Conseil d’État: zusätzliche Schutzmassnahmen zur Gewährung des angemessenen Datenschutzniveaus nach Schrems II


Ihre Kontakte

Das oberste französische Verwaltungsgericht (Conseil d’État) äusserte sich im Nachgang zum Grundsatzurteil «Schrems II» des Europäischen Gerichtshofs (EuGH) erneut zur Nutzung von Cloud-Diensten von US-Anbietern. Verbände und Gewerkschaften der Gesundheitsbranche klagten gegen die Verarbeitung von personenbezogenen Daten über die Plattform «Doctolib». Diese Plattform bezweckt das Management von Impfterminen im Zusammenhang mit der COVID-19-Pandemie. Die Daten werden auf einer Cloud der AWS Sarl, Luxemburg gehostet. Die Kläger befürchteten eine Übermittlung von personenbezogenen Daten in die USA, wo gemäss dem EuGH-Urteil «Schrems II» vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der EU-Datenschutzgrundverordnung (DSGVO) gewährleistet ist. Der Conseil d’État wies die Klage unter anderem mit der Begründung ab, dass aufgrund der zusätzlich implementierten Massnahmen kein konkreter Verstoss gegen die DSGVO vorliege und dass Kundendaten im Regelbetrieb nicht in die USA übermittelt würden. Folglich reichten die Vorbringen der Kläger nicht aus, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot anzuordnen.

Klage gegen Impftermin-Plattform

Das Gesundheitsministerium Frankreichs ist mit verschiedenen Plattformen eine Partnerschaft eingegangen, welche das Management sowie die Onlineanmeldung von Impfterminen, im Zusammenhang mit der COVID-19-Pandemie, unterstützen sollten. Eine dieser Plattformen ist «Doctolib». Diese wiederum verwendete AWS Sarl, ein luxemburgisches Tochterunternehmen der amerikanischen Amazon Web Services Inc., als Hosting-Provider.

Verschiedenen Verbände und Gewerkschaften aus dem Gesundheitsbereich gelangtem mit einem Gesuch um ein einstweiliges Verbot der Zusammenarbeit des Gesundheitsministerium mit Doctolib an das oberste französische Verwaltungsgericht (Conseil d’État).

Die Kläger befürchteten eine Übermittlung von personenbezogenen- bzw. Gesundheitsdaten in die USA. Dort ist gemäss dem Grundsatzurteil „Schrems II“ (C‑311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet (vgl. dazu MLL-News vom 5.10.2020). Mit diesem Urteil wurde das EU-US Privacy Shield Abkommen aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der DSGVO geforderten gleichwertigen Schutzniveau führt.

Am 12. März 2021 hat der Conseil d’État in einem Verfahren bezüglich des möglichen Zugriffs von US-Behörden auf Daten eine Entscheidung gefällt. Hintergrund des Verfahrens ist die Anmeldung zu COVID-19 Impfungen in Frankreich, welche über das Internet möglich ist, wobei die Daten von Doctolib verarbeitet werden. Doctolib verwendet dazu die AWS Sarl, eine Tochtergesellschaft der Amazon Web-Services Inc., als Hostingdienstleister. Dagegen wendeten sich einige Organisationen, die darlegten, dass dies gegen die Grundsätze des Schrems II-Urteils verstosse, da es zu einem Datenzugriff durch US-Behörden kommen könnte bzw. eine Weiterleitung der Daten in die USA möglich sei.

Entscheidungsgrundlagen und Argumentation des Conseil d’État

In seiner Entscheidung vom 12. März 2021 (N° 450163) legte der Conseil d’État dar, dass die Verwendung von AWS als Hosting-Provider nicht unmittelbar dazu führen muss, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstösst. Der Conseil d’État weist sodann auch darauf hin, dass es sich bei den fraglichen Daten um personenbezogene Identifizierungsdaten und Daten im Zusammenhang mit Impfterminen, jedoch nicht um Gesundheitsdaten und damit besonders schützenswerte Daten handelt, z.B. bezüglich etwaigen medizinischen Gründen, welche zur Impfung berechtigen würden. Vielmehr sei davon auszugehen, dass die Impfung ohnehin Erwachsene jeden Alters ohne besonderen medizinischen Grund betreffe.

