Conseil d’Etat hilft bei internationalen Datentransfers
Die Schrems-II Entscheidung des EuGH, aus der neue Einschränkungen internationaler Datentransfers folgen, beschäftigt immer wieder die Gerichte der EU-Länder. Eine interessante Entscheidung veröffentlichte der französische Conseil d’Etat im Oktober 2020 (Conseil d’Etat Nr. 444937), sowie eine aktuelle Entscheidung im März 2021 (Conseil d’Etat Nr. 450163). Beide Entscheidungen haben zugleich Bezug zur COVID-19-Krise.
Das Gericht hatte in beiden Fällen darüber zu entscheiden, welche Auswirkungen das Schrems-II Urteil auf die Inanspruchnahme von Hosting-Plattformen hat, die zwar eine Niederlassung in der EU haben, aber als US-Plattform dem Zugriff der US-Geheimdienste unterliegen. Das Gericht entschied, dass auch nach dem Schrems-II Urteil die Inanspruchnahme von Hosting-Plattformen mit Sitz in der EU nicht gegen die DSGVO verstoße.
Dieser Eintrag soll zunächst einen Überblick über die Entscheidung des Conseil d’Etat vom Oktober 2020 verschaffen und die rechtlichen Konsequenzen auch für deutsche Unternehmen aufzeigen. In einem weiteren Teil werden wir auch kurz über die Entscheidung vom März berichten, der ein ähnlicher Sachverhalt zu Grunde liegt.
Hintergrund der Entscheidung:
Die französische Regierung hat im November 2019 eine Plattform namens „Health Data Hub“ ins Leben gerufen. Die Plattform ist eine öffentliche Einrichtung zur Erleichterung des Austauschs von Gesundheitsdaten zu Forschungszwecken. Besonders während der Covid-19-Pandemie hat die Plattform an Bedeutung gewonnen. Am 15.4.2020 schloss „Health Data HUB“ mit Microsoft Ireland Operation Limited einen Auftragsverarbeitungsvertrag ab. Gegenstand des Vertrags sind das Hosting der Gesundheitsdaten und die Nutzung der für die Verarbeitung erforderlichen Software.
Unterschiedliche Verbände, Gewerkschaften und Einzelkläger haben daraufhin in einem „Référé-Liberté“ (vorläufiger Rechtsschutz) beim Conseil d’Etat beantragt, die Datenverarbeitung über die Plattform sofort einzustellen. Es bestehe das Risiko, dass das Recht auf Privatsphäre angesichts einer möglichen Übertragung der Daten in die USA, verletzt werden könnte. Gestützt wurde der Antrag unter anderem auf das Schrems II-Urteil des EuGH.
Die CNIL (französische Datenschutzbehörde) wurde zu dieser Sache angehört und empfahl, das Hosting so schnell wie möglich einzustellen und auf einen europäischen Host zurückzugreifen.
Entscheidung des Gerichts:
Am 13.10.2020 hat der Conseil d’Etat einen Beschluss erlassen, in dem es feststellte, dass die Anträge unbegründet sind. Die Abweisung der Anträge kann Unternehmen gute Argumente liefern, um die Nutzung von amerikanischen Hosting-Plattformen wie Microsoft weiterhin zu begründen.
In dem entschiedenen Fall bestand ein vertraglicher Ausschluss einer Datenübermittlung in die USA. Durch einen am 09.10.2020 erlassenen Ministerialerlass wurde ausdrücklich jede Übertragung von personenbezogenen Daten im Rahmen dieses Vertrages ausgeschlossen. Das Gericht sah somit aufgrund der Datenverarbeitung, welche lediglich innerhalb der EU stattfindet, keinen offensichtlichen Rechtsverstoß. Es bestehe zwar das Restrisiko, dass U.S.-Behörden versuchen könnten, auf die Daten zuzugreifen – dieses Restrisiko rechtfertige aber nicht die sofortige Einstellung der Datenverarbeitung.
Dazu sind folgende Wertungen des Gerichts relevant:
- Es wurde vertraglich vereinbart, dass das Hosting der Daten in den Niederlanden stattfindet, in naher Zukunft sogar in Frankreich selbst. Der EuGH hat sich in seiner Schrems-II Entscheidung lediglich über die Bedingungen geäußert, unter denen personenbezogenen Daten in die USA übermittelt werden dürfen und nicht über die Bedingungen unter denen personenbezogene Daten innerhalb der EU durch Tochtergesellschaften von amerikanischen Gesellschaften verarbeitet werden dürfen. Es liege somit keine vergleichbare Situation vor.
- Es erfolgt eine Pseudonymisierung der Gesundheitsdaten, bevor sie von der Plattform gehostet werden. Damit verringere sich das Risiko einer möglichen DSGVO-Verletzung.
