UK GDPR — Datenschutz-Grundverordnung des Vereinigten Koenigreichs
Die UK GDPR ist die britische Fassung der EU-DSGVO, die seit dem Brexit als eigenstaendiges Gesetz den Datenschutz im Vereinigten Koenigreich regelt.
Zusammenfassung
Die UK GDPR (UK General Data Protection Regulation) ist die in das britische Recht uebernommene Fassung der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung). Sie wurde am 1. Januar 2021 — dem Ende der Brexit-Uebergangsperiode — durch den European Union (Withdrawal) Act 2018 als Retained EU Law in das britische Recht integriert und bildet seitdem den Kern des Datenschutzrechts im Vereinigten Koenigreich. Durch den Retained EU Law (Revocation and Reform) Act 2023 (REULA 2023) wurde der Begriff retained EU law mit Wirkung zum 1. Januar 2024 in assimilated law (assimiliertes Recht) umbenannt; die gebraeuchliche Bezeichnung „UK GDPR“ bleibt unveraendert.
Der Wortlaut der UK GDPR ist weitgehend identisch mit der EU-DSGVO, wurde jedoch durch die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (SI 2019/419) angepasst, um in einem rein britischen Kontext zu funktionieren. Verweise auf EU-Mitgliedstaaten, EU-Institutionen und den Europaeischen Datenschutzausschuss wurden durch Verweise auf das Vereinigte Koenigreich, den Secretary of State und das Information Commissioner's Office (ICO) ersetzt.
Die UK GDPR wirkt zusammen mit dem Data Protection Act 2018 als einheitliches Datenschutzrahmenwerk. Unternehmen, die personenbezogene Daten von Personen im Vereinigten Koenigreich verarbeiten, muessen beide Rechtsakte einhalten. Der Data (Use and Access) Act 2025 fuehrte gezielte Aenderungen ein, darunter eine Klarstellung des berechtigten Interesses und neue Regelungen zu automatisierten Entscheidungen.
Geschichte
Die UK GDPR entstand als direkte Folge des Brexits. Waehrend das Vereinigte Koenigreich EU-Mitglied war, galt die EU-DSGVO unmittelbar. Um nach dem Austritt ein lueckenloses Datenschutzniveau sicherzustellen, wurde die Verordnung (EU) 2016/679 durch den European Union (Withdrawal) Act 2018 in nationales Recht uebernommen.
Die Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (SI 2019/419), die im Februar 2019 erlassen und am 31. Dezember 2020 wirksam wurden, passten den Text an den britischen Rechtskontext an. Am 1. Januar 2021 wurde die UK GDPR als eigenstaendiges Gesetz wirksam. Am 28. Juni 2021 erliess die EU einen Angemessenheitsbeschluss, der den freien Datenverkehr zwischen EU und Vereinigtem Koenigreich sicherte; dieser Beschluss enthielt eine erstmalige Sunset-Klausel mit Ablauf nach vier Jahren am 27. Juni 2025.
Mit dem Retained EU Law (Revocation and Reform) Act 2023 (REULA 2023) wurde der Begriff retained EU law zum 1. Januar 2024 in assimilated law (assimiliertes Recht) umbenannt; die UK GDPR gilt seitdem als assimiliertes EU-Recht.
Am 24. Juni 2025 verlaengerte die EU den Angemessenheitsbeschluss mit dem Durchfuehrungsbeschluss (EU) 2025/1226 um sechs Monate (technische Bruecken-Verlaengerung) bis zum 27. Dezember 2025, um die laufende Pruefung abzuschliessen. Am 19. Dezember 2025 wurde der Beschluss mit dem Durchfuehrungsbeschluss (EU) 2025/2574 erneuert und laeuft mit einer sechsjaehrigen Sunset-Klausel bis zum 27. Dezember 2031. Der Data (Use and Access) Act 2025 fuehrte die ersten materiellen Aenderungen an der UK GDPR ein.
Geltungsbereich
Die UK GDPR hat den gleichen materiellen und raeumlichen Anwendungsbereich wie die EU-DSGVO, angepasst an den britischen Kontext:
- Verantwortliche und Auftragsverarbeiter: Alle Organisationen, die personenbezogene Daten im Rahmen einer Niederlassung im Vereinigten Koenigreich verarbeiten, unabhaengig davon, ob die Verarbeitung im Vereinigten Koenigreich stattfindet.
