Conseil d´ Etat, Urteil vom 12.3.2021 – 450163: Keine Aussetzung der Partnerschaft zwischen dem französischen Gesundheitsministerium und Doctolib für das Management von Impfterminen gegen Covid-19

26. März 2021

Datenschutz und IT-Recht

Verbände und Berufsvereinigungen beantragten beim Richter des Conseil d´ Etat (deutsch: Staatsrat; Oberste Französische Verwaltungsgericht) die Aussetzung der Partnerschaft zwischen dem Ministerium für Gesundheit und Solidarität und dem amerikanischen Unternehmen Doctolib.

Die Verbände waren der Meinung, dass das Hosting von Daten zu Impfterminen durch die Tochtergesellschaft eines amerikanischen Unternehmens Risiken im Hinblick auf Zugriffsanfragen der amerikanischen Behörden mit sich brachte.

Im Einzelnen beantragten sie (u.a.):

1) die Aussetzung der Partnerschaft mit dem Unternehmen Doctolib anzuordnen, die auf dem Hosting von Gesundheitsdaten bei einem amerikanischen Unternehmen beruht und somit nicht mit der Datenschutz-Grundverordnung (DS-GVO) vereinbar ist;

(2) das Ministerium für Gesundheit und Solidarität anzuweisen, andere Lösungen für die Verwaltung der Impfkampagne gegen Covid-19 zu verwenden, die die Anforderungen des Rechts auf Datenschutz respektieren;

[…]

(4) alle notwendigen Maßnahmen anzuordnen, um sicherzustellen, dass es keine schwerwiegende und offensichtliche rechtliche Verletzung des Rechts auf Privatsphäre und den Schutz personenbezogener Daten im Zusammenhang mit der Wahl der Partnerschaft für die Verwaltung der Unternehmen in der Kampagne gegen Covid-19 gibt;

Diese Anfechtung folgt auf das „Schrems II“-Urteil des Gerichtshofs der Europäischen Union (EuGH), in dem entschieden wurde, dass der Schutz der durch das „Privacy Shield“ in die USA übermittelten Daten nach europäischem Recht unzureichend ist.

Der Richter lehnte den Antrag im einstweiligen Rechtsschutz ab. Zur Begründung führte er aus, dass zu den rechtmäßigen Daten nur die individuellen Identifikations- und Termindaten, nicht aber identifizierende Daten über mögliche medizinische Gründe für die Impfberechtigung gehören.

Diese Daten werden drei Monate nach dem Termin gelöscht. Jede betroffene Person hat ein Konto auf der Plattform für Impfbedarf angelegt und kann dieses direkt online löschen. Die Firma Doctolib und Amazon (AWS) haben einen Zusatz zur Datenverarbeitung abgeschlossen, der ein spezielles Verfahren für den Fall festlegt, dass eine Behörde Zugang zu den im Namen von Doctolib verwendeten Daten verlangt, einschließlich der Bestätigung von Anfragen, die nicht mit den europäischen Vorschriften übereinstimmen. Die Firma Doctolib hat außerdem ein System zur Sicherung der bei Amazon gespeicherten Daten durch ein Verschlüsselungsverfahren auf Basis eines vertrauenswürdigen Dritten mit Sitz in Frankreich eingerichtet, um das Mitlesen von Daten durch Dritte zu verhindern.

 

Unter diesen Voraussetzungen war der für den vorläufigen Rechtsschutz zuständige Richter des Conseil d’État der Ansicht, dass das Schutzniveau der betreffenden Daten, angesichts des von den klagenden Verbänden und Gewerkschaften geltend gemachten Risikos und angesichts der Art der fraglichen Daten, nicht offensichtlich unzureichend. Er lehnte daher den Antrag der antragstellenden Verbände und Gewerkschaften ab.

Das Urteil zeigt, dass die Verwendung amerikanischer Dienstleister – oder deren europäische Tochterfirmen – auch nach Schrems II und dem Aus des EU-US-Privacy-Shield-Abkommens nicht ohne weitere Prüfung als unzulässig anzusehen ist. Die Thematik bleibt somit weiterhin unter besonderem Augenmerk und allen Verantwortlichen ist angeraten, Ihre Auslandsdatenverarbeitung zu kontrollieren. Sofern Sie Unterstützung benötigen, kommen Sie gerne auf uns zu.