EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

Die Konferenz der Beauftragten für den Datenschutz in der EKD  hat eine Gemeinsame Stellungnahme zur Datenübermittlung in die USA veröffentlicht. Dass eine gemeinsame Stellungnahme in Arbeit ist, wurde bereits vor zwei Wochen durch die verspätete Veröffentlichung einer Position des Datenschutzbeauftragten für Kirche und Diakonie bekannt und löst den selbst gegebenen Abstimmungsauftrag aus der Stellungnahme aus dem Juli des vergangenen Jahres ein..

Ein Verriegelungsknopf an einem Oldtimer, im Hintergrund eine US-Flagge.
Symbolbilder für Drittlanddatenübertragungen sind ohnehin alle Unsinn, warum also nicht das, das immerhin einen Knopf an einem Auto zeigt? (Photo by Nick Fewings on Unsplash)

Inhaltlich ist die nun für den gesamten landeskirchlichen Bereich abgestimmte Stellungnahme fast keine Überraschung: Im wesentlichen wird das in § 10 Abs. 2 DSG-EKD festgelegte Verfahren zur Drittlandsdatenübermittlung ohne Angemessenheitsbeschluss und Standarddatenschutzklauseln vorgestellt, dazu kommt eine detaillierte Geschichte der Datenübermittlung in die USA, eine Erörterung des Marktortprinzips der DSGVO und ein Überblick über die durch den CLOUD-Act erzeugten Probleme – die eine kleine Überraschung: Die Antwort auf die Frage, ob das DSG-EKD wie Art. 49 DSGVO nur ausnahmsweise Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss normiert.

Standarddatenschutzklauseln

Die gute Nachricht: In die Tiefen von § 10 Abs. 2 DSG-EKD, dem DSG-EKD-Äquivalent zu den Ausnahmen für bestimmte Fälle aus Art. 49 DSGVO,  muss man nicht notwendig. »Standarddatenschutzklauseln, die von der Europäischen Kommission erlassen wurden, können ohne weitere Genehmigung durch die Aufsichtsbehörden gemäß § 2 Abs. 1 Nr. 2 DSG-EKD als Grundlage für Übermittlungen personenbezogener Daten in Drittländer und an internationale Organisationen genutzt werden, wenn sie im Wesentlichen unverändert in die zugrundeliegenden Verträge übernommen werden«, hält die Konferenz fest.

Dabei wird auch die Kritik des EuGH an den Standarddatenschutzklauseln erwähnt, die schließlich nur die Vertragspartner*innen, nicht das Drittland, binden können. Zusätzliche angemessene Schutzmaßnahmen müssen also ergriffen und ständig überprüft werden. Die Konferenz macht sich dabei die Empfehlungen 01/2020 und 02/2020 des Europäischen Datenschutzausschusses zum Thema zu eigen.

Einwilligungen und Ausnahmeregeln

Interessant ist die Bewertung von Einwilligungen: Der DSB für Kirche und Diakonie hatte noch den Ausnahmecharakter in Einklang mit der DSGVO betont, indem er § 10 Abs. 1 DSG-EKD als »Grundregel« bezeichnete, die durch die regelmäßige Anwendung von Abs. 2 »ad absurdum« geführt werden könne. Die Stellungnahme der Konferenz nimmt nun ernst, dass das DSG-EKD anders aufgebaut ist und die entsprechenden Normen an anderer Stelle ohne eine Kennzeichnung als Ausnahmetatbestände platziert hat: »In der DSGVO ist die Einwilligung in Art. 49 jedoch im Gegensatz zu § 10 Abs. 2 Nr. 1 DSG-EKD als Ausnahmetatbestand überschrieben«, heißt es in der Stellungnahme.

Ein Freibrief dafür, die Ausnahme zur Regel zu machen, ist das aber zumindest für Einwilligungen nicht. Wie immer bleibt die Arbeit mit Einwilligungen kompliziert und risikobehaftet: »Bezüglich der Einwilligung nach § 10 Abs. 2 Nr. 1 DSG-EKD ist zu beachten, dass diese im Beschäftigtendatenschutz nur schwer umzusetzen ist. Auch bei einer Übermittlung, die eine Vielzahl von Personen betrifft, wäre die Widerrufbarkeit der Einwilligung ein hoher Unsicherheitsfaktor. Die Einwilligung kommt also möglicherweise nur für einzelne Datenübermittlungen in Betracht, die eine überschaubare Anzahl von externen Personen betreffen (z.B. Veranstaltungen mit Externen).« (Zoom, ick hör dir trapsen.)