- Extraterritoriale Wirkung: Organisationen ausserhalb des Vereinigten Koenigreichs, die Waren oder Dienstleistungen an Personen im Vereinigten Koenigreich anbieten oder deren Verhalten beobachten, unterliegen der UK GDPR und muessen gegebenenfalls einen Vertreter im Vereinigten Koenigreich benennen.
- Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natuerliche Person beziehen, einschliesslich Online-Kennungen, Standortdaten und pseudonymisierter Daten.
- Besondere Datenkategorien: Erhoehter Schutz fuer Gesundheitsdaten, biometrische Daten, genetische Daten, rassische/ethnische Herkunft, politische Meinungen, religioese Ueberzeugungen, Gewerkschaftszugehoerigkeit und Daten zum Sexualleben.
- Ausnahmen: Rein persoenliche oder haushaltsbezogene Taetigkeiten sind ausgenommen. Besondere Regelungen gelten fuer Strafverfolgung (DPA 2018 Teil 3) und Geheimdienste (DPA 2018 Teil 4).
Kernanforderungen
- Rechtmaessigkeit der Verarbeitung (Artikel 6): Jede Verarbeitung personenbezogener Daten muss auf einer der sechs Rechtsgrundlagen beruhen: Einwilligung, Vertragserfuellung, rechtliche Verpflichtung, lebenswichtige Interessen, oeffentliches Interesse oder berechtigtes Interesse. Der DUAA 2025 fuehrte eine nicht abschliessende Liste anerkannter berechtigter Interessen ein.
- Rechte der betroffenen Personen (Artikel 12-22): Auskunftsrecht, Recht auf Berichtigung, Recht auf Loeschung, Recht auf Einschraenkung der Verarbeitung, Recht auf Datenuebertragbarkeit, Widerspruchsrecht und Recht in Bezug auf automatisierte Entscheidungsfindung einschliesslich Profiling.
- Datenschutz-Folgenabschaetzung (Artikel 35): Verantwortliche muessen bei Verarbeitungsvorgaengen mit hohem Risiko fuer die Rechte und Freiheiten natuerlicher Personen eine Folgenabschaetzung durchfuehren.
- Meldung von Datenschutzverletzungen (Artikel 33-34): Verletzungen des Schutzes personenbezogener Daten muessen innerhalb von 72 Stunden dem ICO gemeldet werden. Bei hohem Risiko fuer die Betroffenen sind diese ebenfalls zu benachrichtigen.
- Datenschutzbeauftragter (Artikel 37-39): Behoerden und Organisationen, deren Kerntaetigkeit die umfangreiche Ueberwachung oder Verarbeitung besonderer Datenkategorien umfasst, muessen einen Datenschutzbeauftragten benennen.
- Internationale Datenuebermittlungen (Artikel 44-49): Uebermittlungen personenbezogener Daten in Drittlaender sind nur zulaessig, wenn ein Angemessenheitsbeschluss des Secretary of State vorliegt oder geeignete Garantien (Standardvertragsklauseln, verbindliche unternehmensinterne Regeln) bestehen.
- Rechenschaftspflicht und Nachweisbarkeit (Artikel 5(2), 24, 30): Verantwortliche muessen die Einhaltung der Datenschutzgrundsaetze nachweisen koennen und ein Verzeichnis der Verarbeitungstaetigkeiten fuehren.
Vorgänger
Verwandte Frameworks
Korrekturen & Errata
Die Chronologie springt vom Angemessenheitsbeschluss (28.06.2021) direkt zur Verlängerung am 19.12.2025. Es fehlt die vierjährige Sunset-Klausel (Ablauf 27.06.2025) und die sechsmonatige Brücken-Verlängerung im Juni 2025 (Implementing Decision (EU) 2025/1226) bis 27.12.2025.
Alle Details auf der Errata-Seite →Im Key-Date-Eintrag vom 28. Juni 2021 enthält event_de den Tippfehler 'erlaaesst' statt 'erlaesst'.
Alle Details auf der Errata-Seite →key_dates: 2018-06-25 korrigiert zu 2018-06-26
Alle Details auf der Errata-Seite →