anonym.legal
Zurück zum BlogDSGVO & Compliance

ICO Vereinigtes Königreich: Post-Brexit UK GDPR — Die technischen Anforderungen, die sich vom EU GDPR unterscheiden

ICO verhängte im Dezember 2025 eine Geldstrafe von 1,2 Millionen Pfund gegen LastPass wegen unzureichender Verschlüsselung. Das Urteil stellt fest, dass die clientseitige Verschlüsselung eine gesetzliche Anforderung ist. Hier sind die technischen Anforderungen des UK GDPR.

March 7, 20267 min Lesezeit
ICO UKUK GDPRLastPass fineencryption compliancepost-Brexit data protection

UK GDPR Post-Brexit: Abweichungen und Kontinuität

Das UK Data Protection Act 2018, das den UK GDPR umfasst, spiegelt den EU GDPR eng wider — jedoch mit erheblichen Abweichungen, die spezifische Compliance-Anforderungen für Organisationen im Vereinigten Königreich schaffen.

Kontinuität:

  • Dieselben sechs rechtmäßigen Grundlagen für die Verarbeitung
  • Dieselben Rechte der betroffenen Personen (Zugriff, Löschung, Berichtigung, Datenübertragbarkeit)
  • Dasselbe Prinzip der Verantwortlichkeit und Dokumentationsanforderungen
  • Dieselbe Pflicht zur Meldung von Datenpannen (72 Stunden an die ICO)
  • Dieselbe Anforderung an Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Abweichungen:

  • Angemessenheitsregime: Das Vereinigte Königreich hat eigene Angemessenheitsentscheidungen für internationale Datenübertragungen; die EU-Angemessenheit für Datenübertragungen aus dem Vereinigten Königreich bleibt bestehen, ist jedoch umstritten
  • KI-Leitlinien: Die ICO hat spezifische KI-Leitlinien (2023-2024) herausgegeben, die detaillierter sind als die vergleichbaren Leitlinien der EDPB
  • Biometrische Daten: Die Behandlung biometrischer Daten im Vereinigten Königreich weist geringfügige definitorische Unterschiede auf
  • Forschungs-Ausnahmen: Die Ausnahmen für Forschung und Statistik im Vereinigten Königreich sind etwas breiter gefasst als die EU-Äquivalente
  • Durchsetzungskultur: Die ICO hat historisch den Fokus auf Bildung und Anleitung vor Geldstrafen gelegt; dies ändert sich mit den jüngsten großen Durchsetzungsmaßnahmen

Für Organisationen, die sowohl in der EU als auch im Vereinigten Königreich tätig sind, schafft der UK GDPR eine parallele Compliance-Verpflichtung, die eine Bewertung sowohl der Anforderungen des EU GDPR als auch des UK GDPR erfordert — sie sind nicht identisch.

Die LastPass ICO Geldstrafe: Etablierung der Verschlüsselung als gesetzliche Anforderung

Die Geldstrafe der ICO gegen LastPass UK im Dezember 2025 (£1,2 Millionen) ist der wegweisende UK GDPR-Fall für Verschlüsselungsstandards. Die Durchsetzungsmitteilung stellte mehrere Prinzipien mit weitreichenden Auswirkungen fest:

Die Kernfeststellung: Die Verschlüsselungsarchitektur von LastPass — die Benutzerdaten mit serverzugänglichen Verschlüsselungsschlüsseln speicherte — wurde als unzureichend gemäß Artikel 32 des UK GDPR befunden. Die ICO stellte fest, dass "der Verantwortliche clientseitige Verschlüsselung hätte implementieren müssen, die sicherstellt, dass selbst im Falle eines Serverangriffs die Benutzerdaten nicht für unbefugte Dritte zugänglich sind."

Was das bedeutet: Die ICO hat festgestellt, dass, wenn eine datenschutzfreundlichere Architektur existiert (clientseitige Verschlüsselung) und technisch machbar ist, die Verwendung einer weniger datenschutzfreundlichen Architektur (serverseitige Verschlüsselung) möglicherweise nicht den Standard der "angemessenen technischen Maßnahmen" gemäß Artikel 32 erfüllt.

Breitere Auswirkungen: Organisationen, die sensible Daten mit serverseitiger Verschlüsselung speichern — bei denen die Server des Anbieters die Verschlüsselungsschlüssel halten — könnten bei einem Vorfall der ICO unterzogen werden. Die Durchsetzungsmitteilung besagt ausdrücklich, dass "technische Maßnahmen im Verhältnis zum Risiko stehen müssen, und wo das Risiko eines unbefugten Zugriffs auf sensible personenbezogene Daten hoch ist, könnte die angemessene Maßnahme die clientseitige Schlüsselverwaltung erfordern."

Für PII-Anonymisierungstools: Wenn der Anonymisierungsdienst eines Anbieters den Klartext der verarbeiteten Dokumente serverseitig speichert (für Prüfprotokolle, Nutzungsanalysen oder Funktionen wie Dokumentenhistorie), entsteht ein serverzugänglicher Datenspeicher, der möglicherweise nicht den nach dem LastPass-Standard der ICO für sensible Daten entspricht.

ICOs KI-Leitlinien: Technische Anforderungen für generative KI

Die ICO gab umfassende KI-Leitlinien in 2023-2024 heraus, die acht spezifische technische Anforderungen für generative KI-Systeme abdecken — detaillierter als die entsprechenden Leitlinien der EU:

1. Nachvollziehbarkeit der Trainingsdaten: KI-Systeme, die auf personenbezogenen Daten trainiert werden, müssen eine dokumentierte Herkunft der Trainingsdaten haben, einschließlich der angewandten Anonymisierungsverfahren.

2. Überwachung der Ausgaben: Systeme, die Ausgaben personenbezogener Daten generieren, müssen Überwachungsmaßnahmen haben, um unangemessene Datenoffenlegungen zu erkennen und zu verhindern.

3. Zweckbindung im Training: Personenbezogene Daten, die für das Training verwendet werden, müssen auf den spezifischen Zweck beschränkt sein — das Training von KI zu allgemeinen Zwecken mit Kundendaten erfordert eine ausdrückliche rechtliche Grundlage.

4. Individuelle Rechte bei automatisierten Entscheidungen: KI-Systeme, die wesentliche Entscheidungen über Einzelpersonen treffen, müssen technische Kontrollen implementieren, um individuelle Rechte (Zugriff, Erklärung, Anfechtung) zu erleichtern.

5. Bias-Auditing: Systeme, die geschützte Merkmale verarbeiten (direkt oder durch Inferenz), müssen eine technische Überwachung auf Verzerrungen haben.

6. Datenminimierung beim Feintuning: Feintuning auf personenbezogenen Daten muss Minimierung vor dem Training anwenden — nicht nur Anonymisierungsrichtlinien, sondern auch technische Implementierung.

7. Aufbewahrung im Training: Personenbezogene Daten, die in die Modellgewichte integriert sind, müssen für Löschanfragen ansprechbar sein (technische oder gleichwertige Schutzmaßnahmen erforderlich).

8. Due Diligence für Drittanbieter-Modelle: Organisationen, die KI-Systeme von Drittanbietern verwenden, müssen die technische Compliance dieser Systeme mit diesen Anforderungen bewerten und dokumentieren.

Diese acht Anforderungen schaffen eine technische Implementierungscheckliste für KI-Einsätze im Vereinigten Königreich.

ICO Durchsetzungstrends: Von Leitlinien zu Geldstrafen

Die ICO hat historisch Bildung und Durchsetzungsmitteilungen größeren Geldstrafen vorgezogen. Dies ändert sich:

  • LastPass (Dez 2025): £1,2 Millionen — technisches Sicherheitsversagen (Verschlüsselungsarchitektur)
  • Wahlkommission (2023): £4,4 Millionen Rüge (keine Geldstrafe) — Sicherheitsversagen (Server nicht gepatcht)
  • British Airways (2019, 2020 beigelegt): £20 Millionen — Datenpanne durch Cyberangriff aufgrund unzureichender Sicherheit
  • Marriott International (2019, 2020 beigelegt): £18,4 Millionen — Datenpanne aufgrund unzureichender Due Diligence

Die ICO gab 2024 67 Durchsetzungsmitteilungen heraus — ein Rekordhoch — was auf eine zunehmende Bereitschaft hinweist, formale Durchsetzungsmaßnahmen zu ergreifen.

Die LastPass-Geldstrafe ist besonders bedeutend, da sie eine Entscheidung zur Verschlüsselungsarchitektur betraf, nicht nur ein Ergebnis eines Vorfalls. Dies deutet darauf hin, dass die ICO technische Designentscheidungen prüfen wird, nicht nur die Reaktion auf Vorfälle.

UK-EU Datenflussauswirkungen

Organisationen im Vereinigten Königreich, die EU-Kunden bedienen oder EU-Personenbezogene Daten erhalten, stehen vor der doppelten Compliance-Anforderung:

  • UK GDPR gilt für die Verarbeitung im Vereinigten Königreich
  • EU GDPR gilt für EU-Personenbezogene Daten

Für Datenübertragungen von der EU ins Vereinigte Königreich: Die Angemessenheitsentscheidung der EU für das Vereinigte Königreich (erteilt 2021) bleibt gültig, ist jedoch Gegenstand von Überprüfungen und rechtlichen Herausforderungen. Organisationen sollten sich nicht ausschließlich auf die Angemessenheit des Vereinigten Königreichs verlassen — Standardvertragsklauseln bleiben eine empfohlene zusätzliche Schutzmaßnahme.

Für Organisationen im Vereinigten Königreich, die EU-basierte Cloud-Dienste nutzen: Die Übertragung vom Vereinigten Königreich in die EU ist derzeit nicht eingeschränkt (keine EU-Beschränkungen für Datenflüsse aus dem Vereinigten Königreich), aber die Verarbeitung von personenbezogenen Daten aus dem Vereinigten Königreich durch den EU-Dienstanbieter könnte die Anforderungen des EU GDPR für den Verarbeiter auslösen.

Praktische Hinweise: Organisationen mit EU-UK-Datenflüssen sollten sowohl ihre Compliance-Position zum UK GDPR als auch ihre Compliance-Position zum EU GDPR separat dokumentieren, wobei sie anmerken, wo sie gleichwertig sind und wo spezifische Anforderungen des Vereinigten Königreichs gelten.

Quellen:

Verwandte Artikel

DSGVO & Compliance

Japan PPC: My Number Verhoeff Validation and Japanese-Language PII Detection for APPI Compliance

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia. Japanese script NER requires dedicated language models.

DSGVO & Compliance

HDPA Greece: AFM and AMKA Detection — Why Greek Identifiers Fail in 52% of Generic NLP Tools

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct compliance requirements. Greek alphabet NER requirements.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám, Adóazonosító Jel, and Why Hungarian NER Accuracy Trails the EU Average

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps. NAIH requires DPIA for all AI systems processing personal data.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen