02.08.2022
Am 21. März 2022 sind im Vereinigten Königreich (UK) zwei neue Datenübermittlungsmechanismen in Kraft getreten, die eine zeitgemäße und vereinfachte Übermittlung in Drittländer ermöglichen. Unternehmen, die in UK ansässig sind und personenbezogene Daten in Länder wie z. B. die USA übermitteln, müssen nun ihre Verträge anpassen.
Die EU-Standardvertragsklauseln (EU SCCs) stellen das am häufigsten verwendete Instrument dar, um einen internationalen Datentransfer von der EU in Drittländer zu legitimieren. Die von der EU entwickelten Vertragssets bieten Garantien für Datenübermittlungen, wenn sie zwischen den an dem Datentransfer Beteiligten vereinbart werden. Im Juni 2021 hat die EU neue SCCs eingeführt, die die bisherigen SCCs bis Dezember 2022 für Datentransfers aus der EU vollständig ablösen. Wegen des Brexits gelten diese allerdings nicht direkt für UK und wurden von der UK-Datenschutzaufsicht ICO bisher nicht für Datenübermittlungen nach UK-Datenschutzrecht anerkannt. Hierfür mussten weiterhin die alten EU SCCs abgeschlossen werden. Dieser Flickenteppich wurde nun beseitigt.
Die UK-Datenschutzaufsicht ICO hat eine flexible Herangehensweise vorgestellt: In UK ansässige Unternehmen können in Zukunft entweder die neuen EU SCCs mit einer speziellen Anlage für UK-Datentransfers („UK Addendum“) verwenden oder eine eigenständig für UK entwickelte Vereinbarung, das sog. International Data Transfer Agreement („IDTA“) abschließen.
Die Verwendung des UK Addendum bietet sich insbesondere an, wenn Unternehmen bei Datentransfers sowohl die UK- als auch die EU-Regelungen zum Datenschutz beachten müssen. Typischer Anwendungsbereich sind Datenübermittlungen innerhalb von Unternehmensgruppen (über sog. Intragroup Data Transfer Agreements) und Übermittlungen aus UK, die ebenfalls EU-Bezug aufweisen. Unter anderem in diesen Fällen ist es nun einfach möglich, zu den EU SCCs das UK Addendum abzuschließen, um auch die Vorgaben in UK zu erfüllen.
Für reine Datentransfers eines lokalen englischen Unternehmens kann hingegen der Abschluss des IDTA sinnvoller sein. Es ist jedoch zu erwarten, dass international tätige Dienstleister in den von ihnen angebotenen Verträgen eher auf das UK Addendum abstellen werden, da dieses an die bereits bekannten EU SCCs anknüpft und dieses Vorgehen den Umsetzungsaufwand minimiert.
Das UK Addendum enthält viele Änderungen zu den EU SCC. Augenscheinlich sind dort weitreichend Rückmeldungen aus dem im Herbst 2021 durchgeführten Konsultationsverfahren eingeflossen. Von Vorteil ist die hohe Flexibilität, die das UK Addendum bietet. Es kann als eigenständiges Dokument abgeschlossen oder in eine andere Vereinbarung mit aufgenommen werden. Unterschriften der Parteien im UK Addendum selbst sind ebenfalls nicht zwingend erforderlich, solange das UK Addendum in einer verbindlichen Weise geschlossen wird, so z. B. als Anlage zu einer anderen Vereinbarung. Das UK Addendum kann dem zwischen zwei Parteien zu vereinbarenden jeweiligen Modul der EU SCCs beigefügt werden oder diese nur einbeziehen. Daneben kann der zweite Abschnitt des UK Addendum durch eine Verweisung auf das Musterdokument ersetzt werden. Durch diese Möglichkeiten kann der Anwender entscheiden, nur die zwingend erforderlichen Angaben aufzunehmen und dadurch die Regelungen sehr kurz zu halten. Die Aufsichtsbehörde ICO hat angekündigt, zeitnah Leitfäden zu den neuen Übermittlungsmechanismen herauszugeben, die voraussichtlich auf der Webseite der ICO veröffentlicht werden.
In der Praxis ist daneben zu berücksichtigen, dass bei Verwendung der neuen EU SCCs für Datentransfers auch aus UK eine Risikoanalyse des jeweils geltenden Datenschutzniveaus im Drittland (sog. „Transfer Impact Assessment“ oder „TIA“) von den Vertragsparteien durchgeführt werden soll (Blogbeitrag zum Thema).
Seit dem 21. März 2022 können das UK Addendum oder das IDTA verwendet werden. Für einen Übergangszeitraum bis zum 21. März 2024 können die alten EU SCCs in UK weiter verwendet werden, soweit die zugrunde liegenden Verarbeitungsvorgänge sich nicht ändern. Ab dem 21. September 2022 müssen Unternehmen für neue Vereinbarungen sowie Vertragsänderungen das IDTA oder die neuen EU SCCs mit UK Addendum abschließen.
Für Datenübermittlungen aus der EU endet die Umsetzungsfrist für die Umstellung auf die neuen EU SCCs am 27. Dezember 2022, sodass es sich anbietet, in diesem Zeitraum auch direkt die Umstellung für UK mit vorzunehmen. Dies empfiehlt sich auch vor dem Hintergrund, dass die alten EU SCCs ein niedrigeres Datenschutzniveau bieten, als dies durch die neuen Klauseln ermöglicht wird. Eine zeitnahe Umsetzung auch für UK ist daher von Vorteil, um Datentransfers in Länder außerhalb der EU bzw. des EWR besser abzusichern.
Die folgende Grafik zeigt die Zeitachse für die Umstellung: