Ja, das Urteil des EuGH findet auch auf alle kirchlichen und diakonischen Stellen im Sinne des § 2 Abs. 1 Satz 1 DSG-EKD Anwendung.

Das Urteil des EuGH (C-311/18) können Sie hier abrufen.

Der österreichische Jurist Maximilian Schrems stellte die Rechtmäßigkeit des EU-US Privacy Shields und der Standardvertragsklauseln als Rechtsgrundlage für eine Datenübermittlung in die USA in Frage. Schrems führte an, dass damit gegen die Art. 7, 8, 47 und 52 der Charta der Europäischen Grundrechte verstoßen werde.

Maximilian Schrems hatte zuvor bereits ein Verfahren angestrengt, dass im Jahr 2015 dazu führte, dass der EuGH in seiner Entscheidung „Schrems I“ (C-362/14) das Safe-Harbor Abkommen kippte.

Der EuGH hatte mit der „Schrems I“ – Entscheidung den Angemessenheitsbeschluss zwischen der EU und den USA aufgehoben, weil kein vergleichbares Datenschutzniveau in den USA sichergestellt werden konnte. Als Folge konnte die Übermittlung personenbezogener Daten aus der EU in die USA nicht mehr auf Grundlage des Safe-Harbor Abkommens vorgenommen werden.

Der EuGH hat mit seiner Entscheidung „Schrems II“ den Beschluss 2016/1250 der EU-Kommission über die Angemessenheit des vom EU-US Privacy Shield gebotenen Schutzes für ungültig erklärt. Weil amerikanische Behörden nach dem Recht der USA auf solche Daten, die aus der EU in das Drittland USA übermittelt werden, zugreifen und sie verwenden dürfen, sei kein angemessenes Schutzniveau gewährleistet. Zudem gebe es keinen wirksamen Rechtsschutz für EU-Bürger in den USA. Die Übermittlung von personenbezogenen Daten in die USA oder andere Drittländer sei nur möglich, wenn das betreffende Land für diese Daten ein angemessenes Schutzniveau gewährleiste und es eine effiziente Möglichkeit gebe, seine Rechte geltend zu machen. Gleichzeitig hat der EuGH festgestellt, dass der Datentransfer unter diesen Bedingungen aber weiterhin auf Standardvertragsklauseln gestützt werden könne. Voraussetzung dafür sei allerdings, dass die Verantwortlichen den ihnen nach den Klauseln obliegenden Verpflichtungen nachkommen. Die Verantwortlichen müssten prüfen, ob im Datenimportland ein der EU gleichwertiges Datenschutzniveau bestehe und ggf. zusätzliche Maßnahmen treffen.

Nein. Übermittlungen auf Grundlage des EU-US Privacy Shield müssen eingestellt werden.

Nein. Das Urteil des EuGH vom 16.07.2020 sieht keine Übergangsfrist vor. Datenübermittlungen auf Grundlage des EU-US Privacy Shield sind seit dem Urteilsspruch rechtswidrig. Die Gewährung einer Übergangsfrist durch die Aufsichtsbehörden ist weder im Urteil noch in gesetzlichen Regelungen vorgesehen.

Eine Datenübermittlung kann seit dem 16.07.2020 nicht mehr auf das EU-US Privacy Shield gestützt werden. Datenübermittlungen auf dieser Grundlage sind nun rechtswidrig. Verantwortliche kirchliche bzw. diakonische Stellen können als ersten Schritt prüfen, ob ggf. eine Umstellung auf Standardvertragsklauseln nach § 10 Abs. 1 b) DSG-EKD möglich ist.

Die Standardvertragsklauseln der EU bleiben weiterhin gültig. Für die Übermittlung von personenbezogenen Daten müssen verantwortliche Stellen und deren Empfänger allerdings prüfen, ob die Rechte der betroffenen Personen im Drittland durch ein gleichwertiges Schutzniveau wie in der EU geschützt sind. Diese Pflichten gelten für Datenübermittlungen in alle Drittländer, nicht nur in die USA. Die Prüfungen sowie die Ergebnisse sind zu dokumentieren.

Der EuGH geht in seiner Entscheidung darauf ein, welche Kriterien für die Feststellung eines gleichwertigen Schutzniveaus heranzuziehen sind (vgl. Rn 102 ff. des Urteils).

Wenn Auftragsverarbeiter im Drittland Gesetzen unterliegen, die ihnen die Befolgung der Anweisungen des Datenexporteurs, also des Verantwortlichen in der EU, und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, hat der datenexportierende Verantwortliche in der EU die Datenübermittlung auszusetzen und zu prüfen, ob zusätzliche Maßnahmen zur Sicherstellung eines dem der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Die Standardvertragsklauseln reichen für eine Datenübermittlung in die USA ohne zusätzliche Maßnahmen nicht aus. Die US-Behörden sind z.B. unter Geltung von Sicherheitsgesetzen wie – sec. 702 Foreign Intelligence Surveillance Act (FISA) – nicht an die EU-Standardvertragsklauseln gebunden.

Es ist Aufgabe der verantwortlichen kirchlichen oder diakonischen Stelle dies im Einzelfall zu prüfen. Eine verantwortliche Stelle muss ggf. bei ihrem Auftragsverarbeiter anfragen, welche Gesetze und Vorschriften im Datenimportland gelten. Das gleiche gilt auch für den Fall, dass ein Auftragsverarbeiter mit Sitz in der EU einen Unterauftragsverarbeiter hat, der Daten in einem Drittland verarbeitet. Letztlich trägt die verantwortliche kirchliche oder diakonische Stelle das Risiko hinsichtlich der Entscheidung, ob die Datenübermittlung weiterhin fortgeführt werden kann.

Scheiden auch EU-Standardvertragsklauseln als geeignete Garantien aus, wäre zu prüfen, ob ein Ausnahmetatbestand des § 10 Abs. 2 DSG-EKD herangezogen werden kann. Auch die Prüfung, ob ein Fall aus § 10 Abs. 2 Nr. 1 bis 6 DSG-EKD vorliegt, muss durch die verantwortliche Stelle erfolgen.

Ist auch keine der Nummern eins bis sechs des § 10 Abs. 2 DSG-EKD erfüllt, muss die verantwortliche kirchliche und diakonische Stelle die Datenübermittlung aussetzen. Darüber hinaus sind bereits übermittelte Daten zurückzufordern bzw. zu vernichten.

Wenn eine kirchliche oder diakonische Stelle rechtswidrig Daten in Drittländer übermittelt, stellt das einen Datenschutzverstoß dar, welcher nach § 44 Abs. 2 DSG-EKD beanstandet bzw. nach § 45 DSG-EKD mit einem Bußgeld geahndet werden kann. Nach § 44 Abs. 3 Nr. 3 DSG-EKD kann die Aufsichtsbehörde auch anordnen, dass die weitere Übermittlung von personenbezogene Daten in ein Drittland ausgesetzt wird. Denkbar wäre auch, dass eine betroffene Person gerichtlich Schadensersatz für eine Verletzung ihrer Rechte durch die rechtswidrige Datenübermittlung geltend macht.