EU-US-Datenschutzrahmen im kirchlichen Datenschutz

Knapp drei Jahre nach Schrems II und dem damit erwirkten Aus für das EU–US Privacy Shield gibt es wieder eine Rechtsgrundlage für die einfache Übertragung von personenbezogenen Daten in die USA: Am Montag teilte die EU-Kommission mit, dass sie einen Angemessenheitsbeschluss für den neuen »Datenschutzrahmen EU-USA« (»EU-US Data Privacy Framework«) getroffen hat, der am Dienstag, 11. Juli, in Kraft tritt.

Ein Mann mit einer US-Flagge als Umhang wird von einer laufenden Frau mit US-Flagge verfolgt.
So ähnlich funktioniert Datenübertragung in die USA. (Bildquelle: Photo by frank mckenna on Unsplash)


Angemessenheitsbeschlüsse können grundsätzlich auch im Geltungsbereich der kirchlichen Datenschutzgesetze angewandt werden. Die ausführliche FAQ-Liste von Thomas Schwenke oder der Angemessenheitsbeschluss selbst können grundsätzlich für Datenübertragungen gemäß KDG und DSG-EKD herangezogen werden. Dennoch gibt es einige Besonderheiten in beiden Gesetzen.

Voraussetzung Selbstzertifizierung

Der Angemessenheitsbeschluss wurde nicht – wie bei anderen Ländern – für die USA generell getroffen. Er gilt nur für Unternehmen, die ein Selbstzertifizierungsverfahren durchlaufen. Der Angemessenheitsbeschluss allein schafft also noch keine Rechtsgrundlage für die Datenübertragung. Es muss zunächst sichergestellt werden, dass das Unternehmen, an das Daten übertragen werden sollen, diese Selbstzertifizierung vorweisen kann. Dazu gibt es eine die Webseite dataprivacyframework.gov der US-Export-Behörde International Trade Administration. Momentan sind naturgemäß noch keine Unternehmen gelistet. Auf den Datenschutzrahmen kann man sich erst berufen, wenn es so weit ist.

Angemessenheitsbeschlüsse im kirchlichen Datenschutzrecht

Im KDG

Im katholischen Datenschutzgesetz regelt § 40 Abs. 1 KDG die Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses, sowohl für Verantwortliche wie für Auftragsverarbeiter. Die Übermittlung ist unter zwei Bedingungen zulässig:

  1. wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt – das ist jetzt für Unternehmen mit Datenschutzrahmen-Zertifizierung gegeben.
  2. wenn dieser Beschluss wichtigen kirchlichen Interessen nicht entgegensteht – diese Regelung ist unklar und wird nirgends im Gesetz weiter ausgeführt.

Auch die Kommentarliteratur kann zu den wichtigen kirchlichen Interessen nichts Näheres sagen. Die Norm stelle sicher, »dass eine Kommissionsentscheidung keinen
Automatismus innerhalb des kirchlichen Datenschutzes entfaltet«, schreibt Andreas Braun (in: Sydow, Kirchliches Datenschutzrecht, § 40 Rn. 6). Wer und wie allerdings einen Widerspruch zu »wichtigen kirchlichen Interessen« feststellt, bleibt unklar – ohne explizite Aufgabenzuweisung kommt kaum eine andere Stelle als der jeweilige Diözesanbischof in Frage. In der Praxis dürfte diese Einschränkung aber wenig praxisrelevant sein (so auch Braun an selber Stelle), da Anwendungsfälle schwer zu konstruieren scheinen.

Über Drittlandübertragungen ist zusammen mit Angaben zum Angemessenheitsbeschluss zu informieren (§ 15 Abs. 1 lit. f) KDG), es besteht ein Auskunftsrecht darüber (§ 17 Abs. 2 KDG), im Verarbeitungsverzeichnis sind sie aufzuführen (§ 31 Abs. 1 f), Abs. 2 lit. c) KDG). Die Aufsicht kann die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland anordnen, um einen rechtmäßigen Zustand wiederherzustellen oder Gefahren für personenbezogene Daten abzuwehren (§ 47 Abs. 5 lit. e) KDG). Solange der Angemessenheitsbeschluss besteht, kann das eher nicht greifen, da ein rechtmäßiger Zustand besteht.

Bei den Orden päpstlichen Rechts gilt dasselbe: Die KDR-OG ist in den entsprechenden Stellen bei gleicher Nummerierung wortgleich.

