UK GDPR Compliance-Software für Unternehmen
Nach dem Brexit sind UK GDPR und EU-DSGVO getrennte Rechtsrahmen, die zunehmend auseinanderlaufen. Wenn Sie in beiden Märkten tätig sind, brauchen Sie beide abgedeckt. ComplyOne behandelt UK GDPR und EU-DSGVO in einer einzigen Plattform — keine Duplikation, keine Lücken.
UK GDPR vs. EU-DSGVO — wesentliche Unterschiede
Die beiden Rahmenwerke driften auseinander. Hier sind die Unterschiede — und mögliche Lücken.
| Bereich | UK GDPR | EU-DSGVO |
|---|---|---|
| Aufsichtsbehörde | ICO (Information Commissioner's Office) | Nationale Datenschutzbehörde im EU-Mitgliedstaat |
| Übermittlungsmechanismen | UK IDTA / UK-Angemessenheitsbeschlüsse | SCCs / EU-Angemessenheitsbeschlüsse |
| Cookie-Regeln | Geändert durch DPDI Act 2025 | ePrivacy-Richtlinie (PECR-Äquivalent) |
| Berechtigtes Interesse | Unter DPDI Act erweitert | Standard-Abwägungstest |
| DSB-Pflicht | Unter DPDI Act geändert — weniger streng | Verpflichtend für bestimmte Verantwortliche |
| Maximales Bußgeld | 17,5 Mio. £ oder 4 % weltweiter Umsatz | 20 Mio. € oder 4 % weltweiter Umsatz |
| UK-Vertreter | Pflicht für Nicht-UK-Organisationen | EU-Vertreter separat erforderlich |
Kernanforderungen UK GDPR
Datenschutzhinweise
UK-spezifische Datenschutzhinweise mit Verweis auf den ICO, UK-Rechtsgrundlagen und UK-Betroffenenrechte. EU-DSGVO-Hinweise sind nicht automatisch konform.
Meldung von Datenschutzverletzungen
Meldung an den ICO innerhalb von 72 Stunden, wenn ein Risiko für Personen wahrscheinlich ist. Bei hohem Risiko sind auch betroffene Personen zu informieren.
Rechte betroffener Personen
Auskunfts- (SARs), Lösch-, Berichtigungs-, Widerspruchs- und Portabilitätsrecht. UK-Personen haben dieselben Rechte wie EU-Personen — mit UK-spezifischen Verfahren.
Datenschutz-Folgenabschätzungen
Erforderlich für risikoreiche Verarbeitungstätigkeiten. Der DPDI Act 2025 führte einen risikobasierten Ansatz ein, der ändert, wann DSFA formal erforderlich sind.
Internationale Datenübermittlungen
Bei Übermittlungen aus dem UK in Drittländer brauchen Sie UK-spezifische Mechanismen — die EU-SCCs allein genügen für UK-Übermittlungen nicht.
UK-Vertreter
Nicht-UK-Organisationen, die regelmäßig UK-Personendaten verarbeiten, müssen einen UK-ansässigen Vertreter benennen — separat vom EU-Vertreter.
Die ICO-Durchsetzung ist real
Datenschutzverletzung mit Offenlegung von 400.000 Kundendatensätzen
Starwood-Datenverletzung mit 339 Mio. betroffenen Gästen
Unrechtmäßige Verarbeitung von Kinderdaten
Unrechtmäßige Nutzung von Gesundheitsdaten für Marketing
Die genannten Bußgelder sind Post-Brexit-Durchsetzungsmaßnahmen des ICO unter UK GDPR / Data Protection Act 2018.
UK GDPR-Compliance praktisch angehen: erste Schritte
UK GDPR baut auf denselben Grundlagen wie die EU-DSGVO auf — mit wichtigen UK-spezifischen Anforderungen, die separate Aufmerksamkeit erfordern.
UK GDPR-Pflichten klären
UK GDPR gilt, wenn Sie Waren oder Dienstleistungen UK-Personen anbieten oder das Verhalten von Personen im UK überwachen — unabhängig vom Sitz Ihres Unternehmens. Wenn Sie sowohl im UK als auch in der EU tätig sind, gelten zwei getrennte Rechtsrahmen gleichzeitig. Bestimmen Sie Ihre federführende Aufsichtsbehörde (ICO für UK, nationale DPA für EU) und planen Sie entsprechend.
Datenverarbeitungstätigkeiten auditieren
Dokumentieren Sie jede Kategorie verarbeiteter Personendaten, die Rechtsgrundlage, Aufbewahrungsfristen und Empfänger. Der DPDI Act 2025 änderte den Umgang mit dem berechtigten Interesse — prüfen Sie Ihre bestehenden Bewertungen, ob sie unter dem aktualisierten UK-Rahmen weiterhin gültig sind.
UK-spezifische Dokumentation erstellen
EU-DSGVO-Datenschutzhinweise, Standardvertragsklauseln und DPAs reichen für UK GDPR nicht aus. Sie brauchen UK-spezifische Versionen: Datenschutzhinweise, die den ICO als Aufsichtsbehörde nennen, UK International Data Transfer Agreements (IDTAs) für Übermittlungen aus dem UK und UK-konforme Verarbeitungsverträge.
Vorfallsreaktion etablieren
UK GDPR verlangt Meldungen an den ICO innerhalb von 72 Stunden bei wahrscheinlichem Risiko für Personen. Bauen Sie einen internen Incident-Response-Prozess auf, der sofort ausgelöst werden kann — einschließlich Vorlagen für ICO-Meldungen (Online-Portal) und Kommunikation an betroffene Personen bei Hochrisiko-Verletzungen.
Laufende UK/EU-Divergenz überwachen
Der DPDI Act 2025 brachte wesentliche Änderungen — modifizierte Cookie-Regeln, erweitertes berechtigtes Interesse, geänderte DSB-Pflichten — und UK GDPR wird sich weiter von der EU-DSGVO unterscheiden. Wenn Sie in beiden Märkten tätig sind, ist eine laufende Überwachung beider Rahmen unerlässlich.
Sind Sie UK GDPR-konform?
Kostenloser Compliance-Check. Deckt UK GDPR, EU-DSGVO und jede weitere für Ihr Unternehmen relevante Vorschrift ab.
Kostenlosen UK GDPR-Check startenUK GDPR — FAQ
Was ist UK GDPR?
UK GDPR ist die britische Version der EU-Datenschutz-Grundverordnung, nach dem Brexit über den Data Protection Act 2018 in britisches Recht überführt. Sie spiegelt die EU-DSGVO weitgehend wider, ist aber ein eigenständiger Rechtsrahmen — durchgesetzt vom ICO (Information Commissioner's Office), nicht von EU-Datenschutzbehörden.
Wenn wir EU-DSGVO-konform sind, sind wir UK GDPR-konform?
Größtenteils — aber nicht automatisch. UK GDPR und EU-DSGVO laufen auseinander. Wichtige Unterschiede: Übermittlungsmechanismen (UK nutzt eigene Angemessenheitsbeschlüsse und IDTAs), ICO statt EU-DPAs als Aufsichtsbehörde sowie UK-spezifische Auslegungen bestimmter Bestimmungen. Wer in UK und EU tätig ist, braucht beides abgedeckt.
Gilt UK GDPR auch, wenn wir nicht im UK ansässig sind?
Ja, wenn Sie Personen im UK Waren oder Dienstleistungen anbieten oder das Verhalten von Personen im UK überwachen. UK GDPR hat eine extraterritoriale Reichweite identisch zur EU-DSGVO. Nicht-UK-Unternehmen müssen zudem einen UK-Vertreter benennen, wenn sie regelmäßig UK-Personendaten verarbeiten.
Welche Bußgelder drohen bei UK GDPR-Verstößen?
Der ICO kann Bußgelder bis zu 17,5 Mio. £ oder 4 % des weltweiten Jahresumsatzes bei den schwersten Verstößen verhängen — vergleichbar mit EU-DSGVO. Der ICO hat mehrere Mio.-£-Bußgelder erlassen und ist zunehmend aktiv — besonders in Gesundheitswesen, Finanzen und Einzelhandel.
Was ändert sich im UK-Datenschutzrecht?
Großbritannien verabschiedete 2025 den Data Protection and Digital Information Act (DPDI Act), der UK GDPR in bestimmten Bereichen modifiziert — Änderungen bei berechtigtem Interesse, DSB-Anforderungen und Cookie-Regeln. Diese Änderungen machen UK GDPR deutlich anders als EU-DSGVO und schaffen neue Compliance-Aufgaben.
Kann ich Daten zwischen der EU und dem UK übertragen?
Ja — die EU hat dem UK Angemessenheitsstatus zuerkannt (derzeit gültig, mit geplanten Überprüfungen). Übermittlungen UK → EU sind generell zulässig. Übermittlungen UK → Drittland (etwa USA) erfordern jedoch separate Garantien unter dem eigenen UK-GDPR-Rahmen, getrennt von EU-Mechanismen.
Was änderte der DPDI Act 2025 an UK GDPR?
Der DPDI Act 2025 änderte UK GDPR in mehreren wesentlichen Bereichen: Die Grundlage des berechtigten Interesses wurde erweitert; Cookie-Regeln wurden modifiziert, um Analyse-Cookies in bestimmten Kontexten ohne ausdrückliche Einwilligung zuzulassen; DSB-Pflichten wurden flexibler; und ein neuer Rahmen für automatisierte Entscheidungen wurde eingeführt. Diese Änderungen machen UK GDPR zunehmend eigenständig — Unternehmen, die beide bisher identisch behandelt haben, müssen ihre Praxis überprüfen.
Wenn wir ein EU-Unternehmen sind, brauchen wir einen UK GDPR-Vertreter?
Wenn Sie regelmäßig Personendaten von UK-Einwohnern verarbeiten — selbst mit Sitz in der EU — müssen Sie einen UK-Vertreter unter UK GDPR benennen. Das ist eine separate, zusätzliche Anforderung zum EU-Vertreter unter EU-DSGVO. Der UK-Vertreter muss im UK ansässig und für UK-Personen und den ICO erreichbar sein. Die Nichtbenennung ist ein eigenständiges Durchsetzungsrisiko, unabhängig von materiellen Verstößen.
Verwandte Compliance-Bereiche