Wenn es nicht schon vor der Corona-Pandemie klar war, so sollte es inzwischen jedem bewusst geworden sein: Das wichtigste Gut ist die eigene Gesundheit. In Pandemie-Zeiten rückt diese von vielen für selbstverständlich gehaltene Tatsache wieder deutlich stärker ins Bewusstsein. Die Daten über die eigene Gesundheit haben einen hohen Stellenwert im Sektor des Datenschutzes. Gibt es noch sensiblere Daten, als die über die eigene körperliche Verfassung? „Nein, diese Daten sind in einer Art und Weise sensibel, dass ihr Schutz und ihre Sicherheit nicht hoch genug angesetzt werden können“, erklärt der erfahrene Datenschutzfachmann Dr. Jörn Voßbein aus Wuppertal. Ein Urteil des obersten Verwaltungsgerichtes Frankreichs, des Conseil dEtat, findet daher Voßbeins Zustimmung und bringt erstmals das EuGH-Urteil „Schrems II“ zur Anwendung. Eine genaue Betrachtung der Entscheidung ist lohnenswert und erfolgt im Weiteren.
Die Plattform „Health Data Hub“ (Plateforme des données de santé) ist eine öffentliche Einrichtung. Sie wurde im November 2019 gegründet und startete am 1. Dezember 2019, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Sie soll die medizinische Versorgung und das Gesundheitssystem insbesondere mithilfe Künstlicher Intelligenz voranbringen. Derzeit erlangt sie besondere Bedeutung durch Daten über die COVID-19-Epidemie, die über diese Plattform verarbeitet werden.
Im April 2020 schloss die Plattform mit Microsoft Ireland Operation Limited, der irischen Tochtergesellschaft des amerikanischen Unternehmens Microsoft, einen Vertrag über das Hosting der Daten und die Nutzung der für ihre Verarbeitung erforderlichen Software ab. Dieser Vertrag rief zahlreiche Kritiker auf den Plan: Gewerkschaften, Verbände und Einzelpersonen klagten gegen diesen Vertrag und forderten die sofortige Einstellung der Datenverarbeitung von Gesundheitsdaten über die Plattform.
Die Kläger wurden von der Sorge getrieben, dass eine Übermittlung von sensiblen Gesundheitsdaten und weiteren personenbezogenen Daten in die USA stattfindet. Also in genau das Land, das laut Europäischem Gerichtshof über kein angemessenes Datenschutzniveau verfügt. Im Urteil „Schrems II“ hatten die EuGH-Richter dies festgestellt (dies führte zum „Sturz“ des Privacy Shields und stellte zusätzliche Anforderungen an den Abschluss von Standardvertragsklauseln/SCC). Die Kläger sahen Gefahr im Verzug und reichten einen Antrag auf Schnellverfahren ein.
Wie urteilten die französischen Verwaltungsrichter? Die Anträge der Kläger wurden als unbegründet abgewiesen, weil im Vertrag zwischen der Plattform Health Data Hub und Microsoft Ireland Operation Limited ein Datentransfer in Länder außerhalb der EU also auch die USA ausgeschlossen wurde. Ein Restrisiko bestehe zwar bei US-Geheimdienstaktionen, aber drei Argumente waren für die Richter des Conseil dEtat zentral:
1) Das o. g. EuGH-Urteil habe Bedingungen für einen personenbezogenen Datentransfer in die USA definiert, aber nicht für eine Datenverarbeitung durch Tochterunternehmen von US-Unternehmen innerhalb der EU.
2) Die Kläger sehen ein Risiko für einen Datenmissbrauch, doch konnte insbesondere kein tatsächlicher Verstoß gegen die Datenschutzgrundverordnung (DSGVO) nachgewiesen werden. Auch werden die Gesundheitsdaten pseudonymisiert.
3) Es bestehe aufgrund der Corona-Pandemie ein öffentliches Interesse an einer Datenverarbeitung, um die Forschung intensivieren zu können.
Das Urteil fiel auch deswegen so aus, weil die Betreiber der Plattform sich bemühen wollen, das Restrisiko zu beseitigen, wie beispielsweise durch die Wechsel zu einem anderen Dienstleister oder durch ergänzende Sicherheitsmaßnahmen (Verschlüsselung o. ä).
„Dieses Urteil zeigt einmal mehr, wie aufmerksam mit personenbezogenen Daten und insbesondere Gesundheitsdaten umgegangen werden muss. Außerdem wird sichtbar, dass sich die Behörden innerhalb der EU verstärkt mit den Folgen des EuGH-Urteils auseinandersetzen müssen“, blickt UIMC-Geschäftsführer Dr. Jörn Voßbein voraus. „Wir sehen hierbei keine Auswirkungen z. B. auf den Einsatz von Office 365, weil hierbei nachweislich Daten in die USA übermittelt werden.“