Unter Berücksichtigung dessen und vor dem Hintergrund, dass zusätzliche Massnahmen implementiert wurden, die aus Sicht des Conseil d’État das Datenschutzniveau der USA auf ein angemessenes Mass anheben, sei keine offensichtliche Verletzung der DSGVO ersichtlich. Es sei zwar noch immer ein Zugriff der US-Behörden auf die Daten gemäss Art. 702 des Foreign Intelligence Surveillance Act or Executive Order 12333 möglich; dies, weil es sich bei AWS um eine Tochtergesellschaft eines amerikanischen Konzerns handelt, welcher Internetdienste anbietet. Nach Ansicht des Conseil d’État hätten die Parteien in diesem Zusammenhang jedoch ausreichende zusätzliche Massnahmen getroffen, um ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Bei den getroffenen Massnahmen handelte es sich insbesondere um die Folgenden:

  • Rechtliche Massnahmen: Im Vertrag zwischen AWS und dem Gesundheitsministerium wurde vereinbart, dass AWS Zwangsanträge von Behörden bekämpfen werde, für den Fall, dass diese nicht im Einklang mit den EU-Vorschriften stehen.
  • Technische Massnahmen: Die Daten werden verschlüsselt abgelegt. Der Schlüssel wird bei einer dritten Partei mit Sitz in Frankreich treuhänderisch verwahrt. Dies führe dazu, dass AWS selbst, aber auch Dritte, keinen direkten Zugriff auf die gehosteten Klar- und Inhaltsdaten haben.
  • Weitere Massnahmen: Die Parteien haben eine Löschfrist von drei Monaten vereinbart, d.h. die Daten werden drei Monate nach dem Impftermin automatisch gelöscht. Die betroffenen Personen hätten überdies die Möglichkeit, die Daten selbst unmittelbar und jederzeit über die Plattform löschen zu lassen.

Conseil d’État weist die Klage ab

Der Conseil d’État stellte schliesslich fest, dass das Datenschutzniveau nicht als offensichtlich ungenügend zu qualifizieren ist, insbesondere unter Berücksichtigung der Natur der betroffenen Daten und der implementierten Massnahmen. Als Restrisiko sei zwar nicht ausgeschlossen, dass die amerikanischen Behörden im Rahmen von Überwachungs- und Aufklärungsprogrammen Amazon Web Services und ihre luxemburgische Tochtergesellschaft um Zugang zu bestimmten Daten ersuchen. Dies genüge allerdings nicht, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot der Partnerschaft zwischen der Plattform «Doctolib» und dem französischen Gesundheitsministerium anzuordnen. Die Anträge der Kläger seien daher unbegründet, weshalb der Conseil d’État die Klage abwies.

Was bedeutet das für die Praxis

Der Entscheid reiht sich in die Praxis des Conseil d’État ein (vgl. dazu Conseil d’État, Beschluss N° 450163 vom 12.3.2021 (französisch) und MLL-News vom 7.3.2021). Es wurde insbesondere erneut dargelegt, dass durch weitere Massnahmen ein genügendes Datenschutzniveau gewährleistet werden kann, auch wenn ein theoretisches Risiko eines Zugriffes durch US-Behörden besteht. Ferner geht aus der Entscheidung hervor, dass insbesondere das Versprechen, einen potenziellen Zwangsantrag zu bekämpfen und die Daten durch vertrauenswürdige Dritte zu verschlüsseln, als ausreichende Massnahmen zur Erreichung eines angemessenen Datenschutzniveaus erachtet werden könnten. Ausserdem wird verdeutlicht, dass auch die jeweils betroffenen Daten in die Abwägung einbezogen werden müssen.

Es ist dabei allerdings zu beachten, dass der Conseil d’État immer eine Einzelfallabwägung vornimmt. Ferner sind die Anforderungen für den Erlass eines Verbots in einem Verfahren um vorsorglichen Rechtsschutz höher als in einem gewöhnlichen Verfahren. Es braucht einen «offensichtlichen» Verstoss. Das Vorliegen dieser Anforderung hat der Conseil d»État vorliegend verneint. Ob er auch in einem gewöhnlichen Verfahren nach Vornahmen einer detaillierten und regelmässig komplexen Abwägung zum selben Schluss gelangen würde, bleibt dagegen offen.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.