Alles, was Sie über die Datennutzungs- und Zugriffsrechnung wissen müssen

Von Rebecca Harper • 22 September 2025

Der neue britische Gesetzentwurf zur Datennutzung und zum Datenzugriff (Data Use and Access Bill, DUAA) erhielt am 19. Juni 2025 die königliche Zustimmung und stellt eine Überarbeitung der britischen Datenschutz- und Digitalwirtschaftsgesetze dar. Das Gesetz soll Innovationen fördern, das Vertrauen in datengesteuerte Systeme stärken und die Einhaltung von Vorschriften vereinfachen und führt weitreichende Reformen im öffentlichen und privaten Sektor ein.

Für Unternehmen könnten die Änderungen den Verwaltungsaufwand in Bereichen wie Auskunftsersuchen (DSARs) und Cookies verringern und gleichzeitig die Anforderungen in anderen Bereichen wie Transparenz, Marketingeinwilligung und Durchsetzung erhöhen. Dieser Blog erklärt die Änderungen und bietet praktische Schritte zur Vorbereitung.

Wo DUAA sitzt: Es ergänzt, ersetzt nicht

Das Gesetz ersetzt weder die britische DSGVO noch den Data Protection Act 2018; vielmehr ändert und ergänzt es beide. Es aktualisiert außerdem wichtige Bestimmungen der Privacy and Electronic Communications Regulations (PECR), insbesondere in Bezug auf die Cookie-Einwilligung und elektronisches Marketing.

Zusammengenommen zielen diese Reformen darauf ab, ein „wirtschaftsfreundlicheres und innovationsfähigeres Datenregime“ zu schaffen und gleichzeitig die Grundprinzipien des Datenschutzes für Einzelpersonen zu wahren. Das Zusammenspiel dieser Rahmenbedingungen bedeutet jedoch, dass sich Unternehmen in der neuen Landschaft sorgfältig zurechtfinden müssen.

Wichtige Änderungen, die Unternehmen kennen müssen

Anerkannte berechtigte Interessen

Das Gesetz führt ein neues Konzept ein: „anerkannte berechtigte Interessen“. Dabei handelt es sich um spezifische Zwecke, für die Organisationen personenbezogene Daten verarbeiten können, ohne eine vollständige Interessenabwägung durchführen zu müssen. Beispiele hierfür sind die Verhütung von Straftaten, der Schutz der nationalen Sicherheit, die Aufrechterhaltung der öffentlichen Sicherheit, die Reaktion auf Notfälle, der Schutz gefährdeter Personen und die Weitergabe von Informationen an Personen, die eine Aufgabe im öffentlichen Interesse erfüllen.

Unabhängig davon enthält das Gesetz auch Beispiele für gewöhnliche berechtigte Interessen, für die weiterhin der standardmäßige dreiteilige Test erforderlich ist: Zweck, Notwendigkeit und ein Abwägungstest mit dokumentierter Begründung. Dazu gehören Aktivitäten wie Direktmarketing, konzerninterne Verwaltung und Netzwerk- oder Informationssicherheit.

Unterm Strich reduziert sich dadurch zwar der Verwaltungsaufwand für bestimmte Arten der Datennutzung, die Pflicht zur Wahrung der Rechte der betroffenen Personen bleibt jedoch bestehen. Es ist weiterhin wichtig, sicherzustellen, dass die Verarbeitung notwendig und verhältnismäßig ist.

Internationale Datenübertragungen

Die Schwelle für internationale Datenübertragungen wurde gesenkt. Anstatt einen „im Wesentlichen gleichwertigen“ Schutz wie die britische DSGVO zu verlangen, müssen Unternehmen nun sicherstellen, dass der Schutz „nicht wesentlich geringer“ ist.

Dies bietet Unternehmen mehr Flexibilität bei globalen Datenflüssen, insbesondere bei der Zusammenarbeit mit Partnern in Ländern, die nicht unter die britischen Angemessenheitsbestimmungen fallen. Allerdings trägt der Datenexporteur auch mehr Verantwortung für die Bewertung des Schutzes.

