Drücke "Enter", um den Text zu überspringen.

Position – C-311/18, Schrems II, Drittlandübermittlung

Donnerstag, 10. Juni 2021

Kirchliche Position gemäß EKD-Datenschutzgesetz zur Datenübermittlung in Drittstaaten nach geltendem Recht und der Rechtsprechung des EuGH

Der Datenschutzbeauftragte für Kirche und Diakonie wirkt aktuell mit an der Erstellung einer gemeinsamen Stellungnahme der verschiedenen Aufsichtsbehörden innerhalb der EKD, die in der gemeinsamen Datenschutzkonferenz verbunden sind. Thema der Stellungnahme ist die Darstellung der gemeinsamen Position der Datenschutzkonferenz zur Frage der Datenübermittlung in Drittstaaten und an internationale Organisationen gemäß aktueller Rechtslage unter Einbeziehung der EuGH Entscheidung C-311/18 „Schrems II“

Aufgrund der zahlreichen Anfragen seitens verantwortlicher kirchlicher Stellen aus dem Zuständigkeitsbereich wird im Folgenden die vorläufige Position des „Datenschutzbeauftragten für Kirche und Diakonie“ als zuständige Aufsichtsbehörde für den Datenschutz gemäß Kapitel 6 DSG-EKD für die Evangelisch-Lutherische Landeskirche Sachsens, die Evangelische Landeskirche Anhalts, das Diakonische Werk der Evangelisch-Lutherischen Landeskirche Sachsens und das Diakonische Werk Evangelischer Kirchen in Mitteldeutschland dargestellt.

Mit diesem Dokument wird unter Berücksichtigung der spezifischen kirchengesetzlichen Regelungen zum Datenschutz weitestgehende Übereinstimmung (Kohärenz) angestrebt.

So wird verständlich, weshalb entschieden wurde die Veröffentlichungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) für dieses Dokument zu nutzen und auf kirchenspezifische Belange, z.B. Verweise ins kirchliche Datenschutzrecht, anzupassen.

Praktische Auswirkungen der Rechtsprechung des EuGH auf den internationalen Datentransfer (Rechtssache C-311/18 „Schrems II“)

Der Europäische Gerichtshof hat mit dem genannten Urteil klargestellt, dass personenbezogene Daten von EU Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint.

Jede verantwortliche Stelle in Kirche und Diakonie im Sinne des kirchlichen Datenschutzrechts (DSG-EKD) ist seit dem Urteil des EuGH verpflichtet, ihre Datenübermittlungen in Drittländer und die hierfür genutzte Grundlage nach § 10 DSG-EKD zu überprüfen.

Für Datenübermittlungen in die USA, wenn nötig ggf. auch für Datenübermittlungen in weitere Drittländer, ist mit zusätzlichen Maßnahmen sicherzustellen, dass die personenbezogenen Daten auch im jeweiligen Drittland stets angemessen geschützt sind. In diesem Lichte sind auch die Zulässigkeitsvoraussetzungen nach § 10 Abs 2 DSG-EKD anzuwenden, wenn festgestellt wird, dass im Zielland der Datenübermittlungen kein angemessenes Schutzniveau gegeben ist.

Auch wenn das informationelle Selbstbestimmungsrecht eines jeden Bürgers und einer jeden Bürgerin einschließt, dass diese das unabdingbare Grundrecht ausüben können (müssen), mittels einer ausdrücklichen, umfassend informierten Entscheidung (Einwilligung nach § 10 Abs. 2 Nr. 1 DSG-EKD) zu bestimmen, dass ihre persönlichen Daten für den bestimmten Fall der betreffenden Datenübermittlung bzw. Reihen von Datenübermittlungen in ein „unsicheres“ Drittland übermittelt werden sollen, dürfen verantwortliche kirchliche Stellen diese Möglichkeit nicht zur Regel machen, die durch § 10 Abs. 1 definiert ist.

Als wesentlicher Baustein für eine strukturierte Überprüfung der Rechtmäßigkeit des Datentransfers in Drittländer wird durch das Prüfschema (siehe weiter unten) gegeben. Diese Überprüfungen müssen (Stand heute) bereits umgesetzt sein bzw. fortlaufend umgesetzt werden.

Der Europäische Gerichtshof hat mit dem Tag der Urteilsverkündung am 16. Juli 2020 klargestellt, dass keine Übergangsfrist besteht.

