Der Brexit hat nicht nur politische und wirtschaftliche Veränderungen gebracht, sondern grundlegende Auswirkungen auf den Datenschutz. Mit dem Austritt Großbritanniens aus der EU endete die unmittelbare Anwendbarkeit der EU-Datenschutzgrundverordnung (DSGVO) im Vereinigten Königreich. Stattdessen gilt die national angepasste UK GDPR, ergänzt durch den Data Protection Act 2018. Dieser Beitrag zeigt die aktuellen Unterschiede zwischen UK GDPR und EU DSGVO, den Stand 2025 und welche Herausforderungen sich heute für Unternehmen und Behörden ergeben.

Rückblick: Vom Brexit-Chaos zur UK GDPR

Bis Ende 2020 galt die EU DSGVO auch im Vereinigten Königreich. Mit dem endgültigen Brexit-Austritt per 1. Januar 2021 verlor sie ihre unmittelbare Geltung in UK. Um Rechtsklarheit zu schaffen, übernahm Großbritannien die EU-Vorgaben nahezu identisch mit der Einführung der UK GDPR.

Eine zentrale Fragestellung war von Anfang an, wie der transnationale Datentransfer zwischen EU und UK geregelt bleibt. Im Juni 2021 erließ die EU-Kommission einen Angemessenheitsbeschluss. Dieser erklärt das Datenschutzniveau in UK für im Wesentlichen gleichwertig mit dem der EU und erlaubt die Übermittlung personenbezogener Daten ohne weitere Schutzinstrumente wie beispielsweise Standarddatenschutzklauseln oder Binding Corporate Rules.

Dieser Beschluss ist jedoch nur bis zum 27. Dezember 2025 gültig. Danach prüft die EU-Kommission erneut, ob der Beschluss verlängert wird. Sollte UK zu sehr von den EU-Standards abweichen, könnte die Angemessenheit widerrufen werden – mit erheblichen Konsequenzen für Unternehmen und ihre Datenflüsse.

Data Privacy Framework und behördliche Zuständigkeiten nach dem Brexit

Der Brexit führte zu einer Trennung der Aufsichtssysteme: Die EU DSGVO setzt auf das One-Stop-Shop-Prinzip. Unternehmen mit grenzüberschreitender Datenverarbeitung innerhalb der EU kommunizieren meist nur mit einer federführenden Aufsichtsbehörde, koordiniert durch den Europäischen Datenschutzausschuss (EDSA).

Im Vereinigten Königreich hingegen ist das Information Commissioner’s Office (ICO) die alleinige Datenschutzbehörde ohne EU-Koordinationsmechanismus

Für Unternehmen mit Präsenz in beiden Rechtsräumen bedeutet dies, dass sie sich auf mindestens zwei Behörden einstellen müssen.

Rechtsgrundlagen und Ausnahmen: Mehr Flexibilität im UK

Die UK GDPR weist gezielte Abweichungen von der EU DSGVO auf:

  • Erweiterte Ausnahmeregelungen: Für Forschung, statistische Zwecke oder das öffentliche Interesse sind die Anforderungen im Vereinigten Königreich flexibler. Was in der EU zusätzliche Bedingungen erfordert, ist dort einfacher möglich.
  • Berechtigtes Interesse: Während in der EU eine sorgfältige Abwägung zwischen den Unternehmensinteressen und denen der Betroffenen nötig ist, erleichtert das UK GDPR den Rückgriff auf diese Rechtsgrundlage.
  • Cookies und Einwilligung: Im Vereinigten Königreich wird unterschieden zwischen risikoarmen und risikobehafteten Cookies. Erstere erfordern keine explizite Einwilligung. Zudem sieht das UK höhere Strafen für Verstöße vor – damit verfolgt man eine Politik von „weniger Bürokratie, dafür härterer Sanktionierung“.
  • Betroffenenrechte: Auskunftsersuchen müssen nur „angemessen und verhältnismäßig“ bearbeitet werden. Das entlastet Unternehmen bei übermäßig umfangreichen oder offensichtlich missbräuchlichen Anfragen.
  • Altersgrenze für Einwilligungen: In der EU liegt sie bei 16 Jahren. Im UK hingegen sind schon 13-Jährige einwilligungsfähig – ein klarer Praxisunterschied, insbesondere für Anbieter von Kinder- und Jugenddiensten.

Angemessenheitsbeschluss 2025: Status, Risiken und Vorbereitung

Der EU-Angemessenheitsbeschluss von 2021 ermöglicht es Unternehmen bis Ende 2025, personenbezogene Daten ohne zusätzliche Schutzmaßnahmen wie Standarddatenschutzklauseln von der EU nach Großbritannien zu übermitteln.

Die Europäische Kommission überprüft dabei regelmäßig, ob das Datenschutzniveau im Vereinigten Königreich weiterhin mit den Anforderungen der EU vergleichbar ist. Sollte sich zeigen, dass die britische UK GDPR zu stark von der EU DSGVO abweicht, besteht die Möglichkeit, dass der Angemessenheitsbeschluss widerrufen wird – ein Szenario, das bereits beim Privacy Shield mit den USA Realität wurde.

Besonders relevant ist in diesem Zusammenhang, dass das Vereinigte Königreich nach dem Brexit eigenständige Datenschutzabkommen mit Drittstaaten schließt. Ein Beispiel hierfür ist die UK-U.S. Data Bridge, die von der britischen Regierung gemeinsam mit den zuständigen US-Behörden vereinbart wurde. Dieses Abkommen erleichtert die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in die USA, ohne dass die in der EU vorgeschriebenen Standarddatenschutzklauseln zum Einsatz kommen müssen. Solche eigenständigen Regelungen können dazu führen, dass die EU das Datenschutzniveau im Vereinigten Königreich neu bewertet und gegebenenfalls Anpassungen am bestehenden Angemessenheitsbeschluss vornimmt.

Für Unternehmen, die auf einen reibungslosen und rechtssicheren Datentransfer zwischen EU und UK angewiesen sind, entsteht dadurch eine zusätzliche Unsicherheitskomponente, die bei der Planung und Umsetzung von Datenflüssen berücksichtigt werden muss.

Bußgelder und Sanktionen

UK knüpft bei den Bußgeldrahmen eng an die EU an:

  • EU DSGVO: bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.
  • UK GDPR: bis zu 17,5 Mio. Pfund Sterling oder ebenfalls bis 4 %.

Darüber hinaus verfügt das ICO seit 2025 über neue Instrumente. Neben Geldbußen können Verpflichtungserklärungen oder Zertifizierungen eingefordert werden, die so in der EU bislang nicht existieren. Damit erhält die Behörde zusätzliche Durchsetzungsmöglichkeiten, die Unternehmen einkalkulieren müssen.

Reformbestrebungen: Chancen und Risiken

Ein weiterer zentraler Punkt ist die politische Entwicklung: Mit dem Data Protection and Digital Information Bill (DPDI Bill) verfolgt die britische Regierung seit 2022 das Ziel, Datenschutzregelungen vereinfachter und wirtschaftsfreundlicher zu gestalten. Vorgesehen sind geringere Dokumentationspflichten und flexiblere Nutzungsmöglichkeiten personenbezogener Daten.

Kritiker befürchten, dass dadurch das Datenschutzniveau sinkt. Auch hier könnte mittelfristig die Grundlage für die aktuelle Angemessenheitsentscheidung in Gefahr geraten.

Datenschutz nach dem Brexit

Nach dem Brexit ergeben sich drei zentrale Erkenntnisse für Unternehmen:

  • Doppelcompliance ist Pflicht: UK GDPR und EU DSGVO sind eng verwandt, aber unterschiedlich. Unternehmen müssen die Eigenheiten beider Regelwerke beachten und separat erfüllen.
  • Getrennte Aufsicht erfordert Organisation: Es gibt keine „One-Stop-Shop“-Regelung mehr. Die Kommunikation mit ICO in UK und EU-Aufsichtsbehörden muss jeweils eigenständig koordiniert werden.
  • Angemessenheitsbeschluss endet 2025: Die Erlaubnis für den unproblematischen Datenfluss EU → UK beruht auf einem befristeten Angemessenheitsbeschluss. Unternehmen sollten frühzeitig alternative Transfermechanismen vorbereiten, um Risiken zu minimieren.

Ausblick: Wiederholt sich die Geschichte?

Die Erfahrungen mit dem Privacy Shield haben gezeigt, wie schnell eine vermeintlich stabile Grundlage für internationale Datenübermittlungen entfallen kann. Auch im Verhältnis zwischen EU und Vereinigtem Königreich bleibt die Zukunft des Datentransfers ungewiss. Die britische Regierung verfolgt zunehmend eigene Wege im Datenschutz, etwa durch gezielte Reformen und neue Abkommen wie die UK-U.S. Data Bridge. Solche Entwicklungen erhöhen das Risiko, dass die EU-Kommission das Datenschutzniveau in Großbritannien neu bewertet und den Angemessenheitsbeschluss nicht verlängert.

Für Unternehmen bedeutet das, dass sie sich nicht auf dauerhafte Rechtssicherheit verlassen können. Es empfiehlt sich, bereits jetzt alternative Lösungen für den Datentransfer – beispielsweise Standarddatenschutzklauseln – zu prüfen und vorzubereiten. Ebenso sollten Verantwortlichkeiten klar geregelt und Ansprechpartner für die jeweiligen Aufsichtsbehörden benannt werden, um im Fall neuer Anforderungen schnell reagieren zu können. Wer die Besonderheiten beider Datenschutzregime kennt und seine Prozesse flexibel gestaltet, kann auch bei sich ändernden Rahmenbedingungen handlungsfähig bleiben und das Vertrauen von Kunden und Partnern sichern. Datenschutz-Compliance bleibt damit ein zentrales Element für nachhaltigen Geschäftserfolg im internationalen Kontext.