Dortmund, 04.04.2023: Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 03.02.2023 einen Beschluss zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten, die nach Art. 28 DSGVO im Wege einer Auftragsverarbeitung im europäischen Wirtschaftsraum (EWR) verarbeitet werden, veröffentlicht. Der Beschluss ist auf der Website der DSK abrufbar.
Der Beschluss setzt sich mit Sachverhaltskonstellationen auseinander in denen Auftragsverarbeitungen personenbezogener Daten von im EWR ansässigen Tochtergesellschaften durchgeführt werden, deren Muttergesellschaft den Hauptsitz in einem Drittstaat hat. Der Beschluss kann von Verantwortlichen zur Beurteilung von allen Auftragsvereinbarungen über Datenverarbeitungen im EWR herangezogen werden. Das gilt insbesondere für Sachverhalte, in denen eine Drittlandsübermittlung in die USA aufgrund des CLOUD-Acts möglich erscheint.
Die DSK kommt zunächst zu dem Ergebnis, dass alleine die Gefahr einer Anweisung durch eine Drittlands-Muttergesellschaft an Ihre EWR-Tochtergesellschaft personenbezogene Daten in ein Drittland zu übermitteln, nicht genügt, um eine Übermittlung in ein Drittland i. S. d. Art. 44 ff. DSGVO anzunehmen. Gleiches gilt für Konstellationen, in denen öffentliche Stellen von Drittländern unmittelbar EWR-Unternehmen anweisen könnten personenbezogene Daten zu übertragen. Die DSK führt aber weiter aus, dass eine solche Gefahr dazu führen kann, dass Auftragsverarbeitern die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt, soweit nicht diese – oder auch der Verantwortliche – technische und/oder organisatorische Maßnahmen ergriffen haben, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt. Insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen anbelangt, im Speziellen auf der Grundlage von Verpflichtungen aus drittstaatlichem Recht. Dabei kann sich ein Verantwortlicher nicht auf bloße, gegebenenfalls vertragliche, Zusicherungen des Auftragsverarbeiters verlassen. Der Verantwortliche muss im Einzelfall prüfen, ob die Zusicherungen eingehalten werden. Eine Aufzählung der insbesondere durch den Verantwortlichen zu prüfenden Punkten kann dem Bescheid der DSK entnommen werden.
Die im Beschluss angeführten Überlegungen lassen sich auch auf das KDG übertragen. Katholische Einrichtungen sollten daher überprüfen, ob Auftragsverarbeiter die erforderliche Zuverlässigkeit aus § 29 Abs. 1 KDG gewährleisten können.