Als Großbritannien die Data Use and Access Act (DUAA)Ein Großteil der frühen Kommentare konzentrierte sich auf die dadurch entstandene Divergenz. Handelte es sich um eine Aufweichung des britischen Datenschutzregimes? Einen bewussten Bruch mit Brüssel? Eine wachstumsfördernde Neuausrichtung? Doch all diese Betrachtungsweisen verkennen die weitaus folgenreichere Veränderung. 

Das DUAA schwächt die Rechenschaftspflicht nicht ab. Es verteilt sie neu und wandelt präskriptive Auslegung in eine nachvollziehbare Governance um. Durch die Präzisierung anerkannter berechtigter Interessen, die Neuausrichtung der Auskunftsrechte betroffener Personen, die Anpassung von Bestimmungen zur automatisierten Entscheidungsfindung und die Stärkung der Durchsetzung gemäß PECR reduziert das Gesetz die Starrheit in bestimmten Bereichen und erhöht gleichzeitig die Erwartung, dass Organisationen ihre Ermessensausübung begründen können. 

Eines ist völlig klar: Der Regulierungsaufwand ist nicht verschwunden. Er hat sich sogar noch verschärft. Die Organisationen, die sich im DUAA erfolgreich behaupten werden, sind nicht diejenigen, die ihre Richtlinien am schnellsten aktualisieren. Es werden diejenigen sein, die nachweisen können, wie Entscheidungen getroffen, überprüft und im Laufe der Zeit verbessert werden – und zwar konsequent. 

Verhältnismäßigkeit im Sinne des DUAA bedeutet nicht Milde, sondern Disziplin. 

Ein zentrales Thema des DUAA ist die Verhältnismäßigkeit. Es sieht vor, dass anerkannte berechtigte Interessen in bestimmten Fällen ohne vollständige Interessenabwägung geltend gemacht werden können. Auskunftsersuchen können abgelehnt oder eingeschränkt werden, wenn sie „missbräuchlich oder übermäßig“ sind. Zudem wurden die Regeln für automatisierte Entscheidungsfindung verfeinert. 

Verhältnismäßigkeit bedeutet jedoch keine Absenkung der Anforderungen. Beispielsweise erwartet die Aufsichtsbehörde weiterhin, dass Organisationen, die sich auf anerkannte berechtigte Interessen berufen, Folgendes gewährleisten: 

  • Klare Kennzeichnung des Verarbeitungszwecks 
  • Risikoanalyse, die die Auswirkungen auf Einzelpersonen widerspiegelt 
  • Berücksichtigung von Schutzmaßnahmen 
  • Dokumentation der Entscheidungsfindung 
  • Nachweis einer konsequenten Anwendung 

Auch die Reformen im Umgang mit Auskunftsersuchen betroffener Personen (DSAR) schaffen keinen isolierten Ermessensspielraum. Sie erfordern strukturierte Kriterien zur Beurteilung von Übermäßigkeit, definierte Eskalationswege und eine dokumentierte Begründung. In der Praxis verlagert dies die Verantwortung für die Einhaltung der Vorschriften von schematischen Prüfungen hin zu einer nachweisbaren Reife der Governance. 

Es ist außerdem erwähnenswert, dass sich diese Verschiebung bereits im Durchsetzungstrend des ICO in jüngster Zeit widerspiegelt. Untersuchungen konzentrieren sich zunehmend auf systemische Kontrollmängel, unzureichende Aufsicht und mangelhafte Dokumentation, anstatt lediglich auf die formale Verletzung einer bestimmten Klausel. Insofern beschleunigt der DUAA diese Schwerpunktverlagerung. 

Das Gesetz legt fragmentierte Regierungsführung offen 

Im Kern berührt die DUAA Informationssicherheit, Datenschutzmaßnahmen, Marketing-Compliance, KI-Governance und internationale Datentransferfunktionen. 

In vielen Organisationen sind diese Bereiche nach wie vor strukturell getrennt. 

