Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seinem Urteil „Schrems II“ festgestellt, dass in den USA bei der Übermittlung von personenbezogenen Daten kein angemessenes Datenschutzniveau im Sinne der Datenschutzgrundverordnung (DSGVO) gewährleistet werden kann.
Anlass zu dieser Diskussion bat die derzeitige COVID-19-Epidemie. Über die Plattform „Health Data Hub“ werden Gesundheitsdaten zu Forschungszwecken ausgetauscht. Im April 2020 schloss die Plattform einen Vertrag mit Microsoft Ireland Operation Limited, der irischen Tochtergesellschaft des amerikanischen Unternehmens Microsoft. Der Vertrag erstreckt sich über das Hosting der Daten und die Nutzung der für ihre Verarbeitung erforderliche Software. Nach zahlreichen Diskussionen kam hier der EuGH zu dem Entschluss, dass die vorgegebenen Datenschutzstandards der DSGVO durch Microsoft nicht erfüllt werden.
Wenn Microsoft einen Vertrag über das Hosting der Daten abschließt, bedeutet das, dass Microsoft die eigenen Serverkapazitäten und Rechenleistung den Vertragspartnern zur Verfügung stellt, sodass diese ihre Daten dort speichern können. Ziel des Hostings ist, dass kleinere Unternehmen die Rechenleistungen und Serverkapazitäten von größeren Unternehmen nutzen können und selber nicht den finanziellen Aufwand einer großen Servereinheit leisten müssen. Auf der anderen Seite stellen große Unternehmen ihre bereits vorhandenen Kapazitäten gegen einen Entgelt zur Verfügung und können so den eigenen finanziellen Aufwand verringern.
Bereits einige Male hat sich der Conseil d’Etat, Frankreichs oberstes Verwaltungsgericht und Beratungsgremium der Regierung in Rechtsfragen, zur Anwendung von Schrems II geäußert. Nun startete die Corona-Impfkampagne in Frankreich und die Situation bietet erneut Gelegenheit zur Diskussion bezüglich dem Datentransfer zu Dienstleistern mit einer Verbindung zu US-Dienstleistern.
In Frankreich wird die Plattform „Doctolib“ von der Bevölkerung genutzt, um eine Übersicht der Impfzentren zu erhalten. Zudem kann über die Plattform auch direkt ein Impftermin für eine COVID-19-Impfung vereinbart werden.
Um alle Daten hosten zu können greift Doctolib auf die Dienste der AWS Sarl, ansässig in Luxemburg, zurück.
Die Einbeziehung von AWS Sarl durch Doctolib stellt laut zahlreichen Gewerkschaften und Berufsverbänden einen Datenschutzverstoß dar.
Da die AWS Sarl ein Tochterunternehmen der AWS in den USA ist, bestehe das Risiko einer Zugriffsanfrage basierend auf US-Recht, die sich auch auf Daten im Zugriffsbereich von AWS und ihren Tochtergesellschaften befinden, selbst wenn diese nicht in die USA übermittelt und gehostet würden.
Das Ziel der Gewerkschaften und Berufsverbänden ist es nun vor dem Conseil d’Etat ein Eilverfahren zu erwirken. Dies soll dazu führen, dass der Vertrag zwischen Doctolib und dem französischen (frz.) Gesundheitsministerium zeitweise ausgesetzt wird. Weiter weißen sie darauf hin, dass, laut der Entscheidung Schrems II, das Hosten von Gesundheitsdaten durch ein an US-Recht gebundenes Unternehmen nicht mit der DSGVO vereinbar sei. Entsprechend handele es sich um einen Verstoß gegen die Bestimmungen der DSGVO.
Das Gericht stellt in seiner Entscheidung fest, dass das Hosten der Daten zur Terminvergabe, jedoch nicht zur Speicherung von Gesundheitsdaten durch AWS Sarl als Tochterunternehmen von AWS in Rechenzentren in Frankreich erfolgt.
Die AWS Sarl mit Sitz in Luxemburg könne allerdings durchaus Gegenstand von Zugriffsanfragen durch US-Behörden im Rahmen von US-Überwachungsprogrammen auf der Grundlage von Artikel 702 des Foreign Intelligence Surveillance Act oder der Executive Order 12333 sein.
Prüfungsschwerpunkt sei daher, ob im Hinblick auf das Schrems II Urteil ein angemessenes Schutzniveau bei der Verarbeitung personenbezogener Daten vorliegt. Gegenstand der Prüfung waren die zwischen Doctolib und AWS Sarlgeschlossenen Verträge. Zusätzlich kam. Noch die technische Garantie unter Berücksichtigung der Art der betroffenen Daten.
Das französische Gericht kam entgegenstehen der Schrems II Entscheidung zu den Entschluss, dass das Datenschutzniveau beim Hosten der Daten angemessen sei. Dies begründete das Gericht wie folgt:
Doctolib und AWS Sarl hatte für den Fall eines Zugangsantrags einer ausländischen Behörde ein spezielles Verfahren vereinbart. Dieses sieht so zum Beispiel vor, dass AWS Sarl jeden allgemeinen Zugangsantrag einer Behörde anfechten würde.
Die von AWS Sarl gehosteten Daten sind verschlüsselt und der Schlüssel wird von einer in Frankreich ansässigen dritten Partei und nicht von AWS Sarl gehalten. Dritte könnten daher die Daten nicht lesen.
Zudem würde keine Gesundheitsdaten durch Doctolib erfasst, bzw. übermittelt und könnten daher auch nicht gehostet werden.
Zuletzt werden alle Daten nach drei Monaten gelöscht, sollte eine Person den Wunsch haben, dass dies eher geschieht, sei auch dies umgehend möglich.
Auch der Conseil d’Etat folgt der vom EuGH geforderten Voraussetzungen für ein angemessenes Datenschutzniveau. Dies ist insofern nur konsequent, weil der so genannte CLOUD Act US-Unternehmen dazu verpflichtet, Behörden einen Zugriff auf die Daten zu gewähren, wenn das Unternehmen tatsächlich die Möglichkeit innehält. Daher sei es nicht notwendig, dass die Daten tatsächlich in die USA übermittelt werden, es ist lediglich notwendig, dass der Hauptsitz des Dienstleisters in den USA ansässig ist und die Daten in dessen Zugriffsbereich liegen. In welchem Teil der Welt die Daten gespeichert werden ist daher völlig irrelevant. Die Entscheidung des französischen Gerichts zeigt jedoch, dass amerikanische Unternehmen dennoch als Dienstleister in Anspruch genommen werden können. So kommt es hauptsächlich auf die Verschlüsselung der Daten an, sodass es dem amerikanischen Dienstleister lediglich möglich ist verschlüsselte Daten auszuhändigen, für die das Unternehmen jedoch keinen Schlüssel besitzt.
Die Entscheidung des Counsil d’Etat ist nicht die erste in diesem Bereich und wird auch nicht die letzte sein. Das Datenschutzrecht befindet sich seit geraumer Zeit im Wandel und sowohl die Gerichte als auch Unternehmen selber müssen sich nach und nach mit den neuen Regelungen auseinandersetzen. Haben Sei Fragen zu geltenden Regelungen im Datenschutzrecht? Dann sind Sie bei SBS LEGAL – Kanzlei für Datenschutzrecht genau richtig.
Das Team von SBS LEGAL begleitet Unternehmen bei der Umsetzung der umfangreichen gesetzlichen Bestimmungen, die sich durch die DSGVO stellen. Unsere Tätigkeit soll alle Datenschutzrechtsverstöße und damit behördenrechtliche Verfahren ausschließen.
Wir beraten in sämtlichen datenschutzrechtlichen Belangen, die im Unternehmensalltag aufkommen. Unsere erfahrenen Tätigkeiten gehen über die allgemeine Prüfung und Umsetzung der datenschutzrechtlichen Pflichten und die Gestaltung rechtssicherer Verträge zur Auftragsdatenverarbeitung hinaus. Wir bieten auch datenschutzrechtliche Compliance, um die Vorgaben auch aus wirtschaftlicher Sicht abzuwägen.
Das Team von SBS LEGAL greift auf jahrelange Erfahrung bei dem Begründen und Halten von Datensicherheit zurück. Auch beraten wir täglich Unternehmen mit Geschäftssitz außerhalb der Europäischen Union, bei denen vor allem die rechtmäßige Übermittlung von personenbezogenen Daten in ein EU-Drittland sicherzustellen ist.
Wir stehen auch Ihnen gern als Partner in allen Belangen des Datenschutzes zur Seite. Sehen Sie sich entsprechenden rechtlichen Fragestellungen ausgesetzt, freuen wir uns jederzeit über Ihre Kontaktaufnahme.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?