21.03.2022

Neue EU-Standardvertragsklauseln nun auch für Datentransfers aus UK anwendbar

Überblick

Am 21. März 2022 sind in UK zwei neue Datenübermittlungsmechanismen in Kraft getreten, die eine zeitgemäße und vereinfachte Übermittlung in Drittländer ermöglichen. Unternehmen, die in UK ansässig sind und personenbezogene Daten in Länder wie z. B. die USA übermitteln, müssen nun ihre Verträge anpassen. Die bisher dort gültigen sog. alten Standardvertragsklauseln dürfen hierfür nur noch eingeschränkt verwendet werden (Umstellungsphase bis März 2024). Akuter Handlungsbedarf besteht für Neuverträge/Vertragsänderungen mit Drittlandtransfers aus UK.

Hintergrund

Die EU-Standardvertragsklauseln (EU SCCs) stellen das am häufigsten verwendete Instrument dar, um einen internationalen Datentransfer von der EU in Drittländer zu legitimieren. Die von der EU entwickelten Vertragssets bieten Garantien für Datenübermittlungen, wenn sie zwischen den an dem Datentransfer Beteiligten vereinbart werden.

Im Juni 2021 hat die EU neue SCCs eingeführt, die die bisherigen SCCs bis Dezember 2022 für Datentransfers aus der EU vollständig ablösen. Wegen des Brexits gelten diese allerdings nicht direkt für UK und wurden von der dortigen Datenschutzaufsichtsbehörde bisher nicht für Datenübermittlungen nach englischem Datenschutzrecht anerkannt. Hierfür mussten weiterhin die alten EU SCCs abgeschlossen werden – gerade in internationalen Konzernstrukturen oder bei einem ausgiebigem Datenaustausch mit UK hat dies zu einem Mehraufwand geführt. Dieser Flickenteppich wurde nun aber beendet.

Die Neuregelung der britischen Datenschutzaufsicht

Die UK Datenschutzaufsicht ICO hat mit neuen Übermittlungsmechanismen nachgezogen und eine flexible Herangehensweise vorgestellt: In UK ansässige Unternehmen können in Zukunft entweder (i) die neuen EU SCCs mit einer speziellen Anlage für UK Datentransfers („UK Addendum“) verwenden oder (ii) eine eigenständig für UK entwickelte Vereinbarung, das sog. International Data Transfer Agreement („IDTA“) abschließen.

Die Verwendung des UK Addendum bietet sich insbesondere an, wenn Unternehmen bei Datentransfers sowohl die englischen als auch die EU-Regelungen zum Datenschutz beachten müssen. Typische Anwendungsbereiche sind Datenübermittlungen innerhalb von Unternehmensgruppen (über sog. Intragroup Data Transfer Agreements) und Übermittlungen aus UK, die ebenfalls EU-Bezug aufweisen. Unter anderem in diesen Fällen ist es nun einfach möglich, zu den EU SCCs das UK Addendum abzuschließen, um auch die Vorgaben in UK zu erfüllen.

Für reine Datentransfers eines lokalen englischen Unternehmens könnte hingegen der Abschluss des IDTA sinnvoller sein. Es ist jedoch zu erwarten, dass international tätige Dienstleister in den von ihnen angebotenen Verträgen eher auf das UK Addendum abstellen werden, da dieses an die bereits bekannten EU SCCs anknüpft und den Umsetzungsaufwand minimiert.

Welche Umstellungsfristen gelten?

Seit dem 21. März 2022 können das UK Addendum oder das IDTA verwendet werden. Die alten EU SCCs können allerdings für bestehende Vereinbarungen und solche, die bis zum 21. September 2022 geschlossen werden, für einen Übergangszeitraum bis zum 21. März 2024 in UK weiter verwendet werden, soweit die zugrunde liegenden Verarbeitungsvorgänge sich nicht ändern. Für neue Vereinbarungen ab dem 21. September 2022 müssen Unternehmen das IDTA oder die neuen EU SCCs mit UK Addendum abschließen.

