DSGVO vs. UK-DSGVO: Wie der Data (Use and Access) Act 2025 echte Divergenz schafft
Die EU-DSGVO und die UK-DSGVO starteten nach dem Brexit als identische Texte. Der Data (Use and Access) Act 2025, in Kraft seit Februar 2026, schuf die erste inhaltliche Divergenz: anerkannte berechtigte Interessen, reformierte Regeln zur automatisierten Entscheidungsfindung, ein SAR-Stop-the-Clock-Verfahren und Ausnahmen für Analyse-Cookies gelten nun nur noch im britischen Rahmenwerk.
Als das Vereinigte Königreich die Europäische Union am 31. Januar 2020 verließ, hörte die EU-DSGVO nicht einfach auf zu gelten. Der European Union (Withdrawal) Act 2018 überführte sie ins britische innerstaatliche Recht und schuf so die UK-DSGVO. Ergänzt durch den Data Protection Act 2018, spiegelte die UK-DSGVO die EU-DSGVO anfangs fast wortgleich wider.
Vier Jahre lang war der Vergleich weitgehend akademisch. Dann kam der Data (Use and Access) Act 2025 (DUAA). Er erhielt am 19. Juni 2025 Royal Assent und trat in Phasen bis Anfang 2026 in Kraft und führte strukturelle Änderungen bei der Verarbeitung auf Grundlage berechtigter Interessen, der automatisierten Entscheidungsfindung, den Auskunftsrechten der Betroffenen, der Cookie-Einwilligung und der eigenen Governance des ICO ein. Die beiden Regime sehen nicht mehr gleich aus.
Dieser Leitfaden erklärt, wie die UK-DSGVO entstand, was der DUAA verändert hat, wie es um den EU-Angemessenheitsbeschluss steht und wie die duale Compliance 2026 aussieht.
Wie die UK-DSGVO entstand
Die EU-DSGVO galt vom 25. Mai 2018 bis zum 31. Dezember 2020 unmittelbar im UK, als das UK Mitgliedstaat und anschließend in der Übergangsphase nach dem Austritt war. Am 1. Januar 2021 wurde die fortgeltende DSGVO zur UK-DSGVO.
Der technische Mechanismus war unkompliziert. Der Withdrawal Act übernahm die DSGVO in britisches innerstaatliches Recht und ermächtigte zum Erlass von Rechtsverordnungen, um Verweise zu korrigieren, die keinen Sinn mehr ergaben: "die Union" wurde zum "Vereinigten Königreich", EU-Institutionen wurden durch britische Entsprechungen ersetzt, und das Information Commissioner's Office (ICO) wurde zur alleinigen Aufsichtsbehörde für das gesamte Land, statt der britischen nationalen Datenschutzbehörde innerhalb eines Netzwerks von mehr als 30 europäischen Datenschutzbehörden.
Der Data Protection Act 2018 steht neben der UK-DSGVO in einem Verhältnis, das die EU-Struktur widerspiegelt: Der DPA 2018 enthält britische Spezifika und Ausnahmen, so wie EU-Mitgliedstaaten nationale Durchführungsgesetze erließen. Das kombinierte Rahmenwerk aus UK-DSGVO und DPA 2018 war zum 1. Januar 2021 inhaltlich identisch mit der EU-DSGVO.
Die britische Regierung kündigte früh an, dieses Rahmenwerk reformieren zu wollen. Nach mehreren gescheiterten Anläufen erhielt der Data Protection and Digital Information (DPDI) Act am 24. Oktober 2024 Royal Assent und brachte moderate Änderungen. Acht Monate später folgte der umfangreichere und ambitioniertere DUAA 2025.
Die historische Nahezu-Identität
Von 2021 bis weit in das Jahr 2025 hinein waren UK-DSGVO und EU-DSGVO für nahezu alle praktischen Zwecke funktional gleichwertig. Die sechs Rechtsgrundlagen für die Verarbeitung waren identisch. Die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch) waren dieselben. Die Meldepflicht innerhalb von 72 Stunden bei Datenschutzverletzungen war dieselbe. Datenschutz durch Technikgestaltung, Folgenabschätzungen, Anforderungen an den Datenschutzbeauftragten, Auftragsverarbeiterverträge und Regeln zu besonderen Kategorien personenbezogener Daten folgten sämtlich dem EU-Text.
Die wesentlichen praktischen Unterschiede in dieser Zeit waren struktureller Natur: das ICO als alleinige Aufsichtsbehörde (gegenüber 30+ EU-Datenschutzbehörden), die eigenen britischen Angemessenheitsbeschlüsse für internationale Übermittlungen, das britische International Data Transfer Agreement (IDTA) als innerstaatliches Äquivalent zu den EU-Standardvertragsklauseln sowie die Verwendung von Pfund Sterling statt Euro für Bußgelder.
Diese Nahezu-Identität war die Grundlage, auf der die Europäische Kommission dem UK im Juni 2021 einen Angemessenheitsbeschluss erteilte.
Der Data (Use and Access) Act 2025: Wo die Divergenz beginnt
Der DUAA wurde am 19. Juni 2025 erlassen. Die britische Regierung stellte ihn als innovationsfreundliche Reform dar, die hohe Datenschutzstandards beibehält und gleichzeitig unnötige Compliance-Lasten reduziert. Kritiker, darunter der EDSA, wiesen darauf hin, dass einige Änderungen sich spürbar von den Grundsätzen der EU-DSGVO entfernen.
Die meisten datenschutzrechtlichen Vorschriften des Gesetzes traten am 5. Februar 2026 in Kraft. Die Anforderung zur Beschwerdebearbeitung tritt am 19. Juni 2026 in Kraft. Die Umstrukturierung der ICO-Governance folgt, sobald der neue Vorstand ernannt ist, was für Ende 2026 erwartet wird.
Anerkannte berechtigte Interessen
Die strukturell bedeutsamste Änderung ist die Schaffung einer neuen Rechtsgrundlage: "anerkannte berechtigte Interessen" nach Artikel 6 UK-DSGVO (eingefügt durch Section 70 und Schedule 4 des DUAA).
Nach der EU-DSGVO verlangt jede Berufung auf berechtigte Interessen als Rechtsgrundlage eine Interessenabwägung (Legitimate Interests Assessment, LIA), die das Interesse des Verantwortlichen gegen die Rechte und Freiheiten der betroffenen Person abwägt. Es gibt keine Abkürzungen. Die UK-DSGVO behält diese vollständige Abwägungspflicht für allgemeine Berufungen auf berechtigte Interessen bei.
Schedule 4 des DUAA fügt jedoch eine Liste spezifischer "anerkannter berechtigter Interessen" hinzu, für die keine Abwägungsprüfung erforderlich ist. Die aufgeführten Kategorien sind:
- Verhütung und Aufdeckung von Straftaten, einschließlich Betrugsprävention
- Schutz gefährdeter Personen (Schutz einer Person vor Vernachlässigung oder körperlichem, seelischem oder emotionalem Schaden)
- Reaktion auf Notfälle im Sinne des Civil Contingencies Act 2004
- Nationale Sicherheit, öffentliche Sicherheit und Verteidigung
- Unterstützung öffentlicher Stellen bei gesetzlich sanktionierten Aufgaben im öffentlichen Interesse
- Konzerninterne Übermittlung personenbezogener Daten für interne Verwaltungszwecke
Für diese spezifischen Kategorien kann sich ein Verantwortlicher auf die Grundlage des anerkannten berechtigten Interesses stützen, ohne eine Abwägungsprüfung durchzuführen oder zu dokumentieren. Die betroffene Person behält weiterhin das Widerspruchsrecht nach Artikel 21, doch die Verarbeitung gilt als grundsätzlich rechtmäßig.
Die EU-DSGVO kennt keine vergleichbare Regelung. Die Verarbeitung auf Grundlage berechtigter Interessen in der EU erfordert unabhängig vom Zweck stets eine Abwägungsprüfung. Dies ist ein Bereich echter inhaltlicher Divergenz.
Automatisierte Entscheidungsfindung
Artikel 22 DSGVO gewährt EU-Betroffenen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die rechtliche oder ähnlich bedeutsame Wirkung entfaltet, mit begrenzten Ausnahmen. Dies war historisch eine bedeutende Einschränkung für vollständig automatisiertes Profiling, Kreditwürdigkeitsprüfungen und ähnliche Systeme.
Der DUAA ersetzt Artikel 22 der UK-DSGVO durch die neuen Artikel 22A bis 22D (Section 80 und Schedule 6). Das reformierte britische Rahmenwerk wird von der Regierung als "großzügiger" beschrieben. Wesentliche Änderungen:
- Das Verbot ausschließlich automatisierter Entscheidungsfindung (ADM) gilt nun nur noch, wenn die Entscheidung ganz oder teilweise auf besonderen Kategorien personenbezogener Daten beruht und rechtliche oder ähnlich bedeutsame Wirkung entfaltet.
- Bei anderen ADM-Entscheidungen müssen Organisationen Transparenz gewährleisten, der betroffenen Person die Möglichkeit zur Stellungnahme geben und auf Anfrage einen Weg zu menschlichem Eingreifen anbieten.
- Im Kontext der Strafverfolgung erlaubt eine neue "Ausnahme der aktiven menschlichen Überprüfung" nachteilige automatisierte Entscheidungen ohne unmittelbare menschliche Überprüfung, wenn dies eine Ermittlung behindern oder die nationale Sicherheit gefährden würde, sofern eine menschliche Nachprüfung so bald wie vernünftigerweise durchführbar erfolgt.
Die praktische Folge ist, dass im UK ein breiteres Spektrum automatisierter Entscheidungen rechtmäßig wird, ohne die vollständigen Schutzmaßnahmen des Artikels 22 auszulösen. Ein System, das nach dem großzügigeren britischen Rahmenwerk aufgebaut wurde, entspricht möglicherweise nicht der EU-DSGVO für EU-Betroffene. Das ICO eröffnete Anfang 2026 eine Konsultation zu aktualisierten ADM-Leitlinien.
SAR-Stop-the-Clock
Die Sections 75 bis 78 des DUAA führen für Auskunftsanfragen (Subject Access Requests, SARs) ein "Stop-the-Clock"-Verfahren ein, das kein Äquivalent in der EU-DSGVO hat.
Nach beiden Rahmenwerken müssen Verantwortliche innerhalb eines Kalendermonats auf SARs antworten (verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anfragen). Nach der EU-DSGVO läuft diese Frist durchgehend, sobald die Anfrage eingegangen ist.
Nach der geänderten UK-DSGVO wird die Antwortfrist pausiert, wenn der Verantwortliche von der betroffenen Person eine Klärung oder Präzisierung ihrer Anfrage benötigt oder zusätzliche Informationen zur Auffindung der relevanten Daten braucht. Die Frist stoppt, sobald eine Klärung angefordert wird, und läuft weiter, sobald diese Klärung eingeht.
Dieselben Abschnitte kodifizieren zudem, dass SAR-Suchen lediglich "angemessen und verhältnismäßig" sein müssen, ein Grundsatz, der zuvor nur durch britische Rechtsprechung etabliert war.
Das Stop-the-Clock-Verfahren gibt britischen Verantwortlichen mehr Flexibilität bei der Bearbeitung komplexer SARs. EU-Verantwortlichen steht kein vergleichbares Instrument zur Verfügung; jede Klärungsanfrage muss innerhalb der laufenden Einmonatsfrist bewältigt werden.
Cookie- und PECR-Reformen
Die Privacy and Electronic Communications Regulations 2003 (PECR) setzen die EU-ePrivacy-Richtlinie im britischen Recht um und regeln Cookies und ähnliche Tracking-Technologien. PECR verlangte historisch für alle nicht essenziellen Cookies eine vorherige Einwilligung, was zu den bekannten Cookie-Bannern auf Websites im UK und in der EU führte.
Der DUAA ändert PECR und schafft drei neue Kategorien von Speicher- und Zugriffstechnologien, die von der Einwilligung ausgenommen sind (in Kraft seit 5. Februar 2026):
- Statistik-Cookies: Analyse-Cookies, mit denen die Leistung einer Website gemessen und verbessert wird, sofern die Daten nicht für andere Zwecke genutzt werden und Nutzern eine kostenlose Widerspruchsmöglichkeit zur Verfügung steht.
- Darstellungs-Cookies: Cookies, die Nutzereinstellungen wie Sprache oder Anzeigeoptionen speichern, sofern eine kostenlose Widerspruchsmöglichkeit besteht.
- Notfallhilfe-Cookies: Cookies, die zur Ermöglichung eines Notfalldienstes erforderlich sind.
Für Statistik- und Darstellungs-Cookies gilt die Ausnahme nur, wenn der Verantwortliche Nutzern einen kostenlosen und einfachen Mechanismus zum Widerspruch bereitstellt. Das ICO veröffentlichte im Herbst 2025 einen Leitlinienentwurf; die endgültigen Leitlinien werden für das Frühjahr 2026 erwartet.
In der EU wurde die ePrivacy-Richtlinie nicht geändert. Alle nicht essenziellen Cookies erfordern weiterhin eine vorherige Opt-in-Einwilligung. Die seit Langem diskutierte ePrivacy-Verordnung ist weiterhin nicht erlassen. Britische Websites können nun Analyse-Cookies ohne Einwilligungsbanner nutzen (sofern ein Widerspruch angeboten wird), während dieselben Cookies auf einer EU-ausgerichteten Seite weiterhin eine vorherige Einwilligung erfordern.
Getrennt davon erhöht der DUAA das Höchstbußgeld nach PECR von 500.000 GBP auf 17,5 Millionen GBP oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist), womit es dem Niveau der UK-DSGVO-Bußgelder entspricht. Dies bringt die Durchsetzung im Bereich der elektronischen Kommunikation in Einklang mit der Datenschutzdurchsetzung.
Regelungen zur wissenschaftlichen Forschung
Die Sections 67 und 68 des DUAA präzisieren und erweitern die britischen Forschungsregelungen. Zwei Änderungen sind bedeutsam.
Erstens wird die Definition von "wissenschaftlicher Forschung" in das primäre Gesetzesrecht aufgenommen (zuvor stand sie nur in Erwägungsgründen) und umfasst nun ausdrücklich auch kommerzielle wissenschaftliche Forschung, etwa ein Pharmaunternehmen, das klinische Studien durchführt. Dies beseitigt Unklarheiten darüber, ob kommerzielle Forschungseinrichtungen von den Verarbeitungserleichterungen für Forschung profitieren.
Zweitens ermöglicht der DUAA eine "breite Einwilligung" für wissenschaftliche Forschung: Wenn es nicht vernünftigerweise möglich ist, spezifische Forschungszwecke von vornherein festzulegen, ist eine breitere Einwilligung, die verwandte Forschungsbereiche abdeckt, gültig. Dies spiegelt die gängige Praxis bei Längsschnittstudien und Biobanken wider.
Nach der EU-DSGVO existieren diese Grundsätze in Erwägungsgründen und Artikel 89, wurden jedoch in einigen Mitgliedstaaten restriktiver ausgelegt. Die britische Kodifizierung schafft mehr Rechtssicherheit.
Smart-Data-Programme
Teil 1 des DUAA schafft ein gesetzliches Rahmenwerk für "Smart-Data-Programme". Dies ist getrennt von den Kernänderungen der UK-DSGVO, für Datenschutzpraktiker jedoch relevant.
Smart-Data-Programme erweitern das britische Open-Banking-Modell, das es Kunden erlaubt, Finanzdaten über APIs mit autorisierten Dritten zu teilen, auf andere Sektoren. Der Secretary of State und das britische Finanzministerium (HM Treasury) können in jedem Sektor (Energie, Hypotheken, Versicherungen, Renten und andere) "Datenhalter" benennen, die Kundendaten auf Anfrage autorisierten Dritten zugänglich machen müssen.
Stand 2025 nutzen rund ein Fünftel der britischen Verbraucher und Unternehmen Open-Banking-Dienste. Der DUAA stellt Open Banking auf eine gesetzliche Grundlage und schafft die rechtliche Infrastruktur, um das Modell auf die gesamte Wirtschaft auszuweiten. Ziel der Regierung sind mehr als 20 neue Smart-Data-Programme bis 2035.
Smart-Data-Programme ändern die UK-DSGVO nicht unmittelbar, doch über ein Smart-Data-Programm geteilte Daten müssen die Anforderungen der UK-DSGVO für jeden beteiligten Verantwortlichen erfüllen.
Das ICO wird zur Information Commission
Teil 6 des DUAA benennt das Information Commissioner's Office in Information Commission (IC) um und strukturiert dessen Governance neu. Das ICO wird künftig von einem Vorstand mit getrenntem Vorsitz und Geschäftsführung geleitet, statt von einem einzelnen Information Commissioner.
Die Information Commission trägt zudem eine gesetzliche Pflicht, bei der Ausübung ihrer Aufgaben die Förderung von Innovation zu berücksichtigen. Kritiker weisen darauf hin, dass dies eine Spannung zur Anforderung der EU-DSGVO schafft, wonach Aufsichtsbehörden mit "völliger Unabhängigkeit" (Art. 52) und ohne konkurrierende kommerzielle Ziele handeln müssen.
Der vollständige Governance-Übergang hängt von der Ernennung des neuen Vorstands ab, die für die zweite Hälfte 2026 erwartet wird. Bis dahin arbeitet die bestehende ICO-Struktur unter dem neuen Namen weiter.
Der DUAA verlieh dem ICO zudem erweiterte Durchsetzungsinstrumente: die Befugnis, von Verantwortlichen auf deren eigene Kosten unabhängige Audits zu verlangen, sowie die Befugnis, Zeugenbefragungen über Auskunftsverfügungen zu erzwingen.
Der EU-Angemessenheitsbeschluss: Verlängert bis 2031
Als das UK den EU-Binnenmarkt am 1. Januar 2021 verließ, verlangte Artikel 46 DSGVO, dass Organisationen vor der Übermittlung personenbezogener Daten von der EU ins UK über einen Angemessenheitsbeschluss, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder einen anderen genehmigten Mechanismus verfügen.
Die Europäische Kommission erließ im Juni 2021 einen Angemessenheitsbeschluss für das UK und stellte fest, dass das britische Rahmenwerk ein im Wesentlichen gleichwertiges Schutzniveau bietet. Der ursprüngliche Beschluss enthielt eine vierjährige Verfallsklausel mit Ablauf im Juni 2025, sofern er nicht verlängert würde.
Die Verlängerung vom Dezember 2025
Die Kommission verlängerte beide UK-Angemessenheitsbeschlüsse, einen nach der EU-DSGVO, einen nach der Richtlinie für die Strafverfolgung, am 19. Dezember 2025. Die verlängerten Beschlüsse gelten bis zum 27. Dezember 2031: eine Verlängerung um sechs Jahre.
Bei der Verlängerung bewertete die Kommission das britische Datenschutzrahmenwerk einschließlich des neu erlassenen DUAA 2025 und kam zu dem Schluss, dass der Schutz trotz der DUAA-Reformen weiterhin "im Wesentlichen gleichwertig" zu EU-Standards ist.
Der EDSA hatte seine Stellungnahmen zu den Entwürfen der Angemessenheitsbeschlüsse am 20. Oktober 2025 verabschiedet und die Verlängerung befürwortet, dabei jedoch konkrete Bedenken geäußert:
- Befugnisse des Secretary of State: Die Befugnis, Regeln zur automatisierten Entscheidungsfindung, internationale Übermittlungsmechanismen und die ICO-Governance durch Sekundärgesetzgebung mit begrenzter parlamentarischer Kontrolle zu ändern, sollte beobachtet werden.
- Britischer Weiterübermittlungstest: Der neue britische Standard für Angemessenheitsprüfungen von Drittländern ("nicht wesentlich niedrigeres" Schutzniveau) lässt Elemente aus, die im vorherigen britischen Test enthalten waren, was möglicherweise Weiterübermittlungen in Länder ermöglicht, die die EU-Angemessenheitsstandards nicht erfüllen würden.
- Struktur und Unabhängigkeit des ICO: Änderungen an der ICO-Governance und dessen neue Pflicht, Innovation zu berücksichtigen, erfordern eine fortlaufende Bewertung.
- Ausnahmen zur nationalen Sicherheit: Technical Capability Notices, die eine Umgehung der Verschlüsselung erlauben, sowie Ausnahmen von den Datenschutzgrundsätzen aus Gründen der nationalen Sicherheit bedürfen einer engmaschigen Beobachtung.
Die EDSA-Vorsitzende Anu Talus erklärte, der Ausschuss "begrüße die fortdauernde Angleichung zwischen den Datenschutzrahmenwerken des UK und Europas" und forderte zugleich eine wirksame Beobachtung über den Sechsjahreszeitraum.
Was Angemessenheit praktisch bedeutet
Der Angemessenheitsbeschluss erfasst Übermittlungen personenbezogener Daten von EU- und EWR-Mitgliedstaaten in das UK. In der Praxis bedeutet dies:
- Britische Organisationen, die personenbezogene Daten von EU-/EWR-Verantwortlichen erhalten, benötigen keine Standardvertragsklauseln, verbindlichen internen Datenschutzvorschriften oder andere Übermittlungsgarantien.
- EU-Verantwortliche können Daten frei an britische Auftragsverarbeiter oder gemeinsam Verantwortliche übermitteln.
- Würde der Beschluss widerrufen oder ausgesetzt, benötigte jede solche Übermittlung sofort einen alternativen Mechanismus.
Übermittlungen vom UK in die EU werden gesondert behandelt: Das UK hat den EU/EWR nach den britischen Angemessenheitsvorschriften als angemessen anerkannt, sodass auch diese Übermittlungen ohne zusätzliche Garantien fließen.
Durchsetzung: ICO vs. EU-Datenschutzbehörden
| ICO / Information Commission (UK) | EU-Datenschutzbehörden | |
|---|---|---|
| Anzahl der Behörden | 1 (national) | 30+ (eine pro Mitgliedstaat) |
| Modell der federführenden Behörde | Nicht anwendbar | One-Stop-Shop: federführende Behörde für grenzüberschreitende Verarbeitung |
| Höchstbußgeld nach DSGVO / UK-DSGVO | 17,5 Mio. GBP oder 4 % des weltweiten Umsatzes | 20 Mio. Euro oder 4 % des weltweiten Umsatzes |
| Höchstbußgeld nach PECR (ab Feb. 2026) | 17,5 Mio. GBP oder 4 % des weltweiten Umsatzes | ePrivacy-Richtlinie: je nach Mitgliedstaat unterschiedlich |
| Unabhängigkeit der Behörde | Gesetzliche Pflicht zur Berücksichtigung von Innovation | "Völlige Unabhängigkeit" (Art. 52) |
| Auditbefugnisse nach DUAA | Kann externe Audits auf Kosten des Verantwortlichen verlangen | Je nach Mitgliedstaat unterschiedlich |
Die Bußgeldstufen sind in absoluten Beträgen weitgehend vergleichbar. Für Organisationen, die beiden Aufsichtsbehörden unterliegen, erfordert eine Datenschutzverletzung mit Auswirkungen auf britische und EU-Betroffene eine gesonderte Meldung sowohl an das ICO als auch an die zuständige federführende EU-Datenschutzbehörde innerhalb von 72 Stunden nach Kenntniserlangung.
Gefährdet die Divergenz die Angemessenheit?
Die Verlängerung vom Dezember 2025 bestätigt, dass das aktuelle Maß an Divergenz innerhalb der Toleranzgrenze der Kommission für "im Wesentlichen gleichwertig" liegt. Die sechs Bereiche, die im Zeitraum 2025-2031 am ehesten genauer geprüft werden dürften, sind:
Weiterübermittlungen: Der neue britische Standard "nicht wesentlich niedriger" für die Angemessenheitsprüfung von Drittländern könnte britischerseits Weiterübermittlungen in Länder ermöglichen, die die EU nicht anerkannt hat. EU-Daten, die ins UK und von dort weiter in ein Land mit geringerem Schutzniveau fließen, könnten die Grundlage der Angemessenheit untergraben.
Befugnisse zur Sekundärgesetzgebung: Der Secretary of State kann das Rahmenwerk der UK-DSGVO, einschließlich der ADM-Regeln und internationaler Übermittlungsmechanismen, ohne primäre Gesetzgebung weiter ändern. Jede Ausübung dieser Befugnisse, die den Schutz der Betroffenen mindert, könnte eine Überprüfung durch die Kommission auslösen.
Unabhängigkeit des ICO: Sollten die Durchsetzungsmuster der Information Commission von kommerziellen oder innovationsbezogenen Erwägungen statt vom Datenschutzrecht geprägt erscheinen, könnte dies Kommentare des EDSA hervorrufen.
ADM-Praktiken: Sollten britische Organisationen automatisierte Entscheidungssysteme betreiben, die nach Artikel 22 der EU-DSGVO unrechtmäßig wären, nach den neuen britischen Artikeln 22A-D jedoch zulässig sind, und diese Entscheidungen EU-Bürger betreffen, könnten sich Spannungen bei der Angemessenheit ergeben.
Der Angemessenheitsbeschluss kann jederzeit vor 2031 ausgesetzt oder widerrufen werden. Organisationen mit erheblichen EU-UK-Datenströmen sollten vorsorglich Standardvertragsklauseln oder IDTAs als Absicherung bereithalten.
Vergleich im Überblick
| Merkmal | EU-DSGVO | UK-DSGVO (nach DUAA, 2026) |
|---|---|---|
| In Kraft seit | 25. Mai 2018 | 1. Jan. 2021 (fortgeltend); DUAA: 5. Feb. 2026 |
| Aufsichtsbehörde | Nationale Datenschutzbehörden (30+) | ICO (wird zur Information Commission) |
| Anerkannte berechtigte Interessen | Kein Äquivalent; stets vollständige Interessenabwägung erforderlich | Liste in Schedule 4 (Straftaten, Schutz, Notfälle, nationale Sicherheit, konzernintern): keine Abwägung erforderlich |
| Automatisierte Entscheidungen (Art. 22) | Recht, nicht ausschließlich automatisierten ADM unterworfen zu werden (mit Ausnahmen) | Ersetzt durch Art. 22A-D; Verbot auf besondere Kategorien personenbezogener Daten verengt; Transparenz- und Anfechtungsrechte gelten breiter |
| SAR-Antwortfrist | 1 Monat (durchgehend laufend) | 1 Monat (Stop-the-Clock bei Klärungsanfragen) |
| Analyse-Cookies | Vorherige Einwilligung erforderlich | Ausgenommen, sofern kostenloser Widerspruch angeboten wird |
| Darstellungs-Cookies | Vorherige Einwilligung erforderlich | Ausgenommen, sofern kostenloser Widerspruch angeboten wird |
| Höchstbußgeld nach PECR | Nicht anwendbar (ePrivacy je nach Mitgliedstaat unterschiedlich) | 17,5 Mio. GBP oder 4 % des weltweiten Umsatzes (ab Feb. 2026) |
| Umfang der wissenschaftlichen Forschung | Art. 89, erwägungsgrundbasiert; kommerzielle Forschung umstritten | Kodifiziert; kommerzielle Forschung ausdrücklich eingeschlossen; breite Einwilligung zulässig |
| Angemessenheitstest für Weiterübermittlungen | "Im Wesentlichen gleichwertig" | "Nicht wesentlich niedriger" |
| Unabhängigkeit der Aufsichtsbehörde | "Völlige Unabhängigkeit" (Art. 52) | Pflicht zur Berücksichtigung von Innovation |
| Höchstbußgeld (DSGVO / UK-DSGVO) | 20 Mio. Euro oder 4 % des weltweiten Umsatzes | 17,5 Mio. GBP oder 4 % des weltweiten Umsatzes |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Datenschutzbehörde | 72 Stunden an das ICO |
| Anforderung an den Datenschutzbeauftragten | Ja (bestimmte Organisationen) | Ja (bestimmte Organisationen) |
| Übermittlungsmechanismen | Angemessenheitsbeschlüsse, Standardvertragsklauseln, verbindliche interne Vorschriften | Dieselben Mechanismen; neuer Angemessenheitstest "nicht wesentlich niedriger" |
| Datenübertragbarkeit / Smart Data | Art. 20 DSGVO (nur individuelles Recht) | Art. 20 plus DUAA-Smart-Data-Programme (Übertragbarkeit auf Sektorebene) |
Duale Compliance: Beide Rahmenwerke 2026 gleichzeitig erfüllen
Organisationen, die personenbezogene Daten sowohl von britischen als auch von EU-Bürgern erheben, müssen beide Rahmenwerke gleichzeitig erfüllen. Wesentliche praktische Schritte nach Inkrafttreten des DUAA:
Datenschutzhinweise: Aktualisieren Sie diese, um sowohl die UK-DSGVO- als auch die EU-DSGVO-Rechtsgrundlagen dort widerzuspiegeln, wo sie sich unterscheiden. Verarbeitung, die sich nach britischem Recht auf anerkannte berechtigte Interessen stützt, benötigt für EU-ausgerichtete Verarbeitung weiterhin eine vollständige Interessenabwägung. Hinweise sollten klarstellen, welche Aufsichtsbehörde (ICO oder die zuständige EU-Datenschutzbehörde) für welche Verarbeitung gilt.
Interessenabwägungen: Führen Sie für EU-ausgerichtete Verarbeitung weiterhin gesonderte Interessenabwägungen durch, selbst wenn sich die entsprechende britische Verarbeitung auf ein anerkanntes berechtigtes Interesse stützt. Das Fehlen einer britischen Abwägungspflicht hebt die EU-Pflicht nicht auf.
Automatisierte Entscheidungsfindung: Überprüfen Sie jede vollständig automatisierte Entscheidungsfindung sowohl anhand von Artikel 22 (EU) als auch der neuen britischen Artikel 22A-D. Systeme, die nach dem großzügigeren britischen Rahmenwerk rechtmäßig sind, müssen für EU-Betroffene weiterhin die strengeren EU-Regeln erfüllen.
SAR-Verfahren: Das Stop-the-Clock-Verfahren gilt nur für SARs nach der UK-DSGVO. SARs nach der EU-DSGVO laufen mit einer durchgehenden Einmonatsfrist. Erstreckt sich ein einzelner SAR sowohl auf britische als auch auf EU-personenbezogene Daten, sollte die EU-DSGVO-Frist als bindend behandelt werden.
Cookie-Einwilligung: EU-ausgerichtete Seiten benötigen weiterhin eine vollständige Opt-in-Einwilligung für Analyse- und Darstellungs-Cookies. UK-ausgerichtete Seiten können für diese Cookie-Kategorien im Rahmen der PECR-Ausnahmen zu einem Opt-out-Modell wechseln. Erwägen Sie geolokalisierungs- oder präferenzbasierte Ansätze für gemischte Zielgruppen.
Internationale Übermittlungen: EU-UK-Übermittlungen sind durch den Angemessenheitsbeschluss abgedeckt. UK-EU-Übermittlungen sind durch die britischen Angemessenheitsvorschriften abgedeckt. Halten Sie für EU-UK-Datenströme vorsorglich Standardvertragsklauseln als Absicherung gegen eine Aussetzung der Angemessenheit bereit.
Vertreter: Organisationen, die nur im UK niedergelassen sind (nicht in der EU), benötigen für EU-ausgerichtete Verarbeitung nach Artikel 27 der EU-DSGVO einen EU-Vertreter. Organisationen, die nur in der EU niedergelassen sind, benötigen nach Artikel 27 der UK-DSGVO einen britischen Vertreter. Dies können unterschiedliche Rechtsträger sein.
Meldung von Datenschutzverletzungen: Ein einzelner Vorfall mit Auswirkungen auf britische und EU-Betroffene erfordert eine Meldung sowohl an das ICO als auch an die zuständige federführende EU-Datenschutzbehörde innerhalb von 72 Stunden nach Kenntniserlangung.
Für einen detaillierten Blick auf das britische Rahmenwerk allein siehe unseren Leitfaden zu den Datenschutzgesetzen des Vereinigten Königreichs. Für die EU-Seite siehe unseren Leitfaden zu den EU-Datenschutzgesetzen.
Aktuelle Entwicklungen (2024-2026)
Mai 2026: Die endgültigen ICO-Leitlinien zu Cookies werden in Kürze erwartet. Die ICO-Konsultation zu ADM-Leitlinien läuft weiter.
Februar 2026: Die wesentlichen datenschutzrechtlichen Vorschriften des DUAA treten in Kraft. Anerkannte berechtigte Interessen, das neue ADM-Rahmenwerk, das SAR-Stop-the-Clock-Verfahren und Cookie-Ausnahmen sind nun wirksam. PECR-Bußgelder steigen auf die Stufe von 17,5 Mio. GBP.
Dezember 2025: Die Europäische Kommission verlängert die UK-Angemessenheitsbeschlüsse für DSGVO und Richtlinie für die Strafverfolgung bis zum 27. Dezember 2031.
Oktober 2025: Der EDSA verabschiedet Stellungnahmen zur Unterstützung der Verlängerung der Angemessenheit, weist jedoch auf Beobachtungsbedarf bei den Befugnissen des Secretary of State, dem britischen Weiterübermittlungstest und der Unabhängigkeit des ICO hin.
Juni 2025: Der DUAA erhält Royal Assent (19. Juni 2025). Das ICO kündigt einen verhältnismäßigen und unterstützenden Ansatz beim Inkrafttreten der neuen Vorschriften an.
Oktober 2024: Der DPDI Act erhält Royal Assent und führt eine erste Reformrunde der UK-DSGVO nach dem Brexit ein, die dem DUAA vorausging.
Juni 2021: Die Europäische Kommission erlässt die ursprünglichen UK-Angemessenheitsbeschlüsse.
Januar 2021: Die UK-DSGVO entsteht als fortgeltendes EU-Recht.
Frequently Asked Questions
Gilt die DSGVO nach dem Brexit weiterhin im UK?
Die EU-DSGVO gilt nicht mehr unmittelbar im UK. Stattdessen verfügt das UK über seine eigene UK-DSGVO, die durch den European Union (Withdrawal) Act 2018 im innerstaatlichen Recht fortgilt und durch den Data Protection Act 2018 ergänzt wird. Die beiden Gesetze waren anfangs nahezu wortgleich identisch, doch der Data (Use and Access) Act 2025, in Kraft seit Februar 2026, hat wesentliche Unterschiede bei berechtigten Interessen, automatisierter Entscheidungsfindung, der SAR-Bearbeitung und der Cookie-Einwilligung eingeführt.
Was ist der Data (Use and Access) Act 2025 und wann trat er in Kraft?
Der Data (Use and Access) Act 2025 (DUAA) erhielt am 19. Juni 2025 Royal Assent. Seine wesentlichen datenschutzrechtlichen Vorschriften traten am 5. Februar 2026 in Kraft. Das Gesetz ändert die UK-DSGVO und den DPA 2018, um anerkannte berechtigte Interessen (keine Interessenabwägung für aufgeführte Kategorien erforderlich), reformierte Regeln zur automatisierten Entscheidungsfindung, ein SAR-Stop-the-Clock-Verfahren, neue Cookie-Ausnahmen nach PECR, höhere PECR-Bußgelder, erweiterte Regelungen zur wissenschaftlichen Forschung sowie den Übergang des ICO zur Information Commission einzuführen.
Können personenbezogene Daten weiterhin frei zwischen der EU und dem UK fließen?
Ja. Die Europäische Kommission verlängerte beide UK-Angemessenheitsbeschlüsse am 19. Dezember 2025, die Übermittlungen nach der EU-DSGVO und der Richtlinie für die Strafverfolgung abdecken. Die verlängerten Beschlüsse gelten bis zum 27. Dezember 2031. Übermittlungen personenbezogener Daten von der EU ins UK erfordern in diesem Zeitraum keine Standardvertragsklauseln oder andere Übermittlungsmechanismen, sofern die zugrunde liegende Verarbeitung im Übrigen der EU-DSGVO entspricht.
Was sind anerkannte berechtigte Interessen nach der UK-DSGVO?
Anerkannte berechtigte Interessen sind eine neue Kategorie rechtmäßiger Verarbeitung, die durch Schedule 4 des DUAA in Artikel 6 der UK-DSGVO eingefügt wurde. Sie umfassen die Verhütung und Aufdeckung von Straftaten, den Schutz gefährdeter Personen, die Reaktion auf Notfälle, nationale und öffentliche Sicherheit, die Unterstützung gesetzlich sanktionierter Aufgaben im öffentlichen Interesse sowie konzerninterne Datenübermittlungen. Anders als bei der gewöhnlichen Verarbeitung auf Grundlage berechtigter Interessen ist für diese Kategorien keine Interessenabwägung erforderlich. Die EU-DSGVO kennt kein Äquivalent, jede Berufung auf berechtigte Interessen in der EU erfordert eine vollständige Abwägungsprüfung.
Was hat sich bei Auskunftsanfragen durch den DUAA geändert?
Der DUAA führte ein Stop-the-Clock-Verfahren ein: Die Einmonatsfrist zur Beantwortung eines SAR pausiert, wenn ein Verantwortlicher von der betroffenen Person eine Klärung oder zusätzliche Informationen anfordert, und läuft weiter, sobald diese Klärung eingeht. Das Gesetz kodifiziert zudem, dass SAR-Suchen lediglich angemessen und verhältnismäßig sein müssen. Diese Änderungen gelten nur für SARs nach der UK-DSGVO. SARs nach der EU-DSGVO laufen weiterhin mit einer durchgehenden Einmonatsfrist, unabhängig von Klärungsanfragen.
Müssen Unternehmen sowohl die UK-DSGVO als auch die EU-DSGVO einhalten?
Ja, wenn sie personenbezogene Daten sowohl von britischen als auch von EU-Bürgern verarbeiten. Ein im UK ansässiges Unternehmen, das an EU-Kunden verkauft, muss für diese Kunden die EU-DSGVO und für britische Einwohner die UK-DSGVO einhalten. Dies erfordert nun eine getrennte Verwaltung von Bewertungen anerkannter berechtigter Interessen (vollständige Interessenabwägung für die EU, möglicherweise keine für das UK), SAR-Fristen, der Logik der automatisierten Entscheidungsfindung sowie der Cookie-Einwilligungsansätze für britische gegenüber EU-Zielgruppen.
Gefährdet der DUAA den EU-Angemessenheitsbeschluss?
Nicht unmittelbar. Die Kommission verlängerte die Angemessenheit im Dezember 2025, nachdem sie den DUAA bewertet hatte, und stufte die derzeitige Divergenz als akzeptabel ein. Der EDSA wies jedoch auf Bereiche zur fortlaufenden Beobachtung hin: den neuen britischen Weiterübermittlungstest, Befugnisse des Secretary of State zur weiteren Änderung des Rahmenwerks durch Sekundärgesetzgebung sowie die Pflicht des ICO, Innovation zu berücksichtigen. Werden diese Befugnisse genutzt, um den Schutz der Betroffenen zu schwächen, könnte die Angemessenheit vor Ablauf im Jahr 2031 überprüft werden.
Sources and References
- Data (Use and Access) Act 2025, c.18(legislation.gov.uk).gov
- Data Protection Act 2018(legislation.gov.uk).gov
- Data (Use and Access) Act 2025: Änderungen im Datenschutz - GOV.UK(gov.uk).gov
- Faktenblatt zum Data (Use and Access) Act: UK-DSGVO und DPA - GOV.UK(gov.uk).gov
- Data (Use and Access) Act 2025 - ICO(ico.org.uk).gov
- Erklärung zum Inkrafttreten des DUAA - ICO, Februar 2026(ico.org.uk).gov
- Anerkanntes berechtigtes Interesse - ICO(ico.org.uk).gov
- Kommission verlängert Beschlüsse für den freien und sicheren Datenverkehr mit dem UK - Europäische Kommission, Dezember 2025(ec.europa.eu).gov
- Entwürfe der UK-Angemessenheitsbeschlüsse: EDSA verabschiedet Stellungnahmen - EDSA, Oktober 2025(edpb.europa.eu).gov
- EU-Angemessenheitsbeschlüsse - Europäische Kommission(commission.europa.eu).gov
- Erhalt personenbezogener Informationen aus dem EWR - ICO(ico.org.uk).gov
- UK International Data Transfer Agreement - ICO(ico.org.uk).gov