Exporteure müssen einen angemessenen und verhältnismäßigen Ansatz verfolgen und dabei die Art der Daten, den Bestimmungsort und die damit verbundenen Risiken berücksichtigen. Sollten die lokalen Gesetze nicht ausreichen, müssen Sie zusätzliche Sicherheitsvorkehrungen wie Verschlüsselung, Zugriffskontrollen und solide Vertragsbedingungen implementieren, um sicherzustellen, dass die Daten weiterhin auf einem Niveau geschützt bleiben, das nach britischem Recht noch akzeptabel ist.

Erwähnenswert ist auch, dass die EU den Angemessenheitsstatus des Vereinigten Königreichs vorübergehend bis zum 27. Dezember 2025 verlängert hat. So können Daten weiterhin von der EU nach Großbritannien fließen, während die Europäische Kommission ihre Überprüfung abschließt. Unternehmen, die EU-Daten erhalten, sollten die Entwicklungen beobachten und vertragliche Rückfallklauseln in Betracht ziehen, um Störungen zu vermeiden.

Auskunftsersuchen betroffener Personen (DSARs)

Die neue Gesetzgebung führt einen unternehmensfreundlicheren Standard für DSARs ein und verlangt, dass die Abfragen „angemessen und verhältnismäßig“ sind. Dies ist eine willkommene Änderung für Unternehmen, die zuvor mit zeitaufwändigen oder übermäßigen Anfragen zu kämpfen hatten. Unternehmen können sich nun auf sinnvolle Antworten konzentrieren, anstatt jede mögliche Datenquelle zu durchsuchen.

Außerdem wurde eine neue Stop-the-Clock-Regelung eingeführt. Wenn Sie die Anfrage klären, die Identität des Antragstellers überprüfen oder eine Gebühr verlangen müssen (bei offensichtlich unbegründeten oder überhöhten Anfragen), kann die einmonatige Antwortfrist ausgesetzt werden, bis Sie die erforderlichen Informationen erhalten. Dies verschafft Ihnen etwas Spielraum, um komplexe oder mehrdeutige Anfragen effektiv zu bearbeiten.

Die Kernpflichten bleiben jedoch bestehen. Unternehmen müssen weiterhin unverzüglich reagieren und den betroffenen Personen klare und zugängliche Informationen zur Verfügung stellen. Ungerechtfertigte Verzögerungen bergen weiterhin Compliance-Risiken.

Cookies & Marketing (PECR)

Für bestimmte Arten von Cookies, beispielsweise solche zur Serviceverbesserung oder zur Messung der Besucherzahlen, ist möglicherweise keine Einwilligung mehr erforderlich, sofern sie klar erläutert werden und den Benutzern entsprechende Informationen und Kontrolle gewährt werden.

Gleichzeitig werden die Maßnahmen im Bereich des elektronischen Marketings verschärft. Die Bußgelder für Verstöße gegen die PECR wurden an die britische DSGVO angepasst und betragen bis zu 17.5 Millionen Pfund oder 4 % des weltweiten Umsatzes. Dies unterstreicht die Notwendigkeit für Unternehmen, ihre Einwilligungspraktiken zu überprüfen, Cookie-Banner und Datenschutzhinweise zu aktualisieren und eine solide interne Dokumentation ihrer Marketingaktivitäten sicherzustellen.

Automatisierte Entscheidungsfindung und KI

Das Gesetz schafft mehr Flexibilität für Organisationen, die KI und automatisierte Entscheidungsfindung (ADM) nutzen, und ersetzt Artikel 22 der britischen DSGVO durch neue Bestimmungen: Artikel 22A bis 22D. Diese Änderungen ermöglichen eine breitere Anwendung von ADM, insbesondere in Fällen, in denen die getroffenen Entscheidungen keine erheblichen rechtlichen oder ähnlich wesentlichen Auswirkungen auf Einzelpersonen haben.

