Conseil d'État: zusätzliche Schutzmassnahmen zur Gewährung des angemessenen Datenschutzniveaus nach Schrems II

  
Das oberste französische Verwaltungsgericht (Conseil d’État) äusserte sich im Nachgang zum Grundsatzurteil „Schrems II“ des Europäischen Gerichtshofs (EuGH) erneut zur Nutzung von Cloud-Diensten von US-Anbietern. Verbände und Gewerkschaften der Gesundheitsbranche klagten gegen die Verarbeitung von personenbezogenen Daten über die Plattform „Doctolib“. Diese Plattform bezweckt das Management von Impfterminen im Zusammenhang mit der COVID-19-Pandemie. Die Daten werden auf einer Cloud der AWS Sarl, Luxemburg gehostet. Die Kläger befürchteten eine Übermittlung von personenbezogenen Daten in die USA, wo gemäss dem EuGH-Urteil „Schrems II“ vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der EU-Datenschutzgrundverordnung (DSGVO) gewährleistet ist. Der Conseil d’État wies die Klage unter anderem mit der Begründung ab, dass aufgrund der zusätzlich implementierten Massnahmen kein konkreter Verstoss gegen die DSGVO vorliege und dass Kundendaten im Regelbetrieb nicht in die USA übermittelt würden. Folglich reichten die Vorbringen der Kläger nicht aus, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot anzuordnen.
  

Klage gegen Impftermin-Plattform

Das Gesundheitsministerium Frankreichs ist mit verschiedenen Plattformen eine Partnerschaft eingegangen, welche das Management sowie die Onlineanmeldung von Impfterminen, im Zusammenhang mit der COVID-19-Pandemie, unterstützen sollten. Eine dieser Plattformen ist „Doctolib“. Diese wiederum verwendete AWS Sarl, ein luxemburgisches Tochterunternehmen der amerikanischen Amazon Web Services Inc., als Hosting-Provider.

Verschiedenen Verbände und Gewerkschaften aus dem Gesundheitsbereich gelangtem mit einem Gesuch um ein einstweiliges Verbot der Zusammenarbeit des Gesundheitsministerium mit Doctolib an das oberste französische Verwaltungsgericht (Conseil d’État).

Die Kläger befürchteten eine Übermittlung von personenbezogenen- bzw. Gesundheitsdaten in die USA. Dort ist gemäss dem Grundsatzurteil „Schrems II“ (C‑311/18) des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 kein angemessenes Datenschutzniveau im Sinne der DSGVO gewährleistet (vgl. dazu MLL-News vom 5.10.2020). Mit diesem Urteil wurde das EU-US Privacy Shield Abkommen aufgehoben, weil dessen Schutzmassnahmen nicht zu dem von der DSGVO geforderten gleichwertigen Schutzniveau führt.

Am 12. März 2021 hat der Conseil d’État in einem Verfahren bezüglich des möglichen Zugriffs von US-Behörden auf Daten eine Entscheidung gefällt. Hintergrund des Verfahrens ist die Anmeldung zu COVID-19 Impfungen in Frankreich, welche über das Internet möglich ist, wobei die Daten von Doctolib verarbeitet werden. Doctolib verwendet dazu die AWS Sarl, eine Tochtergesellschaft der Amazon Web-Services Inc., als Hostingdienstleister. Dagegen wendeten sich einige Organisationen, die darlegten, dass dies gegen die Grundsätze des Schrems II-Urteils verstosse, da es zu einem Datenzugriff durch US-Behörden kommen könnte bzw. eine Weiterleitung der Daten in die USA möglich sei.
  

Entscheidungsgrundlagen und Argumentation des Conseil d’État

In seiner Entscheidung vom 12. März 2021 (N° 450163) legte der Conseil d’État dar, dass die Verwendung von AWS als Hosting-Provider nicht unmittelbar dazu führen muss, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstösst. Der Conseil d’État weist sodann auch darauf hin, dass es sich bei den fraglichen Daten um personenbezogene Identifizierungsdaten und Daten im Zusammenhang mit Impfterminen, jedoch nicht um Gesundheitsdaten und damit besonders schützenswerte Daten handelt, z.B. bezüglich etwaigen medizinischen Gründen, welche zur Impfung berechtigen würden. Vielmehr sei davon auszugehen, dass die Impfung ohnehin Erwachsene jeden Alters ohne besonderen medizinischen Grund betreffe.

