Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss („EU-U.S. Data Privacy Framework“ [1]) gemäß § 40 Abs. 1 KDG für die Datenübermittlung an oder in ein Drittland angenommen. [2]
Dies bedeutet für kirchliche Einrichtungen, die personenbezogene Daten in die Vereinigten Staaten von Amerika (USA) übermitteln möchten, dass nach dem Wegfall des Privacy Shield im Juli 2020 [3] eine Datenübermittlung gemäß § 40 Abs. 1 KDG nun wieder zulässig ist - unter der Voraussetzung, dass das jeweilige US-amerikanische Unternehmen an dem o.g. Framework teilnimmt (s. auch [4]).
Für kirchliche Einrichtung dürfte der häufigste Anwendungsfall des Angemessenheitsbeschlusses die Auftragsverarbeitung i.S.d. § 29 KDG sein. Die Auftragsverarbeitung kommt immer dann in Betracht, wenn Dienste und Services in Anspruch genommen werden und hierbei personenbezogene Daten in die USA übertragen und dort verarbeitet werden.
Kirchliche Einrichtungen sollten darauf achten, dass auch mit der Annahme des Angemessenheitsbeschlusses weiterhin die Anforderungen aus § 29 KDG und insbesondere die Pflicht zur Festlegung der Regelungspunkte aus § 29 Abs. 3 KDG bestehen. Dazu zählen u.a. Gegenstand, Dauer sowie Art und Zweck der Verarbeitung, ebenso wie die Art der verarbeiteten personenbezogenen Daten.
Unabhängig davon, ob ein Vertrag zur Auftragsverarbeitung oder ein anderes Rechtsinstrument gemäß § 29 Abs. 3 KDG als Grundlage für die Verarbeitung personenbezogener Daten im Auftrag gewählt wird, müssen die Anforderungen aus § 29 Abs. 4 KDG adressiert und geregelt werden. Diese beinhalten u.a., dass Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (s. lit. a) und per se nicht für eigene Zwecke des Auftragsverarbeiters verarbeitet werden dürfen. Auch im Hinblick auf ggf. eingesetzte Unterauftragnehmer müssen die Regelungen des § 29 Abs. 2 KDG eingehalten werden.
Für Einrichtungen, die personenbezogene Daten an Auftragsverarbeiter in die USA übermitteln, ist mit der Annahme des Angemessenheitsbeschluss die Anforderung, die für eine Drittlandsübermittlung gemäß § 40 KDG formuliert ist, nunmehr (wieder) erfüllt. Von der Annahme des Angemessenheitsbeschluss unberührt hingegen ist nach wie vor die Regelung des Verhältnisses zwischen Verantwortlichem und Auftragsverarbeiter.
Externe Links
[1] https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en
[2] https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721