Conseil d’État FR: Zulässigkeit von Gesundheitsdaten in der Cloud nach Schrems II?

Klage gegen die Plattform «Health Data Hub» auf Unterlassung

Die Plattform «Health Data Hub» ist eine öffentliche Einrichtung. Sie wurde im November 2019 gegründet, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Im April 2020 schloss Health Data Hub mit Microsoft Ireland Operation Limited, einer irischen Tochtergesellschaft des US-amerikanischen Microsoft-Konzerns, einen Hosting-Vertrag ab. Die Gesundheitsdaten des Health Data Hubs sollen auf der Cloud-Computing-Plattform von Microsoft Azure gespeichert werden. Vertraglich wurden die Niederlande als Serverstandort vereinbart.

Verschiedene Verbände, Gewerkschaften und Einzelkläger in Frankreich gelangten mit einem Gesuch um vorläufigen Rechtsschutz (sog. „Référé-Liberté“) an das oberste französische Verwaltungsgericht (Conseil d’État), um der Plattform «Health Data Hub» die Bearbeitung von Gesundheitsdaten zu untersagen. In diesem beschleunigten Verfahren müssen die Kläger eine schwerwiegende Verletzung einer Grundfreiheit nachweisen, vorliegend also das Recht auf Privatsphäre, welches das Recht auf den Schutz personenbezogener Daten mitumfasst. Der Conseil d ́État als urteilende Instanz im Référé-Liberté kann lediglich vorläufige Massnahmen treffen und zwar nur dann, wenn eine schwerwiegende Verletzung einer Grundfreiheit besteht.

Die Kläger befürchteten eine Übermittlung von personenbezogenen Daten in die USA. Dort ist gemäss dem Grundsatzurteil „Schrems II“ (C‑311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet (vgl. dazu MLL-News vom 5.10.2020). Mit diesem Urteil wurde das EU-US Privacy Shield Abkommen (nachfolgend «Privacy Shield») aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der DSGVO geforderten gleichwertigen Schutzniveau führt.

Stellungnahme der französischen Datenschutzbehörde

Angesichts der Klagebegründung wurde die französische Datenschutzbehörde (CNIL) ersucht, eine für den Conseil d’État allerdings unverbindliche Stellungnahme abzugeben. Die CNIL überprüfte den Vertrag zwischen Microsoft und dem «Health Data Hub» und kam zum Schluss, dass die Sicherheitsvorkehrungen zum Schutz der Daten vor dem US-Überwachungsrecht nicht ausreichend waren und folglich das Hosting durch Microsoft in diesem Fall unrechtmässig war. Für die CNIL waren insbesondere folgende Gründe ausschlaggebend:

• Als Folge des «Schrems II»-Urteils sei die Berufung von Microsoft auf die Standardvertragsklauseln für EU-US-Datentransfers besonders schwierig, da Microsoft dem US Foreign Intelligence Surveillance Act (FISA) und der Executive Order (EO) 12333 unterliege.
• Gemäss den US-Überwachungsgesetzen könne Microsoft Datenzugriffsanfragen der US-Regierung unterliegen, die das Unternehmen zwingen würden, personenbezogene Daten aus der EU an die USA zu übermitteln. Diese Ersuche seien aus Sicht der DSGVO als unbefugte Offenlegungen gemäss Art. 48 DSGVO zu betrachten.

Conseil d’État teilte die Auffassung der CNIL nicht

Der Conseil d’État teilte die Auffassung der CNIL nicht und argumentierte in seinem Beschluss (Ordonnance de référé N° 444937) vom 13. Oktober 2020 wie folgt:

