Am 16. Juli 2020 verkündete der EuGH das „Schrems II“-Urteil, mit der Erklärung, dass das Datenschutzabkommen „Privacy Shield“ unzulässig ist. Auch die Standardvertragsklauseln der EU-Kommission wurden in diesem Urteil thematisiert.

Das Urteil hat massive Auswirkungen für weltliche Unternehmen und Einrichtungen (wir berichteten), macht aber auch vor Religionsgemeinschaften nicht halt. Auch in diesen werden zunehmend Software und Dienstleistungen aus den USA genutzt. Verantwortliche, die die Übermittlung personenbezogener Daten bisher auf das ungültige Datenschutzabkommen gestützt transferiert haben, müssen kurzfristig handeln. Es gibt keine Übergangfrist nach der Verkündung des Urteils, die Rechtsfolgen sind am 16. Juli 2020 eingetreten. Datenübermittlungen in die USA, die ausschließlich auf das Privacy Shield gestützt waren, sind daher bereits jetzt rechtswidrig.

Der Diözesandatenschutzbeauftragte (Erzbistum Hamburg, Bistümer Hildesheim und Osnabrück sowie Bischöflich Münstersches Offizialat in Vechta i. O.) stellte zudem klar, dass auch der Rückgriff auf die Standardvertragsklauseln für die USA nicht (mehr) möglich sei. Wie der Ausstieg ohne Störung des laufenden Betriebs möglich ist, wird derzeit untersucht.

Auch der Beauftragte für den Datenschutz der evangelischen Kirche Deutschland (BfD EKD), prüft die Auswirkung des Urteils auf § 10 DSG-EKD. Der BfD EKD kündigte dabei an, seine Vorgehensweise mit den weltlichen Aufsichtsbehörden abzustimmen.

Die Verantwortlichen müssen nun nicht nur die Datenübermittlung in die USA, sondern in alle unsicheren Drittstaaten, d.h. grundsätzlich sämtliche Staaten außerhalb der EU/ des EWR überprüfen. Der Rückgriff auf die Standardvertragsklauseln ist nur nach einer positiven Einzelfallprüfung möglich. Regelmäßig wird der Dienstleister zusätzliche Maßnahmen treffen müssen. Ist ein Rückgriff auf die Standardvertragsklauseln ausgeschlossen, muss geprüft werden, ob andere Rechtsgrundlagen ein entsprechenden Datenschutzniveau gewährleisten können.

| | | , , , ,