Das britische Datenschutz- und Digitalinformationsgesetz (DPDI) 2025 macht 14 bedeutende Abweichungen vom EU-GDPR — und schafft damit die erste substanzielle regulatorische Divergenz zwischen den Datenschutzrahmenbedingungen der EU und des UK seit dem Brexit. Die EU-UK-Angemessenheitsentscheidung, ursprünglich bis Juni 2025 gültig und bis zur Überprüfung verlängert, steht unter zunehmender Beobachtung von GDPR-Praktikern und der Europäischen Kommission.
Die LastPass-Durchsetzung: Technischer Maßstab des UK GDPR
Die Geldstrafe von £1,2 Millionen der ICO gegen LastPass UK im Dezember 2025 ist der bedeutendste technische Sicherheitsdurchsetzungsfall im UK. Die ICO stellte fest:
Unzureichende Verschlüsselung: LastPass speicherte die Master-Passwort-Tresore der Kunden mit veralteter Verschlüsselung, die die ICO als "unzureichend" gemäß Artikel 32 des UK GDPR befand. Insbesondere stellte die ICO fest, dass einige Tresoriterationen PBKDF2-SHA256 mit nur 1 Iteration verwendeten — weit unter der Mindestempfehlung von 600.000 Iterationen des UK NCSC für passwortabgeleitete Schlüssel.
Der festgelegte rechtliche Standard: Artikel 32 des UK GDPR verlangt "angemessene technische Maßnahmen", die den "Stand der Technik" widerspiegeln. Die ICO stellte fest, dass der "Stand der Technik" für die Ableitung von Verschlüsselungsschlüsseln im Jahr 2022 (als der Vorfall stattfand) weit mehr erforderte, als LastPass bereitstellte. Dies stellt fest, dass sich Sicherheitsstandards weiterentwickeln — was 2015 akzeptabel war, könnte 2022 nicht mehr akzeptabel sein.
Direkte Auswirkungen auf Verschlüsselungstools: Organisationen, die Datenverarbeitungstools verwenden, müssen überprüfen, ob die Verschlüsselungsimplementierungen dieser Tools den aktuellen Standards des "Standes der Technik" entsprechen, nicht nur den Mindestanforderungen. Die Durchsetzung der ICO gegen LastPass macht die Qualität der Verschlüsselung des Anbieters zu einer direkt prüfbaren Compliance-Anforderung.
DPDI-Gesetz 2025: Wichtige Abweichungen vom EU-GDPR
Das DPDI-Gesetz macht 14 identifizierte Abweichungen vom EU-GDPR. Die operativ bedeutendsten sind:
1. Reform der berechtigten Interessen: Das DPDI-Gesetz schafft eine Liste von "anerkannten berechtigten Interessen", die nicht den Ausgleichstest des EU-GDPR gegen die Interessen der betroffenen Personen erfordern. Dies macht das berechtigte Interesse zu einer zugänglicheren Rechtsgrundlage für UK-Organisationen — was die Einwilligungsanforderungen für einige kommerzielle Verarbeitung verringert.
2. Forschung, Statistik und Archivierung: Das DPDI-Gesetz erweitert die Forschungsbefreiung erheblich und erlaubt eine breitere sekundäre Nutzung personenbezogener Daten für Forschungszwecke ohne die ausdrücklichen Einwilligungsanforderungen, die das EU-GDPR auferlegt.
3. Automatisierte Entscheidungsfindung: Der Ersatz des DPDI-Gesetzes für Artikel 22 des GDPR (Rechte bei automatisierter Entscheidungsfindung) ist für kommerzielle automatisierte Entscheidungen permissiver. Die Anforderung an eine sinnvolle menschliche Überprüfung wird für einige Kategorien automatisierter Verarbeitung gelockert.
4. Aufzeichnungspflichten: Das DPDI-Gesetz hebt die obligatorischen ROPA (Records of Processing Activities)-Anforderungen für kleine Organisationen (unter 250 Mitarbeitern) ohne "systematische" Verarbeitung auf. Das EU-GDPR verlangt ROPA für alle Organisationen, deren Verarbeitung nicht gelegentlich ist.
5. Cookie-Einwilligung: Das DPDI-Gesetz enthält Bestimmungen für "cookie-freie Alternativen" und verringert die Einwilligungsanforderungen für Analyse-Cookies — speziell entworfen, um die Belastung durch Cookie-Einwilligungsbanner zu reduzieren. Die ePrivacy-Anforderungen des EU-GDPR (parallel durchgesetzt) verlangen weiterhin eine Einwilligung für Tracking-Cookies.
6. Internationale Übertragungen: Das DPDI-Gesetz gibt dem britischen Staatssekretär eine breitere Befugnis zur Erteilung von Angemessenheitsentscheidungen — was es dem UK potenziell ermöglicht, Ländern, denen die EU keine Angemessenheit gewährt hat, Angemessenheit zu gewähren und damit divergente Übertragungsrahmen zu schaffen.
Das Angemessenheitsrisiko: Was könnte die EU-Überprüfung auslösen
Die Angemessenheitsüberprüfung der EU-Kommission für das UK wird bewerten, ob das UK GDPR (wie durch das DPDI-Gesetz geändert) "im Wesentlichen gleichwertigen" Schutz wie das EU GDPR bietet:
Von der EU überwachte Bedenken:
- Die Erweiterung der berechtigten Interessen durch das DPDI-Gesetz könnte Lücken schaffen, die die EU als unzureichend erachtet
- Das britische Überwachungsgesetz (Investigatory Powers Act 2016) bleibt nach CJEU-Präzedenzfällen in verwandten Fällen mit den GDPR-Standards unvereinbar
- Die britisch-amerikanischen Datenfreigabevereinbarungen unter dem CLOUD Act schaffen Potenzial für die Exposition von EU-Daten gegenüber dem Zugriff der US-Strafverfolgungsbehörden
Wenn die Angemessenheit ausgesetzt oder widerrufen wird: 10.000+ UK-EU Standardvertragsklausel-Vereinbarungen müssten sofort aktiviert werden. Organisationen, die derzeit ausschließlich auf Angemessenheit für UK-EU-Übertragungen angewiesen sind, würden vor Compliance-Lücken stehen.
Aufrechterhaltung der doppelten EU + UK GDPR-Compliance
Für Organisationen, die sowohl dem EU GDPR als auch dem UK GDPR unterliegen, ist der praktische Ansatz:
Verwenden Sie den strengeren Standard als Basis: Artikel 32 des EU GDPR, der Ausgleichstest für berechtigte Interessen und die Anforderungen an automatisierte Entscheidungsfindungen des GDPR sind strenger als ihre DPDI-Gesetz-Äquivalente. Organisationen, die die EU GDPR-Standards erfüllen, erfüllen automatisch die UK GDPR-Standards (mit geringfügigen UK-spezifischen Ergänzungen).
Dokumentieren Sie beide Rechtsgrundlagen: Für die Verarbeitung unter berechtigten Interessen dokumentieren Sie sowohl den Ausgleichstest des EU GDPR als auch, dass die Verarbeitung unter die anerkannten berechtigten Interessen des UK DPDI-Gesetzes fällt. Die doppelte Dokumentation schützt vor Divergenzen.
Überwachen Sie den Status der Angemessenheitsentscheidung: Das Ergebnis der Angemessenheitsüberprüfung 2026 wird bestimmen, ob separate Übertragungsmechanismen für UK-EU-Übertragungen erforderlich sind. Organisationen sollten SCCs als Backup-Mechanismus aufrechterhalten, auch wenn sie derzeit auf Angemessenheit angewiesen sind.
Verschlüsselung auf den aktuellen Stand der Technik: Die Durchsetzung der ICO gegen LastPass macht die Standards der Anbieter-Verschlüsselung zu einem aktiven Compliance-Aspekt. Überprüfen Sie, ob PII-Tools, Datenspeicher und Schlüsselmanagement-Implementierungen die aktuellen empfohlenen Parameter verwenden (AES-256-GCM, argon2id für die Schlüsselableitung mit aktuellen Parameterempfehlungen).
Die post-Brexit-Divergenz des UK GDPR stellt den ersten bedeutenden Bruch der Datenschutzstandards der EU dar. Für Organisationen, die in beiden Rechtsordnungen tätig sind, ist die sicherste Haltung, sich an den strengsten anwendbaren Anforderungen zu orientieren — die nach wie vor die Kernstandards des EU GDPR sind.
Quellen: