Der Wechsel von Verantwortlichen im Datenschutz
Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.
Durch den Brexit wurde der Online- Handel mit UK zunächst nicht wesentlich verändert. Die rechtlichen Voraussetzungen entsprachen weitestgehend denen in der EU, da durch den EU Withdrawal Act die bis dahin in nationales Recht übergegangenen Regelungen auch weiter Bestand hielten. Es war jedoch absehbar, dass sich hier Divergenzen ergeben würden. Fast drei Jahre nach dem Brexit wollen wir einen Blick auf die aktuellen Regelungen zum Datenschutz in UK legen.
DSGVO in UK
Die EU Datenschutzgrundverordnung war bereits vor dem Brexit erlassen worden und hat somit Geltung in UK. Durch die Änderung der Data Protection, Privacy and Electronic Communication (EU Exit) Regulations 2019 wurde diese in die UK GDPR geändert und besteht weiterhin. UK GDPR in Verbindung mit dem Data Protection Act und den Privacy and Electronic Communications Regulations bilden den rechtlichen Rahmen für den Datenschutz in UK.
Datenschutzreform
Am 8. März 2023 brachte die britische Regierung mit dem Data Protection and Digital Information (No.2) Bill einen Vorschlag zur Datenschutzreform in das Gesetzgebungsverfahren ein. Wie der Titel suggeriert, handelt es sich hierbei um eine zweite Version eines Reformversuchs. Der erste Versuch wurde in Folge des politischen Umbruchs nach Premierministerin Truss nicht weiterverfolgt. Die beiden Versionen haben jedoch viele Gemeinsamkeiten. Derzeit findet sich der Entwurf noch im House of Commons und muss dann alle Etappen des House of Lords durchlaufen. Es ist noch nicht absehbar, wann es zur Gesetzgebung kommen wird.
Datentransfer
Sofern eine Datenübertragung ins Ausland stattfindet, muss ein angemessenes Datenschutzniveau durch einen Angemessenheitsbeschluss der Europäischen Kommission gewährleistet sein oder eine andere Legitimation für den internationalen Datentransfer vorliegen. Innerhalb der EU gilt das gleiche Datenschutzniveau mittels der DSGVO. Für UK liegt ein Angemessenheitsbeschluss der EU Kommission vor, der vorläufig bis Juni 2025 gültig ist. Somit können sich deutsche Händler*innen beim Datentransfer aus und nach UK auf das angemessene Datenschutzniveau berufen.
Für den Transfer in Drittstaaten ohne Angemessenheitsbeschluss stellen die EU Standardvertragsklauseln (EU SCCs) die am häufigsten verwendete Legitimation für den internationalen Datentransfer dar. Diese waren bereits vor dem Brexit auch in UK anwendbar. Im Juni 2021 hat die EU jedoch neue SCCs eingeführt, die die bis dato geltenden SCCs bis zum Ablauf der Übergangsfrist im Dezember 2022 ablösten. Diese gelten nicht direkt in UK. Die Übergangsfrist für die Nutzung der alten EU SCCs für Verträge, die vor dem 21. März 2022 geschlossen wurden, läuft bis 21.März 2024, sofern sich die zugrunde liegenden Verarbeitungsvorgänge nicht ändern.
Um der Tatsache, dass die neuen EU SCCs keine direkte Anwendung in UK finden, Abhilfe zu schaffen, wurde das sogenannte UK Addendum ins Leben gerufen.
IDTA und UK Addendum
Die britische Datenschutzbehörde ICO hat im März 2022 für in UK ansässige Unternehmen ein System mit zwei Optionen entwickelt: Bis 2024 können UK-Unternehmen die neuen EU SCCs in Verbindung mit einer speziellen Anlage für UK-Datentransfers (UK Addendum) verwenden oder die eigens für UK entwickelten Standarddatenschutzklausen, das sog. International Data Transfer Agreement (IDTA), abschließen. Das UK Addendum bietet mehr Flexibilität als die EU SCCs. Es kann sowohl als eigenständiges Dokument abgeschlossen werden oder als Teil einer anderen Vereinbarung aufgenommen werden. Sofern das UK Addendum beispielsweise als Anlage zu einer Vereinbarung und somit in einer verbindlichen Weise geschlossen wurde, kann auf Unterschriften der Parteien im UK Addendum selbst verzichtet werden. Eine Risikoanalyse des jeweils geltenden Datenschutzniveaus im Drittland, das sog. Transfer Impact Assessment (TIA), muss bei Verwendung der neuen EU SCCs für Datentransfer auch aus UK erfolgen.
Es bietets sich an, das UK Addendum zu verwenden, wenn Unternehmen bei Datentransfer sowohl die UK- als auch die EU-Regelungen beachten müssen, z. B. bei Datenübermittlungen innerhalb von Unternehmensgruppen oder Übermittlungen aus UK, die ebenfalls EU-Bezug aufweisen.
Das IDTA kann für reine UK-Unternehmen sinnvoller sein, die nur UK-Recht beachten müssen. Die Erwartung ist jedoch, dass international tätige Dienstleister weiterhin die neue EU SCC in Verbindung mit dem UK Addendum bevorzugen werden.
Datentransfer in die USA
Im Juli 2023 hat die EU-Kommission das EU-U.S. Privacy Framework angenommen und mittels des Angemessenheitsbeschlusses für die USA eine Grundlage für die Datenübermittlung an zertifizierte Organisationen in den USA geschaffen. Einen ausführlichen Blogbeitrag zu dem Thema finden Sie hier.
Dieser Beschluss gilt nicht für UK. Daher musste sich der Datentransfer aus UK weiterhin auf die Standarddatenschutzklauseln mit UK Addendum oder IDTA stützen.
Am 12. Oktober 2023 traten die Data Protection (Adequacy) (United States of America) Regulations 2023 (SI 2023/1028) in Kraft, bekannt als Data Bridge, dem UK Angemessenheitsbeschluss für die USA. Die Data Bridge fungiert als Erweiterung des EU-U.S. Angemessenheitsbeschlusses und ermöglicht die rechtmäßige Übermittlung personenbezogener Daten aus UK an selbstzertifizierte Unternehmen in den USA.
Fazit:
Die Datenschutzlandschaft in UK beginnt sich zu ändern. Es bleibt spannend, was die Entwicklungen insbesondere in Hinblick auf die intendierte Vereinfachung durch die Datenschutzreform angeht sowie die Verlängerung des Angemessenheitsbeschlusses für UK in zwei Jahren.
Beachten Sie als deutsche*r Händler*in, dass sich bis zu einer weiteren Änderung der Datentransfer aus/nach UK weiterhin auf die Standarddatenschutzklauseln mit UK Addendum oder IDTA stützen muss.
17.11.23
