Logo Logo
Cookiebot

Durch die Datenschutz-Grundverordnung (DSGVO) und die Datenschutzrichtlinien für die elektronische Kommunikation (ePR) werden Cookies stärker reguliert. Daher muss die Verwendung von Cookie-Bannern und Hinweisen auf Ihrer Webseite DSGVO-konform sein.

Probieren Sie den kostenlosen Webseiten Cookie-Checker aus und erhalten Sie einen Bericht über Ihre Cookie-Nutzung auf DSGVO-Konformität.

ICO and GDPR enforcement: what happens after Brexit to the GDPR in UK?

Das Vereinigte Königreich ist durch mehrere Datenschutzgesetze geschützt, die vorschreiben, wie britische Unternehmen und Websites mit Benutzerdaten und personenbezogenen Daten umgehen dürfen.

Eins davon ist die Datenschutz-Grundverordnung (DSGVO) der EU.

Allerdings verlässt das Vereinigte Königreich die EU.

Was bedeutet das für das britische Datenrecht? Was bedeutet es für die britischen Websites und ihre Anforderungen, vor der Verarbeitung oder Erhebung von Benutzerdaten eine vorherige Zustimmung einzuholen?

In diesem Artikel werden wir uns mit den verschiedenen im Vereinigten Königreich geltenden Datenschutzgesetzen befassen - der DSGVO, PECR und dem Data Protection Act von 2018.

Was sind ihre Unterschiede, wie überschneiden sie sich.... und was passiert nach Brexit?

Bleiben Sie dabei.

Was ist die DSGVO?


Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das im Mai 2018 in Kraft getreten ist und in allen 28 EU-Staaten einheitlich verbindlich ist. Es regelt, wie Unternehmen und Organisationen mit personenbezogenen Daten umgehen dürfen.

Personenbezogene Daten sind in der DSGVO definiert als alles, was direkt oder indirekt einer natürlichen Person zugeordnet werden kann, wie Namen, physische Adressen, IP-Adressen, Standortdaten und Informationen über physische, mentale, wirtschaftliche, kulturelle oder soziale Fakten.

Sensible personenbezogene Daten werden jedoch in der DSGVO als Daten über religiöse Überzeugungen, politische Meinungen und/oder sexuelle Orientierung definiert.

GDPR in the UK is enforced by ICO, GDPR's watchdog on the Isles

Die DSGVO im Vereinigten Königreich bleibt bis nach Brexit verbindlich.

Die DSGVO legt dann fest, wie diese beiden Arten von Daten von Unternehmen, Organisationen oder Websites behandelt werden sollen.

Es werden insgesamt acht Rechte für Einzelpersonen präzisiert, darunter das Recht, Zugang zu den eigenen Daten zu beantragen (ein sogenannter Subject Access Request oder SAR) sowie die Löschung ihrer personenbezogenen Daten zu beantragen.

Das wichtigste Recht, das die DSGVO den EU-Bürgern einräumt, ist das Recht, ihre (persönlichen oder sensiblen) Daten nicht ohne vorherige Zustimmung erheben und verarbeiten zu lassen.

Vorherige Zustimmung nach der DSGVO im Vereinigten Königreich

Im Vereinigten Königreich verlangt die DSGVO, dass Website-Besitzer -

  1. eine klare und unmissverständliche Zustimmung der Nutzer einholen,
  2. vor der Verarbeitung personenbezogener Daten,
  3. nach Angabe aller Arten von Cookies und anderer Tracking-Technologien, die auf ihren Seiten vorhanden sind und betrieben werden,
  4. auf leicht verständliche Weise, die es den Nutzern ermöglicht, die Einwilligung für jede einzelne Kategorie von Cookies zu erteilen und zu widerrufen,
  5. um dann jede Zustimmung des Benutzers sicher und vertraulich dokumentieren zu können,
  6. und alle zwölf Monate um eine erneute Zustimmung zu bitten.

Dies ist das Rückgrat der britischen Einhaltung der DSGVO.

