Launch Q3 2026
BearGuard®
BearGuard®
Governance & AI Guardrails
DE EN
🔒 Internationale Privacy

UK Data Protection Act 2018 — Datenschutzgesetz des Vereinigten Koenigreichs

Der UK Data Protection Act 2018 bildet zusammen mit der UK GDPR das umfassende Datenschutzrecht des Vereinigten Koenigreichs nach dem Brexit.

LinkedIn X WhatsApp

Zusammenfassung

Der UK Data Protection Act 2018 (DPA 2018) ist das zentrale Datenschutzgesetz des Vereinigten Koenigreichs und bildet zusammen mit der UK GDPR den umfassenden Rahmen fuer den Schutz personenbezogener Daten. Er loeste den Data Protection Act 1998 ab und wurde zeitgleich mit dem Wirksamwerden der EU-DSGVO am 25. Mai 2018 in Kraft gesetzt.

Das Gesetz ergaenzt die UK GDPR um spezifisch britische Regelungen in Bereichen, in denen die EU-DSGVO den Mitgliedstaaten Spielraum laesst. Es regelt die Verarbeitung personenbezogener Daten in drei Regimes: die allgemeine Datenverarbeitung (Teil 2, unter UK GDPR), die Datenverarbeitung durch Strafverfolgungsbehoerden (Teil 3, Umsetzung der EU-Strafverfolgungsrichtlinie) und die Datenverarbeitung durch Geheimdienste (Teil 4).

Nach dem Brexit wurde der DPA 2018 durch Verordnungen unter dem European Union (Withdrawal) Act 2018 angepasst, um als eigenstaendiges Regelwerk ausserhalb der EU zu funktionieren. Der Data (Use and Access) Act 2025 fuehrte weitere Aenderungen ein, die in Phasen zwischen 2025 und 2026 in Kraft treten.

Geschichte

Der Data Protection Act 2018 wurde als Data Protection Bill im September 2017 ins Oberhaus eingebracht, um die EU-Datenschutz-Grundverordnung in das nationale Recht des Vereinigten Koenigreichs einzubetten. Das Gesetz erhielt am 23. Mai 2018 die koenigliche Zustimmung (Royal Assent) und trat am 25. Mai 2018 in Kraft — dem gleichen Tag, an dem die EU-DSGVO unionsweit wirksam wurde. Es loeste den Data Protection Act 1998 ab.

Am 1. Januar 2021 wurde der DPA 2018 durch die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (SI 2019/419) angepasst, um den Austritt des Vereinigten Koenigreichs aus der EU zu beruecksichtigen. Der Data (Use and Access) Act 2025 erhielt am 19. Juni 2025 Royal Assent und nahm umfangreiche Aenderungen an der UK GDPR und am DPA 2018 vor. Die wesentlichen Neuerungen betreffen die allgemeine bzw. kommerzielle Datenverarbeitung (Teil 2, unter der UK GDPR): eine neue Rechtsgrundlage der "recognised legitimate interests" (anerkannte berechtigte Interessen), gelockerte Regeln fuer automatisierte Entscheidungsfindung (Art. 22), die Begrenzung von Auskunftsersuchen (SAR) auf "reasonable and proportionate" Suchen, ein neuer Rahmen fuer internationale Datenuebermittlungen sowie eine erweiterte Definition der wissenschaftlichen Forschung; hinzu kommen Aenderungen an den Teilen 3 und 4. Die meisten Bestimmungen treten in Phasen bis Mitte 2026 in Kraft.

Geltungsbereich

Der DPA 2018 gilt fuer die Verarbeitung personenbezogener Daten im Vereinigten Koenigreich unter drei verschiedenen Regimes:

