24.07.2020 – Gemeinsame Stellungnahme der Konferenz der unabhängigen kirchlichen Aufsichtsbehörden für den Datenschutz in der EKD zum „Schrems II“ Urteil des EuGH vom 16.07.2020
Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung „Schrems II“ vom 16.07.2020 den Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US-Privacy Shield gebotenen Schutzes für ungültig erklärt.
Der EuGH hat seine Entscheidung damit begründet, dass die amerikanischen Behörden nach dem Recht der USA auf solche Daten, die aus der EU in das Drittland USA übermittelt werden, zugreifen und sie verwenden dürfen. Zudem gebe es keinen wirksamen Rechtsschutz. Die Übermittlung von personenbezogenen Daten in die USA oder andere Drittländer sei nur möglich, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleiste und es eine effiziente Möglichkeit gebe, seine Rechte geltend zu machen. Gleichzeitig hat der EuGH festgestellt, dass der Datentransfer unter diesen Bedingungen aber weiterhin auf Standardvertragsklauseln gestützt werden könne. Voraussetzung dafür sei allerdings, dass die Verantwortlichen den ihnen nach den Klauseln obliegenden Verpflichtungen nachkommen.
Das bedeutet, dass sich die datenexportierenden kirchlichen und diakonischen Stellen nun dauerhaft mit der Gesetzeslage im Zielland auseinandersetzen müssen. In der Konsequenz ist eine Datenübermittlung in die USA unter dem EU-US-Privacy Shield rechtswidrig. Auch bei der Datenübermittlung in die USA nach Standardvertragsklauseln besteht ein erhebliches rechtliches Risiko. Der EuGH hat festgestellt, dass zur Zeit das Datenschutzniveau in den USA nicht dem in der EU entspreche und dass es dort keinen effektiven Rechtsschutz für EU-Bürger gebe. Datenübermittlungen in die USA tragen daher ein erhebliches Haftungsrisiko in sich.
Als Konsequenz der Entscheidung des EuGH müssen sich die Datenschutzaufsichtsbehörden untereinander nun dazu abstimmen, um eine einheitliche Rechtsanwendung zu erreichen. Die Entscheidung des EuGH wirft bei kirchlichen und diakonischen Stellen, den betroffenen Personen und den Aufsichtsbehörden Fragen auf. Ziel unserer weiteren Bemühungen ist es, zu einer einheitlichen Vorgehensweise mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.
Die Beauftragten für den Datenschutz in der EKD