Als Mitglied der EU ist das Vereinigte Königreich an die DSGVO gebunden, und alle britischen Websites, Unternehmen und Organisationen müssen die Anforderungen der DSGVO an eine informierte und vorherige Zustimmung, einschließlich der oben genannten anderen Anforderungen, erfüllen.

Zwei Arten von Zustimmungen im Vereinigten Königreich unter DSGVO

In der DSGVO sind zwei Arten von Einwilligungen spezifiziert: die explizite Einwilligung und die aktive Einwilligung (auch bekannt als implizite Einwilligung oder Soft Opt-In).

Die ausdrückliche Zustimmung ist erforderlich, wenn eine Website, ein Unternehmen oder eine Organisation sensible Daten verarbeitet, und bedeutet, dass die Nutzer ihre Zustimmung zur Verarbeitung dieser Daten geben müssen.

Eine aktive Zustimmung ist für die Verarbeitung aller anderen personenbezogenen Daten erforderlich. Diese Art der Einwilligung wird typischerweise als Cookie-Banner angesehen, das besagt, dass "Weitersuchen auf einer Website gleichbedeutend mit gültiger Einwilligung" ist, d.h. die Nutzer müssen sich nicht mit dem Cookie-Banner beschäftigen, sondern ihr Surfen auf der Website stellt eine Einwilligung dar.

Cookiebot verwendet seine einzigartige Scan-Technologie, um alle Cookies und ähnliches Tracking auf Ihrer Website abzubilden, bietet Ihnen einen vollständigen Scan-Bericht, einen Cookie-Hinweis und einen anpassbaren Cookie-Banner, der automatisch alle Tracking-Verfahren ab dem Zeitpunkt, an dem der Benutzer auf Ihrer Webseite landet, zurückhält, bis er seine Zustimmung über den Zustimmungs-Banner erteilt, wie von der DSGVO gefordert.

Probieren Sie noch heute einen begrenzten Scan von fünf Unterseiten kostenlos aus.

Wer setzt die DSGVO im Vereinigten Königreich durch?


Die Verantwortung für die Anpassung der Datenschutz-Grundverordnung an das britische Recht liegt bei der Abteilung für Kultur, Medien und Sport.

Wenn es jedoch um die tatsächliche Durchsetzung der DSGVO auf britischem Boden geht, ist es das Information Commissioner's Office (ICO), das eingreift.

Es sind die nationalen Datenschutzbehörden (die so genannten DPAs) jeder EU-Nation, die für die Durchsetzung der DSGVO in ihrem Land verantwortlich sind, obwohl dem irischen DPA eine besondere Verantwortung und Macht zukommt, da es die führende Regulierungsbehörde für die DSGVO in der EU ist.

Denn eine Bestimmung in der DSGVO besagt, dass die leitende Aufsichtsbehörde des Gesetzes die DPA des Landes sein muss, in dem sich der Datenverantwortliche eines Technologieunternehmens befindet, was für Irland sowohl bei Facebook als auch bei Google der Fall ist.

ICO is GDPR enforcer in the UK

ICO ist die Datenbehörde und Durchsetzer der DSGVO in Großbritannien.

ICO und DSGVO

ICO ist der Vollstrecker der DSGVO im Vereinigten Königreich mit der Befugnis, strafrechtliche Ermittlungen durchzuführen und Geldbußen zu erlassen.

Dies wurde letztes Jahr beobachtet, als ICO die Büros von Cambridge Analytica durchsuchte - der beschämenden Datenfirma, die die persönlichen Daten von 87 Millionen Menschen aus Facebook-Profilen missbrauchte, um "psychografische Profile" über Wähler zu erstellen, um sie für die Leave.EU-Kampagne im Brexit-Referendum sowie für die Präsidentschaftskampagnen von Donald Trump und Ted Cruz zu beeinflussen.

DSGVO verhängt Geldstrafen gegen Großbritannien

Nach der DSGVO können britische Websites und Unternehmen, die ihre Anforderungen nicht erfüllen, mit einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des jährlichen weltweiten Umsatzes eines Unternehmens belegt werden, je nachdem, welcher Betrag höher ist.

Bisher variieren die DSGVO-Geldbußen im Vereinigten Königreich sehr stark in Form und Stärke.

Das ICO hat die DSGVO im Vereinigten Königreich bereits mehrfach durchgesetzt.

Viele der von der ICO ein Jahr nach dem Inkrafttreten der DSGVO im Vereinigten Königreich verhängten Geldstrafen konzentrieren sich auf unaufgefordertes Direktmarketing, das nach der DSGVO rechtswidrig ist. Bevor ein Unternehmen oder eine Website Direktmarketing betreiben kann, ist die vorherige Zustimmung seiner Kunden oder Nutzer erforderlich.

Die von der ICO in den letzten sechs Monaten verhängten Geldbußen reichen von 40.000 £ für unaufgeforderte Textnachrichten bis hin zu 400.000 £ für die unrechtmäßige Weitergabe personenbezogener Daten.

Allerdings könnten weitaus höhere Bußgelder verhängt werden, da die ICO kürzlich eine Mitteilung über ihre Absicht herausgegeben hat, British Airways 183 Millionen £ und Marriot International 99 Millionen £ wegen Datenschutzverletzungen im Rahmen der DSGVO zu verhängen.

Das ICO führte umfangreiche Untersuchungen sowohl zu diesem Vorfall durch, bei dem weltweit ca. 339 Millionen Gästeaufzeichnungen enthüllt wurden, als auch zu dem Vorfall, bei dem persönliche Daten von 500.000 Kunden von Hackern gesammelt wurden.

Das ICO hat erklärt, dass es es vorzieht, mit Unternehmen zusammenzuarbeiten, um ihre Praktiken zu verbessern, anstatt nach Höchststrafen zu suchen.

Die DSGVO-Durchsetzung von ICO hat sich bisher als Geldstrafe, aber auch als Anleitung für Unternehmen und Organisationen zur Verbesserung ihrer Praktiken herausgestellt, und manchmal kann "ein strenger Brief ausreichen", erklärte das ICO.

ICO: DSGVO vs. PECR vs. Data Protection Act von 2018


Das ICO hat jedoch mehr als ein Datengesetz in Großbritannien durchzusetzen!

Tatsächlich gibt es drei wesentliche Rechtsakte, die das ICO reguliert und durchsetzt: die DSGVO der EU und den PECR und Data Protection Act des Vereinigten Königreichs von 2018.

PECR

PECR steht für die Privacy and Electronic Communications Regulations (Vorschriften über Datenschutz und elektronische Kommunikation). Sie stammen aus dem Jahr 2003 und sind die nationale Umsetzung der Datenschutzrichtlinie für den elektronischen Geschäftsverkehr im Vereinigten Königreich, die eine EU-Richtlinie und keine Verordnung ist - das bedeutet, dass es sich nicht um ein automatisches Gesetz in allen EU-Ländern handelt, sondern um eine Anweisung, die jedes Land weitgehend entsprechend umsetzt. Seitdem wurde die Datenschutzrichtlinie für elektronische Kommunikation 2009 aktualisiert, während die PECR siebenmal geändert wurden.

Die jüngste Aktualisierung der PECR erfolgte im Juni 2019 und ist eine Überarbeitung des Abschnitts über Cookies und ähnliche Technologien.

ICO and GDPR: enforcement of PECR, DTA and GDPR in the UK

ICO setzt PECR, DPA und DSGVO im Vereinigten Königreich durch.

Diese Änderungen haben erhebliche Auswirkungen auf die Eigentümer und Betreiber von Websites in Großbritannien!

ICO und Cookies - aktualisierte Richtlinien für die PECR im Jahr 2019

Das ICO hat seine Richtlinien für die Verwendung von Cookies und damit für die Verarbeitung von Benutzerdaten gemäß der PECR aktualisiert. Es hat dies getan, um sie an die Zustimmungsstandards der DSGVO anzupassen.

Das ICO hat entschieden, dass die aktive Zustimmung (implizite Zustimmung oder Soft-Opt-In) keine gültige und rechtmäßige Art der Zustimmung ist. Es erfüllt nicht die Anforderungen der PECR oder DSGVO im Vereinigten Königreich, erklärt das ICO.

Die neuen PECR-Richtlinien finden Sie auf der ICO-eigenen Website.

Website-Besitzer und -Betreiber dürfen keine personenbezogenen Daten mehr erfassen oder verarbeiten, wenn Benutzer einfach ein Cookie-Banner schließen oder sich dafür entscheiden, nach dem Auftauchen eines Cookie-Banners weiter auf einer Website zu surfen.

Stattdessen müssen die Nutzer allen Kategorien von Cookies zustimmen, mit Ausnahme der unbedingt notwendigen, auf denen eine Website funktioniert.

So sieht ein konformer Cookie-Banner in Großbritannien aus, entsprechend den neuen Richtlinien des ICO. Wichtig: Keine vorab angekreuzten Kästchen außer den unbedingt notwendigen Cookies.

Dies ist eine wichtige Aktualisierung der Zustimmungserfordernisse von PECR und DSGVO im Vereinigten Königreich durch das ICO.

Das britische Datenschutzgesetz 2018

Das Datenschutzgesetz von 2018 wurde kurz vor Inkrafttreten der DSGVO im Mai 2018 verabschiedet. Es ersetzt das Datenschutzgesetz von 1998.

Der Data Protection Act steht der DSGVO sehr nahe und gewährleistet mehr oder weniger den gleichen Schutz und die gleichen Rechte für britische Bürger wie die DSGVO für EU-Bürger. Der größte Teil der Verarbeitung personenbezogener Daten unterliegt im Vereinigten Königreich der DSGVO, solange das Vereinigte Königreich noch Mitglied ist.

Das Datenschutzgesetz ergänzt jedoch die DSGVO und "wendet eine weitgehend gleichwertige Regelung für bestimmte Arten der Verarbeitung an, für die die DSGVO nicht gilt".

Es geht um die gleichen Themen wie die DSGVO: personenbezogene Daten, identifizierbare lebendige Personen, die Verarbeitung von personenbezogenen Daten, betroffene Personen, Verantwortliche und so weiter.

Es ist eng an die DSGVO angelehnt, mit der Absicht, Störungen im britischen Recht zu minimieren, wenn das Vereinigte Königreich aus der EU austritt.

Die drei Datengesetze (DSGVO, PECR und DPA) stehen nebeneinander und ergänzen sich gegenseitig.

Sie ermächtigen britische Bürger zu Datenschutzrechten in Bezug auf elektronische Kommunikation, für deren Durchsetzung das ICO verantwortlich ist.

Cookiebot ermöglicht die Einhaltung aller drei Punkte. Wir scannen Ihre Website und zeigen alle und jeden einzelnen Cookie und ähnliche Tracking-Technologien, egal ob First oder Third Party. Dann blockieren und halten wir alle zurück, bis Ihre Benutzer über unseren anpassbaren Cookie-Banner ihre Zustimmung gegeben haben.

Probieren Sie Cookiebot heute noch kostenlos aus.

Wie man die DSGVO im Vereinigten Königreich einhält


Wenn Sie eine Website in Großbritannien haben, müssen Sie sich an die DSGVO, die PECR und das Datenschutzgesetz halten.

Eine einfache Möglichkeit, dies zu tun, ist der Besuch der Website des ICO und das Lesen ihrer Leitfäden für die Einhaltung der Vorschriften und die Verwendung von Cookies auf britischen Websites.

Um DSGVO-konform zu sein, können Sie eine Compliance- und Einwilligungslösung wie Cookiebot verwenden, die es Ihnen - dem Eigentümer und/oder Betreiber der Website - ermöglicht, vollständig mit der DSGVO, PECR und dem Datenschutzgesetz konform zu sein.

Unser hochgradig anpassbarer Cookie-Banner ermöglicht es Ihnen, den Datenschutz auf Ihrer Website so zu gestalten, dass alle Anforderungen der Datenschutzgesetze erfüllt werden, einschließlich der neuesten Richtlinien des ICO.

