Britischer Datenschutz nach dem Brexit: DSGVO vs. britische DSGVO

Der Brexit hat die Datenschutzlandschaft im Vereinigten Königreich grundlegend verändert. Ab dem 1. Januar 2021 ist das Vereinigte Königreich aus dem EU-Rechtsrahmen ausgetreten und die EU-DSGVO ist nicht mehr unmittelbar anwendbar. Das Vereinigte Königreich behielt die EU-DSGVO im innerstaatlichen Recht als „UK GDPR“ bei (gemäß dem European Union (Withdrawal) Act 2018), ergänzt durch den Data Protection Act 2018 (DPA 2018). Das Ergebnis ist ein Rahmenwerk, das im Wesentlichen der EU-DSGVO ähnelt, jedoch wichtige Unterschiede aufweist – und ein fragiles Angemessenheitsverhältnis zwischen dem Vereinigten Königreich und der EU, das Unternehmen genau überwachen müssen.

Das Verständnis der genauen Unterschiede zwischen der britischen DSGVO und der EU-DSGVO und die Verwaltung der doppelten Compliance für Unternehmen, die in beiden Gerichtsbarkeiten tätig sind, ist für in Großbritannien ansässige Unternehmen und internationale Unternehmen mit Präsenz im Vereinigten Königreich und in der EU von entscheidender Bedeutung.

Wichtige Erkenntnisse

• Die britische DSGVO leitet sich von der EU-DSGVO ab, ist aber jetzt ein separates innerstaatliches Gesetz – die EU-DSGVO gilt nicht mehr direkt im Vereinigten Königreich
• Die EU hat dem Vereinigten Königreich im Juni 2021 Angemessenheitsbeschlüsse erteilt, die den Datenfluss zwischen der EU und dem Vereinigten Königreich ermöglichen – diese unterliegen jedoch einer Verfallsklausel und einer regelmäßigen Überprüfung
• Datenflüsse zwischen Großbritannien und der EU: Das Vereinigte Königreich gewährte den EU-Ländern auch Angemessenheit nach britischem Recht und erlaubte Datenflüsse zwischen der EU und dem Vereinigten Königreich gemäß der britischen DSGVO
• Hauptunterschiede: Die britische DSGVO hat unterschiedliche SCCs, unterschiedliche Übertragungsmechanismen, ICO-Aufsicht (nicht EDPB) und sich entwickelnde britische spezifische Positionen
• Mit dem Data Protection and Digital Information (DPDI) Act 2025 wurde die britische DSGVO reformiert – zu den Änderungen gehören gelockerte berechtigte Interessen, neue anerkannte berechtigte Interessen und eine vereinfachte Aufzeichnung
• ICO-Bußgelder belaufen sich auf 17,5 Millionen Pfund oder 4 % des weltweiten Umsatzes – dieselbe Struktur wie die EU-DSGVO
• Unternehmen, die sowohl der britischen DSGVO als auch der EU-DSGVO unterliegen, müssen beide Rahmenwerke unabhängig voneinander erfüllen

---

Der britische Datenschutzrahmen nach dem Brexit

UK DSGVO und das Datenschutzgesetz 2018

Der Datenschutzrahmen des Vereinigten Königreichs umfasst zwei Hauptinstrumente:

UK-DSGVO: Die EU-DSGVO, wie sie im britischen Recht beibehalten wurde, geändert durch das DPA 2018 und nachfolgende Rechtsverordnungen. Es behält die sechs Rechtsgrundlagen, die Rechte der betroffenen Person, das Rahmenwerk für die Verarbeitung von Daten, die DSFA-Anforderungen und die Pflichten des Datenschutzbeauftragten aus der EU-DSGVO mit einigen für das Vereinigte Königreich spezifischen Änderungen bei.

