Da hat die EU-Kommission fast eine Punktlandung hingelegt: Vor dem Auslaufen der Brexit-Übergangsregelung zum Datentransfer ins Vereinigte Königreich kam am Montag der Angemessenheitsbeschluss – das UK ist jetzt ein sicheres Drittland.
Damit ist auch eine unschöne Hängepartie vermieden, die sich die kirchlichen Gesetzgeber teilweise selbst eingebrockt haben. (Spoiler: Wie immer, wenn’s um Drittländer geht, sind es die Katholik*innen, die sich ein Bein gestellt haben.)
Was bisher geschah
Am 26. Dezember 2020 war ein Brexit-Abkommen da – in letzter Sekunde. Darin wurde für Datentransfers die interessante Lösung gewählt, nicht – wie eigentlich vorgesehen – ein angemessenes Datenschutzniveau festzustellen, stattdessen sollte für maximal sechs Monate (also bis Ende 2021) UK-Datentransfers nicht wie Drittlandstransfers behandelt werden. Anwender*innen des DSG-EKD (und ähnlich aufgebauter Normen, also grob der gesamte evangelisch-freikirchliche Bereich mit eigenem Datenschutzrecht) waren damit auf der sicheren Seite. Anwender*innen des KDG (und die Alt-Katholik*innen mit ihrer KDO) hatten bei Auftragsverarbeitung ein Problem: § 29 Abs. 11 KDG regelt, dass Auftragsverarbeitung »nur innerhalb der Mitgliedstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums« stattfinden darf, und das ist Großbritannien auch mit der Fiktion des Nicht-Drittlands nicht. Außerdem wäre auch eine Übermittlung auf Grundlage eines Angemessenheitsbeschluss der Kommission oder einer Datenschutzaufsicht möglich.
Die Aufsichten von römisch-katholischer und alt-katholischer Kirche haben daraufhin einen unterschiedlichen Weg eingeschlagen: Während die Konferenz der Diözesandatenschutzbeauftragten noch im Dezember einen (im Januar veröffentlichten) Beschluss gefasst hatte, für zunächst vier Monate ein angemessenes Datenschutzniveau anzuerkennen (und diesen Beschluss im April bis Ende Juni verlängert hatte), hat die Datenschutzaufsicht des Katholischen Bistums der Alt-Katholiken in Deutschland lediglich konstatiert, dass UK-Auftragsverarbeitung nach KDO datenschutzrechtlich nicht zulässig ist.
Was jetzt gilt
- Gemäß DSG-EKD ändert sich nichts – hier war auch während der kompletten Übergangsfrist UK-Datenübertragung wie nach der DSGVO zulässig. (Man darf sich nur nicht von der Aufsicht hinter die Fichte führen lassen, die dazu neigt, nicht alle Länder mit Angemessenheitsbeschluss aufzuzählen.)
- Gemäß KDG (und KDR-OG) ändert sich praktisch nichts – der Beschluss der Konferenz, der selbst ein angemessenes Datenschutzniveau festgestellt hat, ist mit dem Angemessenheitsbeschluss unnötig geworden. [Ergänzung, 29. Juni]Das haben auch die katholischen Aufsichten für NRW und den Norden bestätigt.[/Ergänzung]
- Gemäß alt-katholischer KDO ist Auftragsverarbeitung im UK ab sofort wieder zulässig – mit einem Angemessenheitsbeschluss werden die Kriterien von § 29 Abs. 11 KDO wieder erfüllt.
(Und das hier geschilderte komplizierte Spezialproblem, das so kompliziert ist, dass der*die geneigte Leser*in bei Interesse lieber im Original nachliest, fällt mit Angemessenheitsbeschluss auch komplett weg.)
Fazit
Ab jetzt ist die Rechtslage unter allen Datenschutzregimen solange der Angemessenheitsbeschluss gilt wieder einheitlich und wie zuvor – das dürfte die Arbeit erleichtern; das UK ist doch in mehr Vorgänge involviert, als man gemeinhin denkt (so verweist beispielsweise auch die Luca-App auf einen britischen Auftragsverarbeiter, so dass deren Einsatz nach alt-katholischer KDO sechs Monate lang wohl nicht möglich war – was jetzt nicht das schlimmste ist).
Für die Evaluierung des KDG sollte die Hängepartie aber eine Lehre sein: Warum in § 29 Abs. 11 ein strengeres Datenschutzniveau als in der DSGVO eingezogen wird, lässt sich aus kirchlichen Besonderheiten nicht erklären – hier sollte die Regelung der DSGVO angenähert werden.