Con­seil d’E­tat zur Über­mitt­lung von Per­so­nen­da­ten an Micro­soft in den Niederlanden

Das ober­ste Ver­wal­tungs­ge­richt Frank­reichs (der Con­seil d’É­tat) hat sich bereits am am 13. Okto­ber 2020 – im Rah­men des vor­läu­fi­gen Rechts­schut­zes – zu einem Ver­trag mit Micro­soft über das Hosting von Gesund­heits­da­ten auf MS Azu­re für die Platt­form “Health Data Hub” geäu­ssert. Das Health Data Hub ist eine öffent­li­che Ein­rich­tung für den Aus­tausch von Gesund­heits­da­ten zu For­schungs­zwecken. Im April 2020 hat­te die Platt­form dafür einen Hosting-Ver­trag mit Micro­soft Irland geschlos­sen. Ver­bän­de, Gewerk­schaf­ten und ein­zel­ne Per­so­nen in Frank­reich haben in der Fol­ge bean­tragt, der Platt­form “Health Data Hub” die Bear­bei­tung von Gesund­heits­da­ten zu unter­sa­gen, weil eine Über­mitt­lung von Per­so­nen­da­ten in die USA zu befürch­ten sei; gemäss dem Schrems-II-Urteil des EuGH feh­le jedoch ein ange­mes­se­nes Datenschutzniveau.

Der Con­seil d’E­tat wies die Kla­ge ab (eine Maschi­nen­über­set­zung des Ent­scheids auf Deutsch fin­det sich hier als PDF). Mass­ge­bend waren dabei die fol­gen­den Überlegungen:

  • Als Ser­ver­stand­ort waren die Nie­der­lan­de ver­ein­bart worden.
  • Der Ver­trag zwi­schen Micro­soft und der Platt­form sah vor, dass Micro­soft Kun­den­da­ten nicht ohne Zustim­mung ausser­halb des Ser­ver­stand­orts (“Geos”) bear­bei­ten darf, auch nicht für War­tung oder Sup­port. Der Con­seil d’E­tat ging daher davon aus, dass Kun­den­da­ten im Regel­be­trieb nicht in die USA gelangen.
  • Mit Blick auf das nicht von der Hand zu wei­sen­de Rest­ri­si­ko, dass Micro­soft den­noch zur Her­aus­ga­be von Kun­den­da­ten an US-Behör­den ver­pflich­tet wer­den könn­te, wies der Con­seil d’E­tat auf Fol­gen­des hin: Ein Teil des Ver­trags­werks ver­pflich­te­te Micro­soft offen­bar dazu, die DSGVO ein­zu­hal­ten, ins­be­son­de­re Art. 28 DSGVO betr. Auf­trags­ver­ar­bei­tung. Dabei behielt sich Micro­soft aber vor, Daten dann her­aus­zu­ge­ben, wenn dazu eine gesetz­li­che Ver­pflich­tung besteht. Der Con­seil d’E­tat hielt hier­zu fest, dabei kön­ne es nur um das Recht der EU bzw. eines Mit­glied­staats gehen [so Art. 28 Abs. 3 lit. a DSGVO]. Zudem müs­se Micro­soft infor­mie­ren, wenn auf Micro­soft anwend­ba­res Recht mit der DSGVO unver­ein­bar ist.
  • Der Con­seil d’E­tat hält wei­ter fest, dass der EuGH im Schrems-II-Urteil nur die Fra­ge der Daten­über­mitt­lung in die USA geprüft habe und nicht etwa die Vor­aus­set­zun­gen, unter denen Daten im Gebiet der EU bear­bei­tet wer­den kön­nen. Damit scheint die Schems-II-Recht­spre­chung nach Auf­fas­sung des Con­seil d’E­tat auf Bear­bei­tun­gen nicht zur Anwen­dung zu kom­men, bei denen die Daten at rest im Gebiet der EU gespei­chert sind.
  • Zudem deu­tet der Con­seil d’E­tat an, dass nicht die Spei­che­rung bei Micro­soft allen­falls gegen die DSGVO ver­sto­sse, son­dern allen­falls eine hypo­the­ti­sche, zukünf­ti­ge Offen­le­gung durch Microsoft.
  • Schliess­lich sei­en die Daten der Platt­form vor der ver­schlüs­sel­ten Spei­che­rung in Infra­struk­tur von Micro­soft pseud­ony­mi­siert.

Vor die­sem Hin­ter­grund – aber auch ange­sichts des öffent­li­chen Inter­es­ses an der Platt­form – sah der Con­seil d’E­tat kei­nen Grund, die sofor­ti­ge Ein­stel­lung der Daten­ver­ar­bei­tung durch die Platt­form anzu­ord­nen. Er ver­langt aber, dass die Platt­form und Micro­soft prä­zi­sie­ren, dass das Recht, auf des­sen Grund­la­ge Micro­soft allen­falls Kun­den­da­ten her­aus­ge­ben kön­ne, nur das Recht der EU bzw. der Mit­glied­staa­ten sein kann.

Im Ergeb­nis ist der Ent­scheid des Con­seil d’E­tat hilf­reich, lässt aber vie­le Fra­gen offen. Immer­hin lässt sich der Ent­scheid als Hin­weis dar­auf lesen, dass bei der Über­mitt­lung von Per­so­nen­da­ten ins Aus­land nicht abstrak­te Risi­ken aus dem loka­len Recht des Anbie­ters zu beur­tei­len sind, son­dern die kon­kre­ten Risi­ken für die betrof­fe­ne Per­son. Das ent­spricht nicht dem Ansatz des EDSA in sei­nem Ent­wurf der Stel­lung­nah­me zu Schrems-II-Mass­nah­men, der das Gewicht der Risi­ko­prü­fung mehr auf das loka­le Recht des Emp­fän­gers als auf die sich dar­aus ggf. erge­ben­den Risi­ken für die von der kon­kre­ten Über­mitt­lung betrof­fe­nen Per­so­nen legt.