EK, Ref.ord., 12. März 2021, Doctolib, Beschw. Nr. 450163 - Vorläufige Entscheidung über eine einstweilige Verfügung
In seiner Doctolib-Entscheidung erkannte der Staatsrat die Unvereinbarkeit des US-Rechts mit dem Schutz personenbezogener Daten in der Europäischen Union an.
In Bezug auf die USA erklärte das Urteil Schrems II (EuGH 16. Juli 2020, Rs. C-311/18) den Privacy Shield, der einem Angemessenheitsbeschluss entspricht, für ungültig, der es Unternehmen, die sich ihm unterwerfen, erlaubte, personenbezogene Daten in die USA zu exportieren. Das US-Recht erlaubt öffentlichen Behörden den Zugang zu personenbezogenen Daten, ohne den betroffenen Personen wirksame Rechtsbehelfe zu gewähren.
Doctolib, das einen Online-Service für die Vereinbarung von Arztterminen anbietet, hostet seine Daten auf den Servern einer Tochtergesellschaft von Amazon Web Services (AWS), einer Gesellschaft nach US-amerikanischem Recht. Im Rahmen der Impfkampagne gegen Covid-19 wurde Doctolib vom Ministerium für Solidarität und Gesundheit beauftragt, die Terminvereinbarungen für diese Kampagne zu verwalten.
Der Richter für einstweilige Verfügungen des Staatsrats wurde mit einem Antrag auf Aussetzung dieser Partnerschaft befasst, da sie gegen die Allgemeine Datenschutzverordnung (EU) 2016/679 vom 27. April 2016 (DSGVO) verstoßen würde.
Der Richter weist dies zurück:
Die Firma AWS Sarl, eine luxemburgische Tochtergesellschaft von AWS Inc. zertifiziert als "Hoster von Gesundheitsdaten". (CSP, Art. L. 1111-8). Die Daten werden in Zentren in Frankreich gespeichert. und Deutschland und eine mögliche Datenübertragung in die USA ist aus technischen Gründen nicht im Vertrag vorgesehen. Da AWS Sarl eine Tochtergesellschaft einer US-Gesellschaft ist, kann sie nach Ansicht der Kläger Gegenstand eines Antrags auf Zugang durch die US-Behörden sein.
Die fraglichen Daten. - Der Staatsrat stellte fest, dass "die strittigen Daten die Daten zur Identifizierung von Personen und die Daten zur Identifizierung von Personen umfassen". Daten zu Terminen Die Personen müssen lediglich ihre Eignung durch eine eidesstattliche Erklärung nachweisen.
Dauer der Speicherung. - Die Daten " spätestens nach einer Frist von drei Monaten gelöscht werden Jede betroffene Person, die auf der Plattform ein Konto für die Impfung eingerichtet hat, kann dieses direkt online löschen.
Antrag auf Zugang durch die US-Behörden. - Um ihre Beziehungen zu sichern, sieht der Vertrag Folgendes vorAWS muss "alle allgemeinen Forderungen oder Forderungen, die nicht den EU-Rechtsvorschriften entsprechen", anfechten. ". Diese Maßnahme wird von einem "System zur Sicherung der bei AWS gehosteten Daten durch eine Verschlüsselungsverfahren, das sich auf einen vertrauenswürdigen Dritten in Frankreich stützt um zu verhindern, dass die Daten von Dritten gelesen werden können".
> Das von den Parteien auf diese Weise eingerichtete Schutzniveau "kann nicht als offensichtlich unzureichend im Hinblick auf das Risiko einer Verletzung der DSGVO angesehen werden".
Die Bedeutung der Entscheidung ist relativ, da es sich um eine einstweilige Verfügung handelt, die das "offensichtlich rechtswidrige" Verhalten sanktioniert und daher korrigiert werden könnte. Fortsetzung folgt.
EK, Ref.ord., 13. Okt. 2020, Nr. 444937
German 
French 
English 
Spanish 
Portuguese 
Italian