Ist es doch nicht so einfach mit dem Brexit und dem katholischen Datenschutzrecht? Nachdem durch das rasche Handeln der Konferenz der Diözesandatenschutzbeauftragten um den Jahreswechsel schon Entwarnung herrschte, macht auf Twitter nun @privideu auf eine Problematik aufmerksam, die bisher nicht im Blick war: »Übrigens: Der Beschl[uss] der Konf[erenz] der Diözesan-DSB der Kath. Kirche vom 4.1.2021 betreffen die Datenverarbeitungen von Auftragsverarbeitern kath. Einrichtungen in [Großbritannien] ist keine zuverlässige Rechtsgrundlage für eine Datenübermittlung nach GB«, heißt es in dem kurzen Thread. Zwar gibt es zur Auftragsverarbeitung im UK einen klaren Beschluss – bei der Datenübermittlung allgemein ist das aber nicht der Fall.
Der Einwand scheint stichhaltig: Bis zum Ende der im Brexit-Abkommen vereinbarten Übergangsfrist ist das Vereinigte Königreich datenschutzrechtlich in einem Schwebezustand, den das kirchliche Datenschutzrecht nur schwer fassen kann: »For the duration of the specified period, transmission of personal data from the Union to the United Kingdom shall not be considered as transfer to a third country under Union law«, heißt es im Artikel FINPROV.10A (S. 414) des Abkommens. Das KDG hat Regeln für EU- und EWR-Staaten, Länder mit Angemessenheitsbeschluss und für Drittstaaten – aber natürlich nicht für diesen extra erfundenen Status.
Da das KDG die Auftragsverarbeitung in Drittländern ohne Angemessenheitsbeschluss grundsätzlich verbietet (§ 29 Abs. 11 KDG), gab es ein Problem – das nur durch die Möglichkeit der Feststellung eines angemessenen Datenschutzniveaus durch die katholischen Aufsichten zu lösen war; das erfolgte in dem angesprochenen Beschluss. Implizit wird damit auch die Vorannahme getroffen, dass man das Abkommen nicht derart im kirchlichen Datenschutzrecht interpretieren kann, dass das Vereinigte Königreich einfach so behandelt werden kann, als ob es Mitgliedsstaat oder Staat mit Angemessenheitsbeschluss wäre – und damit macht man die Flanke auf: Was ist dann mit den Übertragungen, die keine Auftragsverarbeitung sind? Dazu hat die katholische Datenschutzkonferenz keinen Beschluss gefasst.
Mehr noch, so @privideu weiter: »die Konf. d. DDSB kann eine solche Regelung als Angemessenheitsbeschluss mangels [Rechtsgrundlage] im KDG gar nicht fassen. Der Beschluss bedeutet nur, dass Verstöße von der Aufsicht nicht verfolgt werden. Dazu hätte es keines Beschlusses bedurft. Er führt sogar in die Irre, da Betroffene sich gegenüber den Verantwortlichen sich dennoch auf die Rechtswidrigkeit einer Datenübermittlung berufen können. Sofern nicht nach §§ 39 bis 41 KDG vorgegangen wurde. Also vom Verantwortlichen einfach zu sagen, die Aufsicht hat es erlaubt, kann m.E. schiefgehen.«
Wie kommt man aus dieser Zwickmühle heraus? In den angesprochenen Paragraphen ist die unangenehmste Form die über die in § 41 KDG geregelten Ausnahmen, die mit deutlich höherem Umsetzungsaufwand verbunden sind. Schöner ist § 40 Abs. 2 KDG, Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses oder bei geeigneten Garantien. Buchstabe a) ermöglicht eine Übertragung, wenn »in einem rechtsverbindlichen Instrument geeignete Garantien für den Schutz personenbezogener Daten vorgesehen sind« – mit Blick auf die DSGVO sind damit wohl eigentlich Instrumente wie Standardvertragsklauseln im Blick. Dass die kirchlichen Gesetzgeber an völkerrechtliche Abkommen gedacht haben, kann man wohl ausschließen – da das Brexit-Abkommen aber auch beinhaltet, dass die weitgehend der DSGVO entsprechende UK-Rechtslage nicht verändert wird, könnte man durchaus von einem »rechtsverbindlichen Instrument« sprechen, das »geeignete Garantien« vorsieht.
