Schrems-II-Workaround auch mit kirchlichem Datenschutzrecht?

Nach wie vor machen Datenübertragungen in die USA nach dem Kippen des Privacy Shields Probleme. Eine wirkliche Lösung gibt es dafür noch nicht, und wenn überhaupt, schärfen die Datenschutzaufsichten ihren Umgang damit gerade an – zuletzt hatte der rheinland-pfälzische Datenschutzbeauftragte unter dem Label »Informationsoffensive« mit dem Zaunpfahl gewunken.

Der Europäische Datenschutzausschuss interpretiert die in Art. 49 DSGVO festgelegten »Ausnahmen für bestimmte Fälle« recht eng (allerdings nicht klar sauber belegt). Nun wird nach dem »Europäischen Datenschutztag« am 28. Januar diskutiert, ob es vielleicht doch weniger eng geht: Dort hatte der EuGH-Richter Thomas von Danwitz, der außerdem Berichterstatter bei Schrems II war, geäußert, dass die Ausnahmen aus Art. 49 noch nicht genug »ausgelotet« seien und auch weniger restriktiv ausgelegt werden könnten.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt. Am Horizont erkennt man keinen Nachfolger für Privacy Shield.
So oder so ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)

Diese Äußerung hat eine juristische Debatte ausgelöst. Stephan Hansen-Oest schlüsselt Schritt für Schritt in seinem Blog auf, worum es geht und wie sich eine weniger restriktive Auslegung und damit eine vereinfachte Datenübertragung in die USA rechtfertigen lässt. Für Anwender*innen der kirchlichen Datenschutzgesetze stellt sich damit natürlich die Frage: Können wir das auch?

Worum es geht

Die Argumentation von Hansen-Oest ist komplex, aber so kleinteilig dargelegt, dass sie hier nicht noch einmal wiederholt werden soll – der Artikel ist mit etwas gutem Willen zur Textarbeit sehr gut verständlich. Vereinfacht ausgedrückt geht es darum, ob die Ausnahmen nur dann in Anspruch genommen werden können, wenn das nur »gelegentlich« der Fall ist – ob also die Ausnahmen wirklich im ganz engen Sinn ausnahmsweise zum Tragen kommen und nicht regelhaft.

Hansen-Oest und von Danwitz vertreten die Position, dass der Maßstab der Erforderlichkeit als Rechtfertigung genügt – ob man dem folgt, hängt von der Interpretation des mehrdeutigen Erwägungsgrunds 111 ab.

Und das kirchliche Datenschutzrecht?

Sowohl das DSG-EKD wie das KDG haben die Ausnahmeregelungen in verkürzter Form übernommen. Beide Gesetze haben nur ein weitgehend wortgleiches Äquivalent zu Art. 49 Abs. 1 Unterabsatz 1, nämlich § 10 Abs. 2 DSG-EKD und § 41 KDG. Unterabsatz 2, der noch einmal zusätzliche Ausnahmen zulässt, wenn die in Unterabsatz 1 festgelegten Bedingungen nicht vorkommen, fällt ersatzlos weg – und damit auch eine explizite Erwähnung von »gelegentlichen« (hier: »nicht wiederholt« erfolgten) Datenübertragungen (die allerdings ohnehin nicht die Bedingungen aus UAbs. 1 betreffen).

Die kirchlichen Datenschutzgesetze haben auch keine eigenen Erwägungsgründe. Bei den kirchlichen Aufsichten gibt es die Tendenz, im Zweifel eine Interpretation zu bevorzugen, die mit der Rechtslage der DSGVO vertretbar wäre, auch wenn die jeweiligen Gesetze nicht eindeutig so zu interpretieren sind (das zeigte sich bei den ersten Reaktionen auf Schrems II, wo im Prüfschema katholische Besonderheiten bei der Auftragsverarbeitung und die obskure Selbstzertifizierung nach § 40 Abs. 2 lit. b) gar nicht erwähnt wurden, und in einem anderen Bereich bei der Foto-Arbeitshilfe des DSB-EKD, der mit DSGVO-konformer Interpretation der Rechtsgrundlagen dann doch noch ein berechtigtes Interesse auch für Interessen des Verantwortlichen finden konnte).

In diesem Fall könnte man also durchaus so argumentieren, dass eine analoge Interpretation der jeweiligen kirchlichen Gesetze vorgenommen werden kann – und damit die Ausnahmeregelungen nicht dahingehend Ausnahmeregelungen sind, dass sie nur ausnahmsweise angewandt werden können, sondern in dem Sinn, dass sie eine Ausnahme darstellen, wenn die Übermittlung erforderlich ist und die genannten Bedingungen erfüllt. Dass die kirchlichen Aufsichten sich allerdings ohne Not eine dem Europäischen Datenschutzausschuss widersprechende (nach aktueller Debattenlage) Minderheitsmeinung zueigen machen, darf man wohl eher bezweifeln.

Fazit

Auch wenn die kirchlichen Gesetze die Drittlandsübertragungen bedeutend knapper regeln als die DSGVO: bei den Ausnahmeregeln gibt es in der fraglichen Sache zumindest auf Ebene des Wortlauts keine Abweichungen. Damit bestehen im kirchlichen Datenschutzrecht die gleichen Unwägbarkeiten, welche Interpretation nun zutrifft – und die Diskussion darüber ist noch offen, wie erste Reaktionen auf Hansen-Oests Artikel zeigen.

Auch wenn diese Interpretation keinen Freibrief darstellt – die Erforderlichkeit muss auch nach Hansen-Oests Auffassung mit einem strikten Maßstab geprüft werden: Es besteht doch etwas Hoffnung, dass hier eine etwas pragmatischere Handhabung von USA-Datenübertragungen möglich ist. Denn stattfinden tut sie sowieso.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.