Im DSG-EKD

Das evangelische Datenschutzrecht regelt die Datenübermittlung an und in Drittländer oder an internationale Organisationen per Angemessenheitsbeschluss in § 10 Abs. 1 Nr. 1 DSG-EKD, der auch auf Auftragsverarbeitung anzuwenden ist (§ 30 Abs. 2 DSG-EKD). Im evangelischen Datenschutzrecht gibt es also keinen Vorbehalt für kirchliche Interessen.

Dafür haben die Datenschutzaufsichten ein weiteres Instrument zur Verfügung. Grundsätzlich müssen sie den Angemessenheitsbeschlüsse als Rechtsgrundlage akzeptieren. Haben sie aber Zweifel daran und halten sie einen Angemessenheitsbeschluss für rechtswidrig, können sie gemäß § 44 Abs. 4 DSG-EKD ihr Verfahren aussetzen und einen Antrag auf gerichtliche Entscheidung stellen, der grundsätzlich gemäß § 21 BDSG abläuft, sofern dem nicht Besonderheiten der kirchlichen Verwaltungsgerichtsordnung entgegenstehen. (Im Ergebnis dürfte das wohl vor allem bedeuten, dass nicht das Bundesverwaltungsgericht, sondern der kirchliche Verwaltungsgerichtszug zuständig ist.) Fraglich ist, ob die Aufsichtsbefugnis, die Aussetzung von Drittlandübertragungen anzuordnen (§ 44 Abs. 3 Nr. 3 DSG-EKD), mit Blick auf die explizite Regelung von Rechtszweifeln bei Angemessenheitsbeschlüssen überhaupt angewendet werden kann.

Leichte Zweifel deuten sich schon an: Als erste kirchliche Aufsicht hat der DSBKD zum Angemessenheitsbeschluss Stellung bezogen: »Ob dieser Angemessenheitsbeschluss einer gerichtlichen Prüfung durch den EuGH standhalten wird, bleibt abzuwarten.« Wenn er allerdings schreibt, der Beschluss werde »es verantwortlichen Stellen nicht einfacher machen, im konkreten Fall den nach § 5 Abs. 2 DSG-EKD geforderten Nachweis einer datenschutzkonformen Verarbeitung zu erbringen«, ist das weniger dramatisch als es klingt: Solange der Angemessenheitsbeschluss nicht angefochten wird, ist zumindest die Datenübertragung grundsätzlich zulässig – der erwähnte Nachweis muss ohnehin bei allen Verarbeitungen erbracht werden.

Im Verarbeitungsverzeichnis sind Angaben zu Drittlandübertragungen aufzuführen (§ 31 Abs. 1 Nr. 6, Abs. 2 Nr. 3 DSG-EKD). Informationspflicht und Auskunftsrecht gibt es anders als im KDG und in der DSGVO nicht explizit für Drittlandübertragungen; anzugeben sind aber allgemein »Empfänger oder Kategorien von Empfängern« hinaus. Im Zuge einer europarechtskonformen Auslegung dieser Bestimmung sollte man aber erwägen, Drittlandübertragungen dennoch aufzuführen und zu beauskunften.

Fazit

Sobald erste Unternehmen sich selbst zertifiziert haben, können auch auf der Grundlage des neuen EU-US-Datenschutzrahmens Daten kirchlicher Verantwortlicher wieder einfach in die USA übertragen werden. (Verarbeitungsverzeichnis, Auftragsverarbeitungsverträge und gegebenenfalls Datenschutzinformationen anpassen nicht vergessen!)

Die Unwägbarkeiten im katholischen Datenschutzrecht sind verkraftbar: Es gibt keine Anhaltspunkte, dass der Angemessenheitsbeschluss wichtigen kirchlichen Interessen entgegensteht. Im evangelischen Bereich wäre es zwar denkbar, dass eine Aufsicht Zweifel an der rechtlichen Zulässigkeit äußert – aber dann bleibt das Verfahren zunächst ausgesetzt. Ein Restrisiko bleibt vor allem durch eine gerichtliche Überprüfung: NOYB hat schon eine Klage angekündigt, die in Schrems III münden könnte. In einem Jahr will die EU-Kommission auch erstmals den Angemessenheitsbeschluss evaluieren – dort dürfte die Lust aber gering sein, den mühsam erzielten Erfolg selbst zu torpedieren.

Äußerungen kirchlicher Datenschutzaufsichten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert