Der Rechtsstreit zwischen Microsoft und der CNIL
Nachdem die Übermittlung von Gesundheitsdaten über Microsoft ausgesetzt wurde, hat man nun eine zweite Ausschreibung für das Hosting des Health Data Hub veröffentlicht, um europäischen oder sogar französischen Hosting-Anbietern die Möglichkeit zu geben, sich in diesem Projekt zu positionieren.
Verbände und Gewerkschaften haben den erkennenden Richter des französischen Staatsrats dazu aufgefordert, alle Aktivitäten der Plattform Health Data Hub (HDH) einzustellen, da sie befürchten, dass Microsoft personenbezogene Daten in die USA weiterleiten könnte, sowie wegen des Urteils über die Ungültigkeit des Privacy Shield des Europäischen Gerichtshofs (EuGH) im vergangenen Juli.
Es wurde bereits vereinbart, dass personenbezogene Daten, die derzeit im Rahmen des Vertrags mit Microsoft in den Niederlanden gehostet werden, nicht rechtmäßig außerhalb der Europäischen Union übertragen werden können. Es ist jedoch nicht völlig ausgeschlossen, dass der US-Nachrichtendienst Zugang zu diesen Daten verlangt. Dies rechtfertigt jedoch keine vorübergehende Aussetzung der Plattform für Gesundheitsdaten (Health Data Hub – HDH), sondern erfordert dennoch Vorsichtsmaßnahmen, empfiehlt die französische Datenschutzbehörde (CNIL).
Health Data Hub von erkennendem Richter des Staatsrats verschont
Daher hat der erkennende Richter des Staatsrats die folgende kurzfristige Entscheidung getroffen: Die Health Data Hub-Plattform wird trotz dieses Rechtsstreits zwischen dem US-Riesen und der CNIL nicht ausgesetzt. Das bedeutet, dass Maßnahmen ergriffen werden müssen, bis der Health Data Hub von einem europäischen Unternehmen gehostet wird. So empfiehlt der Richter, bis zum Abschluss der Ausschreibung für die Plattform keine Vereinbarung mit der Firma Microsoft abzuschließen oder zu unterzeichnen.
Um Zwischenfälle jeglicher Art zu verhindern und zu vermeiden, fordert der Richter den HDH auf, Microsoft als Host unter der Aufsicht der CNIL zu belassen, um einen optimalen Schutz der verarbeiteten personenbezogenen Daten zu gewährleisten. Diese Vorsichtsmaßnahmen sollten getroffen werden, bis eine Garantie eines europäischen oder französischen Subunternehmers oder ein anderer Rechtsbehelf vorliegt, der jegliches Risiko des Zugangs oder der Verbreitung persönlicher Daten durch die Vereinigten Staaten ausschließt.
Der Richter stellte fest, dass es im gegenwärtigen Gesundheitskontext nicht nur notwendig, sondern unerlässlich ist, dass eine Plattform wie der Health Data Hub einen ständigen und regelmäßigen Zugang zu Gesundheitsdaten und deren Verarbeitung schafft, weshalb sie nicht aufgelöst werden sollte, auch nicht vorübergehend.
Um mehr zu diesem Thema zu erfahren, können Sie hier die Erklärung der CNIL lesen.