Datenschutzgesetz 2018: Ergänzt die britische DSGVO durch:

• Umsetzung britischer Ausnahmeregelungen (z. B. für Strafverfolgung, nationale Sicherheit, Journalismus)
• Festlegung der Befugnisse und Rolle des ICO
• Bereitstellung zusätzlicher Bedingungen für die Verarbeitung besonderer Datenkategorien
• Festlegung von DPO-Anforderungen für Behörden
• Schaffung der Rahmenbedingungen für Straftaten und Strafverfolgung

Data Protection and Digital Information (DPDI) Act 2025: Eine bedeutende Reform, die die britische DSGVO änderte und flexiblere Bestimmungen für die Geschäftsverarbeitung, lockere Bestimmungen zu berechtigten Interessen, „anerkannte berechtigte Interessen“ (neue Kategorie, die den Abwägungstest vermeidet), vereinfachte DPIA-Anforderungen und einen neuen Regulierungsrahmen für digitale Identitätsdienste einführte.

---

Hauptunterschiede: UK-DSGVO vs. EU-DSGVO

---

Angemessenheitsstatus des Vereinigten Königreichs und Datenübertragungen zwischen der EU und dem Vereinigten Königreich

EU-Angemessenheitsbeschlüsse für das Vereinigte Königreich (Juni 2021)

Die Europäische Kommission hat dem Vereinigten Königreich am 28. Juni 2021 zwei Angemessenheitsbeschlüsse erteilt:

1. Angemessenheitsbeschluss gemäß EU-DSGVO: Ermöglicht den freien Fluss personenbezogener Daten aus der EU/dem EWR in das Vereinigte Königreich, ohne dass zusätzliche Übertragungsmechanismen erforderlich sind
2. Angemessenheitsentscheidung gemäß der Strafverfolgungsrichtlinie: Ermöglicht die gemeinsame Nutzung von Strafverfolgungsdaten

Die Verfallsklausel: Die EU-Angemessenheitsbeschlüsse für das Vereinigte Königreich enthalten eine Verfallsklausel für vier Jahre – sie läuft am 27. Juni 2025 aus, sofern sie nicht verlängert wird. Die Europäische Kommission hat eine Überprüfung durchgeführt und ihre Absicht zur Erneuerung bekundet. Der Erneuerungsprozess und alle damit verbundenen Bedingungen unterliegen jedoch politischen und rechtlichen Entwicklungen.

Risiken für das Angemessenheitsverhältnis zwischen der EU und dem Vereinigten Königreich: – Eine Abweichung des britischen Datenschutzrechts von der DSGVO (durch das DPDI-Gesetz und künftige Reformen) könnte eine Überprüfung durch die Kommission auslösen

• Die Überwachungsgesetze und Massendatenerfassungspraktiken der britischen Regierung waren Gegenstand der EU-Prüfung
• Jegliche Gerichtsentscheidungen oder Gesetzesänderungen im Vereinigten Königreich, die die Datenschutzstandards erheblich reduzieren, könnten die Kommission dazu veranlassen, die Angemessenheit auszusetzen

Praktische Auswirkung: Unternehmen, die sich auf die Angemessenheit des Vereinigten Königreichs für Datenströme zwischen der EU und dem Vereinigten Königreich verlassen, sollten über einen Notfallplan (UK IDTAs oder BCRs) verfügen, falls die Angemessenheit zurückgezogen oder ausgesetzt wird, auch wenn eine Verlängerung wahrscheinlich erscheint.

UK→EU-Datenflüsse

Im Rahmen der internationalen Übermittlungsbestimmungen der britischen DSGVO hat der britische Außenminister Angemessenheitsvorschriften für EU-/EWR-Länder erlassen, was bedeutet, dass personenbezogene Daten ohne zusätzliche Übermittlungsmechanismen vom Vereinigten Königreich in EU-/EWR-Länder übertragen werden können.

---

Internationale Datentransfervereinbarungen (IDTAs)

Für Übermittlungen aus dem Vereinigten Königreich in Länder ohne Angemessenheitsbeschlüsse des Vereinigten Königreichs erfordert die britische DSGVO angemessene Schutzmaßnahmen. Das ICO veröffentlichte im März 2022 das International Data Transfer Agreement (IDTA) und einen IDTA-Nachtrag zu EU-Standardvertragsklauseln, der die älteren Musterklauseln für Übermittlungen im Vereinigten Königreich ersetzt.

