Eine Flagge der EU und eine Flagge der USA flattern nebeneinander im Wind
Kirchliche Datenschutzaufsichten arbeiten an Lösung

EuGH-Aus für Privacy Shield: Kirchen müssen US-Datenverarbeitung prüfen

Es war ein Paukenschlag mit Ansage: Der Europäische Gerichtshof hat das "EU-US Privacy Shield" gekippt – Rechtsgrundlage für eine Vielzahl von Datenübertragungen aus der EU in die USA. Das wird auch für kirchliche Stellen relevant.

Paderborn - 17.07.2020

Das aus einem Urteil des Europäischen Gerichtshofs folgende Ende des Datenschutz-Abkommens "EU-US Privacy Shield" hat auch Auswirkungen auf die Nutzung von Cloud-Software und Dienstleistungen in den USA durch kirchliche Stellen in Deutschland. Das bestätigte der Diözesandatenschutzbeauftragte der NRW-Bistümer Steffen Pau gegenüber katholisch.de. Die katholischen Diözesandatenschutzbeauftragten arbeiteten derzeit daran, "Hauptlinien und -argumente des Urteils des Europäischen Gerichtshofes herauszufiltern" und die Konsequenzen für die kirchlichen Einrichtungen und das Vorgehen der kirchlichen Aufsichtsbehörden zu koordinieren. Mit einem vollständigen Bild rechnet Pau "in den nächsten Tagen".

Auf Grundlage von "Privacy Shield" war es US-Unternehmen möglich, rechtskonform personenbezogene Daten von EU-Bürgern zu verarbeiten. Auch kirchliche Stellen nutzen häufig Dienste auf dieser Rechtsgrundlage. Zu den betroffenen Unternehmen gehören neben Facebook weitere Social-Media-Dienste sowie Anbieter von Cloud-Speichern und -Dienstleistungen wie Google, Amazon und Dropbox. "Diese Grundlage ist durch das Urteil des EuGH für ungültig erklärt worden und steht für den Datenaustausch mit den USA nicht mehr zur Verfügung", so Pau. Vom Einsatz von Facebook-Seiten durch kirchliche Stellen hatten die Diözesandatenschutzbeauftragten bereits nach einem früheren Urteil des EuGH im Jahr 2018 abgeraten. "Mit dem jetzigen Urteil kann auch das Privacy Shield nicht mehr als Grundlage für die generelle Datenverarbeitung herangezogen werden", ergänzt Pau.

Privacy Shield von Beginn an in der Kritik

Auf das Risiko, dass der EuGH die Regelungen des Privacy Shield für ungültig erklären könnte, hatten kirchliche und staatliche Datenschützer schon seit Jahren hingewiesen. Die informelle Absprache zwischen den USA und der Europäischen Union stand seit ihrem Inkrafttreten 2016 aufgrund der niedrigen Datenschutzstandards, die in den USA herrschen, und den umfangreichen Zugriffsrechten von US-Sicherheitsdiensten auf Cloud-Daten in der Kritik. Kirchliche Datenschutzbehörden hatten daher etwa in ihrer Bewertung eines rechtskonformen Einsatzes von Microsoft Office 365 in der Cloud angemahnt, eine "Exit-Strategie" vorzubereiten für den Wegfall der Rechtsgrundlage, die nun eingetreten ist. Die Umsetzung dieser Empfehlung wurde laut Pau bisher aber in der Aufsichtstätigkeit der Behörden nicht systematisch geprüft.

Für kirchliche Stellen, die Daten auf Grundlage von Privacy Shield in den USA verarbeiten lassen, empfiehlt der Leiter des Katholischen Datenschutzzentrums, eine erneute Bestandsaufnahme der Verarbeitungen personenbezogener Daten zu machen: "Aus diesen Verarbeitungen sind diejenigen genauer anzuschauen, bei denen ein Datenaustausch mit den USA stattfindet. Alle diese Verarbeitungen müssen bezüglich der Auswirkungen des Urteils zur Grundlage der Verarbeitung überprüft werden. Sofern die Datenverarbeitung bisher auf den Privacy Shield gestützt wurde, müssen hier andere Lösungen gefunden werden", so Pau. Auch der Datenschutzbeauftragte der Evangelischen Kirche in Deutschland kündigte in einer ersten Stellungnahme am Donnerstag an, die neue Rechtslage zu prüfen. (fxn)