Mit dem Data (Use and Access) Act 2025 entwickelt sich das Datenschutzrecht im Vereinigten Königreich weiter. Während die UK GDPR weiterhin den rechtlichen Rahmen bildet, bringen die neuen Regelungen gezielte Erleichterungen, aber auch neue Pflichten für Unternehmen mit sich. Der folgende Beitrag gibt einen Überblick über die Entwicklung des britischen Datenschutzrechts, die schrittweise Umsetzung des DUAA und die wesentlichen Auswirkungen auf die Datenschutz-Compliance im Jahr 2025.
Geschichte und aktueller Stand
Die Anfänge der Datenschutzgesetzgebung im Vereinigten Königreicht bildet der Data Protection Act 1984, welcher durch die OECD-Guidelines von 1980 und die Europarats-Konvention 108 (1981) stark beeinflusst wurde und acht Datenschutzprinzipien sowie das Information Comissioner’s Office (ICO) als Aufsichtsbehörde, etablierte.
Im Zuge der Umsetzung der EU-Datenschutzrichtlinie 95/46/EG wurde eine modernisierte Version des Data Protection Acts eingeführt, der Data Protection Act 1998, dieser ersetzte den Data Protection Act 1984. Die 1998er-Version erweiterte die Anwendung auf digitale und physische Daten und führte, unter Anderem, das Auskunftsrecht und das Recht auf Berichtigung ein.
Im Jahr 2018 trat nunmehr, auch im Vereinigten Königreich, die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Zudem wurde der Data Protection Act 2018, als lokales Umsetzungsgesetz verabschiedet. Aufgrund des Brexit-bedingten Austritt des Vereinigten Königreichs aus der Europäischen Union kam es im Jahr 2021 zu einer erneuten Änderung. Diese viel jedoch, aus gesetzlicher Sicht, recht gering aus. Es wurde entschieden, die Europäische Datenschutzgrundverordnung (DSGVO) zunächst nahezu unverändert zu übernehmen und als, sogenannte, „UK-GDPR“ als nationales Recht weiter zu nutzen.
Die nächste Änderung kam in diesem Jahr. Der Data (Use and Access) Act 2025 (DUAA), der im Juni 2025 die königliche Zustimmung erhielt, führt gezielte Änderungen an der UK GDPR ein, ohne sie zu ersetzen. Die Umsetzung erfolgt schrittweise bis Mitte 2026. Mit dem Inkrafttreten des DUAA stehen Unternehmen vor neuen Chancen – und neuen Compliance-Herausforderungen. Während die UK GDPR weiterhin das Fundament des Datenschutzrechts bildet, zielen diese Reformen darauf ab, Prozesse zu vereinfachen, Innovation zu fördern und die Durchsetzung zu stärken. Das Ziel ist weniger Bürokratie bei gleichbleibend hohem Datenschutzniveau.
Schrittweises Inkrafttreten DUAA
Phase 1
Direkt nach der königlichen Zustimmung werden die Regelungen zu technischen Bestimmungen eingeführt, Aspekte des Rechtsrahmens geklärt und die Regierung muss Folgeabschätzungen sowie Bericht und Fortschrittsupdate zu KI und Urheberrecht bereitstellen.
Phase 2
Innerhalb von drei bis vier Monaten nach der königlichen Zustimmung werden die meisten Maßnahmen hinsichtlich digitaler Verifizierungsdiensten, Teil zwei des DUAA, sowie Maßnahmen zur Aufbewahrung von Informationen durch Internetdienstanbieter im Zusammenhang mit dem Tod eines Kindes, geregelt in Teil 7, eingeführt.
Phase 3
Phase drei, welche ca. 6 Monate nach der königlichen Zustimmung stattfindet, enthält den Beginn der wichtigsten Änderungen des DUAA, des Teils fünf, sowie die Einführung von Informationsstandards für Gesundheit und Pflege, ebenfalls in Teil 7 enthalten.
Phase 4
Die finale Phase beginnt im Anschluss und enthält die Einführung von Bestimmungen, die eine längere Vorlaufzeit erfordern. Beispiele hierfür sind Maßnahmen zum National Underground Register und das elektronische System zur Registrierung von Geburten und Sterbefällen. Änderungen an den Führungsstrukturen des ICO werden basierend auf den Regelungen des Teil 6 des Gesetzes vorgenommen, sobald die Mitglieder des neuen Vorstands des ICO ernannt worden sind. Dies wird für Anfang 2026 erwartet.
Gemäß der zeitlichen Abfolge befinden wir uns also bereits im Bereich der Phase 3. Sowohl das ICO, als auch das Department for Science and Innovation (DSIT) veröffentlicht regelmäßig Updates und hilfreiche Informationen.
Die wichtigsten Änderungen für Datenschutz-Compliance
Anerkannte berechtigte Interessen
Bestimmte Tätigkeiten – wie Kriminalitätsprävention, Notfallmaßnahmen und Schutz gefährdeter Personen – gelten nun als vorab genehmigte berechtigte Interessen. Für diese ist zukünftig keine Interessenabwägung mehr erforderlich.
Auskunftsersuchen (SARs)
Die Beantwortung von Data Subject Access Requests basiert nun auf „angemessenen und verhältnismäßigen“ Suchvorgängen. Dies soll zu einer Aufwands- und damit Kostenreduktion bei komplexen Anfragen führen und die Effizienz stärken.
Automatisierte Entscheidungsfindung (ADM)
Die Beschränkungen für ADM wurden gelockert. Unternehmen können sich nun auf eine breitere Palette rechtmäßiger Grundlagen stützen – einschließlich berechtigter Interessen –, sofern Schutzmaßnahmen wie Transparenz und menschliche Überprüfung bestehen. ADM-Compliance bleibt ein zentrales Thema.
Cookies und Tracking
Für bestimmte risikoarme Cookies ist keine Einwilligung mehr erforderlich. Verstöße gegen Cookie-Regeln können jedoch mit Strafen bis zu 17,5 Millionen £ oder 4 % des weltweiten Umsatzes geahndet werden.
Internationale Datenübermittlungen
Der Angemessenheitstest für Drittländer wurde angepasst, um den globalen Datenaustausch zu erleichtern.
Regelungen für wissenschaftliche Forschung
Erweiterte Ausnahmen ermöglichen die Wiederverwendung personenbezogener Daten für Forschungszwecke ohne individuelle Datenschutzhinweise, wenn dies unverhältnismäßigen Aufwand bedeuten würde.
ICO-Durchsetzung und neue Pflichten
Die ICO verfügt nun über erweiterte Befugnisse, einschließlich höherer Bußgelder für Cookie-Verstöße und strengeren Ermittlungsmaßnahmen.
EU-Angemessenheitsstatus
Nunmehr stellt sich die Frage, wie es um den EU-Angemessenheitsstatus des Vereinigten Königreichs steht. Aufgrund des Austritts aus der EU wurde das Vereinigte Königreich zu einem Drittstaat. Da die DSGVO als UK-GDPR nahezu unverändert fortwirkt(e) war es recht unproblematisch möglich den notwendigen Angemessenheitsbeschluss der EU-Kommission, für Drittstaattransfers von der EU in das Vereinigte Königreicht, zu erhalten. Dieser war zunächst bis zum 27.06.2025 gültig und wurde von der EU-Kommission, aufgrund zu erwartender Änderung in der Datenschutzgesetzgebung im Vereinigten Königreich, bis zum 27.12.2025 verlängert.
Derzeit wird die neue Datenschutzgesetzgebung einer Prüfung unterzogen, um den Datenschutzstatus zu überprüfen und entweder ein Weiterbestehen des Angemessenheitsbeschlusses zu verabschieden oder diesen am 27.12.2025 auslaufen zu lassen. Bereits vor Verkündung des DUAA wurden Stimmen laut, die sich für eine langjährige Verlängerung ausgesprochen haben. Dementsprechend stehen die Chancen für eine Verlängerung gut. Wir werden Sie diesbezüglich auf dem Laufenden halten.
Fazit
Abschließend bleibt zu sagen, dass die Änderungen der UK-Datenschutzgesetzgebung durch den DUAA Chancen und Herausforderungen für Unternehmen innerhalb und außerhalb des Vereinigten Königreichs mit sich bringen. Die Herausforderungen würden um ein Vielfaches steigen, wenn kein Angemessenheitsbeschluss erzielt werden kann.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
