Die Datenschutzlandschaft des Vereinigten Königreichs nach dem Brexit

Als das Vereinigte Königreich die Europäische Union verließ, ließ es den Datenschutz nicht hinter sich. Das Vereinigte Königreich überführte die EU GDPR in nationales Recht als UK GDPR, die neben dem Data Protection Act 2018 steht. Speziell für Cookies gelten weiterhin die Privacy and Electronic Communications Regulations (PECR) – die britische Umsetzung der ePrivacy-Richtlinie. Das Ergebnis ist ein Datenschutzrahmen, der dem der EU sehr ähnlich ist, aber eigenständig vom britischen Information Commissioner's Office (ICO) durchgesetzt wird.

Für Websitebetreiber bedeutet dies, dass der Besucherverkehr aus dem Vereinigten Königreich einer eigenen Reihe von Regeln, Leitlinien und Durchsetzungsmustern unterliegt. Auch wenn die Substanz der EU GDPR ähnelt, sind die Feinheiten entscheidend.

UK GDPR vs EU GDPR: Zentrale Unterschiede

Die UK GDPR ist in ihren Kernprinzipien und Anforderungen weitgehend identisch mit der EU GDPR. Seit dem Brexit haben sich jedoch einige Unterschiede herausgebildet:

• Aufsichtsbehörde: Das ICO ist die alleinige Aufsichtsbehörde für die UK GDPR und ersetzt die Rolle der EU-Datenschutzbehörden. Sie können nicht sowohl vom ICO als auch von einer EU-Aufsichtsbehörde für dieselbe Datenverarbeitungstätigkeit sanktioniert werden, die ausschließlich britische Einwohner betrifft.
• Datenangemessenheit: Die EU hat dem Vereinigten Königreich im Juni 2021 einen Angemessenheitsbeschluss erteilt, der den freien Fluss personenbezogener Daten aus der EU in das Vereinigte Königreich ermöglicht. Diese Entscheidung wird regelmäßig überprüft. Das Vereinigte Königreich hat im Gegenzug den EWR als angemessen anerkannt.
• Internationale Übermittlungen: Das Vereinigte Königreich verfügt über einen eigenen Rahmen für internationale Datenübermittlungen, bei dem der Secretary of State (anstelle der Europäischen Kommission) Angemessenheitsentscheidungen trifft. Das Vereinigte Königreich hat einen flexibleren Ansatz bei internationalen Übermittlungen signalisiert, auch wenn die zentralen Schutzmechanismen bestehen bleiben.
• Durchsetzungsansatz: Das ICO hat traditionell eher auf Dialog und Leitlinien als auf aggressive Geldbußen gesetzt. Die Höchststrafen nach UK GDPR entsprechen denen der EU: bis zu 17,5 Millionen GBP oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
• Potenzielle Abweichungen: Die britische Regierung hat Reformen durch den Data Protection and Digital Information Bill erwogen, die Änderungen bei der Bewertung berechtigter Interessen, Forschungsausnahmen und der Rolle von Datenschutzbeauftragten einführen könnten. Websitebetreiber sollten diese Gesetzgebung im Hinblick auf zukünftige Änderungen beobachten.

PECR: Das britische Cookie-Gesetz

Während die UK GDPR den allgemeinen Rahmen für die Verarbeitung personenbezogener Daten vorgibt, regelt PECR speziell Cookies und ähnliche Technologien. PECR ist älter als die GDPR und setzt die EU-ePrivacy-Richtlinie in britisches Recht um. Die wichtigsten Anforderungen für Cookies sind:

• Einwilligung ist erforderlich, bevor nicht unbedingt erforderliche Cookies auf dem Gerät eines Nutzers gesetzt werden. Dazu gehören Analyse-Cookies, Werbe-Cookies und Social-Media-Cookies.
• Es müssen Informationen bereitgestellt werden darüber, welche Cookies gesetzt werden und wofür sie verwendet werden, in klarer und verständlicher Sprache.
• Die Einwilligung muss freiwillig, spezifisch und informiert sein. Vorausgewählte Kästchen stellen keine gültige Einwilligung dar.
• Streng notwendige Cookies sind ausgenommen. Cookies, die für einen vom Nutzer ausdrücklich angeforderten Dienst unerlässlich sind (z. B. Session-Cookies für Login-Funktionen oder Warenkorb-Cookies), erfordern keine Einwilligung.

Der Einwilligungsstandard von PECR entspricht der Definition von Einwilligung in der GDPR, was bedeutet, dass die Anforderungen in der Praxis denen der EU-ePrivacy-Richtlinie sehr ähnlich sind. Ein Cookie-Banner, das mit den EU-Regeln konform ist, wird in der Regel auch mit PECR konform sein.

ICO-Leitlinien zu Cookie-Bannern

Das ICO hat ausführliche Leitlinien zur Cookie-Compliance veröffentlicht, die über den Wortlaut von PECR hinausgehen. Zentrale Punkte aus den ICO-Leitlinien sind:

Einwilligung muss aktiv erfolgen

Allein das weitere Surfen auf einer Website stellt keine Einwilligung dar. Das ICO stellt ausdrücklich klar, dass stillschweigende Einwilligung nicht gültig ist. Nutzer müssen eine klare, positive Handlung vornehmen (z. B. auf eine Schaltfläche „Akzeptieren“ klicken), bevor nicht unbedingt erforderliche Cookies gesetzt werden dürfen.

Ablehnung muss ebenso einfach sein

Das ICO äußert sich zunehmend kritisch zu Dark Patterns in Cookie-Bannern. Konkret gilt:

• Eine Option „Alle ablehnen“ oder eine gleichwertige Option muss auf derselben Ebene wie „Alle akzeptieren“ verfügbar sein. Die Ablehnungsoption hinter einem Bildschirm „Einstellungen verwalten“ zu verstecken, ist nicht zulässig.
• Das visuelle Design darf Farben, Größe oder Positionierung nicht nutzen, um Nutzer zur Zustimmung zu drängen.
• Die Sprache muss neutral sein und darf nicht darauf abzielen, Nutzer zu beschämen oder unter Druck zu setzen, damit sie einwilligen.

Granulare Steuerung nach Kategorien

Nutzer sollten in der Lage sein, der Nutzung bestimmter Kategorien von Cookies (Analyse, Marketing, Funktional) zuzustimmen, anstatt zu einer Alles-oder-nichts-Entscheidung gezwungen zu werden. Zwar schreibt das ICO keine bestimmte Anzahl von Kategorien vor, doch die Bereitstellung granularer Kontrolle gilt als gute Praxis und kann im Rahmen des Zweckbindungsgrundsatzes der GDPR erforderlich sein.

Cookie-Walls sind problematisch

Das ICO betrachtet Cookie-Walls – also Konstellationen, in denen der Zugriff auf eine Website verweigert wird, sofern der Nutzer nicht allen Cookies zustimmt – als voraussichtlich keine gültige Einwilligung, da die Einwilligung nicht freiwillig erteilt würde. Ausnahmen können bei kostenpflichtigen Inhalten bestehen, wenn eine echte, cookie-freie Alternative angeboten wird.

Aktuelle Durchsetzungsmaßnahmen des ICO

Das ICO hat seinen Fokus auf Cookie-Compliance in den letzten Jahren stetig verstärkt. Bemerkenswerte Maßnahmen umfassen:

• Sektorübergreifende Audits: Das ICO hat Audits der 100 größten britischen Websites in mehreren Branchen durchgeführt und Berichte veröffentlicht, die weit verbreitete Nicht-Compliance aufzeigten. Häufige Probleme waren das Setzen von Cookies vor der Einwilligung, das Fehlen einer Ablehnungsoption und unzureichende Informationen über die Zwecke der Cookies.
• Warnschreiben: Im Anschluss an die Audits verschickte das ICO Warnschreiben an Organisationen, deren Cookie-Praxis unzureichend war. Die meisten Organisationen brachten ihre Praxis nach Erhalt dieser Schreiben in Einklang mit den Anforderungen.
• Adtech-Untersuchungen: Das ICO führt laufende Untersuchungen zum Real-Time-Bidding-Ökosystem durch und äußert Bedenken hinsichtlich der Menge personenbezogener Daten, die über programmatische Werbe-Cookies ohne ausreichende Einwilligung geteilt werden.
• Durchsetzung im öffentlichen Sektor: Das ICO macht keine Ausnahme für Regierungswebsites und hat Leitlinien und Warnungen an öffentliche Stellen zu deren Cookie-Praxis herausgegeben.

Auch wenn das ICO bislang noch keine nennenswerten Geldbußen speziell für Cookie-Verstöße verhängt hat, deutet der Trend klar in Richtung strengerer Durchsetzung. Die Aufsichtsbehörde hat erklärt, dass sie von Organisationen nun Compliance erwartet und dass gegen diejenigen, die ihre Praxis nicht verbessern, Durchsetzungsmaßnahmen folgen werden.

Internationale Datenübermittlungen: Von UK in die EU und darüber hinaus

Cookie-Einwilligung überschneidet sich in wichtiger Weise mit internationalen Datenübermittlungen. Wenn Analyse- oder Werbe-Cookies Daten an Server außerhalb des Vereinigten Königreichs senden – wie Google Analytics Daten an die Server von Google sendet und Facebook Pixel Daten an die Server von Meta – stellen diese Übermittlungen internationale Datenübermittlungen im Sinne der UK GDPR dar.

Aktuelle Regelungen:

• UK in den EWR: Daten fließen auf Grundlage der Anerkennung der Angemessenheit des EWR durch das Vereinigte Königreich frei.
• UK in die USA: Die UK Extension zum EU-US Data Privacy Framework bietet einen Mechanismus für Übermittlungen an zertifizierte US-Organisationen. Google und Meta sind nach diesem Rahmenwerk zertifiziert.
• UK in andere Länder: Es sind geeignete Garantien wie Standard Contractual Clauses (UK-Version) oder verbindliche interne Datenschutzvorschriften erforderlich.

Praktisch gesehen sind die Mechanismen für internationale Übermittlungen vorhanden, wenn Sie Google Analytics, Google Ads oder andere große Werbeplattformen nutzen. Sie sollten diese Übermittlungen jedoch in Ihrer Datenschutzerklärung dokumentieren und sicherstellen, dass Ihr Cookie-Banner darauf hinweist, dass Daten international übertragen werden können.

FlexyConsent Geo-Targeting für UK-spezifische Compliance

FlexyConsent bietet spezielles Geo-Targeting für Besucher aus dem Vereinigten Königreich und stellt so die Einhaltung des spezifischen britischen Rechtsrahmens sicher:

• PECR-konformes Banner: Besucher aus dem Vereinigten Königreich sehen ein Einwilligungsbanner, das den Anforderungen des ICO entspricht, einschließlich einer gleich prominenten Ablehnungsoption und granularer Kategoriesteuerung. Es werden keine Cookies gesetzt, bevor eine aktive Einwilligung erteilt wurde.
• Getrennt von der EU-Konfiguration: Obwohl die Anforderungen ähnlich sind, ermöglicht FlexyConsent die unabhängige Konfiguration der Einwilligungserfahrung für UK und EU. Dies macht Ihre Implementierung zukunftssicher im Hinblick auf eine mögliche regulatorische Divergenz zwischen UK und EU.
• ICO-konformes Design: Die Standard-Bannervorlagen von FlexyConsent folgen den ICO-Leitlinien zur Vermeidung von Dark Patterns. Akzeptieren- und Ablehnen-Optionen sind visuell gleichwertig, die Sprache ist neutral und das Design manipuliert die Entscheidungen der Nutzer nicht.
• Consent Mode V2-Integration: Als Google-certified CMP sendet FlexyConsent für Besucher aus dem Vereinigten Königreich korrekte Einwilligungssignale an Google-Dienste. So bleiben Conversion-Modellierung und Smart Bidding funktionsfähig, während die britischen Einwilligungsanforderungen eingehalten werden.
• IAB TCF 2.3-Unterstützung: Für Publisher, die programmatische Werbung nutzen, erzeugt FlexyConsent UK-geeignete TCF-Einwilligungsstrings, die von Demand-Side-Plattformen und Supply-Side-Plattformen im britischen Markt erkannt werden.

FlexyConsent ist mit Tarifen ab EUR 0 pro Monat verfügbar und bietet native Integrationen für WordPress, Shopify und PrestaShop. Gerade für Unternehmen mit Sitz im Vereinigten Königreich zeigt die Implementierung eines zertifizierten CMP gegenüber dem ICO proaktive Compliance – ein Faktor, den die Aufsichtsbehörde nach eigenen Angaben bei der Entscheidung über Durchsetzungsmaßnahmen berücksichtigt.

Fazit: Der Datenschutzrahmen des Vereinigten Königreichs nach dem Brexit ähnelt dem der EU stark, wird jedoch von einer eigenen Aufsichtsbehörde, mit eigenen Durchsetzungsmustern und potenziell eigener zukünftiger Gesetzesentwicklung geprägt. Besucher aus dem Vereinigten Königreich derzeit wie Besucher aus der EU zu behandeln, ist eine sichere Strategie, doch die Fähigkeit, UK-spezifische Einwilligungserfahrungen zu konfigurieren, versetzt Ihre Website in die Lage, sich anzupassen, falls sich die beiden Rahmenwerke auseinanderentwickeln. Ein geo-sensitiver CMP ist der praktischste Weg, diese Komplexität zu bewältigen.