Alle Blogbeiträge

DSGVO in Großbritannien | Brexit 2021 Update

Nach dem Brexit wirken sich die United Kingdom General Data Protection Regulation (UK-DSGVO) und der Data Protection Act 2018 darauf aus, wie Sie als Website-Betreiber Cookie-Einwilligungen von Ihren Besuchern aus Großbritannien & der EU einholen und speichern müssen.

Aktualisiert am 12. Januar 2022.

Großbritannien hat die EU am 1. Januar 2021 verlassen.

Doch was passiert nun mit der DSGVO der EU und den nationalen Datenschutzgesetzen Großbritanniens?

Lesen Sie diesen Artikel, um mehr über die europäische DSGVO, die “neue UK-DSGVO”, den geänderten  Data Protection Act 2018 und die PECR zu erfahren. Erfahren Sie auch, wie Sie mit Cookiebot CMP vollständig Konformität gewährleisten können.

ICO und DSGVO-Durchsetzung: Was passiert nach Brexit mit der DSGVO in GB?

DSGVO Großbritannien Update 2021

Seit dem Austritt Großbritanniens aus der EU steht die Frage des Transfers persönlicher Daten für viele Websites, Unternehmen und Datenschutzorganisationen ganz oben auf der Agenda.

In dem von Großbritannien und der EU Ende Dezember 2020 unterzeichneten Abkommen sieht eine Bestimmung vor, dass der Datenfluss zwischen den beiden Blöcken für eine Übergangszeit von sechs Monaten (bis Juni 2021) weiterhin uneingeschränkt möglich ist.

Am 28. Juni 2021 verabschiedete die Europäische Kommission einen Angemessenheits­beschluss für das Vereinigte Königreich, der den weiteren freien Fluss personenbezogener Daten zwischen den beiden Blöcken für die nächsten vier Jahre sicherstellt.

Gemäß der DSGVO kann die EU Angemessenheits­­beschlüsse erlassen, wenn sie der Ansicht ist, dass ein Drittland (d. h. ein Land außerhalb der Europäischen Union) ein gleichwertiges Datenschutzniveau aufweist. Ist dies der Fall, können personenbezogene Daten von in der EU ansässigen Personen ungehindert in dieses Land übermittelt werden (wobei natürlich wie immer die Zustimmung der Endnutzer erforderlich ist).

Seit dem Austritt des Vereinigten Königreichs aus der EU fällt es nicht mehr unter die Datenschutz-Grundverordnung (DSGVO), und die Angemessenheitsverhandlungen waren ein wichtiger Punkt, um den kontinuierlichen Fluss für Websites, Unternehmen und Organisationen in beiden Blöcken sicherzustellen.

Eine Besonderheit des Angemessenheitsbeschlusses für das Vereinigte Königreich vom Juni 2021 ist die Auflösungsklausel, die den freien Datenverkehr strikt auf einen Zeitraum von vier Jahren ab dem Datum des Inkrafttretens beschränkt, nach dem der Angemessenheitsstatus nicht automatisch verlängert wird. Entscheidet sich die EU für eine Verlängerung der Abkommen, beginnt ein neues Annahmeverfahren.

Das Vereinigte Königreich hat bereits ein neues nationales Datenschutzgesetz mit der Bezeichnung UK-GDPR (Englisch für Vereinigtes Königreich-DSGVO) eingeführt, das genau mit der EU-Version übereinstimmt und durch das britische Datenschutzgesetz von 2018 unterstützt wird.

Die Einhaltung der DSGVO der EU und der DSGVO des UK bleibt eine Verpflichtung für jede Website, jedes Unternehmen oder jede Organisation, die personenbezogene Daten aus Großbritannien oder der EU verarbeiten: Die ausdrückliche Zustimmung der Nutzer muss eingeholt werden, bevor eine Verarbeitung oder Übertragung stattfinden darf.