DSGVO und Brexit – wird die DSGVO nach Brexit das Vereinigte Königreich betreffen?


Das Vereinigte Königreich verlässt die Europäische Union, so viel ist sicher. Was viel weniger sicher ist, ist, wie.

Was bedeutet Brexit für die DSGVO im Vereinigten Königreich?

GDPR in UK: ICO and GDPR will part ways after a hard Brexit.

Die DSGVO und Brexit bedeuten Veränderungen für Großbritannien und die ICO.

Wenn das Vereinigte Königreich nicht mehr Mitglied der EU ist, gilt die DSGVO nicht mehr direkt für britische Websites, Unternehmen und Organisationen.

Sie gilt weiterhin für die britischen Unternehmen, die Dienstleistungen für europäische Bürger anbieten, da die DSGVO nach wie vor EU-Bürger vor der Verarbeitung ihrer personenbezogenen Daten durch Websites schützt, unabhängig davon, wo in der Welt sie sich befinden.

Der Data Protection Act wurde jedoch im Winter 2018 verabschiedet und sehr nah an die DSGVO angelehnt, um den datenschutzrechtlichen Übergang im Prozess von Brexit so reibungslos wie möglich zu gestalten.

Die Europäische Union hat klargestellt, dass sie, wenn sie der Auffassung ist, dass das Niveau des Schutzes personenbezogener Daten im Vereinigten Königreich im Wesentlichen ausreicht, um das Niveau des BIPR der EU zu erreichen, eine angemessene Entscheidung treffen wird, die die Übermittlung personenbezogener Daten an das Vereinigte Königreich ohne Einschränkungen ermöglicht.

Die EU hat ein ähnliches Abkommen mit den USA, den so genannten Privacy Shield.

Zusammenfassung: DSGVO, UK, ICO, PECR und der Data Protection Act


Um es zusammenzufassen –

DSGVO und das Vereinigte Königreich

Die DSGVO im Vereinigten Königreich verlangt, dass alle britischen Websites vor der Verarbeitung personenbezogener Daten von Nutzern eine vorherige Zustimmung einholen.

ICO und DSGVO

Das ICO ist die britische Datenschutzbehörde mit der Befugnis, die DSGVO auf britischem Boden durchzusetzen. Die ICO hat ihre Leitlinien zur PECR (der nationalen Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation) aktualisiert, um die in der DSGVO festgelegten Zustimmungsstandards zu erfüllen.

ICO und PECR und DPA

Das ICO setzt nicht nur die DSGVO der EU, sondern auch das nationale PECR- und Datenschutzgesetz durch. Das Datenschutzgesetz gilt unabhängig davon, was mit Brexit passiert.

DSGVO und Brexit

Sobald das Vereinigte Königreich die EU verlässt, gilt die DSGVO nicht mehr für britische Websites und Unternehmen (mit Ausnahmen, wie beschrieben). Das Vereinigte Königreich hat jedoch bereits den Data Protection Act von 2018 in Kraft gesetzt, der mehr oder weniger die gleichen Voraussetzungen für den Schutz der Privatsphäre schafft wie die DSGVO.

Die Cookiebot-Technologie ermöglicht es Ihnen, sowohl die DSGVO in Großbritannien als auch die PECR und den Data Protection Act einzuhalten.

Ressourcen


Probieren Sie Cookiebot noch heute kostenlos aus

Datenschutz-Grundverordnung (DSGVO): offizieller Gesetzestext

Datenschutzrichtlinie ePrivacy Directive 2009 offizieller Gesetzestext

UK Data Protection Act 2018 offizieller Gesetzestext

Privacy and Electronic Communications Regulations (PECR, Vorschriften über Datenschutz und elektronische Kommunikation)

ICO

Das ICO setzt die Datengesetze in Großbritannien durch

Die aktualisierten Richtlinien des ICO

Machen Sie heute die Verwendung von Cookies und Online-Tracking auf Ihrer Website DSGVO-/ePR-konform

Jetzt kostenlos testen