Nachdem der EuGH am 16. Juli 2020 den Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US-Privacy Shields für ungültig erklärt hat, kam auch auf Unternehmen, Einrichtungen und Vereine im Anwendungsbereich kirchlichen Datenschutzrechtes dringender Änderungsbedarf zu. Sehr zügig haben nun der Beauftragten für den Datenschutz der Evangelischen Kirche und die ersten Diözesandatenschutzbeauftragten der katholischen Kirche Stellungnahmen veröffentlicht.
“Da mag es zwar kurzfristig ermutigen, dass der Diözesandatenschutzbeauftragte in seiner Mitteilung feststellt, dass ein Ausstieg ohne Gefährdung des laufenden Betriebs »in einigen Bereichen schneller gehen und in anderen länger dauern« möge, an der bestehenden rechtlichen Unzulässigkeit der Datenübermittlung ändert dies nichts. ” – Matthias Herkert
Zertifizierte sich ein amerikanisches Unternehmen bislang nach dem Privacy Shield, erkennt die EU-Kommission bei Abschluss von EU-Standarddatenschutzklauseln i.S.d. Art. 46 Abs. 2 lit. c, d DSGVO ein ausreichendes Datenschutzniveau an, wodurch eine Datenübermittlung »vorbehaltlich geeigneter Garantien« im Sinne der DSGVO möglich wurde. Die entsprechenden Standarddatenschutzklauseln und die Selbstzertifizierungen nach den Regeln des EU‑U.S. Privacy Shield Frameworks war in der Vergangenheit regelmäßige Rechtsgrundlage für die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika. Mit dem Urteil des EuGH ist dieser Weg nun beendet (HIER geht es zum Urteil auf der Homepage des Gerichtshofs der Europäischen Union).
Hohe Bedeutung der Datenübermittlung in die USA auch für kirchliche Stellen
Die Tragweite des Urteils kann auch für kirchliche Einrichtungen und kirchliche Stellen kaum überschätzt werden. Längst nutzen nicht mehr nur weltliche Unternehmen Auftragsverarbeiter und Dienstleister in den USA. Sei es beispielsweise für Online-Office-Dienste und Office-Webanwendung, für Videochatmeetings, für Social-Media-Dienste oder für den Betrieb von Webpages — Datenübermittlungen an Stellen außerhalb der EU / des EWR sind auch für die Religionsgemeinschaften und ihre caritativen und diakonischen Dienste längst selbstverständlich.
Stellungnahmen der kirchlichen Datenschutzaufsichten liegen vor
Soweit ist es sicherlich zu begrüßen, dass sowohl der Beauftragten für den Datenschutz der Evangelischen Kirche in Deutschland (BfD EKD) wie auch die ersten Diözesandatenschutzbeauftragte erste Stellungnahmen zum EuGH-Urteil veröffentlichten, wenn auch der Tenor in allen Fällen (erwartungsgemäß) nicht zu einer Entschärfung der Situation beiträgt.
Zur Rechtswidrigkeit der Datenübermittlung unter dem EU-US Privacy Shield
Sehr deutlich formuliert der BfD EKD in seiner Stellungnahme vom 24. Juli 2020, als Konsequenz aus dem Urteil des EuGH, dass »eine Datenübermittlung in die USA unter dem EU-US-Privacy Shield nun rechtswidrig« sei (HIER geht es zur Stellungnahme auf der Homepage des BfD EKD). Auch der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O. kommt zu dem Ergebnis, dass Datenübermittlungen in die USA nicht mehr auf das bisherige Datenschutzabkommen zwischen der EU und den USA gestützt werden könnten (HIER geht es zur Mitteilung des Diözesandatenschutzbeauftragten).
Während der BfD EKD indes feststellt, dass auf Grundlage des Urteils »der Datentransfer […] aber weiterhin auf Standardvertragsklauseln gestützt werden könne« und in der Datenübermittlung in die USA nach Standardvertragsklauseln zwar »ein erhebliches rechtliches Risiko« sieht, diesen Weg jedoch nicht ausschließt, liest der Diözesandatenschutzbeauftragte (insbesondere aus den Rn. 185/197 des EuGH-Urteils), dass für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich sei.
Es besteht akuter Handlungsbedarf für kirchliche Einrichtungen
Sowohl die Diözesandatenschutzbeauftragten wie auch der Beauftragten für den Datenschutz der Evangelischen Kirche arbeiten nach eigenen Aussagen derzeit zusammen mit den Datenschutzaufsichtsbehörden in Deutschland daran, eine einheitliche Rechtsanwendung zu erreichen und eine einheitliche Vorgehensweise zu erreichen. Da jedoch mit der Verkündung des Urteils durch den Europäischen Gerichtshof am 16. Juli 2020 die Rechtsfolgen ohne Übergangsfrist eingetreten sind, besteht für die Verantwortlichen in den kirchlichen Einrichtungen bereits jetzt akuter Handlungsbedarf.
In der jetzigen Diktion der Datenschutzaufsichten ist im Ergebnis ein Ausstieg aus der Datenübermittlung in die USA in allen kirchlichen Stellen erforderlich. Da mag es zwar kurzfristig ermutigen, dass der Diözesandatenschutzbeauftragte in seiner Mitteilung feststellt, dass ein Ausstieg ohne Gefährdung des laufenden Betriebs »in einigen Bereichen schneller gehen und in anderen länger dauern« möge, an der bestehenden rechtlichen Unzulässigkeit der Datenübermittlung ändert dies nichts.
Fazit
Die Verantwortlichen in den kirchlichen Stellen sollten nun umgehend zusammen mit ihren Datenschutzbeauftragten und den IT-Verantwortlichen prüfen, inwiefern andere Rechtsgrundlagen für die Übermittlung in Betracht kommen, ob die erforderlichen Dienstleistung und Auftragsverarbeitungen möglicherweise auch innerhalb der EU oder des EWR erbracht werden können oder ob grundsätzlich alternative Verarbeitungen in Frage kommen. Ein »Abwarten« auf weitere Stellungnahmen und Empfehlungen der Datenschutzaufsichten und Aufsichtsbehörden kann in diesem Fall nur zu einem unkalkulierbaren rechtlichen Risiko führen.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]