Folgt man dieser Auslegung nicht, bleibt immerhin noch Buchstabe b), der Verantwortlichen erlaubt, »nach Beurteilung aller Umstände, die bei der Übermittlung eine Rolle spielen« auf eigene Faust davon auszugehen, »dass geeignete Garantien zum Schutz personenbezogener Daten bestehen«. Diese Regelung ist umstritten; Alexander Golland sieht (durchaus plausibel) in der Möglichkeit der »Selbstzertifizierung« eine Europarechtswidrigkeit – unter der DSGVO haben Verantwortliche nicht so großzügige Instrumente an der Hand. Nimmt man die Regelung aber als anwendbar an, könnte sie hier praktisch sein: Wenn sowohl die EU im Brexit-Abkommen (zumindest als Fiktion) geeignete Garantien annimmt, und wenn die Konferenz der Diözesandatenschutzbeauftragten mit Blick auf Auftragsverarbeitung diese Sicht als tragfähig erachtet, dann dürfte es relativ unstreitig sein, wenn sich Verantwortliche im Fall UK-Datentransfer nach Buchstabe b selbst zertifizieren.
Ein Problem bleibt bei beiden 40er-Lösungen: Sie sind keine Selbstläufer wie die Datenübertragung im Geltungsgebiet der DSGVO oder in Länder mit Angemessenheitsbeschluss. Beide Varianten erfordern eine explizite Dokumentation, bei Variante b) wäre sogar die zuständige kirchliche Datenschutzaufsicht zu unterrichten.
Das gleiche Problem besteht wohl grundsätzlich auch im evangelischen Datenschutzrecht. Wenn man – wie die katholische Seite anscheinend – davon ausgeht, dass die Formulierung aus dem Abkommen »shall not be considered as transfer to a third country under Union law« nicht den Geltungsbereich des kirchlichen Datenschutzrechts erfasst, hat man ein Problem – und mangels äquivalenter Instrumente zu § 40 Abs. 2 lit. b) KDG keine Lösung dafür. Immerhin: Das DSG-EKD verzichtet, anders als sein katholisches Pendant, auf eine Begriffsbestimmung von »Drittland« (§ 4 Nr. 18 KDG), vielleicht ließe sich hier leichter argumentieren, dass mit Drittland und Nicht-Drittland direkt auf die EU-Rechtslage zurückgegriffen werden muss, auch in solchen einmaligen Sonderfällen.
Fazit
Ist die Datenübermittlung ins Vereinigte Königreich außerhalb von Auftragsverarbeitung wirklich ein Problem? Rechtlich ist das wohl alles andere als klar – und faktisch kommt es wahrscheinlich im kirchlichen Bereich nicht ganz so oft vor, die Problematik hat wohl niemand auf dem Schirm, und die im Abkommen festgelegte Übergangszeit endet ohnehin Ende April mit Option auf eine zweimonatige Verlängerung.
Verantwortliche, die Daten ins UK übertragen, tun daher bereits jetzt gut daran, einen Plan b in der Hinterhand zu haben, wahrscheinlich über den ungemütlichen Weg der Ausnahmeregelungen (§ 41 KDG, § 10 Abs. 2 DSG-EKD) oder über Standardvertragsklauseln, und bis dahin können sich katholische Verantwortliche über eine Dokumentation und eventuelle Meldung an die Aufsicht zumindest etwas absichern.
Über die wahrscheinlich geringe alltägliche Bedeutung hinaus zeigen diese Überlegungen wieder einmal die ungewollten Konsequenzen, die ein eigenes Datenschutzrecht innerhalb eines eigentlich vollharmonisierten EU-Rechtsrahmens mit sich bringt. Schützt es wirklich irgendein kirchliches Prorprium, dient es irgendeinem kirchlichen Selbstverwaltungsbedarf, so etwas kirchlich und nicht weltlich zu regeln? Und aus Sicht der EU: Ist es wirklich sinnvoll, von Religionsgemeinschaften, die von der Öffnungsklausel für eigenes Datenschutzrecht Gebrauch machen, »umfassende« Regeln zu verlangen, und sie damit zur Regelung solcher so komplizierter wie kirchenferner Materien zu zwingen?