- Die bloße Speicherung personenbezogener Daten bei Microsoft selbst stelle keinen Verstoß gegen die DSGVO dar, sondern allenfalls die Möglichkeit eines späteren hypothetischen Verstoßes bei einem Auskunftsersuchen durch US-Behörden. Ein hypothetischer Verstoß sei keine Rechtfertigung für die sofortige Einstellung der Verarbeitung.
- Es bestehe ein besonderes öffentliches Interesse aufgrund der Covid-19 Pandemie, welches die Nutzung der Plattform rechtfertigt.
- Der „Health Data Hub“ soll aber, um das bestehende Restrisiko zu minimieren, unter der Aufsicht der CNIL mit Microsoft zusammenarbeiten, bis eine rechtssichere Lösung gefunden wird. Die CNIL soll zusammen mit der Plattform „Health Data Hub“ und Microsoft versuchen, technische Lösungen zu finden, die einen Zugriff durch die US-Behörden unmöglich machen. Außerdem soll die CNIL überprüfen, ob die Maßnahmen, welche zum Hosting der Daten ergriffen werden, notwendig zur Zweckerfüllung der Plattform sind.
Conseil d´Etat zu Doctolib
In einem ähnlich gelagerten Sachverhalt, betreffend die Plattform Doctolib, musste der Conseil d´Etat ebenfalls in einem einstweiligen Rechtsschutzverfahren entscheiden. Doctolib, ein Pariser Medizin-Start-Up, ist mittlerweile eine große Medizin-Plattform in Europa. Im Rahmen der Impfkampagne in Frankreich gegen Covid-19 hat das „Ministerium für Solidarität und Gesundheit“ verschiedene Unternehmen mit der Verwaltung der Impftermine im Internet beauftragt, darunter auch Doctolib. Diese Entscheidung ist besonders im Hinblick auf die deutsche Impfstrategie interessant, da auch in Deutschland die Behörden mit Doctolib zusammenarbeiten.
Die Plattform hostet die Daten über AWS Sarl, ein Tochterunternehmen von Amazon Web, mit Rechenzentren in Frankreich und Deutschland. Auch in diesem Fall beantragten unterschiedliche Verbände, die Verwendung von Docotolib für die Terminvergabe sofort auszusetzen. Die Antragsteller befürchteten, durch die Verwendung einer amerikanischen Tochtergesellschaft als Hostingplattform könne ein Zugriff amerikanischer Behörden auf die Daten nicht ausgeschlossen werden.
Das Gericht hielt an seiner Entscheidung zum Fall „Health Data Hub“ fest und sah auch in diesem Fall keine Rechtfertigung, das Hosting der Daten über AWS zu unterbinden. Dabei wurden grundsätzlich die gleichen Argumente wie bei der Entscheidung zum Data Health Hub angeführt.
In diesem Fall stellte der Conseil d’Etat aber noch zusätzlich fest, dass die übermittelten Daten keine Gesundheitsdaten seien, da sie keine medizinische Begründung für die Berechtigung zur Impfung enthielten.
Was nun?
Zwar hat das Gericht in beiden Fällen entschieden, dass die Verarbeitung personenbezogener Daten in der EU durch einen US-Anbieter keine schwerwiegende Rechtsverletzung darstelle, das Risiko einer Verletzung wurde jedoch auch vom Gericht erkannt. Somit wurde die grundlegende Frage, ob die Zusammenarbeit mit US-Plattformen DSGVO-konform ist, nicht geklärt.
Die CNIL hat in ihren Empfehlungen festgehalten, dass nur eine Umstellung auf europäische Plattformen eine DSGVO-konforme Verarbeitung ermöglichen kann. Bisher gibt es jedoch eine solche Plattform nicht.
Die CNIL hat als möglichen Lösungsvorschlag eine Vereinbarung der US-Gesellschaften mit den europäischen Gesellschaften vorgestellt. Diese Vereinbarung soll festhalten, dass die europäischen Gesellschaften von den Dienstleistungen und Expertisen der US-Gesellschaften profitieren können und dass nur die europäischen Gesellschaften Zugriff auf die verschlüsselten Daten haben. Es erscheint unwahrscheinlich, dass die US-Gesellschaften solche Vereinbarungen abschließen würden, auch erscheint es fraglich, ob solche Vereinbarungen wirklich einen ausreichenden Schutz vor dem Zugriff der US-Behörden bieten würden.
Als Ergebnis kann also festgehalten werden, dass der Conseil d’Etat – überzeugend – entschied, dass die Nutzung eines US-Anbieters mit Datenspeicherung in der EU nicht per se eine Datenübermittlung in die USA auslöst. Das bietet derzeit gewisse Erleichterungen für Unternehmen, die allerdings unter dem Vorbehalt der weiteren Entwicklungen stehen. Die Nutzung von EU-Servern und eine vertragliche Untersagung eines Zugriffs aus einem Drittstaat auf diese Daten können also einen wichtigen Bestandteil für die Absicherung von Unternehmen bilden.
Ihr Ansprechpartner für weitere Fragen: Dr. Matthias Lachenmann