Verbände und Berufs­ver­ei­ni­gungen bean­tragten beim Richter des Conseil d´ Etat (deutsch: Staatsrat; Oberste Fran­zö­sische Verwal­tungs­ge­richt) die Aussetzung der Part­ner­schaft zwischen dem Minis­terium für Gesundheit und Soli­da­rität und dem ameri­ka­ni­schen Unter­nehmen Doctolib.

Die Verbände waren der Meinung, dass das Hosting von Daten zu Impf­ter­minen durch die Toch­ter­ge­sell­schaft eines ameri­ka­ni­schen Unter­nehmens Risiken im Hinblick auf Zugriffs­an­fragen der ameri­ka­ni­schen Behörden mit sich brachte.

Im Einzelnen bean­tragten sie (u.a.):

1) die Aussetzung der Part­ner­schaft mit dem Unter­nehmen Doctolib anzu­ordnen, die auf dem Hosting von Gesund­heits­daten bei einem ameri­ka­ni­schen Unter­nehmen beruht und somit nicht mit der Datenschutz-​​Grundverordnung (DS-​​GVO) vereinbar ist;

(2) das Minis­terium für Gesundheit und Soli­da­rität anzu­weisen, andere Lösungen für die Verwaltung der Impf­kam­pagne gegen Covid-​​19 zu verwenden, die die Anfor­de­rungen des Rechts auf Daten­schutz respek­tieren;

[…]

(4) alle notwen­digen Maßnahmen anzu­ordnen, um sicher­zu­stellen, dass es keine schwer­wie­gende und offen­sicht­liche recht­liche Verletzung des Rechts auf Privat­sphäre und den Schutz perso­nen­be­zo­gener Daten im Zusam­menhang mit der Wahl der Part­ner­schaft für die Verwaltung der Unter­nehmen in der Kampagne gegen Covid-​​19 gibt;

Diese Anfechtung folgt auf das „Schrems II“-Urteil des Gerichtshofs der Euro­päi­schen Union (EuGH), in dem entschieden wurde, dass der Schutz der durch das „Privacy Shield“ in die USA über­mit­telten Daten nach euro­päi­schem Recht unzu­rei­chend ist.

Der Richter lehnte den Antrag im einst­wei­ligen Rechts­schutz ab. Zur Begründung führte er aus, dass zu den recht­mä­ßigen Daten nur die indi­vi­du­ellen Iden­ti­fi­ka­tions– und Termin­daten, nicht aber iden­ti­fi­zie­rende Daten über mögliche medi­zi­nische Gründe für die Impf­be­rech­tigung gehören.

Diese Daten werden drei Monate nach dem Termin gelöscht. Jede betroffene Person hat ein Konto auf der Plattform für Impf­bedarf angelegt und kann dieses direkt online löschen. Die Firma Doctolib und Amazon (AWS) haben einen Zusatz zur Daten­ver­ar­beitung abge­schlossen, der ein spezi­elles Verfahren für den Fall festlegt, dass eine Behörde Zugang zu den im Namen von Doctolib verwen­deten Daten verlangt, einschließlich der Bestä­tigung von Anfragen, die nicht mit den euro­päi­schen Vorschriften über­ein­stimmen. Die Firma Doctolib hat außerdem ein System zur Sicherung der bei Amazon gespei­cherten Daten durch ein Verschlüs­se­lungs­ver­fahren auf Basis eines vertrau­ens­wür­digen Dritten mit Sitz in Frank­reich einge­richtet, um das Mitlesen von Daten durch Dritte zu verhindern.

 

Unter diesen Voraus­set­zungen war der für den vorläu­figen Rechts­schutz zuständige Richter des Conseil d’État der Ansicht, dass das Schutz­niveau der betref­fenden Daten, ange­sichts des von den klagenden Verbänden und Gewerk­schaften geltend gemachten Risikos und ange­sichts der Art der frag­lichen Daten, nicht offen­sichtlich unzu­rei­chend. Er lehnte daher den Antrag der antrag­stel­lenden Verbände und Gewerk­schaften ab.

Das Urteil zeigt, dass die Verwendung ameri­ka­ni­scher Dienst­leister – oder deren euro­päische Toch­ter­firmen – auch nach Schrems II und dem Aus des EU-​​US-​​Privacy-​​Shield-​​Abkommens nicht ohne weitere Prüfung als unzu­lässig anzusehen ist. Die Thematik bleibt somit weiterhin unter beson­derem Augenmerk und allen Verant­wort­lichen ist angeraten, Ihre Auslands­da­ten­ver­ar­beitung zu kontrol­lieren. Sofern Sie Unter­stützung benötigen, kommen Sie gerne auf uns zu.