Das EKD-Datenschutzgesetz (DSG-EKD) erlaubt gemäß § 11 DSG-EKD der verantwortlichen kirchlichen Stelle, Dritte mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zu beauftragen (sog. Auftragsdatenverarbeitung). Nach § 11 Abs. 2 DSG-EKD muss die Auftragsdatenverarbeitung (ADV) allerdings innerhalb der Mitgliedsstaaten der Europäischen Union erfolgen. Eine Ausnahme, d.h. eine Auftragsdatenverarbeitung in einem Nicht-EU-Staat, ist nur möglich, wenn die EKD dies ausdrücklich zugelassen hat. Voraussetzung hierfür ist, dass der Drittstaat den Nachweis eines dem DSG-EKD angemessenen Datenschutzniveaus erbracht hat.

Die EKD hat die Schweiz kürzlich als ersten sicheren Drittstaat anerkannt. Da die Schweiz dem Europäischen Wirtschaftsraum faktisch zuzurechnen ist und auch die EU-Kommission vom Vorhandensein eines dem EU-Datenschutzrecht vergleichbaren Datenschutzniveaus ausgeht, bestehen seitens der EKD keine Bedenken, die Auftragsdatenverarbeitung in der Schweiz für zulässig zu erklären.

Bildquellen