Wichtige IDTA-Funktionen:

• UK-spezifische Standardvertragsklauseln, die alle vier EU-SCC-Modulszenarien (C2C, C2P, P2P, P2C) in einem einzigen Dokument abdecken
• „Risikobewertungs“-Rahmen (anstelle der obligatorischen TIA der EU-SCC)
• UK-spezifische Definitionen und Referenzen der Aufsichtsbehörden
• Obligatorische Bedingungen, die nicht geändert werden dürfen; optionale Klauseln verfügbar

IDTA-Nachtrag zu EU-SCCs: Ermöglicht Unternehmen, EU-SCCs als Grundlage für Übertragungen im Vereinigten Königreich zu verwenden, indem ein Nachtrag hinzugefügt wird, der sie für Zwecke im Vereinigten Königreich anpasst. Dies ist der bevorzugte Ansatz für viele multinationale Unternehmen, die bereits EU-Standardvertragsklauseln implementiert haben und Übertragungen im Vereinigten Königreich ohne separate Dokumentation abdecken möchten.

Übergang von EU-SCCs: Das ICO hat die Frist für die Aktualisierung älterer EU-SCC-Verträge auf britische IDTAs verlängert – Unternehmen, die vor dem 21. September 2022 EU-SCC-Verträge abgeschlossen haben, hatten bis zum 21. März 2024 Zeit, diese durch britische IDTAs zu ersetzen (verlängert durch ICO-Leitlinien).

Auswahl des geeigneten Übertragungsmechanismus:

---

ICO-Durchsetzungsbefugnisse und Ansatz

Das Information Commissioner's Office (ICO) ist die unabhängige Datenschutzaufsichtsbehörde des Vereinigten Königreichs. Nach dem Brexit ist das ICO nicht mehr Teil des EDSA und agiert in jeder Hinsicht unabhängig.

Durchsetzungsbefugnisse des ICO:

• Informationsmitteilungen herausgeben, in denen Organisationen zur Bereitstellung von Informationen aufgefordert werden
• Erstellung von Bescheiden (Audits)
• Durchsetzungsbescheide ausstellen (die Compliance-Maßnahmen erfordern)
• Bußgeldbescheide ausstellen:
• Untere Stufe: bis zu 8,7 Mio. £ oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) – für weniger schwerwiegende Verstöße
• Oberstufe: bis zu 17,5 Millionen £ oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) – für die schwerwiegendsten Verstöße
• Strafverfolgung wegen vorsätzlicher Datendelikte (nach DPA 2018 Teil 3 und Straftaten)

Ansatz zur Durchsetzung des ICO: Das ICO verfolgt in der Vergangenheit einen risikobasierten, verhältnismäßigen Ansatz und arbeitet mit Organisationen durch Verweise und informelle Anleitung zusammen, bevor es zu Geldstrafen kommt. Allerdings hat das ICO erhebliche Bußgelder verhängt: 20 Millionen Pfund an British Airways (später im Berufungsverfahren auf 20 Millionen Pfund reduziert), 18,4 Millionen Pfund an Marriott International und mehrere siebenstellige Geldbußen an Behörden.

Post-DPDI-Gesetz: Das DPDI-Gesetz 2025 änderte den Rahmen des ICO, führte ein „Hauptziel“ ein, neben dem Datenschutz eine florierende digitale Wirtschaft zu fördern, und schuf einen gesetzlichen Verhaltenskodex für verantwortungsvolle KI. Dies deutet auf einen etwas innovationsfreundlicheren Regulierungsansatz hin als vor DPDI.

---

Doppelte Compliance: UK-DSGVO und EU-DSGVO

Für Unternehmen, die sowohl der britischen DSGVO als auch der EU-DSGVO unterliegen – die häufigste Situation für im Vereinigten Königreich ansässige Unternehmen mit Niederlassungen in der EU – erfordert die Bewältigung der doppelten Compliance eine sorgfältige Programmgestaltung.