Die Angemessenheitsentscheidung für das UK vom Juni 2021 (in Englisch)

Die Konsultation des ICO zur Datenübermittlung in das und aus dem UK ab August 2021 (in Englisch)

Scannen Sie Ihre Website, um zu sehen, wohin Sie Daten in der Welt senden

Testen Sie die Cookiebot Consent Management-Plattform (CMP) noch heute kostenlos

Erfahren Sie mehr über die Einhaltung der DSGVO

DSGVO Compliance nach dem Brexit 2021

Cookiebot CMP für UK-Compliance

Die Einhaltung der EU-DSGVO, der neuen UK-DSGVO und der unterstützenden Datenschutzgesetze wie dem Data Protection Act 2018 mag ein wenig verwirrend erscheinen, mit all dem sonstigen Durcheinander, das mit dem Brexit einhergeht.

Cookiebot CMP by Usercentrics ist die weltweit führende Lösung zur Einhaltung der DSGVO für Websites aller Formen und Größen.

Cookiebot CMP basiert auf einem leistungsstarken Scanner, der alle Cookies, Tracker und Trojaner erkennt und Ihren Anwendern die automatische Kontrolle über ihre persönlichen Daten gibt, in voller Übereinstimmung mit den Anforderungen des EU- und UK-Datenschutzregimes.

Cookies sind eine der häufigsten Methoden, mit denen Websites personenbezogene Daten verarbeiten. Daher ist es im Hinblick auf die Einhaltung von Datenschutzgesetzen äußerst wichtig, sowohl zu wissen, welche Cookies auf Ihrer Website aktiv sind, als auch Ihren Endbenutzern die Möglichkeit zu geben, vorab zu entscheiden, welche Cookies sie beim Besuch Ihrer Domain akzeptieren möchten.

Durch die Simulation von Besuchern auf Ihrer Website – Scrollen, Klicken, Ausschöpfen aller Nutzungsmöglichkeiten Ihrer Domain – erkennt Cookiebot CMP vorhandene Tracker, sowohl First-Party- (die Ihrer eigenen Website) als auch Third-Party-Cookies (in der Regel Marketing-Cookies von Ad-Tech-Unternehmen, die in die Privatsphäre eingreifen).

Mit hochgradig anpassbaren Einwilligungsbannern und automatisiertem Geo-Targeting erleichtert Cookiebot CMP die Einhaltung der weltweit wichtigsten Datenschutzgesetze.

Cookiebot CMP bietet Plug-and-Play-Konformität mit der DSGVO der EU, der UK-DSGVO, CCPA/CPRA in Kalifornien, LGPD in Brasilien, POPIA in Südafrika, PDPA in Singapur und mehr.

Testen Sie Cookiebot CMP 14 Tage kostenlos – oder für immer, wenn Sie eine kleine Website haben.

Scannen Sie Ihre Website, um zu sehen, welche Cookies und Tracker im Einsatz sind

Erfahren Sie mehr über die Einhaltung der DSGVO

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist ein EU-Gesetz, das im Mai 2018 in Kraft getreten ist und in allen 27 EU-Staaten einheitlich verbindlich ist. Es regelt, wie Unternehmen und Organisationen mit personenbezogenen Daten umgehen dürfen.

Personenbezogene Daten sind in der DSGVO definiert als alles, was direkt oder indirekt einer natürlichen Person zugeordnet werden kann, wie Namen, physische Adressen, IP-Adressen, Standortdaten und Informationen über physische, mentale, wirtschaftliche, kulturelle oder soziale Fakten.

Sensible personenbezogene Daten werden jedoch in der DSGVO als Daten über religiöse Überzeugungen, politische Meinungen und/oder sexuelle Orientierung definiert.

DSGVO in Großbritannien wird vom ICO durchgesetzt, der DSGVO-'Wachhund' auf der Insel
Die DSGVO schützt die persönlichen Daten von Personen innerhalb der EU.

Es werden insgesamt acht Rechte für Einzelpersonen präzisiert, darunter das Recht, Zugang zu den eigenen Daten zu beantragen (ein sogenannter Subject Access Request oder SAR) sowie die Löschung ihrer personenbezogenen Daten zu beantragen.

Das wichtigste Recht, das die DSGVO den EU-Bürgern einräumt, ist das Recht, ihre (persönlichen oder sensiblen) Daten nicht ohne vorherige Zustimmung erheben und verarbeiten zu lassen.

Vorherige Zustimmung nach der DSGVO im Vereinigten Königreich

Hier verlangt die DSGVO, dass Websites –

  1. eine klare und unmissverständliche Zustimmung der Nutzer einholen,
  2. vor der Verarbeitung personenbezogener Daten,
  3. nach Angabe aller Arten von Cookies und anderer Tracking-Technologien, die auf ihren Seiten vorhanden sind und betrieben werden,
  4. auf leicht verständliche Weise, die es den Nutzern ermöglicht, die Einwilligung für jede einzelne Kategorie von Cookies zu erteilen und zu widerrufen,
  5. um dann jede Zustimmung des Benutzers sicher und vertraulich dokumentieren zu können,
  6. und alle sechs Monate um eine erneute Zustimmung zu bitten.

Dies ist das Rückgrat der Einhaltung der DSGVO.

Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Prüfen Sie es mit dem kostenlosen Compliance-Test von Cookiebot CMP.

Testen Sie Cookiebot CMP 14 Tage lang kostenlos... oder für immer, wenn Sie eine kleine Website haben.

Die DSGVO in Großbritannien nach dem Brexit 2021

Die DSGVO gilt im Vereinigten Königreich seit ihrem Inkrafttreten im Mai 2018.

Mit dem Austritt aus der EU am 1. Januar 2021 ist das Vereinigte Königreich offiziell nicht mehr Teil der EU-DSGVO, d.h. die EU-DSGVO hat im Vereinigten Königreich keine innerstaatliche Zuständigkeit mehr, wie sie es seit Mai 2018 hatte.

Großbritannien hat eine eigene Version namens UK-DSGVO verabschiedet, die neben dem Data Protection Act von 2018 nun in Kraft ist.

Die neue UK-DSGVO ist im Wesentlichen identisch mit ihrem europäischen Vorgänger, nur so überarbeitet, dass sie Bereiche des nationalen Rechts abdeckt, die von der EU-Verordnung nicht berührt werden. Dazu gehören unter anderem die nationale Sicherheit, die Nachrichtendienste und die Einwanderung.

Auch wenn das Vereinigte Königreich die EU verlassen hat, sorgt eine Bestimmung im Abkommen zwischen den beiden Blöcken für eine Übergangszeit von sechs Monaten (bis Juni 2021), in der personenbezogene Daten wie zuvor uneingeschränkt zwischen dem Vereinigten Königreich und der EU fließen können.

Durch die Umsetzung der DSGVO in nationales Recht stellt das Vereinigte Königreich ein angemessenes Datenschutzniveau sicher, das zukünftige, uneingeschränkte Datenflüsse gewährleisten kann, wenn die EU dem Vereinigten Königreich vor Juni 2021 einen sogenannten Angemessenheitsbeschluss gewährt.

Erfahren Sie mehr über die UK-DSGVO (in Englisch)

Erfahren Sie mehr über den Data Protection Act 2018 (in Englisch)

Testen Sie Cookiebot CMP kostenlos für die Einhaltung der DSGVO

Lesen Sie hier IAPP’s umfassende Datenschutz-Checkliste zum Brexit (in Englisch)

DSGVO und die anderen Datengesetze des Vereinigten Königreichs

Das Information Commissioners’ Office (kurz: ICO) muss in Großbritannien mehrere Datengesetze durchsetzen.

Nach dem Brexit am 1. Januar 2021, sind die folgenden Datengesetze im Vereinigten Königreich in Kraft getreten:

PECR ist die nationale Umsetzung der europäischen Datenschutzrichtlinie für elektronische Kommunikation (ePR) in Großbritannien. Sie befasst sich mit dem Schutz personenbezogener Daten im Zusammenhang mit elektronischer Kommunikation, insbesondere mit Cookies und Online-Marketing-Kommunikation.

Besuchen Sie die Website des ICO, um mehr über die PECR zu erfahren.

Da es sich um eine nationale Umsetzung handelt, d.h. um ein innerstaatliches britisches Gesetz, wird das PECR auch nach dem Brexit weiterhin gelten.

ICO und DSGVO: Durchsetzung von PECR, DTA und DSGVO in the UK
Das ICO setzt die PECR, den DPA2018 und die neue UK-DSGVO um.

Das ICO und Cookies – aktualisierte Richtlinien gemäß der PECR

Das ICO hat seine Richtlinien bezüglich der Verwendung von Cookies und damit der Verarbeitung von Benutzerdaten gemäß der PECR aktualisiert. Es hat dies getan, um sie mit den Zustimmungsstandards der DSGVO in Einklang zu bringen.

Das ICO hat entschieden, dass die einzige Form der gültigen Zustimmung auf Websites die vor der ersten Nachverfolgung erteilte Zustimmung ist, die durch Cookie-Banner ohne vorher angekreuzte Kontrollkästchen erhalten wird.

Lesen Sie mehr über die aktualisierten Richtlinien auf der ICO-eigenen Website (in Englisch).

Website-Eigentümer und -Betreiber dürfen keine persönlichen Daten mehr sammeln oder verarbeiten, wenn Benutzer einfach ein Cookie-Banner schließen oder sich entscheiden, nach dem Auftauchen eines Cookie-Banners weiter auf einer Website zu surfen.

Stattdessen müssen die Benutzer durch Anklicken und Ankreuzen der Kästchen aller Kategorien von Cookies, außer den unbedingt erforderlichen, ihre Zustimmung geben.

Logo banner powered by Cookiebot by Usercentrics
So sieht ein konformer Cookie-Banner im Vereinigten Königreich aus, gemäß der neuen Richtlinien des ICO

Wer setzt die DSGVO in Großbritannien durch?

Als das Vereinigte Königreich noch Teil der Europäischen Union war, war es die Aufgabe des Information Commissioner’s Office (ICO), die DSGVO der EU auf britischem Boden durchzusetzen.

Da Großbritannien jedoch kein EU-Mitgliedstaat mehr ist, werden die Hauptaufgaben des ICO nun in der Durchsetzung der eigenen nationalen Version, der UK-DSGVO, und des unterstützenden Data Protection Act von 2018 liegen.

Es sind die nationalen Datenschutzbehörden (die so genannten Data Protection Authorities oder DPAs) jeder EU-Nation, die für die Durchsetzung der DSGVO in ihrem Land verantwortlich sind, obwohl dem irischen DPA eine besondere Verantwortung und Macht zukommt, da es die führende Regulierungsbehörde für die DSGVO in der EU ist.

Denn eine Bestimmung in der DSGVO besagt, dass die leitende Aufsichtsbehörde des Gesetzes die DPA des Landes sein muss, in dem sich der Datenverantwortliche eines Technologieunternehmens befindet, was für Irland sowohl bei Facebook als auch bei Google der Fall ist.

ICO ist der DSGVO-Durchsetzer in GB
ICO ist die Datenbehörde und Durchsetzer der DSGVO in Großbritannien.

ICO und DSGVO

Das ICO ist der Vollstrecker der DSGVO im Vereinigten Königreich mit der Befugnis, strafrechtliche Ermittlungen durchzuführen und Geldbußen zu erlassen.

Dies wurde letztes Jahr beobachtet, als das ICO die Büros von Cambridge Analytica durchsuchte – die in Ungnade gefallene Datenfirma, die die persönlichen Daten von 87 Millionen Menschen aus Facebook-Profilen missbrauchte, um sowohl britische als auch US-amerikanische Wahlen zu beeinflussen.

Nach dem Brexit wird das ICO zum Vollstrecker, Aufseher und Regulierer der inländischen UK-DSGVO.

DSGVO-Geldstrafen in Großbritannien

Nach der DSGVO können britische Websites und Unternehmen, die ihre Anforderungen nicht erfüllen, mit einer Geldstrafe von bis zu 20 Millionen Euro oder vier Prozent des jährlichen weltweiten Umsatzes eines Unternehmens belegt werden, je nachdem, welcher Betrag höher ist.

Bisher variieren die DSGVO-Geldbußen im Vereinigten Königreich sehr stark in Form und Stärke.

Das ICO hat die DSGVO im Vereinigten Königreich bereits mehrfach durchgesetzt.

Viele der von der ICO ein Jahr nach dem Inkrafttreten der DSGVO im Vereinigten Königreich verhängten Geldstrafen konzentrieren sich auf unaufgefordertes Direktmarketing, das nach der DSGVO rechtswidrig ist. Bevor ein Unternehmen oder eine Website Direktmarketing betreiben kann, ist die vorherige Zustimmung seiner Kunden oder Nutzer erforderlich.

Das ICO hat erklärt, dass es es vorzieht, mit Unternehmen zusammenzuarbeiten, um ihre Praktiken zu verbessern, anstatt nach Höchststrafen zu suchen.

Seine DSGVO-Durchsetzung hat bisher in Form von Geldstrafen Gestalt angenommen, aber auch als Beratung für Unternehmen und Organisationen, um ihre Praktiken zu verbessern, und manchmal kann “ein strenger Brief ausreichen”, erklärte das ICO.

Wie man die DSGVO in Großbritannien­ ein­hält

Wenn Sie persönliche Daten von Personen in Großbritannien verarbeiten, müssen Sie die DSGVO, das Datenschutzgesetz 2018 und das PECR einhalten.

Nach dem Brexit müssen Sie die neue UK-GDPR, das Datenschutzgesetz 2018 und die PECR einhalten.

Cookiebot CMP ermöglicht die vollständige Einhaltung aller nationalen britischen Datenschutzgesetze und der DSGVO der EU.

Testen Sie Cookiebot CMP kostenlos für 14 Tage – oder für immer, wenn Sie eine kleine Website haben.

Scannen Sie Ihre Website, um zu sehen, welche Cookies und Tracker im Einsatz sind.

Zusammenfassung

Um es zusammenzufassen –

DSGVO und das Vereinigte Königreich

Es gilt eine Übergangsfrist von sechs Monaten (bis Juni 2021), die den freien Fluss personenbezogener Daten zwischen dem Vereinigten Königreich und der EU sicherstellt – genau wie bei der Anwendung der DSGVO auf das Vereinigte Königreich vor dem Brexit.

Es wird erwartet, dass die EU einen Angemessenheitsbeschluss fasst und den uneingeschränkten Datenfluss zwischen dem Vereinigten Königreich und der EU als Standard festlegt.

Nach dem Brexit ist die neue UK-DSGVO in Kraft getreten und dies bedeutet, dass der gleiche Datenschutz und die gleichen Anforderungen gelten wie zuvor nach EU-Recht.

ICO und DSGVO

Das ICO ist der führende Durchsetzer der UK-DSGVO, des Data Protection Act von 2018 und der PECR.

Erfahren Sie mehr über das ICO

Data Protection Act 2018 und PECR

Eine geänderte Fassung des Data Protection Act 2018 ist am 31. Januar 2020 in Kraft treten.

PECR ist ein innerstaatliches Gesetz in Großbritannien, das die elektronische Kommunikation regelt und auch nach dem Brexit vom 31. Januar 2020 weiter gelten wird.

Cookiebot CMP gewährleistet die Einhaltung der Gesetze für Ihre Website heute und auch nach dem Brexit.

Probieren Sie Cookiebot CMP 14 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

FAQ

Gilt die DSGVO in Großbritannien nach dem Brexit?

Die Allgemeine Datenschutz-Grundverordnung der EU gilt für jede Verarbeitung personenbezogener Daten von Personen innerhalb der Europäischen Union, wird aber nach dem Brexit nicht mehr für die Verarbeitung personenbezogener Daten von Personen innerhalb des Vereinigten Königreichs gelten. Nach dem Brexit ist die neue UK-DSGVO in Kraft getreten und eine innerstaatliche Anwendung haben, die der DSGVO der EU entspricht.

Weitere Informationen über DSGVO und Zustimmung

Wer wird die UK-DSGVO durchsetzen?

Das Information Commissioner’s Office (ICO) ist das federführende Aufsichtsorgan und der Durchsetzer der UK-DSGVO. Das ICO hat die Befugnis, strafrechtliche Untersuchungen durchzuführen, Richtlinien zu erlassen und Geldstrafen für die Nichteinhaltung zu verhängen.

Erfahren Sie mehr über die UK-DSGVO

Was sind personenbezogene Daten nach der UK-DSGVO?

Personenbezogene Daten sind alle Daten, die direkt oder indirekt zur Identifizierung einer lebenden Person verwendet werden können. Zu den personenbezogenen Daten gehören Namen, Adressen, Führerschein, Passnummer, Gesundheitsdaten, Standortdaten, Informationen über religiöse Überzeugungen und politische Überzeugungen, aber auch Cookies, IP-Adressen, Such- und Browserverlauf.

Erfahren Sie mehr über die DSGVO nach Brexit

Wie kontrolliere ich Cookies auf meiner Website?

Cookies sind schwer zu kontrollieren – viele Cookies laden heimlich andere Cookies, und viele von ihnen ändern sich bei wiederholten Besuchen. Die Verwendung einer Consent Management Plattform kann Ihrer Website helfen, die Cookie-Einrichtung zu kontrollieren und die Einhaltung von Datenschutzgesetzen wie der DSGVO der EU und der UK-DSGVO sicherzustellen.

Testen Sie Cookiebot CMP 14 Tage lang kostenlos – oder für immer, wenn Sie eine kleine Website haben.

Ressourcen

Neue UK-DSGVO (in Englisch)

Neuer und veränderter Data Protection Act 2018 (in Englisch)

Entwurf der Angemessenheitsentscheidung der EU-Kommission für Großbritannien, Februar 2021 (in Englisch)

EDPB-Stellungnahme zum Entwurf des UK-Angemessenheitsbeschlusses (in Englisch)

EPRS-Bericht über Datenflüsse zwischen der EU und dem Vereinigten Königreich nach dem Brexit (PDF in Englisch)

GDPR and Brexit (in Englisch)

Datenschutz-Grundverordnung (DSGVO): offizieller Gesetzestext

ePrivacy Richtlinie 2009 offizieller Gesetzestext

UK Data Protection Act 2018 offizieller Gesetzestext (in Englisch)

Privacy and Electronic Communications Regulations (PECR, Vorschriften über Datenschutz und elektronische Kommunikation) (in Englisch)

Information Commissioner’s Office (ICO) (in Englisch)

Das ICO setzt die Datengesetze in Großbritannien durch (in Englisch)

Die aktualisierten Richtlinien des ICO (in Englisch)

CIO: Großbritannien und die EU-DSGVO

    Bleiben Sie auf dem Laufenden

    Werden Sie jetzt Teil unserer wachsenden Community von Datenschutz-Befürwortern. Abonnieren Sie den Cookiebot™-Newsletter und erhalten Sie die neuesten Updates und spannende Informationen direkt in Ihren Posteingang.

    Mit einem Klick auf „Abonnieren“ bestätige ich, dass ich den Cookiebot™-Newsletter abonnieren möchte. Ich kann das Abonnement des Cookiebot™-Newsletters und die Einwilligung in die Verwendung meiner Daten ganz einfach widerrufen, indem ich auf den Abmeldelink klicke. Oder ich kann mich schriftlich an [email protected] wenden, um eine Anfrage zu stellen. Datenschutz­richtlinie.

    Machen Sie noch heute die Nutzung von Cookies und Online-Tracking auf Ihrer Webseite datenschutzkonform

    JETZT KOSTENLOS TESTEN