• Der EuGH habe sich in seinem «Schrems II»-Urteil nur mit der Frage auseinandergesetzt, unter welchen Bedingungen personenbezogene Daten in die USA übermittelt werden dürfen. Die Voraussetzungen, unter welchen personenbezogene Daten innerhalb der EU durch Tochtergesellschaften von amerikanischen Unternehmen verarbeitet werden dürfen, seien hingegen nicht Gegenstand des «Schrems II»-Urteils gewesen. Nach Auffassung des Conseil d’État soll deshalb die «Schrems II»-Rechtsprechung nicht auf Datenbearbeitungen angewendet werden, bei denen die Daten «at rest» im Gebiet der EU gespeichert sind.
• Es sei durch die Kläger kein aktueller Verstoss gegen die DSGVO vorgebracht worden, sondern lediglich das Risiko eines solchen Verstosses, wenn Microsoft sich einem Antrag der US-Behörden auf Zugang zu bestimmten Daten nicht widersetzen könne.
• Die Gesundheitsdaten würden pseudonymisiert und mittels eines von Microsoft bereitgestellten Tools verschlüsselt, bevor sie auf Microsoft Azure gehostet würden.
• Da als Serverstandort die Niederlande vereinbart wurde und der Vertrag zwischen Microsoft und der Plattform vorsah, dass Microsoft Kundendaten nicht ohne Zustimmung ausserhalb des Serverstandorts bearbeiten dürfe (auch nicht für Support oder Wartung), sei nicht zu erwarten, dass im Regelbetrieb Kundendaten in die USA gelangen würden.
• An der Datenverarbeitung bestehe ein wichtiges öffentliches Interesse für die Zwecke der Forschung und die Bekämpfung im Rahmen des Gesundheitswesens (aktuell z.B. der COVID-19-Pandemie). Es bestehe derzeit auch keine vergleichbare alternative Lösung.

Conseil D’État weist die Klage ab

Der Conseil d’État stellte zum Schluss fest, dass keine Datenübermittlung von Gesundheitsdaten aufgrund des zwischen der Plattform und Microsoft Ireland Operation Limited vereinbarten Vertrages in die USA erfolge. Als Restrisiko sei zwar nicht ausgeschlossen, dass die amerikanischen Behörden im Rahmen von Überwachungs- und Aufklärungsprogrammen Microsoft und seine irische Tochtergesellschaft um Zugang zu bestimmten Daten ersuchen. Dies genüge allerdings nicht, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot der Datenverarbeitung durch die Plattform «Health Data Hub» anzuordnen. Die Anträge der Kläger seien daher unbegründet, weshalb der Conseil d’État die Klage abwies.

Folgen des Entscheids und Ausblick

Die Parteien wurden im Entscheid des Conseil d’État aufgefordert, dem Gericht innerhalb von 15 Tagen die Kopie eines neuen Datenschutzzusatzes zwischen Microsoft und der Plattform «Health Data Hub» vorzulegen. Diese Zusatzvereinbarung müsse beinhalten, dass alle Microsoft-Dienste dem EU-Recht und den einschlägigen Gesetzen der Mitgliedstaaten unterliegen. Des Weiteren müsse darin bestätigt werden, dass keine von Microsoft erbrachten Dienste die Übermittlung personenbezogener Daten von der EU in die USA zur Folge haben werden.

Der französische Staatssekretär für Digitales kündigte im Vorfeld der Entscheidung des Conseil d’État bereits an, dass die französische Regierung den «Health Data Hub» auf eine französische oder andere europäische Cloud-Plattform übertragen wolle. Angesichts der geringen Anzahl von Anbieter, welche technisch und datenschutzrechtlich genügend Sicherheit bieten können, sei dies allerdings kein einfaches Unterfangen. Der französische Gesundheitsminister führte diesbezüglich aus, dass es kurzfristig aus technischer Sicht keine optimale Lösung gebe und ein Kompromiss gefunden werden müsse, idealerweise in den nächsten 12 bis 18 Monaten. Dieses Dilemma stellt sich aufgrund des «Schrems II»-Urteils einer Vielzahl von Unternehmen, wobei eine Lösung zurzeit noch ausstehend ist (vgl. dazu auch MLL-News vom 23.12.2020).

Weitere Informationen:

• Conseit d’Etat, Beschluss Beschluss N° 444937 vom 13.10.2020 (französisch)
• MLL-News vom 5.10.2020: “EuGH: Privacy Shield ist ungültig, höhere Anforderungen an den Einsatz von Standardvertragsklauseln – Schrems II”
• Stellungnahme CNIL: The Council of State asks the Health Data Hub for additional guarantees to limit the risk of transfer to the United States
• Urteil des EuGH vom 16. Juli 2020 (C 311/18, Schrems II)