Brexit – datenschutzrechtliche Auswirkungen für kirchliche Stellen

In einem Referendum hat Großbritannien am 26. Juni 2016 für den Austritt aus der Europäischen Union (EU) gestimmt. Bei einem EU-Sondergipfel am 10. April 2019 wurde das Austrittsdatum auf den 31. Oktober 2019 verlegt. Großbritannien hat aber auch die Möglichkeit schon vorher auszutreten.

Unabhängig davon, wie diese Trennung von der EU konkret durchgeführt werden muss und welche Übereinkünfte über die Modalitäten künftiger Zusammenarbeit und Ausgestaltungen rechtlicher Beziehungen noch erzielt werden können, erscheint der Austritt zum jetzigen Zeitpunkt betrachtet als unausweichlich. Die bisher durchgeführten Abstimmungen im britischen Unterhaus über ein von der britischen Regierung mit Vertretern der EU ausgehandeltes Abkommen bezüglich eines geordneten Austritts und der Festlegung, das Verhältnis zueinander regelnder Bestimmungen, hat zur Ablehnung mit deutlicher Mehrheit geführt. Der ausgehandelte Vertragstext wird daher so wohl nicht umgesetzt werden.

Ohne Übergangsregelung wird Großbritannien zu einem Drittland im Sinne des KDG

Sollte es nicht doch noch zu einer vertraglichen Regelung für eine Übergangszeit und die zukünftige Zusammenarbeit zwischen Großbritannien und der EU kommen, verliert Großbritannien – zumindest bis zu einem möglichen Angemessenheitsbeschluss der Europäischen Kommission – die Vorteile des einheitlichen Rechtsrahmens der Europäischen Datenschutzgrundverordnung. Damit wird Großbritannien zu einem Drittland im Sinne des KDG. Dies hat zur Folge, dass personenbezogene Daten nur noch unter den Bedingungen eines Drittlandstransfers nach Großbritannien übermittelt werden dürfen.

Deshalb müssen Nutzer von Serviceleistungen und Angeboten britischer Vertragspartner prüfen, ob unter den veränderten Bedingungen ein mit der Nutzung verbundener Datenaustausch noch zulässig ist. Das gilt auch in den Fällen, in denen britische Unternehmen von Vertragspartnern einer kirchlichen Einrichtung als Unterauftragnehmer eingesetzt werden oder Speicherorte von Daten in Großbritannien liegen.

Übermittlungen von Daten in das britische Königreich bedürfen nach einem Brexit ohne Übergangsregelung einer rechtfertigenden Rechtsgrundlage und zusätzlich der Prüfung, ob ein vergleichbares Datenschutzniveau vorliegt. Zu beachten sind dabei insbesondere die §§ 39 ff KDG. Aufgrund der bisherigen Zugehörigkeit zur EU war ein Datenaustausch insofern einfacher, als die gleichen europäischen Datenschutzbestimmungen zur Anwendung kamen und damit ein vergleichbares Datenschutzniveau vorgegeben war.

Was bedeutet der Brexit für kirchliche Stellen?

Für kirchliche Stellen ist es zunächst erforderlich zu überprüfen, welche konkreten Dienstleistungen, Serviceangebote oder Produkte, etwa Programme im Bereich der IT, Cloud-Dienste oder Serverkapazitäten, von Anbietern aus Großbritannien oder mit dortigen Niederlassungen oder Standorten in der eigenen Einrichtung eingesetzt werden. Geschlossene Vereinbarungen sind darauf zu überprüfen, ob die Vertragsregelungen auch dann noch den datenschutzrechtlichen Vorgaben entsprechen, wenn der Vertragspartner nach einem Brexit seinen Standort in einem Drittland hat.

Entsprechend den Vorgaben des KDG sind Rechtsgrundlagen im Sinne der §§ 40, 41 KDG erforderlich, um die weitere Nutzung und einen Datentransfer zu rechtfertigen. Bestehende vertragliche Vereinbarungen sind erforderlichenfalls in geeigneter Weise anzupassen.

Verantwortliche in kirchlichen Einrichtungen müssen sich darauf vorbereiten, für den Zeitpunkt des Austritts Großbritanniens aus der EU rechtzeitig Prüfungen durchzuführen und Änderungen vorzunehmen.

Welche Untersuchungen sind durchzuführen?

Für die Verantwortlichen sind daher mindestens die nachfolgend beschriebenen Untersuchungen durchzuführen. Sofern sich daraufhin ein entsprechender Bedarf ergibt, sind erforderliche Anpassungen vorzunehmen, wenn personenbezogene Daten in das neue Drittland Großbritannien übermittelt werden oder solche Daten von dort ansässigen Unternehmen verarbeitet werden.

  • Überprüfung, ob Vertragspartner ihren Sitz in Großbritannien haben oder dort Zweigstellen bzw. Standorte unterhalten, an denen Daten verarbeitet werden, oder Subunternehmen aus Großbritannien einsetzen;
  • Überprüfung und erforderlichenfalls Anpassung bestehender und neuer Verträge dieser Vertragspartner, darunter u. a. auch Dienstleistungen, Service- und Nutzungsangebote, Cloud-Dienste, Servernutzungen oder Wartungsverträge;
  • Überprüfung von sonstigen Dienstleistungsbeziehungen, auch wenn diese unregelmäßig erfolgen;
  • Information über die Datenverarbeitung in einem Drittland bzw. durch Vertragspartner aus einem Drittland im Rahmen der Informationspflichten des Verantwortlichen gemäß §§ 14 ff KDG;
  • Berücksichtigung dieser Dienstleister im Rahmen der Auskunft an Betroffene bei deren Wahrnehmung des Auskunftsrechts nach § 17 KDG;
  • Aufführen in den Verzeichnissen von Verarbeitungstätigkeiten gemäß § 31 Absatz 1 lit. f) und Absatz 2 lit. c) KDG;
  • Durchführung der ersten Stufe einer Datenschutz-Folgenabschätzung gemäß § 35 KDG, um zu prüfen, ob sich durch den Umstand, dass das Vereinigte Königreich ab einem bestimmten Zeitpunkt Drittland im Sinne des KDG ist, ein erhöhtes Risiko bezüglich der personenbezogenen Daten der kirchlichen Stelle ergibt. Bei positivem Ergebnis ist die gesamte Datenschutz-Folgenabschätzung durchzuführen.

Ausblick

Weil nicht abschätzbar ist, wie sich das Verfahren entwickelt, sollten Verantwortliche daher die aktuellen Entwicklungen beobachten, insbesondere im Hinblick auf die datenschutzrechtlichen Auswirkungen des Brexits und der möglichen Festlegungen zu konkreten Zeitpunkten und Übergangsfristen.

Über mögliche Folgen eines Brexit für kirchliche Stellen informiert ein Informationsblatt des Katholischen Datenschutzzentrums.

Die Webseite des Diözesandatenschutzbeauftragten für die norddeutschen Diözesen kann hier abgerufen werden.