Das Ergebnis der Zulässigkeitsprüfung muss nachvollziehbar und überprüfbar dokumentiert werden, wie es Verantwortlichen etwa aus der Datenschutzfolgenabschätzung bekannt ist. Auch der Europäische Datenschutzausschuss hat bereits Hilfestellungen für die Umsetzung der Anforderungen des Schrems II Urteils erarbeitet, hierzu zählen die FAQs zum Schrems II Urteil, sowie die Empfehlungen zu den „zusätzlichen Maßnahmen“ (Supplementary measures).

Schrems II – Urteil des EuGH (Urteil v. 16. Juli 2020, C-311/18) – Kernaussagen –

Die Kernaussagen wurden im Original vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt und vom Datenschutzbeauftragten für Kirche und Diakonie auf die Belange des kirchlichen Datenschutzrechts angepasst mit dem Ziel der einheitlichen Anwendung geltenden Datenschutzrechts.

  1. Der EuGH erklärt das Privacy Shield für unwirksam (Rn. 201), hält aber die Standardvertragsklauseln aufrecht (Rn. 149).
  2. Für die Bewertung der Wirksamkeit dieser Rechtsakte der EU Kommission ist allein das EU Recht einschlägig.
  3. Für die geeigneten Garantien nach § 10 Abs. 2 DSG-EKD (Standarddatenschutzklauseln) greift im Hinblick auf den Schutz vor Zugriffen durch Sicherheitsbehörden der gleiche Standard wie bei Angemessenheitsentscheidungen („essential equivalence“, § 10 Abs. 1 DSG-EKD). (Rn. 96)
  4. Die Prüfung und Bewertung dieser geeigneten Garantien muss daher folgende Umstände berücksichtigen:
  • die Regelungen der geeigneten Garantien selbst, also z.B. die Standardvertragsklauseln (Rn. 104);
  • alle relevanten Aspekte des Rechts des betreffenden Drittstaates im Hinblick auf den Zugriff auf die dorthin übermittelten personenbezogenen Daten durch Sicherheitsbehörden (Rn. 104);
  • die jeweiligen konkreten Umstände der Datenübermittlung inklusive ggf. vom Datenexporteur zu ergreifende zusätzliche Garantien (Rn. 121, 132, 146).
  1. Die von der EU-Kommission erlassenen Standardvertragsklauseln an sich sind weiterhin wirksam.
  • Es besteht keine Verpflichtung der EU-Kommission beim Erlass von Standardvertragsklauseln das Datenschutzniveau von Drittstaaten zu überprüfen (Rn. 130).
  • Der EuGH betont vielmehr die Verantwortung des Datenexporteurs, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen (Rn. 134) und geeignete Garantien für den Schutz der in ein Drittland übermittelten Daten vorzusehen (Rn. 131).
  • Dabei kann es erforderlich sein, über die Standardvertragsklauseln hinaus ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen (Rn.133 f.).
  1. Der Datenexporteur ist verpflichtet die Datenübermittlung auszusetzen oder zu beenden, wenn der Schutz der übermittelten Daten auch durch zusätzliche Maßnahmen nicht hinreichend sichergestellt werden kann (Rn. 135).
  2. Den Aufsichtsbehörden kommt eine sehr gewichtige Rolle bei der Anwendung von geeigneten Garantien wie der Standardvertragsklauseln zu.
  • Die Aufsichtsbehörden sind verpflichtet, die Anwendung der geeigneten Garantien zu prüfen, insbesondere auch, wenn eine Beschwerde gegen einen Datentransfer auf der Grundlage einer geeigneten Garantie eingelegt wird, die die Wirksamkeit einer Angemessenheitsentscheidung der EU Kommission anzweifelt. (Rn. 120)
