Auftragsverarbeitung im Vereinigten Königreich bleibt auch im Geltungsbereich des katholischen Gesetzes über den kirchlichen Datenschutz erst einmal möglich – das stellt der jüngste Beschluss der Konferenz der Diözesandatenschutzbeauftragten sicher. Damit wird die hier bereits angesprochene Ungewissheit im Bereich des KDG aufgelöst.
Für KDG-Anwender*innen brachte das Brexit-Abkommen nämlich ein besonderes Problem mit sich: Explizit legt das katholische Gesetz in § 29 Abs. 11 fest, dass Auftragsverarbeitung nur in EU- und EWR-Ländern, auf Grundlage eines Angemessenheitsbeschlusses oder auf Grundlage einer Feststellung einer Datenschutzaufsicht zulässig ist. Der vom Abkommen gewählte Umweg einer Behandlung des UK, als sei es kein Drittstaat, ist davon nicht abgedeckt.
Im wesentlichen hatten die katholischen Aufsichten drei Möglichkeiten: Feststellen, dass vorerst keine Auftragsverarbeitung im UK möglich ist, den Wortlaut des Gesetzes in der Auslegung so zu dehnen, dass auch »nicht als Drittstaaten behandelte« Drittstaaten unter die EU- und EWR-Staaten gezählt werden, oder zum Instrument einer Feststellung eines angemessenen Datenschutzniveaus zu treffen.
Entschieden hat man sich für Variante 3: Die Konferenz beschließt, dass sie »für Datenverarbeitungen von Auftragsverarbeitern katholischer Einrichtungen im Vereinigten Königreich von Großbritannien und Nordirland die Voraussetzungen des § 29 Abs. 11 KDG durch das Handelsabkommen als erfüllt ansieht.« Dabei geht die Konferenz sehr vorsichtig vor: Explizit und detailreich wird klargemacht, dass ihre Angemessenheitsfeststellung wirklich nur dann gilt, soweit und solange alle Bedingungen erfüllt sind, die auch das Brexit-Abkommen aufstellt.
Nur eine Kautele wird nicht erwähnt: Sieht das Brexit-Abkommen eine Laufzeit für die Übergangsfrist von vier Monaten vor, die – solange keine Seite widerspricht – um zwei Monate verlängert werden kann, gilt der Beschluss nur (rückwirkend) vom 1. Januar bis »längstens« zum 30. April; ein Verlängerungsautomatismus beim Ausschöpfen der sechs Monate ist nicht vorgesehen.
Bei aller Vorsicht in der Formulierung fällt doch eines auf: Es liegt ein Beschluss der Konferenz der katholischen Datenschutzaufsichten vor; § 29 Abs. 11 KDG sieht aber strenggenommen einen Beschluss »der Datenschutzaufsicht selbst oder eine[r] andere[n] Datenschutzaufsicht« vor, keinen der (rechtlich nicht geregelten) Konferenz der DDSB. Wohlwollend wird man wohl annehmen, dass mit dem Beschluss zugleich eine Feststellung der zustimmenden Aufsichten erfolgt ist – aber das ist eine recht akademische Frage.
Für die Praxis
Katholische Stellen, die Auftragsverarbeitung im Vereinigten Königreich durchführen lassen, können erst einmal – wie ihre weltlichen und evangelischen Pendants – aufatmen: Sie können zumindest die ersten vier Monate des Jahres weitermachen. Da allerdings noch lange nicht sicher ist, dass bald ein Angemessenheitsbeschluss der EU-Kommission für das UK ergeht, sollte diese Phase aber für die Vorbereitung genutzt werden, eventuell doch noch darauf verzichten zu müssen. Was hier zu tun ist, haben die Aufsichten bereits 2019 zusammengefasst.
Neben den römisch-katholischen Stellen trifft die Problematik auch Anwender*innen der alt-katholischen KDO, die hier fast wortgleich zum KDG ist. »Fast«, weil dort nur »die Aufsicht« ohne die oder-Bedingung steht; damit ist eine Interpretation des katholischen Beschlusses als anwendbar ausgeschlossen. Der alt-katholische Bistumsdatenschutzbeauftragte hat sich bisher noch nicht geäußert, eine Anfrage ist noch unbeantwortet. Bis dahin ist UK-Auftragsverarbeitung unter Anwendung der KDO wohl nicht zulässig.
Ergänzung, 4. Februar 2021: Mit Datum 5. Januar hat die alt-katholische Aufsicht mitgeteilt, dass Auftragsverarbeitung im UK nicht zulässig ist – also keinen entsprechenden Beschluss getroffen. (Leider kann ich nicht rekonstruieren, ob ich die Meldung einen Monat lang übersehen habe oder sie erst später eingestellt wurde.)
Ergänzung, 3. Mai 2021: Die Konferenz der Diözesandatenschutzbeauftragten hat auf ihrer Sitzung vom 22. April 2021 die Verlängerung der Übergangsfrist auch für die Geltung des KDG bis Ende Juni beschlossen.