ADM mit erheblichen Auswirkungen, insbesondere bei der Nutzung besonderer Kategorien von Daten, unterliegt jedoch weiterhin strengen Vorschriften. In diesen Fällen müssen Organisationen weiterhin eine wirksame menschliche Aufsicht, klare Transparenz und angemessene Sicherheitsvorkehrungen gewährleisten. ADM auf der Grundlage besonderer Kategorien von Daten erfordert in der Regel entweder eine ausdrückliche Zustimmung oder muss bestimmte gesetzlich festgelegte Bedingungen erfüllen.

Smart Data und digitale IDs

Das Gesetz ebnet den Weg für branchenspezifische „Smart Data Schemes“, die es Verbrauchern und kleinen Unternehmen ermöglichen, ihre Daten sicher und portabel auszutauschen. Darüber hinaus schafft es einen gesetzlichen Vertrauensrahmen für digitale Verifizierungsdienste (DVS), um die Nutzung verifizierter digitaler Identitäten in der gesamten Wirtschaft zu unterstützen.

Diese Bestimmungen dienen zum jetzigen Zeitpunkt im Wesentlichen der Ermächtigung. Weitere Einzelheiten werden durch sekundäre Rechtsvorschriften festgelegt.

Regulierungsreform

Das ICO wird zur Informationskommission mit erweiterten Ermittlungs- und Durchsetzungsbefugnissen. Dazu gehören die Einforderung von Zeugenaussagen, die Anordnung technischer Prüfungen und die Verhängung höherer Strafen bei Verstößen.

Einige dieser neuen Befugnisse traten zwei Monate nach der königlichen Zustimmung in Kraft, andere werden schrittweise durch sekundäre Gesetzgebung eingeführt. Unternehmen sollten sich auf ein strengeres regulatorisches Umfeld einstellen und sich entsprechend vorbereiten, indem sie sicherstellen, dass Governance, Dokumentation und interne Prozesse auditfähig sind.

Was für Unternehmen auf dem Spiel steht

Während einige Reformen die Einhaltung von Vorschriften vereinfachen, beispielsweise durch die Reduzierung des DSAR-Aufwands oder die Klarstellung der Verwendung berechtigter Interessen, führen andere zu einer verstärkten behördlichen Kontrolle und höheren Strafen. Dieses gemischte Bild bedeutet, dass Unternehmen das Gesetz nicht als Lockerung der Vorschriften betrachten sollten. Vielmehr bietet es die Möglichkeit, die Datenverwaltung zu modernisieren, Risiken zu reduzieren und Vertrauen bei Kunden, Partnern und Aufsichtsbehörden aufzubauen.

Zeitplan und schrittweise Einführung

Das Gesetz trat im Juni 2025 in Kraft, jedoch traten nicht alle Bestimmungen sofort in Kraft. Die Regierung hat ein stufenweises Inkrafttreten bestätigt, bei dem die Änderungen in etwa zwei-, sechs- und zwölfmonatigen Phasen eingeführt werden. Die Inkraftsetzungsverordnung Nr. 1 trat am 20. August 2025 in Kraft und enthält spezifische technische und regulatorische Bestimmungen.

Die meisten wesentlichen Aktualisierungen von Teil 5 des Gesetzes, einschließlich der Änderungen an der britischen DSGVO, dem Data Protection Act 2018 und der PECR, werden voraussichtlich nach etwa sechs Monaten in Kraft treten. Weitere Aktualisierungen werden durch sekundäre Gesetzgebung und Leitlinien der Regulierungsbehörden folgen.

Organisationen sollten auf neue Inkrafttretensbestimmungen achten, die ICO-Kommunikation überwachen und ihre Compliance-Aktivitäten im Einklang mit den bevorstehenden Fristen planen.

Ihr 8-Punkte-Aktionsplan

Überprüfen Sie Ihre Rechtsgrundlagen

Zeichnen Sie auf, wo die neuen anerkannten berechtigten Interessen gelten, und aktualisieren Sie Ihre Datenschutzhinweise und RoPAs, damit sie der Realität entsprechen.

Überdenken Sie Ihre globalen Datenflüsse

Überprüfen Sie die Transfermechanismen anhand des neuen Schwellenwerts „nicht wesentlich niedriger“. Dokumentieren Sie Ihre Transferrisikobewertungen und halten Sie eine Rückfallebene für EU-Daten bereit.

Vereinfachen Sie die DSAR-Bearbeitung

Schulen Sie Ihr Personal in der Anwendung des „angemessenen und verhältnismäßigen“ Tests und integrieren Sie den neuen Stop-the-Clock-Prozess für Identitätsprüfungen oder -klärungen.

Cookies und Marketing aufräumen

Aktualisieren Sie Cookie-Banner für Ausnahmen mit geringem Risiko, überprüfen Sie die Einwilligungsprozesse und beachten Sie, dass die PECR-Bußgelder jetzt den britischen DSGVO-Niveaus entsprechen. Wohltätigkeitsorganisationen: Prüfen Sie, ob das Soft-Opt-in jetzt für Sie funktioniert.

Überprüfen Sie Ihre ADM- und KI-Nutzung

Ermitteln Sie, welche Systeme für die automatisierte Entscheidungsfindung von Bedeutung sind. Implementieren Sie eine sinnvolle menschliche Aufsicht, holen Sie bei Bedarf eine ausdrückliche Einwilligung ein und legen Sie dokumentierte Sicherheitsvorkehrungen fest.

Machen Sie sich bereit für Smart Data

Prüfen Sie, wie branchenspezifische Programme (wie Open Banking) auf Ihre Branche übertragbar sind und ob digitale Verifizierungsdienste Teil Ihrer Onboarding- oder Kundenprozesse werden könnten.

Governance jetzt stärken

Da die neue Informationskommission nun die Befugnis erhält, Interviews, Audits und Bußgelder auf DSGVO-Ebene für PECR anzuordnen, ist jetzt der richtige Zeitpunkt, um Richtlinien, Nachweise und Schulungen zu verschärfen.

Endlich wieder ab November

Achten Sie auf die Einführungsbestimmungen und ICO-Richtlinien, da die schrittweise Einführung in den nächsten zwei, sechs und zwölf Monaten erfolgen wird. Priorisieren Sie Änderungen, die zuerst in Kraft treten.

Fazit

Der Data Use and Access Act 2025 markiert einen Wendepunkt für die britische Datenverwaltung. Er schafft ein Gleichgewicht zwischen Vereinfachung und Verantwortlichkeit und bietet zukunftsorientierten Unternehmen die Möglichkeit, Innovationen zu nutzen, ohne das Vertrauen zu gefährden. Frühzeitige Vorbereitung reduziert nicht nur Risiken, sondern hilft Ihnen auch, die Chancen einer intelligenteren und transparenteren Datennutzung zu nutzen.

Rebekka Harper

Rebecca ist ISMS.online Head of Content Marketing. Mit über 12 Jahren Erfahrung in der Informations- und Cybersicherheitsbranche widmet sich Rebecca der Aufklärung, der Sensibilisierung und der Befähigung von Unternehmen, Compliance-, Informations- und Cybersicherheitsmanagementziele zu erreichen.

Lesen Sie mehr von Rebecca Harper

Internet-Sicherheit 2 Februar 2026

ISMS.online ernennt Simon Church zum Vorsitzenden

Wir freuen uns, die Ernennung von Simon Church zum Vorsitzenden von ISMS.online (IO) bekanntzugeben. Simon verstärkt das Unternehmen in einer Phase des weiteren Wachstums von IO.

Rebekka Harper

Internet-Sicherheit 23 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Gesundheitsbranche

Der jüngste Bericht von IO zum Stand der Informationssicherheit zeichnet das Bild eines Gesundheitssektors unter anhaltendem Druck. Organisationen tragen die Verantwortung für...

Rebekka Harper

Internet-Sicherheit 15 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Reise- und Transportbranche

Der jüngste Bericht von IO zum Stand der Informationssicherheit hebt einen Sektor hervor, der strukturell gefährdet ist und sich dessen sehr bewusst ist: Transport- und Reiseorganisationen…

Rebekka Harper