  • Die Aufsichtsbehörden müssen gemäß § 44 Abs. 3 Nr. 3 DSG-EKD die Datenübermittlung verbieten oder ihre Aussetzung anordnen,
    • wenn keine gültige Angemessenheitsentscheidung der EU Kommission vorliegt,
    • weder die geeignete Garantie noch zusätzliche Maßnahmen den Schutz der in ein Drittland übermittelten Daten hinreichend sicherstellen
    • und der Datenexporteur die Datenübermittlung nicht selbst aussetzt oder beendet (Rn. 135+146). (Rn. 121)
    • und wenn keine der Voraussetzungen nach § 10 Abs. 2 DSG-EKD eine Rechtmäßigkeit der Datenübermittlung begründen kann
  1. Die Aufsichtsbehörden sind bei ihrer Bewertung des im Drittland bestehenden Schutzniveaus an gültige Angemessenheitsentscheidungen der EU Kommission gebunden (Rn. 117 f.). Daher befasst sich der EuGH mit den vom irischen Highcourt vorgelegten Fragen zum Privacy Shield (Rn. 156+160) und erklärt die betreffende Angemessenheitsentscheidung aus den folgenden Gründen für unwirksam (Rn. 201):
  • Die Gesetze, auf deren Grundlage amerikanische Sicherheitsbehörden auf die in die USA übermittelten personenbezogenen Daten zugreifen können (Section 702 FISA/E.O. 12333), beschränken Art. 7 und Art. 8 der EU-Grundrechtecharta unverhältnismäßig und verstoßen gegen Art. 52 (1) S. 2 der EU-Grundrechtecharta. (Rn. 184 f.)
    • Zum Einen wird der Zugriff auf die personenbezogenen Daten von Nicht-Amerikanern nicht beschränkt.
    • Zum Anderen werden Nicht-Amerikanern keine durchsetzbaren Rechte gegen diese Zugriffe gewährt.
  • Es besteht kein Rechtsschutz gegen die Zugriffe durch die amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügt (Rn. 199).
    • Gegen Zugriffe auf der Basis der E.O. 12333 besteht keinerlei Rechtsschutz (Rn. 191).
    • Der Ombudsmechanismus kann den Umstand, dass weder die PPD-28 im Hinblick auf Section 702 FISA noch der E.O.12333 Nicht-Amerikanern einen wirksamen Rechtsbehelf gewähren, nicht ausgleichen (Rn. 197), da die Ombudsperson nicht unabhängig (Rn. 195) und nicht ermächtigt ist, gegenüber den US Nachrichtendiensten verbindliche Entscheidungen zu treffen (Rn. 196).
  1. Der Umstand, dass das Privacy Shield für unwirksam erklärt wird, führt nicht zu einem rechtlichen Vakuum, da in § 10 DSG-EKD klar geregelt ist, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss vorliegt noch geeignete Garantien bestehen (Rn. 202)
  2. Hinzuweisen ist in diesem Zusammenhang auf spezialgesetzlich Regelungen, welche ein höheres Datenschutzniveau fordern können. Für Adressaten solcher Regelungen bedeutet das, dass solche speziellen Regelungen dem allgemeinen Recht nach DSG-EKD vorgehen können. Als Beispiel zu nennen wäre hier die Richtlinie 2002/58/EG in der durch die Richtlinie 2009/136/EG (E-Privacy-Richtlinie) geänderten Fassung und die Regelungen, welche im Entwurf des Telekommunikation-Telemedien-Datenschutz-Gesetz – TTDSG Gesetzeskraft erlangen können.

