Die Briten sind raus aus der EU. Die jahrelange Hängepartie ist vorbei. Obwohl: Immer noch nicht so ganz. Bis so ein enges Geflecht von Verbindungen wirklich aufgelöst ist, braucht es eben seine Zeit. Und auf manche Probleme muss man wohl auch erst mal kommen, um sie lösen zu können.
Hätten Sie etwa daran gedacht, dass es ein datenschutzrechtliches Problem sein könnte, wenn ein Computerserver in Großbritannien steht? Oder wenn eine britische Firma irgend etwas mit persönlichen Daten und deren Verarbeitung anstellt? Die rechtlichen Verhältnisse sind durch die berühmt-berüchtigte DSGVO und die entsprechenden Datenschutzgesetze der großen Kirchen eigentlich sehr gut und in sehr engen Grenzen geregelt. Für jede Datenverarbeitung durch andere Firmen müssen diese Regelungen eingehalten werden, und das ist auch gut so. Die Anbieter der Auftragsverarbeitung müssen dazu eine „Unterwerfungserklärung“ unterzeichnen, die besagt, dass sie sich der kirchlichen Datenschutzaufsicht unterwerfen.
Nur: Auf einmal befinden sich einige der Firmen, die Auftragsverarbeitung auch für kirchliche Stellen gemacht haben, nicht mehr in der EU. Von einem Tag auf den anderen entspricht das bisherige Arbeitsverhältnis nicht mehr den Datenschutzgesetzen, die eine solche Auftragsverarbeitung ausschließlich in der EU und dem EWR sowie in engen Grenzen auch mit besonderen Genehmigungen außerhalb erlauben.
Der Datenschutzbeauftragte der EKD wies schon im September 2019 auf dieses Problem hin. „Da nicht davon auszugehen ist, dass die EU-Kommission Großbritannien kurzfristig mit einem Angemessenheitsbeschluss nach § 10 Abs. 1 Nr. 1 EKD-Datenschutzgesetz datenschutzrechtlich zu einem sicheren Drittland erklären wird, können Standarddatenschutzklauseln nach § 10 Abs. 1 Nr. 2 EKD-Datenschutzgesetz eine mögliche Lösung darstellen.“
Wenn das für Sie böhmische Dörfer sind – macht nichts. Für mich auch. Man möge mir daher auch vergeben, sollte ich die Terminologie nicht ganz korrekt angewendet haben. Zum Glück habe ich keine Datenverarbeitung in Großbritannien. Glaube ich jedenfalls. Andererseits – wissen Sie, wo all ihre Cloud-Inhalte so gespeichert werden? Oder wo Ihre Sprachbefehle an Alexa, Siri und Co verarbeitet werden?
Mittlerweile ist eine Übergangslösung für ein paar Monate gefunden worden. Im Bereich der Datenverarbeitung wird Großbritannien für vier – verlängerbar auf sechs – Monate nicht als „Drittstaat“ angesehen. Das gilt für alle Unternehmen, die der DSGVO oder dem EKD-Datenschutzgesetz unterworfen sind. Die Katholiken haben da eine leicht andere Regelung und mussten lange bangen, ob es überhaupt etwas für sie geben wird, doch auch sie können aufatmen: Die Konferenz der Diözesandatenschutzbeauftragten legte nun fest, dass Auftragsverarbeitung noch bis Ende April 2021 möglich ist. Danach ist aber wirklich Schluss und eine Verlängerung (wahrscheinlich) nicht möglich. Insofern ist die katholische Kirche mit dem Brexit vermutlich ein bisschen schneller fertig als der Rest Europas. Wir werden sehen, wie das so klappt.
Ehrlich: Als ich Theologie studierte, hätte ich niemals gedacht, dass ich mich mal mit Datenverarbeitung in Großbritannien beschäftigen müsste …
https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-mit-datenschutz-vorlaeufige-rechtssicherheit-fuer-datenuebermittlungen-in-das-vereinigte-koenig/
