Definition und Zweck

Das Datenschutzgesetz 2018 soll Einzelpersonen befähigen, die Kontrolle über ihre persönlichen Daten zu übernehmen, und Organisationen bei der rechtmäßigen Verarbeitung personenbezogener Daten unterstützen.

Das Gesetz aktualisiert die Datenschutzgesetze im Vereinigten Königreich, ergänzt die Allgemeine Datenschutzverordnung (GDPR), setzt die EU-Richtlinie zur Strafverfolgung (LED) um und erweitert die Datenschutzgesetze auf Bereiche, die von keiner der beiden abgedeckt werden.

Verantwortliche Behörde

Das Information Commissioner's Office (ICO) ist die verantwortliche Behörde für die Überwachung und Durchsetzung des Datenschutzgesetzes im Vereinigten Königreich. Das ICO ist eine unabhängige Behörde, die Informationsrechte im öffentlichen Interesse wahrt und die Einhaltung von Datenschutzbestimmungen, einschließlich des DPA, der NIS-Verordnungen, der Datenschutzverordnungen für elektronische Kommunikation und mehr, durchsetzt.

Zuletzt aktualisiert

Das Datenschutzgesetz trat erstmals 1987 in Kraft. Es wurde mehrfach aktualisiert und überarbeitet, wobei die jüngste Fassung das Datenschutzgesetz 2018 ist, das Bestimmungen der EU-Datenschutzgrundverordnung (GDPR) enthält. Es trat am 25. Mai 2018 in Kraft.

Zuletzt wurde im März 2023 der Data Protection and Digital Information (No. 2) Bill, der Änderungen am Datenschutzgesetz 2018 und an der britischen Datenschutzgrundverordnung vornehmen würde, im House of Commons eingeführt.

Gilt für

Das Datenschutzgesetz gilt für Datenverantwortliche und -verarbeiter, die personenbezogene Daten innerhalb des Hoheitsgebiets des Vereinigten Königreichs und unter bestimmten Umständen außerhalb des Vereinigten Königreichs verarbeiten. Dies schließt ein breites Spektrum von Organisationen und Branchen im Vereinigten Königreich im öffentlichen und privaten Sektor ein, einschließlich Unternehmen, staatlicher Einrichtungen, Gesundheitswesen, Finanzdienstleistungen, Bildung und gemeinnützigen Organisationen.

Kontrollen und Anforderungen

Das Datenschutzgesetz legt eine Vielzahl von Kontrollen und Anforderungen für Organisationen fest, einschließlich, aber nicht beschränkt auf:

• Sicherstellen, dass Daten rechtmäßig, fair und transparent verarbeitet werden.
• Einholen der ausdrücklichen Zustimmung der betroffenen Personen zur Verarbeitung ihrer Daten.
• Implementierung angemessener Sicherheitsmaßnahmen zum Schutz personenbezogener Daten.
• Ermöglichung des Zugriffs, der Berichtigung oder Löschung ihrer Daten durch Einzelpersonen, neben anderen Rechten der betroffenen Personen.
• Ernennung eines Datenschutzbeauftragten (DPO) für bestimmte Organisationen.
• Meldung von Datenschutzverletzungen an die ICO und betroffene betroffene Personen.
• Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) für hochriskante Verarbeitungsaktivitäten.
• Einhaltung der internationalen Vorschriften für Datenübertragungen.
• Einhaltung der Grundsätze der Datenminimierung und Speicherbegrenzung.

Bitte beachten Sie das offizielle Datenschutzgesetz 2018 für eine detaillierte Liste von Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Während das Datenschutzgesetz 2018 dem Informationskommissar das Recht gibt, obligatorische Datenschutzprüfungen durchzuführen, führt die ICO überwiegend „konsensuale Audits“ durch, um zu bewerten, ob ein Verantwortlicher oder Auftragsverarbeiter die bewährten Verfahren bei der Verarbeitung personenbezogener Daten einhält. Konsensuale Audits bedeuten, dass der Verantwortliche oder Auftragsverarbeiter vor der Prüfung seine Zustimmung gegeben hat.

Die Dauer der Prüfung variiert je nach dem, welche Termine die ICO und der Auftragsverarbeiter oder Verantwortlicher in ihrem Einführungsmeeting oder -konferenzgespräch vereinbaren, aber typischerweise dauert die Prüfung laut ICO nicht länger als eine Woche.

Die Häufigkeit dieser Audits variiert. Die ICO führt jedes Jahr eine Reihe von konsensualen Audits mit Organisationen durch, die eines angefordert haben, muss jedoch die risikoreichsten Organisationen priorisieren. Organisationen, die dem Datenschutzgesetz unterliegen, sind jedoch verpflichtet, kontinuierliche Compliance aufrechtzuerhalten und ihre Datenschutzpraktiken regelmäßig zu überprüfen, um die Übereinstimmung mit dem Gesetz sicherzustellen.