UK Data Protection Act 2018: Überblick & Zusammenfassung

Das Vereinigte Königreich ist durch das britische Datenschutzgesetz 2018 (UK Data Protection Act 2018, DPA 2018) geschützt, ein Gesetz, das neben der allgemeinen Datenschutzverordnung des Vereinigten Königreichs (UK DSGVO) gilt, die der DSGVO entspricht, aber den Austritt des Vereinigten Königreichs aus der Europäischen Union im Jahr 2020 berücksichtigt.

Im Folgenden fasse ich das britische Datenschutzgesetz 2018 zusammen, einschließlich der Frage, für wen es gilt, wie es sich auf Unternehmen und Verbraucher auswirkt, die verschiedenen Anforderungen, die Strafen bei Verstößen gegen das Gesetz und wie es mit der britischen DSGVO zusammenarbeitet.

Was ist der UK Data Protection Act 2018?

Der britische Data Protection Act 2018, kurz DPA 2018, ist ein innerstaatliches Gesetz im Vereinigten Königreich, das neben der britischen DSGVO einen Teil des rechtlichen Rahmens für den Datenschutz in der Region bildet.

Sie regelt, wie personenbezogene Daten erhoben, gespeichert und verwendet werden, und ergänzt und erweitert einige der in der britischen DSGVO festgelegten Standards.

Datum des Inkrafttretens des Datenschutzgesetzes

Das DPA 2018 trat am 25. Mai 2018 in Kraft.

Kurze Geschichte des Datenschutzgesetzes, der britischen DSGVO und der DSGVO

Um zu verstehen, wie die DSGVO 2018 und die britische DSGVO zusammenwirken, muss ich erklären, was mit dem britischen Datenschutzrahmen nach dem Austritt des Landes aus der EU geschah.

Technisch gesehen wurden das Datenschutzgesetz und die DSGVO eingeführt und traten in Kraft, bevor das Vereinigte Königreich am 31. Januar 2020 aus der Europäischen Union austrat.

Das Vereinigte Königreich hat das Datenschutzgesetz 2018 verabschiedet, weil die DSGVO mehr als 30 Bereiche mit flexiblen Bestimmungen oder zusätzlichen Vorschriften enthält, die nationale Abweichungen bei der Auslegung der Verordnung durch die Mitgliedstaaten zulassen. Die Verabschiedung des Data Protection Act 2018 ermöglichte es dem Vereinigten Königreich, die DSGVO in den bestehenden flexiblen Bereichen weiter in Kraft zu setzen.

Nach dem Austritt des Vereinigten Königreichs aus der EU wurde die DSGVO in der Region jedoch unwirksam. Um ein rechtliches Vakuum zu vermeiden, hat die britische Regierung mit dem European Union Withdrawal Act 2018 den Text der DSGVO in das nationale britische Recht übernommen.

Das Vereinigte Königreich hat außerdem einen Angemessenheitsbeschluss erwirkt, der bestätigt, dass die Datenschutzregelungen des Landes denen der EU gleichwertig sind, so dass weiterhin Daten aus der EU fließen können.

Schließlich wurde die DSGVO 2018 geändert, um sie an die neue britische DSGVO anzupassen, die weiterhin in Kraft bleibt.

Heute ist die britische DSGVO nahezu identisch mit der DSGVO, und beide enthalten die gleichen Rechte der betroffenen Personen, Rechtsgrundlagen sowie Verpflichtungen und Anforderungen für Unternehmen.

UK Data Protection Act 2018 Wichtige Begriffe und Definitionen

Gemäß Abschnitt 3 des DPA 2018 haben die im Gesetz verwendeten Begriffe dieselbe Bedeutung wie in Artikel 4 der britischen DSGVO, die Sie unten einsehen können:

Wenn diese Ausdrücke in diesem Leitfaden verwendet werden, dann unter Berücksichtigung dieser spezifischen Definitionen.

Was deckt das britische Datenschutzgesetz ab?

Die DPA 2018 gilt für die personenbezogenen Daten von Personen im Vereinigten Königreich.

