Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Zu Invest

Recht kompakt | Vereinigtes Königreich | Datenschutz und KI

Datenschutz und KI

Das britische Datenschutzrecht löst sich von den Vorgaben der EU. Und die Regulierung der KI ist vollkommen anders. (Stand: 28.10.2025)

Von Nadine Bauer, Karl Martin Fischer | Bonn

Inhalt dieser Seite
Dieser Inhalt gehört zu

Datenschutzrecht

Das britische Datenschutzrecht stammt im Wesentlichen noch aus der Zeit der Mitgliedschaft des Vereinigten Königreichs (VK) in der Europäischen Union (EU). Mit dem Austritt des VK aus der EU wurde die europäische Datenschutzgrundverordnung in nationales Recht - die UK GDPR - überführt. Weitere relevante Regelungen sind im Data Protection Act 2018 (DPA 2018) enthalten. Kürzlich wurde der DPA 2018 durch den Data Use and Access Act 2025 (DUAA 2025) geändert. Einen sehr guten Überblick über die geltenden Datenschutzregeln im VK bietet die britische Regierung auf ihrer Internetpräsenz.

Die Grundprinzipien des Datenschutzes bleiben erhalten (Artikel 5 UK GDPR): Rechtmäßigkeit, Fairness und Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Begrenzung der Speicherung, Integrität und Rechenschaftspflicht. 

Allerdings bringt der DUAA 2025 einige Änderungen. So können sich beispielsweise Verpflichtete auf eine Liste "anerkannter berechtigter Interessen" berufen, bei deren Vorliegen eine Interessensabwägung entbehrlich ist. Außerdem stellt sec. 67 des DUAA 2015 klar, dass der Begriff der "Forschung" auch kommerzielle Forschung inkludiert. Sec. 80  des DUAA 2025 erleichtert automatisierte Entscheidungen, nur bei den in Artikel 9 der UK GDPR genannten Daten bleibt es bei den bisherigen Beschränkungen. 

Deutlich erkennbar ist der Wunsch, die Datenverarbeitung flexibler zu machen und unnötige Hürden zu beseitigen, ohne das Niveau des Datenschutzes zu beeinträchtigen. 

Übertragung von Daten 

Übertragung aus der EU in das VK

Zu Zeiten der britischen EU-Mitgliedschaft konnten persönliche Daten ungehindert zwischen dem VK und anderen Mitgliedsstaaten zirkulieren, weil das materielle Datenschutzrecht identisch war. Mit dem Brexit endete dieses Privileg. Allerdings: Aktuell gibt es einen Angemessenheitsbeschluss seitens der EU gemäß Artikel 45 der DSGVO. Dieser datiert vom 28. Juni 2021 und ist gültig bis 27. Dezember 2025. Bis zu diesem Zeitpunkt ist ein EU-VK-Datentransfer also weitgehend möglich. Aktuell will sich die EU insbesondere ein Bild davon machen, ob die neuen Regelungen des DUAA 2025 einer Verlängerung im  Wege stehen könnten. 

Falls der Angemessenheitsbeschluss nicht erneuert wird, müssen besondere Vorkehrungen getroffen werden, wenn nach EU-Recht Verpflichtete Daten in das VK übertragen wollen. Das können zum einen die Standarddatenschutzklauseln der EU sein (Artikel 46 DSGVO), die in die relevanten Verträge integriert werden müssen. Alternativ gibt es so genannte "binding corporate rules" (Artikel 47 DSGVO), also verbindliche unternehmensinterne Regeln, die es ermöglichen, Daten auch außerhalb der EU zu transferieren, aber nur innerhalb einer Unternehmensgruppe und auch nur dann, wenn diese Vorgaben vorab durch die zuständige Datenschutzbehörde geprüft und genehmigt wurden.   

In bestimmten Fällen lässt die DSGVO Datenübermittlungen in Drittstaaten ausnahmsweise zu - beispielsweise, wenn eine Einzelperson ausdrücklich in die vorgeschlagene Übermittlung eingewilligt hat oder wenn die Datenübermittlung aus wichtigen Gründen des öffentlichen Interesses notwendig ist. Entsprechend der Leitlinien zu den Ausnahmen nach Artikel 49 DSGVO des Europäischen Datenschutzausschusses (EDSA) dürfen die dort abschließend aufgezählten Ausnahmen jedoch nicht für regelmäßige Datentransfers verwendet werden, die eine Vielzahl von Personen betreffen.

Übertragung aus dem VK in die EU

Für den umgekehrten Fall hat die britische Regierung erklärt, dass die Übermittlung personenbezogener Daten aus dem Vereinigten Königreich in die EU weiterhin frei erfolgen kann. Gleiches gilt für die Staaten des Europäischen Wirtschaftsraumes. Zusätzliche Schutzvorkehrungen müssen daher (zunächst) nicht getroffen werden, die britische Seite behält sich diesbezüglich aber regelmäßige Überprüfungen vor.

Die Regulierung der Künstlichen Intelligenz

Die britische Herangehensweise an die Regulierung künstlicher Intelligenz (KI) kontrastiert stark mit derjenigen der EU. Im VK gibt es derzeit kein formelles Gesetz zur Regulierung der KI, das - vergleichbar dem EU AI Act - konkrete Ge- und Verbote schafft. Stattdessen hat die Regierung fünf Kernprinzipien festgelegt, die für den Umgang mit KI gelten:

  • Sicherheit und Robustheit: Schutz vor KI-bedingten Risiken.
  • Transparenz und Erklärbarkeit: Die Funktionsweise von KI-Systemen soll verständlich sein.
  • Fairness: KI-Systeme sollen keine Diskriminierung verursachen.
  • Rechenschaftspflicht: Klare Verantwortlichkeiten festlegen.
  • Wiedergutmachung: Anfechtbarkeit von Entscheidungen und Behebung von Schäden.

Mit diesen Vorgaben ausgestattet, sollen Regulierungsbehörden die Risiken der KI senken und gleichzeitig ihre Chancen bestmöglich nutzen. Zum Beispiel der britische Datenschutzbeauftragte (ICO), die britische Competition and Markets Authority (CMA) oder die Medicines and Healthcare Products Regulatory Authority (MHRA) sind insofern schon aktiv geworden. 

Allerdings hat sich die britische Regierung ausdrücklich vorbehalten, bei Bedarf umfassend gesetzgeberisch tätig zu werden. 

Hinweis: Einen Überblick zu den rechtlichen Entwicklungen weltweit zum Thema KI bietet die GTAI-Publikation Rechtsatlas KI.

Virtual Screen with Artificial intelligence AI, Justice Scales, and Judge's Gavel. Screen with Artificial intelligence AI, Justice Scales, and Judge's Gavel | © Alexander Sikov - gettyimages.com

13.10.2025 Ausländisches Wirtschaftsrecht | Künstliche Intelligenz
Rechtsatlas KI

Ein weltweiter Überblick über die Entwicklung der Gesetzeslage zum Thema künstliche Intelligenz - KI (Artificial intelligence - AI).

Dieser Inhalt gehört zu

Ausländisches Wirtschaftsrecht
nach oben

Alle Rechte vorbehalten. Nachdruck – auch teilweise – nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt.

© 2025 Germany Trade & Invest

Gefördert vom Bundesministerium für Wirtschaft und Energie aufgrund eines Beschlusses des Deutschen Bundestages.

Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.

Passwort vergessen?
Neuen Account erstellen