Am 4. Juni 2021 hat die Europäische Kommission eine neue Reihe von Standardvertragsklauseln („SCC“) veröffentlicht (siehe unseren Artikel hier), um die „alten“ SCCs zu aktualisieren und sie an die Veränderungen durch die Schrems II-Entscheidung vom Juli 2020 anzupassen. Da das Vereinigte Königreich am 01. Januar 2021 aus der EU ausgetreten ist, waren sie zum Zeitpunkt der Veröffentlichung der „neuen“ SCCs durch die Europäische Kommission nicht mehr Teil der Europäischen Union, was bedeutet, dass die „neuen“ SCCs nicht für das Vereinigte Königreich gelten. Die Schrems II-Entscheidung hingegen erging vor dem 01. Januar 2021 weshalb das Vereinigte Königreich zu diesem Zeitpunkt noch an den EuGH gebunden war und die Bestimmungen der Schrems II- Entscheidung umzusetzen hat.
Dies hat zur Folge, dass das Vereinigte Königreich seine eigenen SCCs erstellen muss, um den Unternehmen eine gleichwertige Sicherheitsgarantie für die Übermittlung von Daten in Drittländer gemäß Art. 46 UK GDPR bieten zu können. Diese neuen Sicherheitsgarantien wurden dem Parlament am 2. Februar vorgelegt und werden am 21. März 2022 in Kraft treten, sofern das Parlament den neuen Verträgen zustimmt.
Wenn das Parlament die neuen Verträge genehmigt, wird das Vereinigte Königreich zwei neue Mechanismen anbieten, um ein angemessenes Datenschutzniveau in dem entsprechenden Land zu gewährleisten, in das die Daten übermittelt werden sollen: Das International Data Transfer Agreement (IDTA) einerseits und das International Data Transfer Addendum (das Addendum) andererseits. Während das IDTA als eigenständiges Abkommen einen vollständigen Satz von Klauseln und Informationen bietet, verfolgt das Addendum den Ansatz, die Europäischen SCC abzuändern, um sie für das Vereinigte Königreich anwendbar zu machen. Der Hauptgrund für diese Unterscheidung ist, dass das Addendum für Unternehmen verwendet werden kann, die auch die europäischen SCCs implementiert haben, während das IDTA Unternehmen dienen soll, die nur Daten aus dem Vereinigten Königreich übermitteln und die europäischen SCCs noch nicht eingeführt haben. Natürlich beraten wir Sie gerne zu den Unterschieden sowie den Vor- und Nachteilen der einzelnen Übermittlungsmechanismen, damit Sie den Mechanismus wählen können, der am besten zu Ihrem Unternehmen und Ihren Prozessen passt.
Wie die EU hat auch das Vereinigte Königreich eine Übergangsfrist eingeführt, was bedeutet, dass die neuen Sicherheitsgarantien bis zum 21. März 2024 umgesetzt werden müssen. „Alte“ SCCs, die bis zum 21. September 2022 eingeführt werden, bleiben ebenfalls bis zum 21. März 2024 gültig, was letztlich bedeutet, dass ab dem 21. September entweder das IDTA oder das Addendum eingesetzt werden muss, sofern kein Angemessenheitsbeschluss für das betreffende Drittland besteht oder keine andere Sicherheitsgarantie vorliegt. Außerdem müssen die „alten“ SCC, auch wenn sie ggf. bis zum 21. März 2024 gültig sind, vor Ablauf der Übergangsfrist ersetzt werden.
Die ICO hat zudem angekündigt, dass demnächst zusätzliche Informationen veröffentlicht werden. Hierzu gehören insb.:
- eine Schritt für Schritt Anleitung zum IDTA und zum Addendum,
- einen Leitfaden für die Verwendung des IDTA,
- einen Leitfaden zur Bewertung des Übertragungsrisikos („Transfer Impact/Risk Assessment“) und
- weitere Klarstellungen zu den Leitlinien für internationale Überweisungen.
Hierzu halten wir Sie selbstverständlich auf dem Laufenden.