Sie gilt für alle im Vereinigten Königreich ansässigen Unternehmen und Organisationen sowie für alle für die Datenverarbeitung Verantwortlichen oder Auftragsverarbeiter, die:

• Waren oder Dienstleistungen für Menschen im Vereinigten Königreich anbietet, und
• außerhalb des Vereinigten Königreichs sind, aber Menschen im Vereinigten Königreich überwachen.

Anforderungen des UK Data Protection Act

Im Folgenden habe ich die wichtigsten Anforderungen der DSGVO 2018 und ihre Auswirkungen auf Unternehmen zusammengefasst.

Grundsätze für die Datenverarbeitung

Gemäß dem britischen Datenschutzgesetz 2018 müssen personenbezogene Daten fair, transparent und rechtmäßig verarbeitet werden.

Unternehmen dürfen nur solche Daten rechtmäßig erheben, die für die Zwecke, die dem Verbraucher in einem ordnungsgemäßen Datenschutzhinweis mitgeteilt wurden, relevant und verhältnismäßig sind.

Alle Informationen, die nicht als "notwendig" oder "angemessen" angesehen werden, können nicht erfasst werden, es sei denn, es wird zuvor eine ausdrückliche, informierte Zustimmung eingeholt.

Rechte der betroffenen Person

Die UK DPA 2018 stärkt die Rechte der betroffenen Personen im Vereinigten Königreich, wie sie in der britischen DSGVO niedergelegt sind, zu denen das Recht auf:

• Zugang zu ihren Daten
• ihre Daten zu korrigieren
• ihre Daten zu löschen
• die Verarbeitung ihrer Daten einzuschränken
• Widerspruch gegen die Datenverarbeitung

Besondere Kategorien von Daten

Mit der DSGVO 2018 wurde festgelegt, dass die für die Datenverarbeitung Verantwortlichen über eine klare Rechtsgrundlage für die Verarbeitung "besonderer Kategorien" von Daten verfügen müssen, wie die folgenden sensiblen personenbezogenen Daten:

• Rasse oder ethnische Herkunft
• Politische Stellungnahmen
• Religiöse oder philosophische Überzeugungen
• Mitgliedschaft in einer Gewerkschaft
• Genetische Daten
• Biometrische Daten
• Daten zur Gesundheit
• Sexualleben oder sexuelle Orientierung

Es wurde jedoch auch die Kategorie "Daten über Straftaten" eingeführt, die die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Verfahren für befugte Stellen legal macht.

Datensicherheit

Nach dem DPA 2018 müssen Unternehmen sicherstellen, dass sie personenbezogene Daten sicher verarbeiten.

Die Verarbeitung muss die geeigneten organisatorischen und technischen Maßnahmen umfassen, um die Datenmenge und die Art der Daten vor unbefugtem Zugriff oder anderen Schäden zu schützen.

Diese Sicherheitsanforderungen finden sich auch in der britischen DSGVO.

Strafverfolgung

Das britische Datenschutzgesetz 2018 sieht in Teil 3 vor, dass eine zuständige Behörde personenbezogene Daten rechtmäßig zu Strafverfolgungszwecken verarbeiten kann.

Im Einzelnen werden die folgenden Anforderungen gestellt:

• Die Verarbeitung von Daten zu Strafverfolgungszwecken muss auf rechtmäßige und faire Weise und unter Einhaltung der wichtigsten Datenschutzgrundsätze erfolgen, die in der DSGVO 2018 und der britischen DSGVO festgelegt sind,
• Die Daten müssen für klar definierte und rechtmäßige Strafverfolgungszwecke erhoben werden,
• Zu Strafverfolgungszwecken dürfen nur notwendige, angemessene und relevante Daten verarbeitet werden,
• Alle personenbezogenen Daten, die zu Strafverfolgungszwecken verarbeitet werden, dürfen nur so lange aufbewahrt werden, wie es für die beabsichtigten Zwecke erforderlich ist, und nicht länger,
• Nur die zuständigen Behörden , d. h. die Polizeibehörden und andere zugelassene britische Stellen, können Daten auf diese Weise verarbeiten.

Wie sich das britische Datenschutzgesetz auf die Verbraucher auswirkt

Das britische Datenschutzgesetz wirkt sich auf die Verbraucher aus, indem es ihre Datenschutzrechte stärkt, wie die britische DSGVO darlegt.

Die Nutzer im Vereinigten Königreich können jederzeit nachprüfbare Anträge zur Durchsetzung dieser Rechte stellen, und die Unternehmen müssen innerhalb einer angemessenen Frist antworten, sonst drohen Geldstrafen wegen Nichteinhaltung der Vorschriften.

Aufforderungen der betroffenen Personen, ihre Datenschutzrechte wahrzunehmen, muss nachgekommen werden, wann immer dies technisch machbar ist, und die Beweislast liegt beim Unternehmen.

Wie sich das britische Datenschutzgesetz auf Unternehmen auswirkt

Neben den bereits in diesem Leitfaden erwähnten gesetzlichen Anforderungen wirkt sich das britische Datenschutzgesetz auch auf die Datenschutz- und Cookie-Richtlinien von Unternehmen aus.

Da der Data Protection Act in Teil 2 des Gesetzes mit der britischen DSGVO übereinstimmt, müssen die Unternehmen den Nutzern einen konformen Datenschutzhinweis vorlegen, der sie darüber informiert:

• Welche persönlichen Daten Sie sammeln möchten,
• Ihre Rechtsgrundlage für die Erhebung der Daten,
• Welche Rechte die betroffenen Personen in Bezug auf ihre Daten haben und wie sie diese Rechte ausüben können,
• Wenn Sie Daten an Dritte weitergeben,
• Ihre Politik der Datenaufbewahrung,
• Kontaktinformationen zu Ihrem Unternehmen.

Ebenso müssen Unternehmen ihre Cookie-Richtlinien aktualisieren, um alle von der Website verwendeten Cookies zu identifizieren und zu erklären.

Sie muss den Nutzern sofort nach dem Aufrufen der Seite präsentiert werden, damit sie nach beiden Gesetzen angemessen informiert sind.

Wer muss sich an die DPA 2018 halten?

Alle britischen Unternehmen, Einrichtungen und Organisationen sind verpflichtet, das britische Datenschutzgesetz einzuhalten.

Sie gilt auch für Einrichtungen außerhalb des Vereinigten Königreichs, die die folgenden Kriterien erfüllen:

• Angebot von Waren oder Dienstleistungen an Personen im Vereinigten Königreich,
• Überwachen Sie das Online-Verhalten der Menschen im Vereinigten Königreich.

Wie können Unternehmen die DPA 2018 einhalten?

Um die DPA 2018 einzuhalten, müssen Unternehmen auch die britische DSGVO einhalten, was bedeutet, dass sie alle folgenden Punkte auf ihrer Website oder App umsetzen müssen:

• Veröffentlichen Sie einen aktuellen Datenschutzhinweis auf Ihrer Website, der alle Transparenzanforderungen erfüllt,
• Veröffentlichen Sie auf Ihrer Website eine aktuelle Cookie-Richtlinie, in der alle verwendeten Cookies aufgeführt sind und ihr Zweck erläutert wird,
• Fügen Sie auf Ihrer Website ein cookie consent mit Zugang zu einem Einstellungszentrum ein, damit britische Nutzer ihre in beiden Gesetzen festgelegten Opt-out-Rechte wahrnehmen können,
• Verwenden Sie konforme Kontakte zwischen Datenverarbeitern und dritten für die Datenverarbeitung Verantwortlichen,
• Sicherstellen, dass die Datenübermittlung rechtskonform ist und im Einklang mit beiden Gesetzen steht,
• über Mittel verfügen, um geprüfte Anfragen von betroffenen Personen zur Durchsetzung ihrer Datenschutzrechte entgegenzunehmen und darauf zu reagieren,
• Umsetzung von Sicherheitsmaßnahmen zum Schutz aller personenbezogenen Daten vor unbefugtem Zugriff und anderen Schäden.

Wenn Ihre Verarbeitung besonderer Datenkategorien wahrscheinlich zu einem hohen Risiko führt (z. B. die Verwendung biometrischer Daten in großem Umfang), müssen Sie eine Datenschutzfolgenabschätzung durchführen, um die Risiken zu bewerten und zu mindern.

Wie wird das britische Datenschutzgesetz durchgesetzt?

Das DPA 2018 wird vom Information Commissioner's Office (ICO) durchgesetzt.

Das ICO ist für die Durchführung von Untersuchungen und das Ergreifen von Maßnahmen gegen Unternehmen zuständig, die gegen die DPA 2018 und die britische DSGVO verstoßen haben.

Sie bieten auch Einblicke und Orientierungshilfen für die Auslegung des Gesetzes, der Verordnung und des allgemeinen Datenschutzrahmens im Vereinigten Königreich.

Geldbußen und Strafen gemäß dem britischen Datenschutzgesetz

Verstöße gegen die britische DSGVO können zu Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder 17,5 Millionen Pfund (je nachdem, welcher Betrag höher ist) führen. Die DSGVO 2018 sieht jedoch gesonderte Strafen für bestimmte Verstöße vor, wie z. B. die unrechtmäßige Verarbeitung zu Strafverfolgungszwecken

Wie Termly bei der Einhaltung des UK Data Protection Act hilft

Termly unterstützt Unternehmen bei der Einhaltung von Gesetzen wie dem UK Data Protection Act (und der UK DSGVO!), indem es rechtlich abgesicherte Richtlinienlösungen anbietet, wie unseren Datenschutzerklärung Generator und die Consent Management Platform (CMP).

Unser Datenschutzerklärung Generator wird regelmäßig aktualisiert und enthält die Meldeanforderungen von über 25 Datenschutzgesetzen aus aller Welt.

Ein Beispiel dafür finden Sie in der nachstehenden Bildschirmabbildung.

Sie können Termly's CMP auch verwenden, um ein konformes cookie consent mit Zugang zu einer genauen Cookie-Richtlinie und einem Einstellungszentrum einzurichten, so dass Ihre britischen Nutzer ihre verschiedenen Rechte leicht wahrnehmen können.

Im Lieferumfang ist ein kostenloses DSAR-Formular (Data Subject Access Request) enthalten, das die Entgegennahme und Beantwortung dieser Anfragen für Ihr Unternehmen noch effizienter und reibungsloser macht.

Zusammenfassung

Das Vereinigte Königreich ist durch den Data Protection Act von 2018 und die britische DSGVO geschützt, zwei strenge Datenschutzregelungen, die Verbrauchern mehrere Rechte einräumen und Unternehmen verschiedene strenge Verpflichtungen und Richtlinien auferlegen.

Um die DSGVO 2018 einzuhalten, sollten Sie Ihre Datenschutz- und Cookie-Richtlinien aktualisieren, ein DSAR-Formular auf Ihrer Website einfügen und eine CMP verwenden, die alle in diesem Gesetz und der britischen DSGVO beschriebenen Opt-in- und Opt-out-Anforderungen angemessen erfüllt.

Um die Einhaltung der Vorschriften zu vereinfachen, verwenden Sie Lösungen wie den Datenschutzerklärung Generator und CMP, und bleiben Sie auf der richtigen Seite der britischen Datenschutzgesetze (und darüber hinaus!).

Mehr über die Autorin

Geschrieben von Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha ist Spezialistin für Informationssicherheit und Datenschutz und zertifizierte Datenschutzbeauftragte. In den letzten sechs Jahren war sie als Datenschutzbeauftragte tätig und half kleinen und mittleren Unternehmen bei der Einhaltung von Rechtsvorschriften. Außerdem war sie Mentorin für die Einhaltung von Datenschutzbestimmungen bei vielen internationalen Business Accelerators. Sie ist spezialisiert auf die Umsetzung, Überwachung und Prüfung der Einhaltung von Datenschutzvorschriften (HIPAA, PIPEDA, ePrivacy-Richtlinie, DSGVO, CCPA, POPIA, LGPD). Masha hat an der Universität Belgrad Jura studiert und 2016 die Anwaltsprüfung abgelegt. Mehr über die Autorin