Die Plattform „Health Data Hub“ (Plateforme des données de santé) ist eine öffentliche Einrichtung. Sie wurde im November 2019 gegründet und startete am 1. Dezember 2019, um den Austausch von Gesundheitsdaten zu Forschungszwecken zu erleichtern. Sie soll die medizinische Versorgung und das Gesundheitssystem insbesondere mithilfe Künstlicher Intelligenz voranbringen. Derzeit erlangt sie besondere Bedeutung durch Daten über die COVID-19-Epidemie, die über diese Plattform verarbeitet werden.
Im April 2020 schloss die Plattform mit Microsoft Ireland Operation Limited, der irischen Tochtergesellschaft des amerikanischen Unternehmens Microsoft, einen Vertrag über das Hosting der Daten und die Nutzung der für ihre Verarbeitung erforderlichen Software ab. Dieser Vertrag rief zahlreiche Kritiker auf den Plan: Gewerkschaften, Verbände und Einzelpersonen klagten gegen diesen Vertrag und forderten die sofortige Einstellung der Datenverarbeitung von Gesundheitsdaten über die Plattform.
Die Kläger wurden von der Sorge getrieben, dass eine Übermittlung von sensiblen Gesundheitsdaten und weiteren personenbezogenen Daten in die USA stattfindet. Also in genau das Land, das laut Europäischem Gerichtshof über kein angemessenes Datenschutzniveau verfügt. Im Urteil „Schrems II“ hatten die EuGH-Richter dies festgestellt (dies führte zum „Sturz“ des Privacy Shields und stellte zusätzliche Anforderungen an den Abschluss von Standardvertragsklauseln/SCC). Die Kläger sahen Gefahr im Verzug und reichten einen Antrag auf Schnellverfahren ein.
Wie urteilten die französischen Verwaltungsrichter? Die Anträge der Kläger wurden als unbegründet abgewiesen, weil im Vertrag zwischen der Plattform Health Data Hub und Microsoft Ireland Operation Limited ein Datentransfer in Länder außerhalb der EU – also auch die USA – ausgeschlossen wurde. Ein Restrisiko bestehe zwar bei US-Geheimdienstaktionen, aber drei Argumente waren für die Richter des Conseil d’Etat zentral:
1) Das o. g. EuGH-Urteil habe Bedingungen für einen personenbezogenen Datentransfer in die USA definiert, aber nicht für eine Datenverarbeitung durch Tochterunternehmen von US-Unternehmen innerhalb der EU.
2) Die Kläger sehen ein Risiko für einen Datenmissbrauch, doch konnte insbesondere kein tatsächlicher Verstoß gegen die Datenschutzgrundverordnung (DSGVO) nachgewiesen werden. Auch werden die Gesundheitsdaten pseudonymisiert.
3) Es bestehe aufgrund der Corona-Pandemie ein öffentliches Interesse an einer Datenverarbeitung, um die Forschung intensivieren zu können.
Das Urteil fiel auch deswegen so aus, weil die Betreiber der Plattform sich bemühen wollen, das Restrisiko zu beseitigen, wie beispielsweise durch die Wechsel zu einem anderen Dienstleister oder durch ergänzende Sicherheitsmaßnahmen (Verschlüsselung o. ä).
„Dieses Urteil zeigt einmal mehr, wie aufmerksam mit personenbezogenen Daten und insbesondere Gesundheitsdaten umgegangen werden muss. Außerdem wird sichtbar, dass sich die Behörden innerhalb der EU verstärkt mit den Folgen des EuGH-Urteils auseinandersetzen müssen“, blickt UIMC-Geschäftsführer Dr. Jörn Voßbein voraus. „Wir sehen hierbei keine Auswirkungen z. B. auf den Einsatz von Office 365, weil hierbei nachweislich Daten in die USA übermittelt werden.“
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de
