DSGVO-Update: Was der Data (Use and Access) Act für Compliance-Teams bedeutet

Von Phil Muncaster • 3 Juli 2025

Eine Aktualisierung der britischen Version der DSGVO ist längst überfällig. Die vorherige konservative Regierung hatte sie ursprünglich über die Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI), das vor einem Regierungswechsel nicht durch das Parlament kam. Der Entwurf der Labour-Partei, der Data (Use and Access) Act (DUA Act), hat nach einem viel beachteten Streit zwischen Ober- und Unterhaus über KI und Urheberrecht endlich die königliche Zustimmung erhalten.

Die Frage ist: Wie groß wird die Herausforderung für die Sicherheits- und Compliance-Teams sein, sich an das neue Datenschutzregime anzupassen, das durch das Gesetz eingeführt wird?

Warum brauchen wir es?

Wie bei früheren Versuchen, das britische Datenschutzregime zu verbessern und anzupassen, liegt der Schwerpunkt auf dem Abbau unnötiger Bürokratie, ohne den grenzüberschreitenden Datenverkehr in die EU zu gefährden. Um Letzteres zu gewährleisten, darf Großbritannien nicht zu weit von der DSGVO abweichen, da es sonst seinen Angemessenheitsstatus als „Drittland“ gefährden könnte.

Angesichts der Tatsache, dass die digitale Wirtschaft 154 Milliarden Pfund zur Bruttowertschöpfung (BWS) beitrug im Jahr 2023 angegeben, die etwa 6.5 % der Gesamtmenge ausmachen, weiß die Regierung, dass eine radikale Abkehr von der DSGVO nicht in Frage kommt. Sie wäre zudem absurd, da die Regulierungsbehörde, das Information Commissioner's Office (ICO), maßgeblich an der ursprünglichen Verordnung beteiligt war.

Die Regierung behauptet, das neue Gesetz werde der britischen Wirtschaft im kommenden Jahrzehnt einen Schub von 10 Milliarden Pfund verleihen. Sie deutet auf eine Ausweitung von „Smart Data“-Programme wie Open Banking, den Bürokratieabbau für Anbieter von öffentlicher Dienst, Und eine neue Vertrauenszeichen für Anbieter digitaler Identitäten als Beitrag zur Erreichung dieses Ziels.

Was gibt's Neues?

Aus datenschutzrechtlicher Sicht betreffen die größten Änderungen jedoch:

Berechtigte Interessen: Das DUA-Gesetz führt „anerkannte berechtigte Interessen“ als neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten ein. Dies ermöglicht es einigen Organisationen, Daten zu verarbeiten, ohne eine traditionelle Interessenabwägung (LIA) durchführen zu müssen. Es gibt auch eine Liste von Verarbeitungstätigkeiten (einschließlich Direktmarketing), für die weiterhin eine LIA erforderlich ist, was für mehr Klarheit für Organisationen sorgen sollte.

Automatisierte Entscheidungsfindung (ADM): Das Gesetz lockert die Beschränkungen für ADM in Fällen, in denen es sich nicht um Daten besonderer Kategorien handelt, obwohl weiterhin Sicherheitsvorkehrungen getroffen werden müssen.

Wissenschaftliche Forschung: Das Gesetz erweitert die Definition auf jede Forschung, „die vernünftigerweise als wissenschaftlich bezeichnet werden kann, unabhängig davon, ob sie öffentlich oder privat finanziert und kommerziell oder nicht kommerziell durchgeführt wird“. Das bedeutet, dass privat finanzierte und kommerzielle Forschung von Ausnahmen bei der Verarbeitung besonderer Kategorien von Daten profitieren wird.

Internationale Datenübertragungen: Der Außenminister kann Drittländer genehmigen und entscheiden, ob die Datenschutzstandards eines Ziellandes „nicht wesentlich niedriger“ sind als die des Vereinigten Königreichs und nicht den bestehenden „im Wesentlichen gleichwertigen“ Schutzstandards entsprechen.

Daten besonderer Kategorien: Der Außenminister erhält außerdem neue Befugnisse, um zu ändern, was als Daten besonderer Kategorien eingestuft werden kann, die zusätzlichen Schutz erfordern.

Anfragen zur Auskunftserteilung an betroffene Personen (SARs): Das Gesetz stellt klar, dass betroffene Personen nur Anspruch auf Informationen haben, die im Rahmen einer „angemessenen und verhältnismäßigen“ Suche durch das Unternehmen erhoben wurden. Unternehmen haben nun unter bestimmten Umständen bis zu drei Monate Zeit, auf SARs zu reagieren. Dies soll den Verwaltungsaufwand für Unternehmen reduzieren.

Zweckbegrenzung: Das Gesetz stellt klar, was eine „Weiterverarbeitung“ ausmacht.

Daten von Kindern: Das Gesetz führt ein neues Konzept für „Angelegenheiten des höheren Kinderschutzes“ ein, das das ICO bei der Regelung der Verantwortlichkeiten von Unternehmen berücksichtigen muss.

Datenschutz- und elektronische Kommunikationsverordnung (PECR): Neue Cookie-Regeln sollen Unternehmen die Einhaltung der Vorschriften erleichtern. Für bestimmte nicht unbedingt erforderliche Cookies gibt es Ausnahmen von der Einwilligungspflicht (z. B. für die Erhebung statistischer Daten zur Verbesserung des Erscheinungsbilds oder der Leistung einer Website, die Anpassung einer Website an die Präferenzen eines Nutzers oder die Verbesserung von Diensten oder einer Website). Darüber hinaus gibt es eine lange Liste von Zwecken für die Verwendung von Cookies, die als unbedingt notwendig gelten (z. B. Sicherheit und Betrugserkennung), für die keine Opt-out-Option erforderlich ist.

ICON: Das ICO wird durch die Informationskommission ersetzt, die einen Kommissar mit einem Vorsitzenden und geschäftsführenden und nicht geschäftsführenden Mitgliedern einsetzt. Auch das Beschwerdeverfahren wird neu geregelt.

Edward Machin, Rechtsberater für Daten, Datenschutz und Cybersicherheit bei Ropes & Gray, argumentiert, dass einige der Maßnahmen dazu beitragen sollten, den bürokratischen Aufwand für viele Organisationen zu verringern.

„Obwohl umstritten, wird die Lockerung der Anforderungen an automatisierte Entscheidungen, bei denen nicht sensible personenbezogene Daten beteiligt sind, dazu beitragen, den Compliance-Aufwand für Organisationen, die diese Art der Verarbeitung vornehmen, zu verringern – insbesondere im Zusammenhang mit der Entwicklung und Nutzung von KI“, sagt er gegenüber ISMS.online.

„Und die Klärung des Konzepts der ‚Weiterverarbeitung‘ im Allgemeinen und die Ausweitung der Definition der ‚wissenschaftlichen Forschung‘ im Besonderen werden – wenn auch nicht den bürokratischen Aufwand als solchen abbauen – es Organisationen ermöglichen, personenbezogene Daten in einer größeren Bandbreite von Szenarien zu verarbeiten, als dies derzeit der Fall ist.“

Beginnen Sie mit Cookies

Entscheidend ist, dass Rechtsexperten nicht davon ausgehen, dass die Gesetzgebung den Angemessenheitsstatus des Vereinigten Königreichs und damit den Datenfluss mit der EU beeinträchtigen wird.

„Obwohl die vorgeschlagenen Änderungen umfangreich sind, gehen sie nicht so weit, die grundlegenden Prinzipien der DSGVO, auf denen das bestehende System basiert, zu verändern“, sagt Sarah Pearce, Partnerin bei Hunton Andrews Kurth. „Daher sollte die neue Gesetzgebung keinen Einfluss auf die britische Angemessenheitsentscheidung haben, wenn diese Ende dieses Jahres von der Europäischen Kommission überprüft wird.“

Worauf sollten Compliance-Beauftragte also zuerst achten? Machin von Ropes & Gray rät, sich mit Cookie- und elektronischen Marketingpraktiken zu befassen.

„Obwohl das Gesetz die Art der Cookies und Zwecke erweitert, die als ‚unbedingt notwendig‘ gelten, erhöht es auch die Höchststrafen gemäß PECR, um sie an die britische DSGVO anzupassen – d. h. auf den höheren Betrag von 17.5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes“, erklärt er.

Alle Organisationen müssen das neue Verfahren für Beschwerden von Einzelpersonen umsetzen. Diese müssen zunächst an den Verantwortlichen und dann an das ICO gerichtet werden. Dies erfordert Aktualisierungen der Datenschutzhinweise und internen Prozesse, um eine angemessene Bearbeitung solcher Beschwerden zu gewährleisten.

Um zu verstehen, wie sich die Bestimmungen des Gesetzes auf aktuelle Prozesse auswirken, sei außerdem ein umfassenderer Kartierungsprozess erforderlich, fügt Machin hinzu.

„In vielen Fällen wird dies nicht zu wesentlichen Änderungen an den bestehenden britischen DSGVO-Compliance-Programmen führen“, schlussfolgert er.

Allerdings werden die Datenaustausch- und digitalen Verifizierungssysteme, die der Außenminister gemäß dem Gesetz einführen kann, eine Reihe neuer und verbesserter rechtlicher und technischer Anforderungen mit sich bringen. Organisationen, die an diesen Systemen teilnehmen möchten oder müssen, sollten die Entwicklungen in diesem Bereich aufmerksam verfolgen.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 11 November 2025

Was die Deloitte-Australien-Saga über die Risiken des Managements von KI-Bannern aussagt

Was die Deloitte-Australia-Saga über die Risiken des KI-Managements aussagt

Generative KI (GenAI) hat seit ihrem Auftauchen Ende 2022 in der Branche für Furore gesorgt. Nun tritt sie in eine Phase ein, die Gartner als … bezeichnet.

Phil Muncaster

Internet-Sicherheit 6 November 2025

Die NCSC sagt: „Es ist Zeit zu handeln“, aber wie soll das Banner aussehen?

Das NCSC sagt: „Es ist Zeit zu handeln“, aber wie?

Es ist ungewöhnlich, einen offenen Brief eines Wirtschaftsführers am Anfang eines Regierungsberichts zur Cybersicherheit zu sehen. Vor allem von jemandem, dessen Unternehmen j...

Phil Muncaster

Internet-Sicherheit 16 October 2025

Was ein npm-Angriff über die Risiken von Open-Source-Software aussagt

Die Geschichte der Open-Source-Sicherheit ist voll von Beispielen katastrophaler Fehler und Beinaheunfälle. Eine Anfang des Jahres entdeckte Krypto-Malware-Kampagne...

Phil Muncaster