Unter Berücksichtigung dessen und vor dem Hintergrund, dass zusätzliche Massnahmen implementiert wurden, die aus Sicht des Conseil d’État das Datenschutzniveau der USA auf ein angemessenes Mass anheben, sei keine offensichtliche Verletzung der DSGVO ersichtlich. Es sei zwar noch immer ein Zugriff der US-Behörden auf die Daten gemäss Art. 702 des Foreign Intelligence Surveillance Act or Executive Order 12333 möglich; dies, weil es sich bei AWS um eine Tochtergesellschaft eines amerikanischen Konzerns handelt, welcher Internetdienste anbietet. Nach Ansicht des Conseil d’État hätten die Parteien in diesem Zusammenhang jedoch ausreichende zusätzliche Massnahmen getroffen, um ein angemessenes Schutzniveau für personenbezogene Daten sicherzustellen. Bei den getroffenen Massnahmen handelte es sich insbesondere um die Folgenden:

  • Rechtliche Massnahmen: Im Vertrag zwischen AWS und dem Gesundheitsministerium wurde vereinbart, dass AWS Zwangsanträge von Behörden bekämpfen werde, für den Fall, dass diese nicht im Einklang mit den EU-Vorschriften stehen.
      
  • Technische Massnahmen: Die Daten werden verschlüsselt abgelegt. Der Schlüssel wird bei einer dritten Partei mit Sitz in Frankreich treuhänderisch verwahrt. Dies führe dazu, dass AWS selbst, aber auch Dritte, keinen direkten Zugriff auf die gehosteten Klar- und Inhaltsdaten haben.
      
  • Weitere Massnahmen: Die Parteien haben eine Löschfrist von drei Monaten vereinbart, d.h. die Daten werden drei Monate nach dem Impftermin automatisch gelöscht. Die betroffenen Personen hätten überdies die Möglichkeit, die Daten selbst unmittelbar und jederzeit über die Plattform löschen zu lassen.
      

Conseil d’État weist die Klage ab  

Der Conseil d’État stellte schliesslich fest, dass das Datenschutzniveau nicht als offensichtlich ungenügend zu qualifizieren ist, insbesondere unter Berücksichtigung der Natur der betroffenen Daten und der implementierten Massnahmen. Als Restrisiko sei zwar nicht ausgeschlossen, dass die amerikanischen Behörden im Rahmen von Überwachungs- und Aufklärungsprogrammen Amazon Web Services und ihre luxemburgische Tochtergesellschaft um Zugang zu bestimmten Daten ersuchen. Dies genüge allerdings nicht, um in diesem Verfahren um vorläufigen Rechtsschutz ein Verbot der Partnerschaft zwischen der Plattform „Doctolib“ und dem französischen Gesundheitsministerium anzuordnen. Die Anträge der Kläger seien daher unbegründet, weshalb der Conseil d’État die Klage abwies.
  

Was bedeutet das für die Praxis

Der Entscheid reiht sich in die Praxis des Conseil d’État ein (vgl. dazu Conseil d’État, Beschluss N° 450163 vom 12.3.2021 (französisch) und MLL-News vom 7.3.2021). Es wurde insbesondere erneut dargelegt, dass durch weitere Massnahmen ein genügendes Datenschutzniveau gewährleistet werden kann, auch wenn ein theoretisches Risiko eines Zugriffes durch US-Behörden besteht. Ferner geht aus der Entscheidung hervor, dass insbesondere das Versprechen, einen potenziellen Zwangsantrag zu bekämpfen und die Daten durch vertrauenswürdige Dritte zu verschlüsseln, als ausreichende Massnahmen zur Erreichung eines angemessenen Datenschutzniveaus erachtet werden könnten. Ausserdem wird verdeutlicht, dass auch die jeweils betroffenen Daten in die Abwägung einbezogen werden müssen.

Es ist dabei allerdings zu beachten, dass der Conseil d’État immer eine Einzelfallabwägung vornimmt. Ferner sind die Anforderungen für den Erlass eines Verbots in einem Verfahren um vorsorglichen Rechtsschutz höher als in einem gewöhnlichen Verfahren. Es braucht einen „offensichtlichen“ Verstoss. Das Vorliegen dieser Anforderung hat der Conseil d“État vorliegend verneint. Ob er auch in einem gewöhnlichen Verfahren nach Vornahmen einer detaillierten und regelmässig komplexen Abwägung zum selben Schluss gelangen würde, bleibt dagegen offen.

 

Weitere Informationen: