Nach­dem der EuGH am 16. Juli 2020 den Beschluss 2016/1250 der EU-Kommission über die Ange­mes­sen­heit des vom EU-US-Privacy Shiel­ds für ungül­tig erklärt hat, kam auch auf Unter­neh­men, Ein­rich­tun­gen und Ver­ei­ne im Anwen­dungs­be­reich kirch­li­chen Daten­schutz­rech­tes drin­gen­der Ände­rungs­be­darf zu. Sehr zügig haben nun der Beauf­trag­ten für den Daten­schutz der Evan­ge­li­schen Kir­che und die ers­ten Diö­ze­san­da­ten­schutz­be­auf­trag­ten der katho­li­schen Kir­che Stel­lung­nah­men ver­öf­fent­licht.

Da mag es zwar kurz­fris­tig ermu­ti­gen, dass der Diö­ze­san­da­ten­schutz­be­auf­trag­te in sei­ner Mit­tei­lung fest­stellt, dass ein Aus­stieg ohne Gefähr­dung des lau­fen­den Betriebs »in eini­gen Berei­chen schnel­ler gehen und in ande­ren län­ger dau­ern« möge, an der bestehen­den recht­li­chen Unzu­läs­sig­keit der Daten­über­mitt­lung ändert dies nichts. ” – Mat­thi­as Her­kert

Zer­ti­fi­zier­te sich ein ame­ri­ka­ni­sches Unter­neh­men bis­lang nach dem Pri­va­cy Shield, erkennt die EU-Kommission bei Abschluss von EU-Standarddatenschutzklauseln i.S.d. Art. 46 Abs. 2 lit. c, d DSGVO ein aus­rei­chen­des Daten­schutz­ni­veau an, wodurch eine Daten­über­mitt­lung »vor­be­halt­lich geeig­ne­ter Garan­tien« im Sin­ne der DSGVO mög­lich wur­de. Die ent­spre­chen­den Stan­dard­da­ten­schutz­klau­seln und die Selbst­zer­ti­fi­zie­run­gen nach den Regeln des EU‑U.S. Pri­va­cy Shield Frame­works war in der Ver­gan­gen­heit regel­mä­ßi­ge Rechts­grund­la­ge für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in die Ver­ei­nig­ten Staa­ten von Ame­ri­ka. Mit dem Urteil des EuGH ist die­ser Weg nun been­det (HIER geht es zum Urteil auf der Home­page des Gerichts­hofs der Euro­päi­schen Uni­on).

Hohe Bedeu­tung der Daten­über­mitt­lung in die USA auch für kirch­li­che Stel­len

Die Trag­wei­te des Urteils kann auch für kirch­li­che Ein­rich­tun­gen und kirch­li­che Stel­len kaum über­schätzt wer­den. Längst nut­zen nicht mehr nur welt­li­che Unter­neh­men Auf­trags­ver­ar­bei­ter und Dienst­leis­ter in den USA. Sei es bei­spiels­wei­se für Online-Office-Dienste und Office-Webanwendung, für Video­ch­at­mee­tings, für Social-Media-Dienste oder für den Betrieb von Web­pages — Daten­über­mitt­lun­gen an Stel­len außer­halb der EU / des EWR sind auch für die Reli­gi­ons­ge­mein­schaf­ten und ihre cari­ta­ti­ven und dia­ko­ni­schen Diens­te längst selbst­ver­ständ­lich.

Stel­lung­nah­men der kirch­li­chen Daten­schutz­auf­sich­ten lie­gen vor

Soweit ist es sicher­lich zu begrü­ßen, dass sowohl der Beauf­trag­ten für den Daten­schutz der Evan­ge­li­schen Kir­che in Deutsch­land (BfD EKD) wie auch die ers­ten Diö­ze­san­da­ten­schutz­be­auf­trag­te ers­te Stel­lung­nah­men zum EuGH-Urteil ver­öf­fent­lich­ten, wenn auch der Tenor in allen Fäl­len (erwar­tungs­ge­mäß) nicht zu einer Ent­schär­fung der Situa­ti­on bei­trägt.

Zur Rechts­wid­rig­keit der Daten­über­mitt­lung unter dem EU-US Pri­va­cy Shield

Sehr deut­lich for­mu­liert der BfD EKD in sei­ner Stel­lung­nah­me vom 24. Juli 2020, als Kon­se­quenz aus dem Urteil des EuGH, dass »eine Daten­über­mitt­lung in die USA unter dem EU-US-Privacy Shield nun rechts­wid­rig« sei (HIER geht es zur Stel­lung­nah­me auf der Home­page des BfD EKD). Auch der Diö­ze­san­da­ten­schutz­be­auf­trag­te des Erz­bis­tums Ham­burg, der Bis­tü­mer Hil­des­heim, Osna­brück und des Bischöf­lich Müns­ter­schen Offi­zi­alats in Vech­ta i.O. kommt zu dem Ergeb­nis, dass Daten­über­mitt­lun­gen in die USA nicht mehr auf das bis­he­ri­ge Daten­schutz­ab­kom­men zwi­schen der EU und den USA gestützt wer­den könn­ten (HIER geht es zur Mit­tei­lung des Diö­ze­san­da­ten­schutz­be­auf­trag­ten).

Wäh­rend der BfD EKD indes fest­stellt, dass auf Grund­la­ge des Urteils »der Daten­trans­fer […] aber wei­ter­hin auf Stan­dard­ver­trags­klau­seln gestützt wer­den kön­ne« und in der Daten­über­mitt­lung in die USA nach Stan­dard­ver­trags­klau­seln zwar »ein erheb­li­ches recht­li­ches Risi­ko« sieht, die­sen Weg jedoch nicht aus­schließt, liest der Diö­ze­san­da­ten­schutz­be­auf­trag­te (ins­be­son­de­re aus den Rn. 185/197 des EuGH-Urteils), dass für die USA auch der Ein­satz von Stan­dard­da­ten­schutz­klau­seln nicht mehr mög­lich sei.

Es besteht aku­ter Hand­lungs­be­darf für kirch­li­che Ein­rich­tun­gen

Sowohl die Diö­ze­san­da­ten­schutz­be­auf­trag­ten wie auch der Beauf­trag­ten für den Daten­schutz der Evan­ge­li­schen Kir­che arbei­ten nach eige­nen Aus­sa­gen der­zeit zusam­men mit den Daten­schutz­auf­sichts­be­hör­den in Deutsch­land dar­an, eine ein­heit­li­che Rechts­an­wen­dung zu errei­chen und eine ein­heit­li­che Vor­ge­hens­wei­se zu errei­chen. Da jedoch mit der Ver­kün­dung des Urteils durch den Euro­päi­schen Gerichts­hof am 16. Juli 2020 die Rechts­fol­gen ohne Über­gangs­frist ein­ge­tre­ten sind, besteht für die Ver­ant­wort­li­chen in den kirch­li­chen Ein­rich­tun­gen bereits jetzt aku­ter Hand­lungs­be­darf.

In der jet­zi­gen Dik­ti­on der Daten­schutz­auf­sich­ten ist im Ergeb­nis ein Aus­stieg aus der Daten­über­mitt­lung in die USA in allen kirch­li­chen Stel­len erfor­der­lich. Da mag es zwar kurz­fris­tig ermu­ti­gen, dass der Diö­ze­san­da­ten­schutz­be­auf­trag­te in sei­ner Mit­tei­lung fest­stellt, dass ein Aus­stieg ohne Gefähr­dung des lau­fen­den Betriebs »in eini­gen Berei­chen schnel­ler gehen und in ande­ren län­ger dau­ern« möge, an der bestehen­den recht­li­chen Unzu­läs­sig­keit der Daten­über­mitt­lung ändert dies nichts.

Fazit

Die Ver­ant­wort­li­chen in den kirch­li­chen Stel­len soll­ten nun umge­hend zusam­men mit ihren Daten­schutz­be­auf­trag­ten und den IT-Verantwortlichen prü­fen, inwie­fern ande­re Rechts­grund­la­gen für die Über­mitt­lung in Betracht kom­men, ob die erfor­der­li­chen Dienst­leis­tung und Auf­trags­ver­ar­bei­tun­gen mög­li­cher­wei­se auch inner­halb der EU oder des EWR erbracht wer­den kön­nen oder ob grund­sätz­lich alter­na­ti­ve Ver­ar­bei­tun­gen in Fra­ge kom­men. Ein »Abwar­ten« auf wei­te­re Stel­lung­nah­men und Emp­feh­lun­gen der Daten­schutz­auf­sich­ten und Auf­sichts­be­hör­den kann in die­sem Fall nur zu einem unkal­ku­lier­ba­ren recht­li­chen Risi­ko füh­ren.

Was Sie noch interessieren könnte:

Datenübermittlung beim Asset Deal Teil I

25. Sep­tem­ber 2020|

Beim Ver­kauf eines Unter­neh­mens stellt der vor­han­de­ne Stamm per­so­nen­be­zo­ge­ner Kun­den­da­ten nicht sel­ten ein wesent­li­ches Asset dar und ist somit […]

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR