Schrems II und das Aus für Privacy Shield beherrscht die Diskussion, langsam trudeln immer mehr Stellungnahmen, Einschätzungen und Strategien ein, fast alle großen kirchlichen Aufsichtsbehörden haben sich schon geäußert – hier im Blog wurden sie schon erwähnt.

Ein Aspekt wurde bisher nicht beleuchtet: Das katholische Gesetz über den kirchlichen Datenschutz ist in einem Punkt deutlich laxer formuliert als seine Pendants. In § 40 Abs. 2 lit. b KDG wird geregelt, dass Datenübertragungen in eine Drittland auch dann zulässig sind, wenn »der Verantwortliche oder der Auftragsverarbeiter nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen, davon ausgehen kann, dass geeignete Garantien zum Schutz personenbezogener Daten bestehen.«

2018 kommentierte Alexander Golland das so (RDV 1/2018, S. 11): »Die Vorschrift unterläuft damit die Bewertungskompetenz, die der Europäischen Kommission bei Angemessenheitsentscheidungen sowie Standarddatenschutzklauseln und den Datenschutzaufsichtsbehörden hinsichtlich der genehmigungspflichtigen Garantien zusteht. Im Gegenzug erhält der Verantwortliche einen Beurteilungsspielraum, mit der Folge, dass er im Ergebnis selbst Angemessenheitsentscheidungen treffen kann.« Golland kommt zum Schluss, dass diese Regelung nicht mit der DSGVO in Einklang steht und damit unanwendbar ist – vielleicht taucht deshalb diese Norm bisher nicht explizit in den Stellungnahmen der katholischen Datenschutzaufsichten auf.

Aus der Rubrik dumm gelaufen: Ausgerechnet eine Online-Datenschutzschulung wird vom Kirchlichen Arbeitsgerichtshof als »technisches Überwachungssystem« bewertet. Im Urteil vom 25. Mai 2020 (KAGH M 20/19) geht es darum, ob die Schulung als Überwachungssystem eingestuft wird, obwohl nicht das Bistum bzw. die Pfarrei die erhobenen personenbezogenen Daten erhält, sondern nur die Betreiberfirma. Aus den Leitsätzen: es komme nicht darauf an, »ob der Dienstgeber selbst Zugriff auf die
erfassten Daten nehmen kann. Für das Eingreifen der Mitbestimmung reicht es
aus, dass der Dienstgeber die Entscheidung trifft, Informationen über das
Verhalten der Mitarbeiter durch eine zur Überwachung bestimmte technische
Einrichtung erfassen zu lassen«. Daher ist bei der Einführung dieser Online-Schulung die Mitarbeitervertretung zu beteiligen; die Maßnahme ist zustimmungspflichtig. (Beisitzerin auf der Dienstgeberseite war Ursula Becker-Rathmair, die Frankfurter Diözesandatenschutzbeauftragte.)

Aus der Welt

• Bei Dr. Datenschutz erklärt Katharina Schluckebier, wie Standarddatenschutzklauseln funktionieren, um Daten in Drittstaaten zu verarbeiten: Standardvertragsklauseln: Anforderungen an den Datentransfer in die USA
• Wie funktioniert Art. 49 DSGVO, die Ausnahmeregelung für Datenverarbeitung im Drittstaat? Wohl kaum so relevant wie heute sind die zwei Jahre alten Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 des Europäischen Daten
• Überraschend, aber dann auch wieder nicht: Eine gute Datenschutz-Compliance korreliert mit geringerem Risiko für Datenpannen. Datenschutz lohnt sich also nicht nur als Grundrechtsschutz: Your privacy practices predict your data-breach future
• Alle Witze über Privacy Harbor und Safe Shield sind schon gemacht, fehlt nur noch die Ausführung: Die USA und die EU verhandeln nochmal über eine Möglichkeit einer Privacy-Shield-Nachfolge. Joint Press Statement from U.S. Secretary of Commerce Wilbur Ross and European Commissioner for Justice Didier Reynders
• Als wäre die europäische Rechtslage zu Cookies nicht schwierig genug – in den Mitgliedstaaten gibt es sehr unterschiedlich Gesetze und Auffassungen von Aufsichtsbehörden, welche Cookies Zustimmung benötigen und welche Dokumentation benötigt wird. Das Europe Cookie Law Comparison Tool zeigt die unterschiedlichen Rechtslagen.

Kirchenamtliches

• Katholisches Datenschutzzentrum Frankfurt a. M.: Datenschutz-​Orientierungshilfe: EuGH kippt Datenschutzabkommen mit USA (August 2020)
• DSG-EKD: Fragen und Antworten (FAQs) zum „Schrems II“-Urteil des EuGH
• DSG-EKD: Gespräche zu „neuem“ EU-US Privacy Shield eingeleitet

Auf Artikel 91

• Serie: So geht Datenschutz
  • Teil 1: Daten und wie man mit ihnen umgeht
  • Teil 2: Stop! Verbot mit Erlaubnisvorbehalt
  • Teil 3: Digitale Mündigkeit: Kenne Deine Rechte!
• Es bleibt schwierig mit den USA: Weitere kirchliche Aufsichten zu Schrems II