Nach dem Brexit will das Vereinigte Königreich im Bereich Datenschutz neue Wege einschlagen. Im Zuge der Überführung der Europäischen Datenschutzgrundverordnung (DSGVO, im Englischen GDPR) ins nationale Recht hat das Departement für Kultur, Medien und Sport (DCMS) am 2. Februar 2021 dem britischen Parlament das International Data Transfer Agreement (IDTA), ein Addendum, sowie Übergangsbestimmungen vorgelegt. Das IDTA und Addendum sollen die Europäischen Standardvertragsklauseln (SCCs) ersetzen und damit die neuen Instrumente für die Einhaltung von Art. 46 UK GDPR bei der Datenübermittlungen in Drittländer darstellen.
Nachdem das Vereinigte Königreicht aus der EU ausgeschieden ist, ist die Europäische Datenschutzgrundverordnung (DSGVO) dortzulande nicht mehr anwendbar. Im Zuge dessen hat das Vereinigte Königreich die DSGVO als “UK GDPR” in nationales Recht überführt. Damit geht jedoch auch eine neue Datenrechtstrategie einher. Bereits am 10. September 2021 gab das Departement für Kultur, Medien und Sport (DCMS) bekannt, dass die Regierung mittels Reformen ein ehrgeiziges, wachstums- und innovationsfreundliches Datenschutzregime zu schaffen gedenkt, das die vertrauenswürdige Nutzung von Daten unterstützt.
Am 2. Februar 2022 wurde nun das durch das DCMS erarbeitete International Data Transfer Agreement (IDTA) dem Parlament vorgelegt. Dieses soll zusammen mit einem Addendum und den Übergangsbestimmungen den post-Brexit Ersatz für die Standardvertragsklauseln (SCCs) der EU-Kommission darstellen. Dabei soll das IDTA die Europäischen SCCs ersetzen. Zugleich sollen aber mittels des Addendums die SCCs weiterhin einsetzbar bleiben.
Das IDTA und dessen Addendum tragen dabei dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH v. 16.07.2020, C-311/18) Rechnung. Dem Urteil zufolge müssen die für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter trotz vereinbarten SCCs bei der Übermittlung personenbezogener Daten in ein Drittland prüfen, ob das Recht oder die Praxis des Drittlandes den in den SCCs gewährten Schutz beeinträchtigt, und wenn nötig zusätzliche Massnahmen zum Schutz personenbezogener Daten ergreifen.
Die Datenschutzaufsichtsbehörde des Vereinigten Königreiches, Information Commissioner’s Office (ICO), begrüsste in einem Statement das vorgelegte IDTA und dessen Addendum. Diese seien mit dem Ziel verfasst worden, Unternehmen dabei zu helfen, sicherzustellen, dass sie bei Datenübermittlung in Drittländer die richtigen Schutzvorkehrungen treffen. Das IDTA und dessen Addendum würden auch dazu beitragen, die digitale Wirtschaft des Vereinigten Königreichs zu unterstützen, indem sie den globalen Fluss personenbezogener Daten ermöglichen würden, um Waren und Dienstleistungen zu liefern.
Wenn das Britische Parlament keine Einwände gegen das IDTA und das Addendum erheben wird, werden diese am 21. März 2022 in Kraft treten. Sie werden als neues Instrument für die Einhaltung von Art. 46 UK GDPR bei Datenübermittlungen in Drittländer dienen. Zudem sehen die Übergangsbestimmungen vor, dass sich Unternehmen bei Verträgen, die bis und mit dem 21. September 2022 geschlossen werden, bis zum 21. März 2024 auf die Europäischen SCCs berufen können, sofern die Datenverarbeitungen unverändert bleibt und die Klauseln angemessene Garantien gewährleisten.