  • Allgemeine Datenverarbeitung (Teil 2): Ergaenzt die UK GDPR fuer die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter. Umfasst UK-spezifische Ausnahmen, Bedingungen fuer die Verarbeitung besonderer Kategorien und Ausnahmen fuer Journalismus, Forschung und Archivierung.
  • Strafverfolgung (Teil 3): Setzt die EU-Strafverfolgungsrichtlinie (LED, Richtlinie (EU) 2016/680) um und gilt fuer die Verarbeitung personenbezogener Daten durch zustaendige Behoerden zu Zwecken der Verhuetung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten.
  • Geheimdienste (Teil 4): Regelt die Verarbeitung personenbezogener Daten durch die britischen Geheimdienste (MI5, MI6, GCHQ) mit einem eigenen, auf nationale Sicherheit zugeschnittenen Rahmen.
  • Information Commissioner's Office (ICO): Der DPA 2018 staerkt die Befugnisse des ICO als unabhaengige Aufsichtsbehoerde, einschliesslich Durchsetzungsbescheide, Bussgeldverfuegungen (bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes) und Bewertungsbescheide.
  • Extraterritoriale Wirkung: Gilt fuer Verantwortliche und Auftragsverarbeiter ausserhalb des Vereinigten Koenigreichs, die personenbezogene Daten von Personen im Vereinigten Koenigreich verarbeiten.

Kernanforderungen

  • Bedingungen fuer besondere Datenkategorien (Anhang 1): Die Verarbeitung sensibler Daten (Gesundheit, Rasse, Religion, sexuelle Orientierung, biometrische Daten) erfordert neben einer Rechtsgrundlage aus Artikel 9 UK GDPR zusaetzlich eine Bedingung aus Anhang 1 des DPA 2018.
  • Strafverfolgungsverarbeitung (Teil 3): Zustaendige Behoerden muessen Datenschutz-Folgenabschaetzungen durchfuehren, Protokolle ueber automatisierte Verarbeitungsvorgaenge fuehren und besondere Schutzvorkehrungen fuer sensible Daten treffen.
  • Ausnahmen fuer Journalismus und Forschung (Anhang 2): Der DPA 2018 sieht spezifische Ausnahmen von bestimmten UK-GDPR-Rechten fuer journalistische, wissenschaftliche und historische Forschungszwecke sowie Archivierung im oeffentlichen Interesse vor.
  • Appropriate Policy Document (Anhang 1, Abs. 39): Verantwortliche, die besondere Datenkategorien auf bestimmten Grundlagen verarbeiten, muessen ein Richtliniendokument erstellen, das die Verfahren und Aufbewahrungsfristen beschreibt.
  • Altersgrenzen fuer die Einwilligung von Kindern (Abschnitt 9): Das Vereinigte Koenigreich setzt die Altersgrenze fuer die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaft auf 13 Jahre fest (gegenueber 16 Jahren in der EU-DSGVO).
  • Nationale Sicherheitsverarbeitung (Teil 4): Geheimdienste unterliegen eigenstaendigen Datenschutzpflichten mit Aufsicht durch den Information Commissioner und das Investigatory Powers Tribunal.

Vorgänger

GDPR/DSGVO

Verwandte Frameworks

GDPR/DSGVO

Korrekturen & Errata

2026-QA-307 Korrektur 29. Mai 2026
Tippfehler 'erlaaesst' im deutschen key_dates-Eintrag zum Angemessenheitsbeschluss 2021

Im key_dates-Eintrag vom 28.06.2021 enthält event_de das fehlerhafte Wort 'erlaaesst'. Korrekt: 'erlaesst'.

Alle Details auf der Errata-Seite →
2026-QA-306 Korrektur 29. Mai 2026
DUAA-Änderungen auf Teile 3 und 4 beschränkt dargestellt — Kern betrifft Teil 2 / UK GDPR

Der Eintrag behauptet, der Data (Use and Access) Act 2025 habe nur 'Änderungen an den Teilen 3 und 4 des DPA 2018' eingeführt. Tatsächlich betreffen die bedeutendsten DUAA-Änderungen die allgemeine Datenverarbeitung (Teil 2 DPA / UK GDPR): neue Rechtsgrundlage 'recognised legitimate interests', Lockerung der automatisierten Einzelentscheidung (Art. 22), Begrenzung von Auskunftsersuchen auf 'reasonable and proportionate', neuer Rahmen für internationale Übermittlungen, erweiterte Forschungsdefinition.

Alle Details auf der Errata-Seite →

Inhalt zuletzt geprüft: 29. Mai 2026. Fehler gefunden oder Aktualisierung nötig? [email protected]