Die Beauftragten für den Datenschutz in der EKD äußern sich anlässlich der Entscheidung „Schrems II“ des EuGH, mit der der Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes für ungültig erklärt wird. Weitere Informationen sind ebenfalls der Pressemitteilung des EuGH zu entnehmen.
Der Europäische Gerichtshof (EuGH) hat mit seiner Entscheidung „Schrems II“ vom 16.07.2020 den Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US-Privacy Shield gebotenen Schutzes für ungültig erklärt. Der EuGH hat seine Entscheidung damit begründet, dass die amerikanischen Behörden nach dem Recht der USA auf solche Daten, die aus der EU in das Drittland USA übermittelt werden, zugreifen und sie verwenden dürfen. Zudem gebe es keinen wirksamen Rechtsschutz. Die Übermittlung von personenbezogenen Daten in die USA oder andere Drittländer sei nur möglich, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleiste und es eine effiziente Möglichkeit gebe, seine Rechte geltend zu machen. Gleichzeitig hat der EuGH festgestellt, dass der Datentransfer unter diesen Bedingungen aber weiterhin auf Standardvertragsklauseln gestützt werden könne. Voraussetzung dafür sei allerdings, dass die Verantwortlichen den ihnen nach den Klauseln obliegenden Verpflichtungen nachkommen.
Das bedeutet, dass sich die datenexportierenden kirchlichen und diakonischen Stellen nun dauerhaft mit der Gesetzeslage im Zielland auseinandersetzen müssen. In der Konsequenz ist eine Datenübermittlung in die USA unter dem EU-US-Privacy Shield rechtswidrig. Auch bei der Datenübermittlung in die USA nach Standardvertragsklauseln besteht ein erhebliches rechtliches Risiko. Der EuGH hat festgestellt, dass zur Zeit das Datenschutzniveau in den USA nicht dem in der EU entspreche und dass es dort keinen effektiven Rechtsschutz für EU-Bürger gebe. Datenübermittlungen in die USA tragen daher ein erhebliches Haftungsrisiko in sich.
Als Konsequenz der Entscheidung des EuGH müssen sich die Datenschutzaufsichtsbehörden untereinander nun dazu abstimmen, um eine einheitliche Rechtsanwendung zu erreichen. Die Entscheidung des EuGH wirft bei kirchlichen und diakonischen Stellen, den betroffenen Personen und den Aufsichtsbehörden Fragen auf. Ziel unserer weiteren Bemühungen ist es, zu einer einheitlichen Vorgehensweise mit den Datenschutzaufsichtsbehörden in Deutschland zu kommen.
Hannover, den 24. Juli 2020
Die Beauftragten für den Datenschutz in der EKD