Strukturierung für doppelte Compliance:

1. Getrennte juristische Personen: Wenn es sich bei Ihren Betrieben im Vereinigten Königreich und in der EU um getrennte juristische Personen handelt, verfügt jede über eine eigene Aufsichtsbehörde (ICO für das Vereinigte Königreich, relevante nationale DPA für die EU) und muss separate Compliance-Programme unterhalten

2. Gemeinsame politische Grundlage: Die britische DSGVO und die EU-DSGVO haben etwa 95 % ihrer materiellen Anforderungen gemeinsam. Es kann ein einziges umfassendes Datenschutzprogramm erstellt werden, das alle Anforderungen beider abdeckt, mit britischen und EU-spezifischen Ebenen an der Spitze

3. Übertragungsmechanismen: Für Überweisungen zwischen Großbritannien und der EU gelten die Angemessenheitsvorschriften des Vereinigten Königreichs (derzeit ist kein Mechanismus erforderlich). Für Überweisungen zwischen der EU und dem Vereinigten Königreich wird der Angemessenheitsbeschluss der EU für das Vereinigte Königreich genutzt (derzeit ist kein Mechanismus erforderlich). Für interne Überweisungen zwischen dem Vereinigten Königreich und anderen Ländern sind britische IDTAs erforderlich. Für interne Überweisungen zwischen der EU und anderen Ländern sind EU-Standardvertragsklauseln erforderlich

4. Federführende Aufsichtsbehörde: Gemäß der EU-DSGVO können EU-Betriebe über den One-Stop-Shop-Mechanismus eine federführende Aufsichtsbehörde für die grenzüberschreitende EU-Verarbeitung benennen. Dies gilt nicht im Vereinigten Königreich – ICO überwacht alle im Vereinigten Königreich ansässigen Unternehmen

5. Datenschutzhinweise: Pflegen Sie separate Datenschutzhinweise oder unterscheiden Sie klar die Rechtsgrundlagen des Vereinigten Königreichs und der EU, Kontaktinformationen (DSB, Vertreter des Vereinigten Königreichs, EU-Vertreter) und Referenzen der Aufsichtsbehörden

6. DPO-Ernennung: Falls in beiden Rahmenwerken erforderlich, kann ein einziger DPO beide Gerichtsbarkeiten bedienen. Die Kontaktdaten des Datenschutzbeauftragten in britischen Datenschutzhinweisen sollten sich auf die Verpflichtungen des Vereinigten Königreichs beziehen. EU-Bekanntmachungen sollten auf EU-Verpflichtungen verweisen

---

UK-spezifische Datenschutzüberlegungen

PECR (Datenschutz- und elektronische Kommunikationsverordnung 2003)

UK PECR regelt Cookies, elektronisches Marketing und Verkehrs-/Standortdaten. Sie unterscheidet sich von der britischen DSGVO und wurde nicht durch das DPDI-Gesetz aktualisiert, obwohl die Reform noch im Gange ist. Wichtige PECR-Anforderungen:

• Cookie-Einwilligung: Für nicht unbedingt erforderliche Cookies ist eine eindeutige Einwilligung nach Aufklärung erforderlich
• E-Mail-/SMS-Marketing: Opt-in-Einwilligung für Einzelpersonen erforderlich; Opt-out (Soft-Opt-in) möglich bei bestehender Kundenbeziehung und gleichen/ähnlichen Produkten
• Kaltakquise: verboten an Nummern des Telephone Preference Service (TPS); Unternehmen können sich für das Corporate TPS registrieren

Biometrische Daten (Sonderkategorie gemäß UK DSGVO)

Biometrische Daten, die zur eindeutigen Identifizierung von Personen verarbeitet werden, stellen gemäß der britischen DSGVO eine Sonderkategorie dar. Der DPA 2018 Anhang 1 enthält spezifische Bedingungen für die Verarbeitung besonderer Kategorien, einschließlich ausdrücklicher Einwilligung und arbeitsrechtlicher Bedingungen.

UK-Vertreter für nicht im Vereinigten Königreich ansässige Controller

Gemäß Artikel 27 der britischen DSGVO müssen Verantwortliche und Auftragsverarbeiter, die nicht im Vereinigten Königreich niedergelassen sind, aber der britischen DSGVO unterliegen (weil sie britischen Personen Waren/Dienstleistungen anbieten oder das Verhalten britischer Personen überwachen), einen britischen Vertreter ernennen. Dabei handelt es sich um eine eigenständige Rolle des Datenschutzbeauftragten, bei der es sich um eine natürliche oder juristische Person handeln kann.

---

UK-Datenschutz-Compliance-Checkliste

• Stellen Sie fest, ob die britische DSGVO, die EU-DSGVO oder beide für Ihr Unternehmen gelten
• Vertreter des Vereinigten Königreichs ernannt, wenn dieser nicht im Vereinigten Königreich ansässig ist und der britischen DSGVO unterliegt
• Datenschutzerklärung aktualisiert, um auf die britische DSGVO, ICO und britische spezifische Rechte hinzuweisen
• UK IDTA oder IDTA Addendum für Überweisungen aus dem Vereinigten Königreich in nicht entsprechende Länder implementiert
• EU→UK-Übertragungsmechanismus überprüft (basiert derzeit auf der EU-Angemessenheit für das Vereinigte Königreich – auf Änderungen achten)
• Datenschutzbeauftragter ernannt, sofern gemäß der britischen DSGVO erforderlich; Kontaktdaten veröffentlicht
• Verzeichnis der Verarbeitungsaktivitäten geführt (UK DSGVO Artikel 30)
• DSFAs, die für Verarbeitungsaktivitäten mit hohem Risiko durchgeführt wurden
• Berechtigte Interessenbewertungen werden dokumentiert, wenn berechtigte Interessen die Rechtsgrundlage darstellen
• PECR-Konformität überprüft: Cookie-Zustimmung, Opt-in-Mechanismen für elektronisches Marketing
• Mitarbeiterschulung zu den DSGVO-Verpflichtungen des Vereinigten Königreichs abgeschlossen
• Verfahren zur Meldung von Verstößen: 72-Stunden-Benachrichtigung an ICO, individuelle Benachrichtigung bei Verstößen mit hohem Risiko
• Verfahren zu den Rechten betroffener Personen implementiert (Zeitplan der britischen DSGVO: ein Monat)
• Ältere EU-SCC-Verträge überprüft und bei Bedarf auf britische IDTAs aktualisiert

---

Häufig gestellte Fragen

Ist die EU-DSGVO im Vereinigten Königreich nach dem Brexit noch anwendbar?

Nein. Die EU-DSGVO gilt seit dem 1. Januar 2021 nicht mehr direkt im Vereinigten Königreich. Das Vereinigte Königreich behielt jedoch die EU-DSGVO als nationales Recht in Form der „UK DSGVO“ bei, die im Wesentlichen ähnlich ist, nun aber ein separates britisches Gesetz darstellt. Wenn Sie personenbezogene Daten von EU-/EWR-Personen verarbeiten oder eine Niederlassung in der EU haben, gilt die EU-DSGVO unabhängig vom Brexit weiterhin für diese Aspekte Ihres Unternehmens.

Benötige ich separate Datenschutzbeauftragte für Operationen im Vereinigten Königreich und in der EU?

Ein einziger Datenschutzbeauftragter kann sowohl britischen als auch EU-Verpflichtungen nachkommen, sofern er über ausreichende Kenntnisse beider Rahmenwerke verfügt und für betroffene Personen und Aufsichtsbehörden in beiden Gerichtsbarkeiten zugänglich ist. Die Kontaktdaten des Datenschutzbeauftragten sollten in den Datenschutzhinweisen für beide Gerichtsbarkeiten veröffentlicht werden, und der Datenschutzbeauftragte sollte die spezifischen ICO-Leitlinien für das Vereinigte Königreich sowie die Leitlinien des EDSA für EU-Verpflichtungen kennen.

Was passiert, wenn die EU die Angemessenheit des Vereinigten Königreichs entzieht?

Datenströme zwischen der EU und dem Vereinigten Königreich würden einen alternativen Übertragungsmechanismus erfordern – typischerweise EU-SCCs. Unternehmen müssten EU-Standardvertragsklauseln für Übertragungen zwischen der EU und dem Vereinigten Königreich unterzeichnen und Folgenabschätzungen für die Übertragung durchführen. Dies wäre operativ bedeutsam, aber für Unternehmen, die Eventualfälle geplant haben, beherrschbar. Die praktische Beeinträchtigung wäre für Unternehmen am größten, die auf informelle Datenflüsse (Mitarbeiterdaten, gemeinsame Cloud-Infrastruktur zwischen Unternehmen in der EU und im Vereinigten Königreich) ohne formelle Übertragungsdokumentation angewiesen sind.

Was sind „anerkannte berechtigte Interessen“ gemäß dem DPDI-Gesetz?

Mit dem DPDI Act 2025 wurden „anerkannte berechtigte Interessen“ eingeführt – eine neue Kategorie von Verarbeitungszwecken, die nicht den vollständigen dreiteiligen Test zur Abwägung berechtigter Interessen gemäß der britischen DSGVO erfordern. Zu den anerkannten berechtigten Interessen gehören: Direktmarketing durch die Organisation, die die Daten gesammelt hat; gruppeninterne Übertragungen zu Verwaltungszwecken; Netzwerk- und Informationssicherheitszwecke; Überwachung und Management der Mitarbeiter im Hinblick auf Sicherheit/Rechtskonformität. Unternehmen können sich darauf verlassen, ohne einen formellen Abwägungstest dokumentieren zu müssen, was die Compliance für diese spezifischen Anwendungsfälle vereinfacht.

Wie gilt der britische Datenschutz für im Ausland lebende britische Staatsbürger?

Die britische DSGVO schützt Einzelpersonen im Vereinigten Königreich – sie ist nicht an die britische Staatsbürgerschaft oder Nationalität gebunden. Ein im Vereinigten Königreich lebender EU-Bürger ist durch die britische DSGVO geschützt. Ein in Frankreich lebender britischer Staatsbürger ist durch die in Frankreich angewandte EU-DSGVO geschützt. Die Gesetze sind in ihrem primären Geltungsbereich territorial und nicht staatsbürgerschaftsbasiert. Daten von Bürgern des Vereinigten Königreichs unterliegen grundsätzlich nicht der DSGVO des Vereinigten Königreichs, wenn sie sich außerhalb des Vereinigten Königreichs befinden, es sei denn, der Verantwortliche/Auftragsverarbeiter ist im Vereinigten Königreich ansässig oder richtet sich an Personen im Vereinigten Königreich.

Unterliegen Cookies im Vereinigten Königreich der britischen DSGVO oder PECR?

Cookies unterliegen im Vereinigten Königreich in erster Linie den Datenschutz- und elektronischen Kommunikationsbestimmungen 2003 (PECR) und nicht direkt der britischen DSGVO. PECR erfordert klare Informationen über Cookies und eine Einwilligung für nicht unbedingt erforderliche Cookies. Die britische DSGVO gilt für die durch Cookies erfassten personenbezogenen Daten (sofern Cookies personenbezogene Daten verarbeiten). Beide Rahmenbedingungen müssen gleichzeitig erfüllt sein – PECR regelt die Cookie-Platzierung; Die britische DSGVO regelt die Weiterverarbeitung der erhobenen personenbezogenen Daten.

---

Nächste Schritte

Die Datenschutzlandschaft im Vereinigten Königreich ist nach dem Brexit komplexer als von vielen Unternehmen erwartet – insbesondere für diejenigen, die gleichzeitig in britischen und EU-Gerichtsbarkeiten tätig sind. Um mit den ICO-Leitlinien, den Reformen des DPDI-Gesetzes und dem EU-Angemessenheitsverhältnis Schritt zu halten, muss man sich ständig darum kümmern.

ECOSIRE unterstützt Unternehmen dabei, duale UK/EU-Compliance-Programme zu entwerfen und aufrechtzuerhalten, geeignete internationale Datenübertragungsmechanismen zu implementieren und Privacy-by-Design in ihre Technologieplattformen zu integrieren.

Weitere Informationen: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Das britische Datenschutzrecht entwickelt sich durch Gesetzgebung und ICO-Richtlinien weiter. Wenden Sie sich an einen qualifizierten britischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.