Kirchliches Datenschutzgesetz
Verband der Diözesen Deutschlands (VDD), Häufig gestellte Fragen zum Kirchlichen Datenschutzgesetz (KDG)
Fragen und Antworten zur Meldung einer Datenschutzverletzung (PDF)
EU-US-Privacy-Shield Urteil vom 16. Juli 2020
Europäische Kommission erlässt neuen Angemessenheitsbeschluss für einen sicheren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA (Link zur Pressemitteilung). Weitere Informationen:
Das Kath. Datenschutzzentrum Frankfurt/M. hat weitere Informationen als Arbeitshilfen zu „Microsoft 365“ veröffentlicht.
Die wichtigsten Aktualisierungen betreffen die Veröffentlichung der neuen Standarddatenschutzklauseln der EU-Kommission.
Der Abschluss der neuen Standardvertragsklauseln für Datenexporte in Drittländer vom Juni 2021 (Link siehe unter "Weitere Informationen...") ohne angemessenes Datenschutzniveau allein genügt nicht automatisch, um personenbezogene Daten rechtmäßig in Länder außerhalb des Europäischen Wirtschaftsraums zu übermitteln. Die neuen Vertragsmuster enthalten zwar hilfreiche neue Garantien, es werden aber weiterhin ergänzende technisch und organisatorische Maßnahmen notwendig sein. Die Problematik der Einzelfallprüfung ist damit nicht gelöst. Hinzu kommt ein Umstellungsaufwand sämtlicher Altverträge.
Datenübermittlungen von personenbezogenen Daten in die USA, welche rechtlich bisher auf Grundlage des jetzt nicht mehr gültigen Datenschutzabkommens vorgenommen wurden, sind jetzt nicht mehr rechtmäßig. Es muss überprüft werden, inwiefern eine andere Rechtsgrundlage vorliegt und ggf. die Datenübermittlung gestoppt werden.
Nein. Zwar bezog sich das Datenschutzabkommen nur auf Datenübermittlungen der EU in die USA, jedoch betrifft das Abschließen von Standarddatenschutzklauseln jedes Drittland. Daher ist frühzeitig zu prüfen, inwiefern die Rechte der betroffenen Personen, insbesondere auf einen wirksamen Rechtsbehelf, und der damit verbundene Schutz der personenbezogenen Daten, in dem Drittland eingehalten werden können. Dabei ist - als Folge des Brexit - auch an eine Übermittlung personenbezogener Daten nach Großbritannien/Nordirland zu denken.
Mit der Verkündung des Urteils durch den Europäischen Gerichtshof am 16. Juli 2020 sind die Rechtsfolgen eingetreten. Es gibt keine Übergangsfrist.
Auch vor dem 16. Juli 2020 mussten Verantwortliche sich vor einer Datenübermittlung in ein Drittland davon überzeugen, dass die Bestimmungen des KDG in Bezug auf die Übermittlung der Daten im Drittland eingehalten werden können. Dies ist zumindest dann fraglich, wenn die Behörden im Drittland aufgrund dort geltenden Rechts einen relativ unbegrenzten Zugriff auf die Daten haben.
Überträgt man die Gründe des Urteils für die Ungültigkeit des Privacy Shield, dürfte es Verantwortlichen schwerlich gelingen, sich davon zu überzeugen und vertraglich wirksam zu vereinbaren, dass das Datenschutzniveau (insbesondere die Rechte betroffener Personen) bezogen auf die übermittelten Daten in den USA, dem der DS-GVO bzw. des KDG entspricht.
Als Alternative zur Übermittlung personenbezogener Daten in ein Drittland sollte überprüft werden, inwiefern eine Verarbeitung personenbezogener Daten bzw. die entsprechende Dienstleistung auch innerhalb der EU oder des EWR erbracht werden kann.
Externe Links:
Die Wahrscheinlichkeit, dass der Europäische Gerichtshof den Adäquanzbeschluss aufheben wird, ist recht hoch.
Falls das Datenschutzniveau im Drittland nicht dem der DS-GVO bzw. dem KDG entspricht, dürfen auch Standarddatenschutzklauseln nicht verwendet werden. Die Datenübermittlung ist solange auszusetzen bis ein der DS-GVO bzw. dem KDG entsprechendes Datenschutzniveau garantiert werden kann.
(Durchführungsbeschluss (EU) 2021/914 der EU-Kommission v. 04.06.2021 – Az. C(2021) 3972, ABl. EU Nr. L 199/31 vom 07.06.2021)