Das oberste Verwaltungsgericht Frankreichs (der Conseil d’État) hat sich bereits am am 13. Oktober 2020 – im Rahmen des vorläufigen Rechtsschutzes – zu einem Vertrag mit Microsoft über das Hosting von Gesundheitsdaten auf MS Azure für die Plattform “Health Data Hub” geäussert. Das Health Data Hub ist eine öffentliche Einrichtung für den Austausch von Gesundheitsdaten zu Forschungszwecken. Im April 2020 hatte die Plattform dafür einen Hosting-Vertrag mit Microsoft Irland geschlossen. Verbände, Gewerkschaften und einzelne Personen in Frankreich haben in der Folge beantragt, der Plattform “Health Data Hub” die Bearbeitung von Gesundheitsdaten zu untersagen, weil eine Übermittlung von Personendaten in die USA zu befürchten sei; gemäss dem Schrems-II-Urteil des EuGH fehle jedoch ein angemessenes Datenschutzniveau.
Der Conseil d’Etat wies die Klage ab (eine Maschinenübersetzung des Entscheids auf Deutsch findet sich hier als PDF). Massgebend waren dabei die folgenden Überlegungen:
- Als Serverstandort waren die Niederlande vereinbart worden.
- Der Vertrag zwischen Microsoft und der Plattform sah vor, dass Microsoft Kundendaten nicht ohne Zustimmung ausserhalb des Serverstandorts (“Geos”) bearbeiten darf, auch nicht für Wartung oder Support. Der Conseil d’Etat ging daher davon aus, dass Kundendaten im Regelbetrieb nicht in die USA gelangen.
- Mit Blick auf das nicht von der Hand zu weisende Restrisiko, dass Microsoft dennoch zur Herausgabe von Kundendaten an US-Behörden verpflichtet werden könnte, wies der Conseil d’Etat auf Folgendes hin: Ein Teil des Vertragswerks verpflichtete Microsoft offenbar dazu, die DSGVO einzuhalten, insbesondere Art. 28 DSGVO betr. Auftragsverarbeitung. Dabei behielt sich Microsoft aber vor, Daten dann herauszugeben, wenn dazu eine gesetzliche Verpflichtung besteht. Der Conseil d’Etat hielt hierzu fest, dabei könne es nur um das Recht der EU bzw. eines Mitgliedstaats gehen [so Art. 28 Abs. 3 lit. a DSGVO]. Zudem müsse Microsoft informieren, wenn auf Microsoft anwendbares Recht mit der DSGVO unvereinbar ist.
- Der Conseil d’Etat hält weiter fest, dass der EuGH im Schrems-II-Urteil nur die Frage der Datenübermittlung in die USA geprüft habe und nicht etwa die Voraussetzungen, unter denen Daten im Gebiet der EU bearbeitet werden können. Damit scheint die Schems-II-Rechtsprechung nach Auffassung des Conseil d’Etat auf Bearbeitungen nicht zur Anwendung zu kommen, bei denen die Daten at rest im Gebiet der EU gespeichert sind.
- Zudem deutet der Conseil d’Etat an, dass nicht die Speicherung bei Microsoft allenfalls gegen die DSGVO verstosse, sondern allenfalls eine hypothetische, zukünftige Offenlegung durch Microsoft.
- Schliesslich seien die Daten der Plattform vor der verschlüsselten Speicherung in Infrastruktur von Microsoft pseudonymisiert.
Vor diesem Hintergrund – aber auch angesichts des öffentlichen Interesses an der Plattform – sah der Conseil d’Etat keinen Grund, die sofortige Einstellung der Datenverarbeitung durch die Plattform anzuordnen. Er verlangt aber, dass die Plattform und Microsoft präzisieren, dass das Recht, auf dessen Grundlage Microsoft allenfalls Kundendaten herausgeben könne, nur das Recht der EU bzw. der Mitgliedstaaten sein kann.
Im Ergebnis ist der Entscheid des Conseil d’Etat hilfreich, lässt aber viele Fragen offen. Immerhin lässt sich der Entscheid als Hinweis darauf lesen, dass bei der Übermittlung von Personendaten ins Ausland nicht abstrakte Risiken aus dem lokalen Recht des Anbieters zu beurteilen sind, sondern die konkreten Risiken für die betroffene Person. Das entspricht nicht dem Ansatz des EDSA in seinem Entwurf der Stellungnahme zu Schrems-II-Massnahmen, der das Gewicht der Risikoprüfung mehr auf das lokale Recht des Empfängers als auf die sich daraus ggf. ergebenden Risiken für die von der konkreten Übermittlung betroffenen Personen legt.