Für Datenübermittlungen aus der EU endet die Umsetzungsfrist für die Umstellung auf die neuen EU SCCs am 27. Dezember 2022, sodass es sich anbietet in diesem Zeitraum auch direkt die Umstellung für UK mit vorzunehmen. Dies empfiehlt sich auch vor dem Hintergrund, dass die alten EU SCCs ein niedrigeres Datenschutzniveau bieten, als dies durch die neuen Klauseln ermöglicht wird. Eine zeitnahe Umsetzung auch für UK ist daher von Vorteil, um Datentransfers außerhalb der EU bzw. des EWR besser abzusichern.

Unser Kommentar

Der Inhalt des UK Addendum ist auf den ersten Blick nicht einfach zugänglich, da es unter anderem viele Abänderungen zu den EU SCCs enthält. Augenscheinlich sind dort weitreichend Anmerkungen aus dem im Herbst 2021 durchgeführten Konsultationsverfahren eingeflossen. Während die Schweiz für eine Anwendbarkeit der neuen EU SCCs für Schweizer Datentransfers nur einen Abschnitt von etwa einer halben Seite für nötig gehalten hat, enthält das UK Addendum neun Seiten.

Von Vorteil ist jedoch die hohe Flexibilität, die das UK Addendum bietet. Es kann als eigenständiges Dokument abgeschlossen oder in eine andere Vereinbarung mit aufgenommen werden. Unterschriften der Parteien im UK Addendum selbst sind ebenfalls nicht zwingend erforderlich, solange das UK Addendum in einer verbindlichen Weise geschlossen wird, so z. B. als Anlage zu einer anderen Vereinbarung. Das UK Addendum kann dem zwischen zwei Parteien zu vereinbarenden jeweiligen Modul der EU SCCs angefügt werden oder diese nur einbeziehen. Daneben kann der zweite Abschnitt des UK Addendum durch eine Verweisung auf das Musterdokument ersetzt werden. Durch diese Möglichkeiten kann der Anwender entscheiden, nur die zwingend erforderlichen Angaben direkt aufzunehmen und dadurch die Regelungen sehr kurz zu halten. Die UK Aufsichtsbehörde ICO hat angekündigt, zeitnah Leitfäden zu den neuen Übermittlungsmechanismen herauszugeben, die voraussichtlich auf der Webseite der ICO veröffentlicht werden.

In der Praxis ist daneben zu berücksichtigen, dass bei Verwendung der neuen EU SCCs für Datentransfers auch aus UK eine Risikoanalyse des jeweils geltenden Datenschutzniveaus im Drittland (sog. „Transfer Impact Assessment“ oder „TIA“) von den Vertragsparteien durchgeführt werden soll. Weitere Informationen finden Sie in unserem Blogbeitrag zum Thema.

Insgesamt ist zu begrüßen, dass das UK Addendum eine weitere Lücke schließt, um mit den EU SCCs Datenübermittlungen aus einer Vielzahl von Ländern in Europa abzudecken. Einmal in den Vorlagen und Verträgen des eigenen Unternehmens umgesetzt, erleichtert dies insbesondere in international tätigen Unternehmensgruppen den administrativen Aufwand. Auch wenn eine frühere Veröffentlichung wünschenswert gewesen wäre, kommt das UK Addendum für viele Unternehmen gerade noch rechtzeitig, um dieses in laufenden Projekten zur Umstellung auf die neuen EU SCCs mit einzubinden. Unternehmen mit Datenübermittlungen aus UK sollten daher die Verwendung des UK Addendum kurzfristig prüfen und bei Bedarf umsetzen.

Autor/in
Laura Hoffmann, LL.M. (Dresden/London)

Laura Hoffmann, LL.M. (Dresden/London)
Senior Associate
Frankfurt a.M.
laura.hoffmann@luther-lawfirm.com
+49 69 27229 24684