Sicherheit kann im Rahmen eines technischen Risikomanagements erfolgen. Datenschutz kann richtlinienbasiert und rechtlich orientiert sein. Marketing kann kommerziell ausgerichtet sein. Die Implementierung von KI kann in Innovations- oder Produktteams angesiedelt sein. Die Lieferantensteuerung kann einkaufsorientiert sein. Die DUAA respektiert diese internen Grenzen nicht. 

Ein KI-gestütztes Marketing-Tool, das beispielsweise über einen in den USA ansässigen Prozessor eingesetzt wird, kann gleichzeitig Folgendes bewirken: 

  • Sicherheitsverpflichtungen 
  • Rechtmäßige Grundlage für Beurteilungen 
  • Automatisierte Entscheidungsfindungs-Sicherheitsvorkehrungen 
  • PECR-Marketingregeln 
  • Internationales Transferrisikomanagement 

Wenn die einzelnen Elemente unterschiedlich geregelt und uneinheitlich dokumentiert werden, wird die Fähigkeit einer Organisation geschwächt, ihre Entscheidungen zu verteidigen. Das Gesetz schreibt die Integration zwar nicht explizit vor, doch seine praktischen Auswirkungen erschweren es, eine fragmentierte Governance aufrechtzuerhalten. Daher ist es für die meisten klar, dass Managementsysteme in diesem Umfeld von entscheidender Bedeutung sind. 

Warum internationale Standards bei einer nationalen Reform strategisch wichtig werden 

Während der DUAA lediglich die britische DSGVO und PECR ändert, bleiben britische Unternehmen bei internationalen Geschäften weiterhin der EU-DSGVO, branchenspezifischen Vorschriften und neuen KI-Gesetzen ausgesetzt. 

In diesem Zusammenhang erfüllen internationale Normen zwei entscheidende Funktionen: 

  1. Sie schaffen eine gemeinsame Governance-Sprache für Rechts-, Technik- und Führungsteams. 
  1. Sie bieten einen überprüfbaren Ersatz für ein strukturiertes Risikomanagement, wenn keine detaillierten gesetzlichen Vorgaben bestehen. 

Es liegt also durchaus auf der Hand, dass die integrierte Anwendung von ISO 27001 , ISO 27701 und ISO 42001 Die Einhaltung gesetzlicher Vorschriften wird dadurch nicht ersetzt, sondern lediglich umgesetzt. 

Wo das DUAA eine verhältnismäßige Risikobewertung vorsieht, legen diese Standards fest, wie Risiken identifiziert, bewertet, behandelt und überprüft werden. Wo das Gesetz die Durchsetzung stärkt, verankern sie die Prüfbarkeit und Korrekturmaßnahmen. Zusammengenommen wandeln sie die Unternehmensführung von einer reaktiven Auslegung hin zu einer strukturierten, proaktiven Kontrolle. 

ISO 27001: Verantwortlichkeit in etwas Greifbares verwandeln 

ISO 27001, der Standard für Informationssicherheit, bietet einen Rahmen für mehr Transparenz. Er verpflichtet Organisationen zum Aufbau eines Informationssicherheits-Managementsystems, das auf Folgendem basiert: 

  • Den Kontext verstehen und den Umfang richtig definieren 
  • Eine formale, nachvollziehbare Risikobewertungsmethodik 
  • Klare Risikobehandlungsplanung 
  • Dokumentierte Kontrollentscheidungen 
  • Interne Revision und Managementbewertung 
  • Kontinuierliche Verbesserung 

Auf dem Papier klingt das nach einer rein formalen Vorgehensweise. In der Praxis beantwortet es jedoch eine weitaus unangenehmere Frage: Wem gehört das Risiko, und wie können wir das feststellen? 

Und unter dem DUAA wird diese Frage noch dringlicher. 

Sicherheit der Verarbeitung 

Die Verpflichtung zur Umsetzung „geeigneter technischer und organisatorischer Maßnahmen“ besteht weiterhin. „Empfohlen“ darf jedoch nicht bedeuten, „was zum damaligen Zeitpunkt vernünftig erschien“. 

ISO 27001 verlangt von Organisationen, dass sie auf der Grundlage dokumentierter Risikoanalysen und nicht aufgrund subjektiver Einschätzungen oder historischer Gewohnheiten definieren, was für ihr Geschäft angemessen ist. 

Reaktion auf Vorfälle und Management von Datenschutzverletzungen 

Die Aufsichtsbehörden konzentrieren sich nicht mehr allein darauf, ob ein Verstoß stattgefunden hat. Sie prüfen auch, wie gut die Organisation vorbereitet war. 

  • Wurde die Reaktion getestet? 
  • Wurde es dokumentiert? 
  • Hat die Führungsebene ihre Rolle verstanden? 

Ein strukturierter, einstudierter Ablauf eines Vorfalls demonstriert Kontrolle. Ein improvisierter Ablauf demonstriert Angreifbarkeit. 

Durchsetzung und Überprüfbarkeit 

Angesichts der verschärften Durchsetzungsbefugnisse der PECR und der zunehmenden Kontrollen muss die Unternehmensführung transparent sein. Regelmäßige interne Audits und Managementbewertungen zeigen, dass die Einhaltung der Vorschriften kein statischer Zustand ist. Sie wird aktiv überwacht und hinterfragt. Dies ist von Bedeutung, wenn die Aufsichtsbehörden entscheiden müssen, ob ein Problem auf Pech oder mangelnde Aufsicht zurückzuführen ist. 

Und genau hier geht ISO 27001 über die Betriebshygiene hinaus. 

Es verankert die Verantwortlichkeit der Führungsebene. Gemäß DUAA werden Governance-Versäumnisse nicht als technische Nachlässigkeiten behandelt, sondern als organisatorische Mängel betrachtet. 

ISO 27701: Umsetzung der Datenschutzreform 

Während ISO 27001 strukturelle Verantwortlichkeit schafft, setzt ISO 27701 Datenschutz in die tägliche Praxis um. Sie erweitert das Sicherheitsmanagementsystem zu einem Datenschutzmanagementsystem und gleicht die Datenschutzverpflichtungen mit der gleichen Risiko-, Dokumentations- und Aufsichtsstruktur ab. Diese Angleichung ist im Rahmen der DUAA-Reform von entscheidender Bedeutung. 

Anerkannte berechtigte Interessen 

Auch wenn keine formale Abwägung erforderlich ist, müssen Organisationen dennoch nachweisen, dass sie sich sorgfältig mit Zweck, Verhältnismäßigkeit und Schutzmaßnahmen auseinandergesetzt haben. 

ISO 27701 formalisiert, wie Rechtsgrundlagen identifiziert, dokumentiert und überprüft werden. Sie beseitigt Unklarheiten bei Entscheidungen, die andernfalls informell getroffen würden. 

DSAR-Reform 

Die Moderation oder Ablehnung von Auskunftsersuchen erfordert Urteilsvermögen, und Urteilsvermögen braucht Leitplanken. 

ISO 27701 legt definierte Verfahren, Eskalationswege und Dokumentationsanforderungen fest. Dadurch wird Ermessensspielraum zu einem nachvollziehbaren Prozess. 

Internationale Überweisungen 

Risikobewertungen bei der Datenübermittlung, die Überwachung von Zahlungsabwicklern und vertragliche Schutzmaßnahmen lassen sich nicht allein dem juristischen Bereich zuordnen. 

ISO 27701 integriert sie in die Lieferanten-Governance und die operativen Arbeitsabläufe und reduziert so die Fragmentierung zwischen Rechts-, Beschaffungs- und Sicherheitsteams. 

Transparenz und Verantwortlichkeit 

Datenschutzhinweise und Verarbeitungsprotokolle sind keine einmaligen Aktualisierungen. Sie werden Teil eines lebendigen Managementsystems. 

Tatsächlich verankert ISO 27701 die Disziplin, die für einen verantwortungsvollen Umgang mit der Flexibilität von DUAA erforderlich ist, ohne dabei in Inkonsistenzen abzudriften. 

ISO 42001: KI regulieren, ohne sie als Experiment zu behandeln 

Wie ich bereits kurz erwähnt habe, aktualisiert die DUAA auch die Regeln für automatisierte Entscheidungsfindung. In manchen Kontexten erhöht sie die Flexibilität. Doch Flexibilität ohne Aufsicht führt selten zu einem positiven Ergebnis. ISO 42001 führt ein KI-Managementsystem ein, das auf Folgendem basiert: 

  • KI-spezifische Risikobewertungen, die in das Unternehmensrisikomanagement integriert sind 
  • Definierte menschliche Aufsicht 
  • Klare Dokumentation des Systemzwecks, der Dateneingaben und der Entscheidungslogik 
  • Transparenzkontrollen 
  • Kontinuierliche Überwachung und Verbesserung 

Mit der zunehmenden Verbreitung von KI in verschiedenen Sektoren werden Regulierungsbehörden nicht nur die technische Funktionsfähigkeit der Systeme hinterfragen, sondern auch, ob Organisationen eine wirksame Aufsicht nachweisen können. ISO 42001 beantwortet diese Frage, indem es die KI-Governance in bestehende Sicherheits- und Datenschutzsysteme integriert, anstatt sie als separates Innovationsprojekt zu behandeln. 

Der integrierte Vorteil: Ein Risikomodell, eine Datengrundlage 

Die strategische Stärke des Regelkreises liegt in der Integration. Zusammen bilden ISO 27001, 27701 und 42001 Folgendes: 

  • Eine einheitliche Risikomethodik für Sicherheit, Datenschutz und KI 
  • Einheitliche Dokumentationsstandards 
  • Gemeinsame Führungsaufsicht 
  • Ein konsolidierter interner Prüfungszyklus 
  • Ein einheitlicher Korrekturmaßnahmenrahmen 

Dies ist deshalb von Bedeutung, weil das DUAA keine isolierten Verpflichtungen einführt. Es räumt vielmehr Ermessensspielraum in diesen miteinander verbundenen Bereichen ein. 

Ein integriertes Managementsystem reduziert Doppelarbeit, beugt inkonsistenten Entscheidungen vor und gewährleistet durch strukturierte Analysen statt informeller Beurteilungen die Anwendung von Verhältnismäßigkeit. Für Unternehmen bedeutet dies, dass sie auf Nachfrage der Aufsichtsbehörden – die immer häufiger erfolgen – gut dokumentierte Risikobewertungen, Behandlungsentscheidungen, Überwachungsberichte und Prüfungsergebnisse in einem nachvollziehbaren Kontext vorlegen können. Und genau das ist oft der entscheidende Unterschied zwischen einer Überprüfung und einer Sanktionierung. 

Von der Einhaltung von Vorschriften zur organisatorischen Resilienz 

Die DUAA wird nicht die letzte Reform des britischen Datenschutzrechts sein. Die Leitlinien werden sich weiterentwickeln. Die Durchsetzungspraxis wird sich verbessern. Die Aufsicht über KI wird intensiviert werden. Grenzüberschreitende Komplexitäten werden bestehen bleiben. Organisationen, die jede Entwicklung als separate rechtliche Anpassung betrachten, werden weiterhin wiederholt mit betrieblichen Störungen konfrontiert sein. 

Diejenigen, die integrierte Managementsysteme einsetzen, werden Veränderungen schrittweise aufnehmen. Risikoregister werden aktualisiert, Kontrollen verfeinert, die Aufsicht neu ausgerichtet und Nachweise gesichert. Der Unterschied ist struktureller Natur. 

Die DUAA signalisiert ein regulatorisches Umfeld, das weniger durch präskriptive Anweisungen als vielmehr durch die Erwartung disziplinierter Urteilsfähigkeit geprägt ist. In diesem Umfeld wird ausgereifte Governance zu einem Wettbewerbsvorteil. Der ISO-27001-, 27701- und 42001-Zyklus vereinfacht die Regulierung nicht, sondern macht sie handhabbar.