Fazit

Inhaltlich ist die Stellungnahme keine allzu große Überraschung, wer den Umgang mit Schrems II bisher verfolgt hat, dürfte auf der Suche nach rechtskonformen Drittstaatenübermittlungen bereits so wie beschrieben abwickeln.Die enge Orientierung am Wortlaut bei § 10 Abs. 2 DSG-EKD im Vergleich zum mit »Ausnahme« überschriebenen Art. 49 DSGVO ist interessant und keineswegs selbstverständlich, wie auch die alte Position der ostdeutschen Aufsicht zeigt – noch im Mai hatte ich anlässlich von Diskussionen, wie ausnahmsweise diese Ausnahmen sein müssen, prognostiziert, dass kirchliche Aufsichten dem DSGVO-Einklang im Zweifel den Vorrang vor einer Auslegung eng am eigenen Wortlaut geben würden. Für den katholischen Bereich kann man hier keine Schlüsse ziehen: § 41 KDG ist mit »Ausnahmen« überschrieben.

2 Gedanken zu „EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO

  1. Erik Kahnt

    Guten Tag Herr Neumann und vielen Dank für den Artikel.
    bitte erlauben Sie den Hinweis, dass, wie ich vermute, im Absatz unter der Überschrift „Standarddatenschutzklauseln“ die genannte Rechtsquelle § 10 statt § 2 gemeint ist und stehen sollte (den Hinweis können Sie gern umgehend löschen, wenn hier meinerseits ein Irrtum vorliegt oder Sie es korrigieren konnten).

    Den Titel Ihres Artikels „EKD-Aufsichten zu Schrems II – Weniger ausnahmsweise als Art. 49 DSGVO“ finde ich gelungen. So könnte bei Ihren Lesern das Interesse steigen, sich mit der „Ausnahme“ nach Art. 49 Abs. 1 lit. a DSGVO tatsächlich etwas eingehender zu beschäftigen, wie es der EDSA bereits 2018 ausführlich getan hat. Mir scheint, dass die ev. Kirchen mit § 10 Abs. 2 DSG-EKD den Stellenwert der umfassend informierten, also ausdrücklichen Einwilligung als Kernstück des Grundrechts auf informationelle Selbstbestimmung auch im Fall der Akzeptanz einer Übermittlung unter Verzicht auf die empfohlenen Schutzmaßnahmen mit großer Klarheit formuliert haben. Bisher habe ich zur DSGVO keine Veröffentlichung finden können, in der rezipiert wurde, wie genau die „Ausnahmen für bestimmte Fälle internationaler Übermittlungen“ in Erwägungsgrund 111 schlussendlich Eingang in den Verordnungstext des Art. 49 DSGVO gefunden haben. Die Einwilligung nach Art. 49 Abs.1 lit a DSGVO ist gemäß dem EDSA-Papier von 2018 explizit von den „Ausnahmefällen“ ausgenommen. Kaum jemand bemerkt bisher, dass die Überschrift zu einem Gesetzestext oder Verordnungstext selbst nicht(!) zum Gesetzestext oder Verordnungstext gehört, sondern „nur“ zur Orientierung und als Auslegungshilfe dient (siehe Handbuch der Rechtsförmlichkeit). Gesetzestext ist nur, was zwischen den Überschriften steht, fortlaufend strukturiert durch Artikel und Paragrafen. Insofern sind die meisten Kommentare zu Art. 49 DSGVO „über das Ziel hinausgeschossen“ wenn sie die Überschrift dem Gesetzestext gleichstellen, zumal, wie bereits gezeigt, dies im Falle der Einwilligung nach Art. 49 Abs. 1 lit a „nicht funktioniert“. Die Überschrift zu Art. 49 DSGVO ist als Auslegungshilfe derzeit nicht präzise genug. Auch deshalb stellen m.E. die Veröffentlichungen der ev. Aufsichtsbehörden eine deutlich differenziertere Auseinandersetzung mit der Materie dar ohne es zu versäumen, auf die besonders hohen Anforderungen und Gefahren hinzuweisen.

    Antworten
    1. Felix Neumann Beitragsautor

      Vielen Dank für die Korrektur – das war tatsächlich falsch, ist bereits korrigiert.

      Vielen Dank auch die Anmerkungen. Die Position der evangelischen Datenschutzkonferenz finde ich überzeugend und angemessen abwägend; eine reine Ausnahmeregelung wäre für den kirchlichen Bereich mit seinen vielfältigen weltkirchlichen und internationalen Bezügen auch völlig unpraktisch. Insofern finde ich hier auch die Formulierung des DSG-EKD gelungener als bei der DSGVO.

      Es wundert mich auch, dass die Frage nach den Ausnahmen bisher so sehr an der Überschrift hängt und das Referat von EuGH-Richter Thomas von Danwitz beim diesjährigen Europäischen Datenschutztag zum Thema auf so große Überraschung gestoßen ist. (Auf diese Diskussion habe ich danach auch hier im Blog geschaut.)

      Antworten

Schreiben Sie einen Kommentar zu Felix Neumann Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert