12.2020).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Meyerlustenberger Lachenal Froriep

MLL ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 04/21 mit Beiträgen zum Social Media Targeting, Bestpreisklauseln, E-Mail-Marketing u.v.m.!

Zugang MLL-News 04/21

Jetzt anmelden!

Events

Litigation Circle – verschoben auf Frühling 2022

Unser für den Freitag, 3. Dezember 2021 geplanter Event «Litigation Circle» wird auf den Frühling verschoben. Registrieren Sie sich via untenstehenden Link, sofern Sie eine Einaldung erhalten möchten.

Zeit: jeweils über Mittag, ein kleiner Business-Lunch wird offeriert
Thema: Mängelrügen im Kauf- und Werkvertragsrecht: Wie Sie den Spiessrutenlauf effektiv meistern.
Wo: MLL, Schiffbaustrasse 2, 8005 Zürich

Im Kauf- und Werkvertrag sind Mängel ärgerlich. Fatal ist, wenn man nicht richtig reagiert und die oft sehr kurz bemessenen Fristen verpasst. Wir zeigen auf, worauf zu achten ist und wie man sich richtig wehrt.

Was ist der Litigation Circle? Der Litigation Circle wurde geschaffen, um Unternehmern, Führungskräften und KMUs aufzuzeigen, wie man sich in gewissen Situationen verhalten soll und wann es sich lohnt, einen Anwalt beizuziehen. Am runden Tisch geben wir Ihnen anhand von praktischen Beispielen Tipps und Tricks im Zusammenhang mit Rechtsstreitigkeiten.

Mehr Information und Anmeldemöglichkeiten 

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen