Datenschutz ist wichtig: Was Compliance-Teams im Jahr 2026 erwarten können

Von Phil Muncaster • 27 Januar 2026

Der 28. Januar ist der Welttag des Datenschutzes – ein Anlass, das Recht auf Datenschutz und Datensicherheit zu feiern, das viele von uns heute als selbstverständlich ansehen. Das war natürlich nicht immer so. Erst an diesem Tag im Jahr 1981 unterzeichnete der Europarat schließlich das entsprechende Übereinkommen. Übereinkommen 108„zum Schutz natürlicher Personen bei der automatisierten Verarbeitung personenbezogener Daten“.

Obwohl die Entwicklung im Datenschutzrecht mitunter schleppend verläuft, steht sie selten still. In diesem Jahr haben Compliance-Beauftragte viel zu beachten, da verschiedene Bestimmungen des britischen Data (Use and Access) Act (DUAA) in Kraft treten. Um ihre Bemühungen zu optimieren, könnten sie die Anwendung der ISO 27701 in Betracht ziehen.

Warum Datenschutz wichtig ist

Sicherheit und Datenschutz sind zwei Seiten derselben Medaille. Ohne die Schutzmaßnahmen, die durch Menschen, Prozesse und Technologie ermöglicht werden, könnte kein Unternehmen seinen Verpflichtungen zum Schutz der Datenschutzrechte von Kunden und Mitarbeitern nachkommen. Dies ist insbesondere für britische Unternehmen im Kontext der DSGVO von Bedeutung, da diese den Aufsichtsbehörden die Möglichkeit einräumt, bei schwerwiegenden Verstößen potenziell hohe Geldstrafen (bis zu 17 Millionen Pfund oder 4 % des weltweiten Umsatzes) zu verhängen. Doch es gibt weitere überzeugende geschäftliche Gründe, warum Datenschutz eine strategische Priorität sein sollte:

Vermeidung von Betriebskosten im Zusammenhang mit schwerwiegenden Datenschutzverletzungen. Dazu gehören beispielsweise zusätzliche Ausgaben für IT-Überstunden, externe IT-Forensik-Experten, Rechtsabteilungen sowie die Benachrichtigung von Kunden und Aufsichtsbehörden.
Vermeidung potenziell kostspieliger Sammelklagen nach einem schwerwiegenden Datenleck
Stärkung des Kundenvertrauens und der Kundenloyalität. Ein schwerwiegender Datenverstoß kann den langfristigen Ruf ernsthaft schädigen. Umgekehrt haben Unternehmen, die dem Datenschutz und der Transparenz im Umgang mit Daten Priorität einräumen, eine große Chance, engere Kundenbeziehungen aufzubauen.
Wettbewerbsvorteile und Expansion durch die Anwendung bewährter Datenschutzstandards wie ISO 27701, die dazu beitragen können, Aufsichtsbehörden, Partner und Kunden in neuen Märkten zu beruhigen und die Einhaltung gesetzlicher Bestimmungen zu vereinfachen.

Was ist neu bei der DUAA im Jahr 2026?

Laut einer Studie von IO (ehemals ISMS.online), Der Bericht zum Stand der Informationssicherheit 2025Der Anteil der US-amerikanischen und britischen Unternehmen, die von ihren Lieferanten die Einhaltung der DSGVO verlangen, stieg zwischen 2024 und 2025 von 9 % auf 34 %. Dies verdeutlicht sowohl die geschäftlichen Beweggründe für die Einhaltung der Vorschriften als auch die Tatsache, dass noch viel zu tun ist, bevor die Verordnung in der gesamten Geschäftswelt vollständig akzeptiert wird.

Die neue DUAA wurde unter anderem als Reaktion auf Bedenken entwickelt, dass die Einhaltung der DSGVO für Unternehmen zu viel Bürokratie mit sich bringe. Eine Studie behauptet Weniger als 2 % der Organisationen sind auf das neue Gesetz vorbereitet. Viele (47 %) nennen Aktualisierungen in den Bereichen Governance, Schulung und Lieferantenmanagement als ihre größten Herausforderungen. Das muss sich ändern. Zu den erwarteten Änderungen des Datenschutzrechts, die dieses Jahr in Kraft treten werden, gehören:

Lockerere Regeln für automatisierte Entscheidungsfindung (ADM). Diese ermöglichen es Organisationen, sich auf ein breiteres Spektrum an Rechtsgrundlagen zu stützen, um Entscheidungen über Einzelpersonen zu treffen, sofern entsprechende Schutzmaßnahmen vorhanden sind.
Gelockerte Gesetze, die die Umstände erweitern, unter denen Cookies mit geringem Risiko ohne ausdrückliche Einwilligung verwendet werden können.
Einführung eines „anerkannten berechtigten Interesses“ – eine neue Rechtsgrundlage für die Verarbeitung von Daten zu Zwecken des öffentlichen Interesses (z. B. Verbrechensverhütung)
Neue Anforderungen für den Umgang mit Beschwerden betroffener Personen, einschließlich elektronischer Beschwerdeformulare und Bestätigung des Eingangs von Beschwerden innerhalb von 30 Tagen
Eine Erhöhung der potenziellen Bußgelder gemäß den Datenschutzbestimmungen für elektronische Kommunikation (die Cookies regeln), um sie an die DSGVO anzupassen (17.5 Mio. £ oder 4 % des Umsatzes).
Eine neue Verpflichtung besteht darin, den Kinder-Verhaltenskodex des ICO zu befolgen, wenn Online-Dienste voraussichtlich von Kindern genutzt werden.

All dies erfordert Anpassungen der Geschäftsprozesse zur Bearbeitung von Beschwerden sowie die Bewertung der Verpflichtungen zur Wahrung der Datenschutzrechte von Kindern. Angesichts der potenziell hohen Bußgelder sollten Organisationen mit nicht konformen Cookie- und E-Mail-Marketing-Praktiken der Einhaltung der PECR-Richtlinien höchste Priorität einräumen.

Edward Machin, Rechtsberater in der Gruppe für Daten, Datenschutz und Cybersicherheit bei Ropes & Gray, nennt die folgenden zwei Termine für das Jahr 2026:

Januar 2026 (etwa sechs Monate nach der königlichen Zustimmung)Die wichtigsten Änderungen der Datenschutzgesetzgebung, die in Teil 5 des DUAA aufgeführt sind, treten in Kraft, ausgenommen Änderungen des Beschwerdeverfahrens für betroffene Personen.

Termin für 2026 noch offenBestimmungen, die auf technischer Infrastruktur beruhen oder eine längere Vorlaufzeit benötigen, treten in Kraft, einschließlich Maßnahmen, die von neuen Technologien abhängen (z. B. bestimmte Register oder Dienste) sowie das Beschwerdeverfahren für betroffene Personen.

„Organisationen sollten ihre Vorbereitungen auf den DUAA aufteilen zwischen den Bestimmungen, die sie zu bestimmten Maßnahmen verpflichten, wie beispielsweise der Einführung eines Beschwerdeverfahrens für betroffene Personen, und solchen, die mehr Flexibilität in Bezug auf die aktuelle Praxis ermöglichen, wie etwa die Regeln für Auskunftsersuchen betroffener Personen, automatisierte Entscheidungsfindung und Cookies“, sagte er gegenüber IO.

„DUAA wird in den meisten Fällen ohnehin eher eine Weiterentwicklung der Compliance-Programme von Organisationen erfordern als grundlegende Änderungen. Organisationen sollten aber insbesondere einen Plan für die Erfüllung der Anforderungen von Teil 5 bereithalten, um sicherzustellen, dass diese im Zuge der Umstrukturierungen zum Jahreswechsel nicht untergehen.“

ISO 27701 wird erwachsen

Für Compliance-Teams, die sich bereits fragen, wie sie in diesem Jahr mit einer weiteren Flut von Regulierungen fertigwerden sollen, gibt es gute Nachrichten. ISO 27701 ist jetzt ein eigenständiger StandardEs handelt sich also nicht um eine Erweiterung von ISO 27001. Das bedeutet, dass Organisationen eine kostengünstigere, schnellere und flexiblere Möglichkeit haben, Best Practices im Umgang mit und der Verarbeitung von Daten zu erreichen.

ISO 27701 bietet einen strukturierten Rahmen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Datenschutzinformationsmanagementsystems (PIMS). Es umfasst umsetzbare Kontrollen für:

Schutz personenbezogener Daten (PII) gemäß den Bestimmungen der DSGVO (und des DUAA)
Rechtskonformität, Transparenz und Rechte der betroffenen Personen (für Verantwortliche für personenbezogene Daten)
Vertragliche Einhaltung und Verarbeitung (für PII-Verarbeiter)

Rob Rachwald, Vizepräsident für Marken- und Produktmarketing bei Zero Networks, bezeichnet ISO 27701 als „das ultimative Kochbuch“ zur Erfüllung der Anforderungen der DUAA.

„Während der DUAA die britische DSGVO pragmatischer gestaltet, verlangt er eine stärkere Rechenschaftspflicht und einen besseren Nachweis der Governance, insbesondere im Hinblick auf die Bearbeitung von Auskunftsersuchen betroffener Personen und die Umsetzung von Schutzmaßnahmen für die Datenverwaltung“, sagte er gegenüber IO.

„ISO 27701 bietet einen weltweit anerkannten PIMS-Leitfaden, der die erforderlichen Prozesse für Betroffenenrechte, Datenmapping und Datenschutz durch Technikgestaltung bereits detailliert beschreibt und es Organisationen ermöglicht, sofort eine „angemessene und verhältnismäßige“ Einhaltung nachzuweisen, wodurch eine regulatorische Belastung in etwas Auditierbares verwandelt wird.“

Der Standard stellt daher neben ISO 27001 und 42001 eine zunehmend wichtige Säule jedes effektiven Risikomanagements dar. Datenschutzmaßnahmen sind immer stärker mit denen der Informationssicherheit und des KI-Managements verknüpft. Organisationen, die alle drei Bereiche ganzheitlich betrachten, werden die besten Voraussetzungen haben, um Compliance als Sprungbrett für ihren Geschäftserfolg im Jahr 2026 zu nutzen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 3 Februar 2026

Betrugsmeldungen im Zusammenhang mit dem WEF-Bericht sind mittlerweile die größte Cybersicherheitssorge von CEOs, aber nicht die einzige.

WEF-Bericht: Betrug ist mittlerweile die größte Cyber-Sorge von CEOs, aber nicht die einzige

Fünf Jahre sind eine lange Zeit in der Cybersicherheit. Doch genau so lange befragt das Weltwirtschaftsforum (WEF) bereits CEOs für seine globale Cybersicherheitsinitiative.

Phil Muncaster

Internet-Sicherheit 20 Januar 2026

Blogbeitrag zur Schließung der KI-Governance-Lücke gemäß ISO 42001

Schließung der Lücke in der KI-Governance mit ISO 42001

Großbritannien hat ein Problem mit der KI-Governance. Vor einigen Jahren wäre das vielleicht kein Problem gewesen, als Projekte in den meisten Organisationen noch lückenhaft umgesetzt wurden. Aber heute…

Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster