Die §§ 39ff. KDG limitieren die Übertragung personenbezogener Daten in das EU-Ausland recht streng. Nun sind aber die meisten Cloud-Anbieter in den USA beheimatet und haben dort ihren Speicherplatz. Für die USA gab es einen Rechtfertigungsgrund im Sinne des § 40 KDG, das sogenannte "privacy shield". Dieses stand auf wackeligen Füßen, weil sich im Jahre 2019 die US-Regierung ein Gesetz absegnen ließ, das alle amerikanischen Unternehmen verpflichtet, ihre - auch im Ausland - gesammelten Daten an die US-Regierung zu übertragen. Deswegen war gegen das "privacy shield" eine Klage beim Europäischen Gerichtshof anhängig. Kundige rechneten damit, dass schon die erste Verhandlung mit einer Aufhebung des bezeichneten Rechtfertigungsgrundes endet, wie es zuvor mit dem "Safe-Harbour-Abkommen" geschah. So war es dann auch:
Am 16.7.2020 kippte dann der EuGH das privacy shield.
Auf das hier nachzulesende Urteil haben wir - die deutschen Diözesandatenschutzbeauftragten - reagieren müssen.
In dem am Donnerstag, 16. Juli 2020, verkündeten Urteil des EuGH („Schrems II“) erklärt der Gerichtshof das „Privacy Shield“ für ungültig. Zur Urteilsbegründung führt der Gerichtshof aus, dass das Datenschutzniveau der EU und damit der durch die DS-GVO festgelegte und geforderte Schutz für personenbezogene Daten bei einer Übermittlung in die USA durch das Datenschutzabkommen („Privacy Shield“) nicht gewährt werden kann.
In den Fällen, in denen Verantwortliche die Datenübermittlungen in die USA auf das nun nicht mehr gültige Datenschutzabkommen zwischen der EU und den USA gestützt haben, müssen diese nun handeln, da sie andernfalls personenbezogene Daten ohne Rechtsgrundlage in ein Drittland transferieren.
Nicht für
generell ungültig erklärt wurden die Standarddatenschutzklauseln der EU-Kommission nach Art. 46 Abs. 2 lit. c und d DS-GVO. Bei der Verwendung von Standarddatenschutzklauseln müssen die Einrichtungen jedoch künftig bei der Übermittlung personenbezogener Daten in ein Drittland überprüfen, ob dort - evtl. auch durch zusätzliche vertragliche Vereinbarungen - ein angemessenes Datenschutzniveau hergestellt werden kann und diese Vereinbarungen eingehalten werden können. Nur in diesem Fall können die Standarddatenschutzklauseln eine Rechtsgrundlage für die Übermittlung personenbezogener Daten in ein Drittland darstellen. Daher obliegt den Verantwortlichen in den kirchlichen Einrichtungen eine Rechtsprüfung, inwiefern das Datenschutzniveau im jeweiligen Drittland dem der DS-GVO entspricht bzw. dort von den Vertragspartnern eingehalten werden kann.
Das Urteil betrifft für die Anwendung der Standarddatenschutzklauseln alle Datenübertragungen in Drittländer, die keinem Angemessenheitsbeschluss nach Art. 45 DS-GVO unterfallen. Durch den Wegfall des „Privacy Shield“ fehlt ein solcher Beschluss jetzt auch für die USA.
Nach den Ausführungen des EuGH (insbesondere Rn. 197) scheint für die USA auch der Einsatz von Standarddatenschutzklauseln nicht mehr möglich zu sein. Der EuGH hat zudem die Erwartung geäußert, dass die europäischen Datenschutzaufsichten eine einheitliche Auslegung unter den Aufsichtsbehörden herbeiführen. Hieran arbeiten alle Datenschutzaufsichten derzeit noch intensiv und stimmen sich ab. Sofern bisher vorgenommene Übermittlungen personenbezogener Daten in die USA nun nicht mehr auf eine gültige Rechtsgrundlage gestützt werden können, werden die deutschen Diözesandatenschutzbeauftragten die Vorgaben des Urteils umsetzen. Dies erfordert aber intensive Untersuchungen zu der Frage, wie - ohne Gefährdung des laufenden Betriebs - ein Ausstieg möglich ist. Das mag in einigen Bereichen schneller gehen und in anderen länger dauern.
Hier die offizielle Stellungnahme der Konferenz der Diözesandatenschutzbeauftragten
und
hier die FAQ dazu.Leider geht die Bedeutung dieser Problematik über die bloße Speicherung von Daten im Web hinaus. Das sehr beliebte Office-Programm von Microsoft, Office 365, installiert nämlich automatisch einen Speicher im Web (MS One) und schafft damit eine Verbindung zur künftigen Illegalität. Die Diözesandatenschutzbeauftragten hatten über ihren Arbeitskreis "Technik" bereits Verbindung zu Microsoft aufgenommen und das Unternehmen gebeten, für kirchliche Zwecke eine Version ohne diese automatische Installation anzubieten; leider wurde dem nicht entsprochen. Die Grundsätze, die in dem obigen Aufsatz für einen Speicher in der Cloud gelten, sind also auch bei diesem Programm zu beachten.
Hier werden alle zugehörigen Rechtsfragen näher ausgeführt (freundlicherweise vom Datenschutzzentrum Frankfurt überlassen):