Notifizierungsangaben | TRIS - European Commission

Erlass zur Änderung einiger Bestimmungen in Bezug auf das Hosting personenbezogener Gesundheitsdaten

Notifizierungsnummer:

2025/0708/FR (France)

Eingangsdatum:

25/11/2025

Ende der Stillhaltefrist:

26/02/2026

Entwurfsdokument:

FR BG HR CS DA NL EN ET FI GA DE EL HU IT LV LT MT PL PT RO SK SL ES SV

Für eine druckbare Version dieser Seite hier klicken

Message

Mitteilung 001

Mitteilung der Kommission - TRIS/(2025) 3364

Richtlinie (EU) 2015/1535

Notifizierung: 2025/0708/FR

Mitteilung eines Entwurfstextes eines Mitgliedstaats

Notification – Notification – Notifzierung – Нотификация – Oznámení – Notifikation – Γνωστοποίηση – Notificación – Teavitamine – Ilmoitus – Obavijest – Bejelentés – Notifica – Pranešimas – Paziņojums – Notifika – Kennisgeving – Zawiadomienie – Notificação – Notificare – Oznámenie – Obvestilo – Anmälan – Fógra a thabhairt

Does not open the delays - N'ouvre pas de délai - Kein Fristbeginn - Не се предвижда период на прекъсване - Nezahajuje prodlení - Fristerne indledes ikke - Καμμία έναρξη προθεσμίας - No abre el plazo - Viivituste perioodi ei avata - Määräaika ei ala tästä - Ne otvara razdoblje kašnjenja - Nem nyitja meg a késéseket - Non fa decorrere la mora - Atidėjimai nepradedami - Atlikšanas laikposms nesākas - Ma jiftaħx il-perijodi ta’ dewmien - Geen termijnbegin - Nie otwiera opóźnień - Não inicia o prazo - Nu deschide perioadele de stagnare - Nezačína oneskorenia - Ne uvaja zamud - Inleder ingen frist - Ní osclaíonn sé na moilleanna

MSG: 20253364.DE

1. MSG 001 IND 2025 0708 FR DE 25-11-2025 FR NOTIF

2. France

3A. Ministères économiques et financiers
Direction générale des entreprises
SCIDE/SQUALPI - Pôle Normalisation et réglementation des produits
Bât. Sieyès -Teledoc 143
61, Bd Vincent Auriol
75703 PARIS Cedex 13

3B. Délégation au numérique en santé
Ministère de la Santé et de la Prévention
14 avenue Duquesne
75007 PARIS

4. 2025/0708/FR - SERV - Dienste der Informationsgesellschaft

5. Erlass zur Änderung einiger Bestimmungen in Bezug auf das Hosting personenbezogener Gesundheitsdaten

6. Hosting von personenbezogenen Gesundheitsdaten

7.

8. 8. Mit diesem Erlass, der gemäß Artikel 31 des SREN-Gesetzes erlassen wird, werden folgende Ziele verfolgt:

(1) Präzisierung der Souveränitätsverpflichtungen gemäß Artikel L. 1111-8 Absatz IV des Gesetzbuches über die öffentliche Gesundheit durch Aufnahme der Anforderungen 28 bis 31 des Zertifizierungsrahmens für das Hosting personenbezogener Gesundheitsdaten, der unter der Notifizierungsnummer 2023/0682/FR notifiziert wurde:

- Es wird vorgeschrieben, dass Gesundheitsdaten ausschließlich im Hoheitsgebiet eines Mitgliedstaats der Europäischen Union oder eines Vertragsstaats des Europäischen Wirtschaftsraums gehostet werden. Im Falle eines Fernzugriffs aus einem Drittland muss dieser Zugang auf einem Angemessenheitsbeschluss der Europäischen Kommission oder andernfalls auf geeigneten Garantien beruhen, die im Hosting-Vertrag festgelegt werden.

- Es werden neue vertragliche Verpflichtungen für Hosting-Anbieter eingeführt, die ihre Kunden über außereuropäische Vorschriften, die zu einer unbefugten Übermittlung von oder einem unbefugten Zugriff auf Daten führen können, über die ergriffenen Maßnahmen zur Begrenzung der damit verbundenen Auswirkungen und über verbleibende Restrisiken informieren müssen.

- Es wird eine Transparenzpflicht eingeführt, wonach Hosting-Anbieter eine Übersicht über Datenübermittlungen in Länder außerhalb des EWR sowie eine Beschreibung der Risiken eines unbefugten Zugriffs veröffentlichen und auf dem neuesten Stand halten müssen.

(2) Anpassung einiger Bestimmungen des Artikels R.1111-11 an die Bestimmungen der DSGVO:

- In Bezug auf die Vertragsklausel über die Modalitäten für die Ausübung der Rechte der betroffenen Personen, die mit den in der DSGVO vorgesehenen Rechten abgestimmt werden.

- In Bezug auf die Anforderung 19, die an die DSGVO angeglichen wird, um die in der DSGVO vorgesehenen Rechte von Einzelpersonen gemäß der Aktualisierung im Jahr 2024 zu berücksichtigen.

9. Mit Artikel 32 des SREN-Gesetzes wird Artikel L.1111-8 Absatz IV des Gesetzbuches über die öffentliche Gesundheit geändert, indem neue Verpflichtungen zur Datensouveränität hinzugefügt werden, die von Hosting-Anbietern für personenbezogene Gesundheitsdaten zu erfüllen sind. Zum einen wird die Verpflichtung zur Speicherung von Daten in der EU vorgesehen, und zum anderen werden neue Bestimmungen festgelegt, die in den Vertrag zwischen dem Hosting-Anbieter und seinem Kunden aufgenommen werden müssen, um den Risiken der Übermittlung personenbezogener Daten oder des unbefugten Zugriffs auf diese Daten durch außereuropäische Rechtsvorschriften Rechnung zu tragen.

Der Inhalt dieser vertraglichen Verpflichtungen und Bestimmungen muss nun durch einen Erlass des Staatsrates festgelegt werden.

Artikel 32 des SREN-Gesetzes sieht ferner vor, dass das Hosting von Gesundheitsdaten im Rahmen eines elektronischen Archivierungsdienstes nun der Zertifizierungspflicht für „Hosts für Gesundheitsdaten“ (Hébergeur de données de santé, HDS) unterliegt und zusätzlich vom Kulturminister genehmigt werden muss. Diese Gesetzesänderung bringt keine regulatorischen Änderungen mit sich, mit Ausnahme der Klarstellung, dass die Hosting-Tätigkeit der „Sicherung von Gesundheitsdaten“ die Tätigkeit der „elektronischen Archivierung“ umfasst.

Der notifizierte Entwurf steht im Einklang mit den europäischen Vorschriften über personenbezogene Daten, insbesondere der Verordnung (EU) 2025/327 über den europäischen Gesundheitsdatenraum (EHDS). Insbesondere steht die Verpflichtung der Hosting-Anbieter für Gesundheitsdaten, physische Daten innerhalb der EU oder des EWR zu speichern, im Einklang mit Artikel 86 der EHDS-Verordnung, der den Mitgliedstaaten ausdrücklich die Möglichkeit einräumt, die Speicherung von Gesundheitsdaten auf das Gebiet der EU zu beschränken. Darüber hinaus entspricht die Unterwerfung des Fernzugriffs auf Daten aus einem Drittland durch den Hosting-Anbieter oder einen seiner Auftragsverarbeiter unter einen Angemessenheitsbeschluss der Kommission gemäß Artikel 46 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (DSGVO) dem Artikel 90 der EHDS-Verordnung, der den Mitgliedstaaten die Möglichkeit einräumt, weitere Bedingungen für den internationalen Zugang zu Gesundheitsdaten beizubehalten oder einzuführen. Schließlich steht die Verpflichtung, in Ermangelung eines Angemessenheitsbeschlusses der Kommission die Maßnahmen aufzunehmen, die ergriffen wurden, um den Risiken einer unbefugten Übermittlung oder des unbefugten Zugriffs auf solche Daten durch Drittländer außerhalb der EU oder des EWR zu begegnen, auch im Einklang mit Artikel 90 der EHDS-Verordnung, der den Mitgliedstaaten die Möglichkeit einräumt, die Übermittlung personenbezogener Daten zusätzlichen Schutzbedingungen zu unterwerfen.

10. Verweise auf Grundlagentexte: 2023/0682/FR, 2017/0343/F

Die Grundlagentexte wurden in einer früheren Notifizierung übermittelt:
2023/0682/FR
2017/0343/F

11. Nein

12.

13. Nein

14. Nein

15. Nein

16.
TBT-Aspekt: Nein

SPS-Aspekt: Nein

**********
Europäische Kommission
Allgemeine Kontaktinformationen Richtlinie (EU) 2015/1535
email: grow-dir2015-1535-central@ec.europa.eu

Disclosed messages

message-id	Jahr	Nummer	Land	Type	Title	Eingangsdatum	Is answer to

Sprachen

Beiträge von Interessenträgern

Über die TRIS-Website können Sie und Ihre Organisation ganz einfach Ihre Meinung zu einer beliebigen Notifizierung mitteilen.

Aufgrund des Status der Benachrichtigung oder des Endes des Stillstands akzeptieren wir derzeit keine weiteren Beiträge zu dieser Notifizierung über die Website.

Keine Beiträge zu dieser Notifizierung gefunden