Prüfschema des Datenschutzbeauftragten für Kirche und Diakonie zur Überprüfung des Datentransfers in Drittländer

Das Prüfschema wurde im Original vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorgelegt und vom Datenschutzbeauftragten für Kirche und Diakonie auf die Belange des kirchlichen Datenschutzrechts angepasst mit dem Ziel der einheitlichen Anwendung geltenden Datenschutzrechts.

Datentransfers prüfenPrüfung der Datenverarbeitung in Bezug auf Übermittlung in Drittländer (Nicht-EWR-Staaten) bzw. dortige Offenlegung
Vorliegen Angemessenheitsbeschluss   Wenn ein Angemessenheitsbeschluss vorliegt, kann der Datentransfer ins Drittland durchgeführt werden.  Prüfung des Vorliegens eines Angemessenheitsbeschlusses
Schutzniveau im Drittland: EinzelfallanalysePrüfung, ob auf die übermittelten personenbezogenen Daten im Drittland beim Zugriff durch Sicherheitsbehörden ein im Wesentlichen gleichwertiges Schutzniveau besteht (für die USA vom EuGH verneint). Dabei sind die jeweiligen konkreten Umstände der Datenübermittlung einzubeziehen.
Prüfung SchutzmechanismusPrüfung des gewählten Schutzmechanismus nach § 10 DSG-EKD im Hinblick auf ein im Wesentlichen gleichwertiges Schutzniveau. Die Prüfung muss berücksichtigen, dass im konkreten Schutzmechanismus, z.B. in Standard-Datenschutzklauseln enthaltene, durchsetzbare Rechte und wirksame Rechtsbehelfe im Drittland auch durch wirksame Mechanismen praktisch zur Verfügung stehen müssen.  
Definierung zusätzlicher Maßnahmen   Wenn die Prüfung des Schutzmechanismus ergibt, dass er ein im Wesentlichen gleichwertiges Schutzniveau herstellt, kann der Datenstransfer durchgeführt werden.  Wenn die Prüfung des Schutzmechanismus ergibt, dass er allein kein im Wesentlichen gleichwertiges Schutzniveau sicherstellen kann, müssen zusätzliche Maßnahmen ergriffen werden.   Dieses hat der EuGH für Datentransfers in die USA bereits festgestellt. Zusätzliche Maßnahmen können grundsätzlich auf technischer, organisatorischer und/oder rechtlicher Ebene eingesetzt werden.
Implementierung zusätzlicher Maßnahmen 
Prüfung der Zulässigkeit nach § 10 Abs. 2 DSG-EKD§ 10 Abs. 2 DSG-EKD beinhaltet als Abweichung von der Regel, dass jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein  angemessenes Datenschutzniveau nach § 10 Abs. 1 DSG-EKD eine Liste (Nrn. 1 bis 6) von Rechtsgründen, die in ihrer Anwendung streng zu prüfen sind und eine Übermittlung auf deren Grundlage nur zulässig ist, wenn alle übrigen grundlegenden Anforderungen des Datenschutzrechts, ausgehend von den Datenschutzgrundsätzen, erfüllen sind.
DokumentationDie strukturierte Überprüfung der Rechtmäßigkeit des Datentransfers in Drittländer muss so dokumentiert sein, dass die Aufsichtsbehörde die Einhaltung der Bestimmung des § 10 DSG-EKD prüfen kann Sofern ein Verzeichnis von Verarbeitungstätigkeiten geführt wird, müssen Änderungen in dieses eingetragen werden. Erfüllung/Anpassung der Pflichten zur Transparenz (z.B. Datenschutzinformationen nach § 16 DSG-EKD)

Statement des Europäischen Datenschutzausschusses in der Rechtssache C-311/18 und Hinweis des Datenschutzbeauftragten für Kirche und Diakonie zur Auslegung § 10 Abs. 2 DSG-EKD

Der gesamte Text des Statements liegt nur in Englisch vor und ist abrufbar unter der folgenden URL: Erklärung zum Gerichtshof des Urteils der Europäischen Union in der Rechtssache C-311/18 – Datenschutzkommissar gegen Facebook Irland und Maximillian Schrems | Europäisches Datenschutzgremium (europa.eu)

Der Datenschutzbeauftragte für Kirche und Diakonie stimmt mit den genannten Ausführungen des Europäischen Datenschutzausschusses überein.

Wesentlich und ergänzend zu den vorherigen Ausführungen (Kernaussagen zum EuGH-Urteil und Prüfschema) enthält das Statement den Hinweis des EDPB auf seine Leitlinien für Ausnahmeregelungen in Art. 49 DSGVO und dass solche Ausnahmeregelungen von Fall zu Fall anzuwenden sind. Link zum Dokument in deutscher Sprache: edpb_guidelines_2_2018_derogations_de.pdf (europa.eu)

Diese Leitlinien sollen, soweit sie inhaltlich auf Regelungen in § 10 Abs. 2 DSG-EKD anwendbar sind,  maßgebend sein für verantwortliche kirchliche Stellen.

So muss bei der Anwendung der ausdrücklichen Einwilligung nach § 10 Abs. 2 Nr. 1 DSG-EKD sichergestellt werden, dass alle übrigen grundlegenden Anforderungen des Datenschutzrechts, ausgehend von den Datenschutzgrundsätzen nach § 5 DSG-EKD, erfüllt werden.

Die Anwendung der Zulässigkeitsvoraussetzungen nach § 10 Abs. 2 Nrn. 1-6 DSG-EKD für Datenübermittlungen in sogenannte unsichere Drittstaaten, zu denen nach dem EuGH Urteil derzeit auch die USA gehören, dürfen nicht dazu führen die in § 10 Abs. 1 DSG-EKD als Grundregel geltende Voraussetzung „ad absurdum“ zu führen, wonach jede Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen nur zulässig ist, wenn ein angemessenes Datenschutzniveau besteht.

Gemeinsame Stellungnahme der Konferenz der Beauftragten für den Datenschutz in der EKD zum „Schrems II“-Urteil des EuGH vom 16.07.2020

https://datenschutz.ekd.de/wp-content/uploads/2020/07/EuGH_Urteil_Stellungnahme.pdf

Die Kommentarfunktion ist deaktiviert, aber Trackbacks und Dingbacks sind offen.