Es bleibt schwierig mit den USA: Weitere kirchliche Aufsichten zu Schrems II

Zwei weitere kirchliche Aufsichtsbehörden haben sich zum Aus für das Privacy Shield geäußert: Der Beauftragte für den Datenschutz der EKD hat eine FAQ veröffentlicht, die Diözesandatenschutzbeauftragte für die Südwest-Bistümer eine Orientierungshilfe.

Logo des Privacy Shield Frameworks

Im Ergebnis kommen die beiden Aufsichtsbehörden nicht zu anderen Ergebnissen als bereits direkt nach dem Urteil die Diözesandatenschutzbeauftragten von NRW und der Nordwest-Bistümer: Es gibt keine Übergangszeit, Standardvertragsklausen sind aufgrund der Überwachungsgesetze in den USA schwierig. Im Detail gibt es aber jeweils interessante Informationen – die evangelische FAQ ist auch praxisnäher anwendbar als das von NRW und Nordwest vorgestellte Prüfschema. Wie die »Ausnahmen für bestimmte Fälle« in der Praxis angewandt werden können, wird im kirchlichen Bereich aber bisher nicht geklärt.

Der DSB-EKD stellt klar, dass die Standardvertragsklauseln ohne zusätzliche Maßnahmen nicht ausreichen, während die DDSB-Südwest es nur als fraglich bezeichnet, ob bei einer Datenübertragung in die USA überhaupt geeignete Garantien geleistet werden können. »Die US-Behörden sind z.B. unter Geltung von Sicherheitsgesetzen wie – sec. 702 Foreign Intelligence Surveillance Act (FISA) – nicht an die EU-Standardvertragsklauseln gebunden«, erläutert die DSB-EKD-FAQ.

Hilfreich sind die Hinweise auf die einschlägigen Normen in den jeweiligen Datenschutzgesetzen, auf die statt des Privacy Shield zurückgegriffen werden kann: Neben den Standardvertragsklauseln in § 10 Abs. 1 Nr. 2 DSG-EKD und § 40 Abs. 2 lit. a) sind das eine Reihe von Ausnahmetatbeständen, die in § 10 Abs. 2 DSG-EKD und § 41 KDG genannt werden. Beide kirchliche Regelungen setzen den Art. 49 DSGVO um, der jetzt mit dem Aus von Privacy Shield eine besondere Bedeutung erlangt. »Der Anwendungsbereich des § 41 KDG ist jedoch auf Ausnahmetatbestände beschränkt«, betont die Orientierungshilfe. Nähere Ausführung zur Anwendung der Ausnahmen geben beide Stellungnahmen nicht; eine Handreichung dazu hat bereits 2018 der Europäische Datenschutzausschuss veröffentlicht.

Einen praktischen Tipp gibt es aber in der Orientierungshilfe dann doch noch: Eine Unterscheidung zwischen zwingend notwendigen Verarbeitungen (»beispielsweise beim Versand einer E-Mail an einen Empfänger außerhalb des EWR«) und solchen, bei denen auch eine Verarbeitung im Europäischen Wirtschaftsraum möglich ist.

Fazit

Viel Neues bringen die beiden Stellungnahmen nicht im Vergleich zu dem, was bereits bekannt war. Gerade die evangelische FAQ, die das Urteil und seine Folgen Punkt für Punkt aufschlüsselt, ist die bisher wohl kompakteste Zusammenfassung der Problematik für den kirchlichen Bereich. Die kirchlichen Aufsichten scheinen mit ihren staatlichen Kolleg*innen auch sehr einig darin, dass auch die Standardvertragsklauseln keine sichere Grundlage für die Übermittlung von Daten in die USA bieten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert