Der Brexit hat nicht nur politische und wirtschaftliche Ver\u00e4nderungen gebracht, sondern grundlegende Auswirkungen auf den Datenschutz. Mit dem Austritt Gro\u00dfbritanniens aus der EU endete die unmittelbare Anwendbarkeit der EU-Datenschutzgrundverordnung (DSGVO) im Vereinigten K\u00f6nigreich. Stattdessen gilt die national angepasste UK GDPR, erg\u00e4nzt durch den Data Protection Act 2018. Dieser Beitrag zeigt die aktuellen Unterschiede zwischen UK GDPR und EU DSGVO, den Stand 2025 und welche Herausforderungen sich heute f\u00fcr Unternehmen und Beh\u00f6rden ergeben.<\/p>\n
R\u00fcckblick: Vom Brexit-Chaos zur UK GDPR<\/p>\n
Bis Ende 2020 galt die EU DSGVO auch im Vereinigten K\u00f6nigreich. Mit\u00a0dem endg\u00fcltigen Brexit-Austritt per 1. Januar 2021 verlor sie ihre unmittelbare Geltung\u00a0in UK. Um Rechtsklarheit zu schaffen, \u00fcbernahm Gro\u00dfbritannien die\u00a0EU-Vorgaben nahezu identisch mit der Einf\u00fchrung\u00a0der UK GDPR.<\/p>\n
Eine zentrale Fragestellung war von Anfang an, wie der transnationale Datentransfer zwischen EU und UK geregelt bleibt. Im Juni 2021 erlie\u00df die EU-Kommission einen Angemessenheitsbeschluss<\/a>. Dieser erkl\u00e4rt das Datenschutzniveau in UK f\u00fcr im Wesentlichen gleichwertig mit dem der EU und erlaubt die \u00dcbermittlung personenbezogener Daten ohne weitere Schutzinstrumente wie beispielsweise Standarddatenschutzklauseln oder Binding Corporate Rules.<\/p>\n Dieser Beschluss ist jedoch nur bis zum 27. Dezember 2025 g\u00fcltig. Danach pr\u00fcft die EU-Kommission erneut, ob der Beschluss verl\u00e4ngert wird. Sollte UK zu sehr von den EU-Standards abweichen, k\u00f6nnte die Angemessenheit widerrufen werden \u2013 mit erheblichen Konsequenzen f\u00fcr Unternehmen und ihre Datenfl\u00fcsse.<\/p>\n Data Privacy Framework und beh\u00f6rdliche Zust\u00e4ndigkeiten nach dem Brexit<\/p>\n Der Brexit f\u00fchrte zu einer Trennung der Aufsichtssysteme: Die EU DSGVO setzt auf das One-Stop-Shop-Prinzip. Unternehmen mit grenz\u00fcberschreitender Datenverarbeitung innerhalb der EU kommunizieren meist nur mit einer federf\u00fchrenden Aufsichtsbeh\u00f6rde, koordiniert durch den Europ\u00e4ischen Datenschutzausschuss (EDSA).<\/p>\n Im Vereinigten K\u00f6nigreich hingegen ist das Information Commissioner\u2019s Office (ICO) die alleinige Datenschutzbeh\u00f6rde ohne EU-Koordinationsmechanismus<\/p>\n F\u00fcr Unternehmen mit Pr\u00e4senz in beiden Rechtsr\u00e4umen bedeutet dies, dass sie sich auf mindestens zwei Beh\u00f6rden einstellen m\u00fcssen.<\/p>\n Rechtsgrundlagen und Ausnahmen: Mehr Flexibilit\u00e4t im UK<\/p>\n Die UK GDPR weist gezielte Abweichungen von der EU DSGVO auf:<\/p>\n Angemessenheitsbeschluss 2025: Status, Risiken und Vorbereitung<\/p>\n Der EU-Angemessenheitsbeschluss von 2021 erm\u00f6glicht es Unternehmen bis Ende 2025, personenbezogene Daten ohne zus\u00e4tzliche Schutzma\u00dfnahmen wie Standarddatenschutzklauseln von der EU nach Gro\u00dfbritannien zu \u00fcbermitteln.<\/p>\n Die Europ\u00e4ische Kommission \u00fcberpr\u00fcft dabei regelm\u00e4\u00dfig, ob das Datenschutzniveau im Vereinigten K\u00f6nigreich weiterhin mit den Anforderungen der EU vergleichbar ist. Sollte sich zeigen, dass die britische UK GDPR zu stark von der EU DSGVO abweicht, besteht die M\u00f6glichkeit, dass der Angemessenheitsbeschluss widerrufen wird \u2013 ein Szenario, das bereits beim Privacy Shield mit den USA<\/a> Realit\u00e4t wurde.<\/p>\n Besonders relevant ist in diesem Zusammenhang, dass das Vereinigte K\u00f6nigreich nach dem Brexit eigenst\u00e4ndige Datenschutzabkommen mit Drittstaaten schlie\u00dft. Ein Beispiel hierf\u00fcr ist die UK-U.S. Data Bridge, die von der britischen Regierung gemeinsam mit den zust\u00e4ndigen US-Beh\u00f6rden vereinbart wurde. Dieses Abkommen erleichtert die \u00dcbermittlung personenbezogener Daten aus dem Vereinigten K\u00f6nigreich in die USA, ohne dass die in der EU vorgeschriebenen Standarddatenschutzklauseln zum Einsatz kommen m\u00fcssen. Solche eigenst\u00e4ndigen Regelungen k\u00f6nnen dazu f\u00fchren, dass die EU das Datenschutzniveau im Vereinigten K\u00f6nigreich neu bewertet und gegebenenfalls Anpassungen am bestehenden Angemessenheitsbeschluss vornimmt.<\/p>\n F\u00fcr Unternehmen, die auf einen reibungslosen und rechtssicheren Datentransfer zwischen EU und UK angewiesen sind, entsteht dadurch eine zus\u00e4tzliche Unsicherheitskomponente, die bei der Planung und Umsetzung von Datenfl\u00fcssen ber\u00fccksichtigt werden muss.<\/p>\n Bu\u00dfgelder und Sanktionen<\/p>\n UK kn\u00fcpft bei den Bu\u00dfgeldrahmen eng an die EU an:<\/p>\n Dar\u00fcber hinaus verf\u00fcgt das ICO seit 2025 \u00fcber neue Instrumente. Neben Geldbu\u00dfen k\u00f6nnen Verpflichtungserkl\u00e4rungen oder Zertifizierungen eingefordert werden, die so in der EU bislang nicht existieren. Damit erh\u00e4lt die Beh\u00f6rde zus\u00e4tzliche Durchsetzungsm\u00f6glichkeiten, die Unternehmen einkalkulieren m\u00fcssen.<\/p>\n Reformbestrebungen: Chancen und Risiken<\/p>\n\n
\n