Dortmund, 13.07.2023: Mit dem Inkrafttreten des Beschlusses der EU-Kommission zur Vereinbarung der EU mit der US-Regierung zum EU-US Data Privacy Framework wird die Übermittlung personenbezogener Daten in die USA wieder erleichtert. Das EU-US Data Privacy Framework ist das Nachfolgeabkommen zu dem 2020 vom Europäischen Gerichtshof für nichtig erklärten Abkommen zum Privacy Shield.
Das kirchliche Datenschutzrecht eröffnet unter den Voraussetzungen des § 40 Abs. 1 KDG auch kirchlichen Stellen die Möglichkeit der Nutzung des neuen EU-US Data Privacy Framework.
Bei der Anwendung der neuen Regelung ist aber zu beachten, dass die Rahmenbedingungen eingehalten werden müssen, die das neue Abkommen selbst setzt. Dies betrifft vor allem die Notwendigkeit, dass sich US-Unternehmen für die Anwendung des Data Privacy Frameworks bei der zuständigen amerikanischen Stelle registriert haben müssen. Dies ist vom kirchlichen Verantwortlichen zu prüfen. Der Text des Beschlusses der EU-Kommission kann hier abgerufen werden.
Das Katholische Datenschutzzentrum weist in diesem Zusammenhang auf die grundsätzlich notwendigen Schritte zur Prüfung von Übermittlungen personenbezogener Daten in ein Land außerhalb des Geltungsbereiches der DSGVO durch die Verantwortlichen hin. Hier sind einmal die üblichen Voraussetzungen der Verarbeitung personenbezogener Daten zu prüfen, die auch bei Übermittlungen ohne Drittlandsbezug zu prüfen wären (z. B. bei einem Vertrag zur Auftragsverarbeitung mit einem Auftragsverarbeiter aus Deutschland). Es müssen also vor allem eine Rechtsgrundlage für die Verarbeitung der Daten vorhanden und die Voraussetzungen des § 29 KDG für eine Auftragsverarbeitung erfüllt sein. Liegen diese Voraussetzungen vor, sind bei der Übermittlung in ein Drittland außerdem die Voraussetzungen der §§ 39 ff. KDG zu prüfen. In diesem zweiten Prüfungsschritt hilft das neue Abkommen nach § 40 Abs. 1 KDG weiter, da es dem Verantwortlichen die Prüfung eines angemessenen Schutzniveaus für die Daten in dem Drittstaat (hier den USA) abnimmt und dies im Rahmen der Voraussetzungen des Data Privacy Framework feststellt.
Weitere Informationen zum neuen EU-US Data Privacy Framework stellt die EU-Kommission hier zur Verfügung.