Was jetzt gilt:
Chemnitz, 17. Juli 2020: U.S.-amerikanischen Hersteller von Software und Diensten, welche personenbezogene Daten von Europa in die USA übertragen (wollen), müssen ein dem europäischen Datenschutz vergleichbares Sicherheitsniveau gewährleisten. So ist die Datenübertragung auch nach dem Urteil des EuGH möglich, wenn die von der EU-Kommission bestätigten EU-Standarddatenschutzklauseln (früher: Standardvertragsklauseln) akzeptiert und die darin formulierten Anforderungen von den Vertragspartnern nachweisbar umgesetzt werden.
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 16.07.2020 zur Übermittlung von personenbezogenen Daten durch Facebook Irland Ltd. von Europa auf Server in den USA festgestellt, dass solche Datenübermittlungen nach europäischem Datenschutzrecht unzulässig sind, wenn sie auf das EU-U.S. Privacy Shield Abkommen gestützt werden. Das EU-U.S. Privacy Shield hat der EuGH für unwirksam erklärt. Datenübermittlungen in die USA auf Grundlage des EU-US Privacy Shield (vgl. § 10 Abs. 1 Nr. 1 DSG-EKD) sind damit rechtswidrig.
Zulässig bleiben Datenübermittlungen in die USA auf der Grundlage von EU-Standarddatenschutzklauseln, die von der Europäischen Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 Datenschutz-Grundverordnung erlassen oder genehmigt worden sind. Diese Regel zur Zulässigkeit gilt gemäß § 10 Abs. 1 Nr. 2 DSG-EKD im Raum von Kirche und Diakonie.
Was jetzt zu tun ist:
Verantwortliche Stellen in den verfassten Kirchen als auch Träger und Einrichtungen der Diakonie unabhängig von ihrer Rechtsform haben jetzt die Aufgabe, das Urteil umzusetzen.
Datenübermittlungen in die USA finden statt z. B. bei Nutzung sozialer Netze (z. B. Facebook, Instagram, etc.) oder auch von Software amerikanischer Anbieter, die Daten, auch für eigene Zwecke, in die USA übermitteln. Auch TikTok als Dienst eines chinesischen Eigentümers verarbeitet nach eigenen Aussagen Daten der Nutzer auf Server-Infrastruktur in den U.S.A. Davon abgesehen gilt China als in Datenschutzfragen unsicheres Drittland, was eine Nutzung von chinesischen Diensten, die personenbezogene Daten von Europäern in China verarbeiten datenschutzrechtlich unzulässig macht.
Wenn verantwortliche kirchliche Stellen für Datenübertragungen in sogenannte unsichere Drittländer Software und Dienste nutzen und als Grundlage dafür die Anwendung von Standarddatenschutzklauseln im Zuge des Kaufs oder eines Abonnements mit dem jeweiligen Anbieter vereinbaren, müssen diese kirchlichen Stellen dokumentiert nachweisen können, dass sie den ihnen nach den Klauseln obliegenden Verpflichtungen nachkommen (§ 5 Abs. 2 DSG-EKD).
Was das für die Praxis bedeutet
Die datenexportierende Stelle (das ist die verantwortliche kirchliche Stelle und der Auftragsverarbeiter) muss sich dauerhaft mit der Gesetzeslage in den USA auseinandersetzen. Für jeden Datenexport ist regelmäßig zu überprüfen, ob der Auftragsverarbeiter und dessen Unterauftragnehmer (der Versendende wie auch der verarbeitende Empfänger) die Zusicherungen in den Vertragsklauseln einhalten kann oder ob lokale Gesetze dies verbieten.
Ergeben sich Hinweise, dass die Standarddatenschutzklauseln nicht mehr eingehalten werden können oder legen andere Erkenntnisse nahe, dass die Rechte der Betroffenen nicht gewährleistet werden können, dann ist die verantwortliche Stelle verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden.
Derzeit entspricht das Datenschutzniveau in den USA nicht dem in der EU. Zudem ist in den USA kein effektiver Rechtsschutz für EU-Bürger sichergestellt. Datenübermittlungen in die USA sind damit generell risikovoll.
Die verantwortliche kirchliche Stelle und ihre gesetzlichen Vertreter tragen in letzter Konsequenz unter anderem das rechtliche und finanzielle Risiko einer Datenschutzverletzung oder auch der nicht datenschutzrechtskonformen Verarbeitung personenbezogener Daten unter ihrer Verantwortung.
Perspektive der Datenschutzaufsichtsbehörde
Als Datenschutzaufsichtsbehörde für Kirche und Diakonie in unserem Aufsichtsbereich müssen wir unserer vordringlichen Aufgabe nachkommen und prüfen, ob und inwieweit die hohen Anforderungen des EuGH erfüllt werden. Wo die Voraussetzungen nicht erfüllt werden, kann der Datenaustausch durch die Aufsichtsbehörde gemäß ihrer Befugnis nach § 44 Abs. 3 Nr. 2 DSG-EKD untersagt werden.
Der EuGH hat mit diesem Urteil mehr Klarheit für den internationalen Datenverkehr mit der Europäischen Union geschaffen. Das dies an einem Fall zum Unternehmen Facebook erfolgt ist, macht die praktische Relevanz und Betroffenheit von Privatpersonen besonders deutlich.
Solange die USA die Grundrechte europäischer Bürger nicht in gleicher Weise gewährleisten und schützen, wie dies durch die europäischen Staaten innerhalb Europas sichergestellt ist, wird der Druck insbesondere auf U.S.-Unternehmen hoch bleiben, dass sie alle Verarbeitungen von Personendaten mit ihren Softwareanwendungen und Cloud-Diensten möglichst ausschließlich in europäischen Rechenzentren durchführen und für technisch unvermeidbare Übertragungen zur Sicherung der Funktionalität besondere Schutzmaßnahmen umsetzen und von unabhängiger Seite kontrollieren lassen.
Unser Datenschutzaufsichtsbehörde wird im Rahmen ihrer verfügbaren Ressourcen beratend unterstützen und die Entwicklung aufmerksam verfolgen. Zu gegebenen Anlässen werden weitere aktualisierte Stellungnahmen zum Thema veröffentlicht.