Datenschutz-Updates und wichtige Überlegungen für Unternehmen

Das Vereinigte Königreich hat sich verpflichtet, hohe Datenschutzstandards für Einzelpersonen aufrechtzuerhalten, und Unternehmen können bei Nichteinhaltung der einschlägigen Gesetze schwerwiegende Folgen erleiden. Diese Verpflichtung steht jedoch in einem ausgewogenen Verhältnis zu dem Ziel, Innovationen zu fördern, was sich insbesondere in der Einführung des neuen Daten (Nutzung und Zugang) Gesetz 2025. In diesem Update behandeln wir die wichtigsten Änderungen, die durch diese Gesetzgebung vorgenommen wurden, sowie andere wichtige Datenschutzaktualisierungen, die Sie beachten müssen, damit Ihr Unternehmen die Vorschriften einhält.  

Die britische GDPR und das Datenschutzgesetz 2018

Bei der Betrachtung der Datenschutzbestimmungen des Vereinigten Königreichs ist es wichtig, sowohl die britische Datenschutz-Grundverordnung (GDPR) als auch das Datenschutzgesetz (Data Protection Act 2018) zu berücksichtigen, die den Eckpfeiler des britischen Datenschutzsystems bilden. Diese Gesetze schreiben vor, wie personenbezogene Daten gespeichert, verarbeitet und gesammelt werden sollten.

Die britische Datenschutz-Grundverordnung (GDPR) wurde nach dem Brexit eingeführt und umreißt mehrere Grundsätze der Datenverarbeitung, darunter Rechtmäßigkeit, Fairness und Transparenz. Sie legt die Rechte des Einzelnen (einschließlich des Rechts auf Auskunft und Löschung) und Regeln für internationale Datenübermittlungen fest. Sie gilt für alle Organisationen im Vereinigten Königreich und für Einrichtungen im Ausland, die personenbezogene Daten von Personen aus dem Vereinigten Königreich verarbeiten.

Der Data Protection Act 2018 ergänzt die britische Datenschutz-Grundverordnung und enthält Bestimmungen wie Ausnahmen von den Verpflichtungen der britischen Datenschutz-Grundverordnung in bestimmten Fällen.

Gesetz über die Nutzung und den Zugang zu Daten 2025 (DUAA)

Das DUAA erhielt am 19. Juni 2025 die königliche Zustimmung und wird schrittweise eingeführt, wobei einige Bestimmungen bereits in Kraft sind und andere voraussichtlich im Laufe des nächsten Jahres in Kraft treten werden. Mit dem DUAA werden erhebliche Änderungen an der derzeitigen Regelung vorgenommen.

Ziel des DUAA ist es, Innovationen zu fördern, den bestehenden Datenschutzrahmen im Vereinigten Königreich zu verbessern und den Unternehmen die Möglichkeit zu geben, ihre Dienstleistungen zu verbessern und gleichzeitig den Schutz der Rechte des Einzelnen zu wahren.  

Neben der Einhaltung der Vorschriften, auf die weiter unten eingegangen wird, sollten die Unternehmen überlegen, wie sie die Änderungen nutzen können, die Unterstützung Innovation.

Innovation

Der ICO begrüßt die Änderungen, die der DUAA mit sich bringt, und stellt fest, dass der DUAA den Unternehmen helfen kann, auf folgende Weise innovativ zu sein:

1. Forschung: Klarstellung, dass eine "umfassende Zustimmung" für einen Bereich der wissenschaftlichen Forschung erteilt werden kann, wenn Organisationen personenbezogene Daten zu Forschungszwecken verwenden.

2. Hinweise zum Datenschutz: Wenn die Bereitstellung eines Datenschutzhinweises für die Weiterverwendung personenbezogener Daten zu Forschungszwecken einen unverhältnismäßig hohen Aufwand bedeutet, müssen die Organisationen keinen weiteren Hinweis veröffentlichen; der Hinweis muss weiterhin auf der Website der Organisation verfügbar sein, und die Rechte sind wie gewohnt geschützt.

3. Automatisierte Entscheidungsfindung (ADM): Unternehmen können sich bei der Verwendung personenbezogener Daten für automatisierte Entscheidungen über Personen auf die gesamte Palette der Rechtsgrundlagen stützen, wenn sie die entsprechenden Sicherheitsvorkehrungen treffen.  

4. Kekse: Einige Arten von Cookies können gesetzt werden, ohne dass eine Zustimmung erforderlich ist, z. B. solche, die zur Sammlung von Informationen zur Verbesserung der Funktionalität der Website verwendet werden.  

Wichtigste Änderungen

Zu den wichtigsten Änderungen, die die DUAA vorgenommen hat, gehören:

• Automatisierte Entscheidungsfindung (ADM): erlaubt es Organisationen, unter bestimmten Umständen Entscheidungen zu treffen, die nur auf einer automatisierten Verarbeitung beruhen, sofern bestimmte Garantien vorhanden sind. Zu diesen Garantien gehören die Unterrichtung der betroffenen Person und das Recht auf ein menschliches Eingreifen in Bezug auf die Entscheidungsfindung. Für besondere Datenkategorien gibt es jedoch Einschränkungen für ADM.
• Thema Zugangeine "Stop-the-Clock"-Regel, die es ermöglicht, die Beantwortungsfristen zu unterbrechen, wenn weitere Informationen vom Antragsteller benötigt werden. Darüber hinaus müssen Organisationen, die Zugang zu ihren Daten beantragen, nur angemessene und verhältnismäßige Abfragen durchführen.
• Anerkannte berechtigte Interessen: einen neuen Rechtfertigungsgrund für die Verarbeitung personenbezogener Daten. Wenn dieser Rechtsgrund zutrifft, ist es nicht erforderlich, die Auswirkungen auf die Personen, deren personenbezogene Daten verwendet werden, gegen die Vorteile abzuwägen. Normalerweise würde dies durch eine Bewertung der berechtigten Interessen (Legitimate Interests Assessment - LIA) geschehen. Die DUAA enthält eine Liste von vorab genehmigten Gründen, darunter die nationale Sicherheit, die Reaktion auf Notfälle und der Schutz von Kindern oder gefährdeten Personen.
• Schutz der Daten von KindernWenn Organisationen einen Online-Dienst anbieten, der wahrscheinlich von Kindern genutzt wird, müssen sie überlegen, wie sie Kinder unterstützen und schützen können, wenn sie überlegen, wie sie ihre persönlichen Daten nutzen wollen.   
• Reklamationen: Verpflichtung zur Unterstützung von Personen, die sich über den Umgang mit ihren personenbezogenen Daten beschweren möchten, und ein Zeitrahmen für die Bestätigung (innerhalb von 30 Tagen und "ohne unangemessene Verzögerung").

Neue ICO-Befugnisse

Unternehmen sollten wissen, dass das ICO im Rahmen des DUAA in einer Weise umstrukturiert wird, die mit der anderer britischer Aufsichtsbehörden vergleichbar ist, d. h. es wird einen CEO und einen Vorstand haben. Paul Arnold wurde als erster CEO angekündigt. Die Befugnisse der ICO werden ebenfalls erweitert, mit neuen Ermittlungs- und Durchsetzungsbefugnissen und der Möglichkeit, Strafen von bis zu 17,5 Millionen Pfund oder 4% des weltweiten Umsatzes zu verhängen. Zu den neuen Befugnissen des ICO gehört die Möglichkeit, "Interview Notices" und "Information Notices" zu erlassen, mit denen das ICO beurteilt, ob gegen Datenschutzbestimmungen verstoßen wurde. Die ICO wird diese erweiterten Befugnisse mit ihren neuen Pflichten und Berichtspflichten in Einklang bringen müssen.

Daher ist es wichtiger denn je, sicherzustellen, dass Organisationen die Vorschriften einhalten, angemessene Aufzeichnungen erstellen und ihre Prozesse rechtfertigen können. Im Hinblick auf den Einsatz von KI-Systemen sollten Unternehmen die damit verbundenen Risiken verstehen und wissen, wie diese Risiken gemindert werden können und welche Datenschutzprobleme auftreten können.

Die ICO bestätigt in ihren Leitlinien, dass sie weiterhin als "vertrauenswürdige, faire und unabhängige Regulierungsbehörde" agieren und sich darauf konzentrieren wird, weiterhin Beratung und Dienstleistungen anzubieten, während sie "die regulatorischen Belastungen reduziert" und "Innovation und Wachstum" fördert.

Sicherstellung der Einhaltung

Verstehen der Anforderungen

Unternehmen sollten alle wichtigen Bestimmungen überprüfen und sich über bestehende und bevorstehende Änderungen informieren, um sicherzustellen, dass die entsprechenden Richtlinien und Praktiken bei Bedarf aktualisiert werden. Wir empfehlen den Unternehmen auch, die unten verlinkten Leitlinien zu lesen und nach weiteren Kommentaren und Leitlinien Ausschau zu halten (beachten Sie, dass weitere ICO-Leitlinien zu gegebener Zeit veröffentlicht werden).

Um den Anforderungen gerecht zu werden, ist es entscheidend zu verstehen, welche der Änderungen auf Ihr spezifisches Geschäftsmodell anwendbar sind und welche Teile Ihres Unternehmens davon betroffen sein werden.

Das DUAA ist sehr umfangreich, und es kann sich lohnen, Rechtsberatung in Anspruch zu nehmen, um sicherzustellen, dass Ihr Unternehmen generell mit den aktuellen Datenschutzbestimmungen konform ist und für kommende Änderungen gerüstet ist.

Aktualisierung von Strategien, Verträgen, Schulungsmaterialien und Systemen

Es ist auch wichtig zu prüfen, ob Schulungsunterlagen für Mitarbeiter und Kundenverträge aktualisiert werden müssen. Die Aktualisierung von Richtlinien und Verträgen trägt nicht nur dazu bei, die Einhaltung der Vorschriften zu gewährleisten, sondern kann auch das Vertrauen der Kunden stärken und Risiken minimieren.

Unternehmensspezifische Beispiele für die Aktualisierung von Systemen und Richtlinien:

• Einrichtung eines angemessenen Systems für die Bearbeitung von Beschwerden im Zusammenhang mit der Datennutzung, sofern dies noch nicht geschehen ist.
• Einrichtung eines angemessenen Systems für den Schutz von Kindern, die Online-Systeme nutzen.
• Aufzeichnung und Zuordnung aller Verarbeitungen, die auf anerkannten berechtigten Interessen beruhen, und Aktualisierung der Datenschutzrichtlinien, um dies zu berücksichtigen.
• Prüfung und Aufzeichnung des Einsatzes von KI in der automatisierten Entscheidungsfindung in Ihrem Unternehmen, der Funktionsweise dieser Systeme, der Art der eingegebenen Daten und der Gründe für den Einsatz der automatisierten Entscheidungsfindung.
• Wenn Sie Änderungen an Ihren Prozessen vornehmen, um die Innovation zu fördern, aktualisieren Sie die Datenschutzrichtlinien und die entsprechenden Verträge entsprechend.
• Sicherstellen, dass aus den Richtlinien klar hervorgeht, welche Garantien in Bezug auf die automatisierte Entscheidungsfindung vorhanden sind.
• Erwägen Sie die Ernennung eines Datenschutzbeauftragten (DSB), der die Einhaltung der Vorschriften überwacht und als Ansprechpartner für datenbezogene Fragen fungiert.

ICO-Leitfaden: Britische Unternehmen können von neuen Datenschutzgesetzen profitieren | ICO

Leitlinien der Regierung: Data (Use and Access) Act 2025: Änderungen im Bereich Datenschutz und Privatsphäre - GOV.UK

Andere Nachrichten

23andMe

23andMe, ein Unternehmen für Gentests, wurde von der ICO mit einer Geldstrafe von 2,31 Millionen Pfund belegt, weil es unzureichende Sicherheitsmaßnahmen zum Schutz personenbezogener Daten getroffen hat. Vorausgegangen war ein Cyberangriff im Jahr 2023, bei dem die persönlichen Daten (einschließlich genetischer Daten) von mehr als 150.000 Nutzern im Vereinigten Königreich und von Millionen weltweit offengelegt wurden. Es wurde berichtet, dass es zwar schon früher im Jahr 2023 Behauptungen über einen Datendiebstahl gab, die jedoch als unberechtigt zurückgewiesen wurden, und dass es keine vollständige Untersuchung gab, bis die gestohlenen Daten im Oktober 2023 auf Reddit zum Verkauf angeboten wurden. Dieser Fall zeigt, wie wichtig es ist, angemessene Sicherheitsmaßnahmen zu ergreifen, wie z. B. eine Multi-Faktor-Authentifizierung, und zusätzliche Vorsichtsmaßnahmen zu ergreifen, wenn Daten besonderer Kategorien gespeichert werden.

EU verlängert Angemessenheitsentscheidungen für das Vereinigte Königreich um 6 Monate  

Die Europäische Kommission hat ihre Angemessenheitsentscheidungen in Bezug auf Datenübermittlungen mit dem Vereinigten Königreich um sechs Monate verlängert, die nun am 27. Dezember 2025 auslaufen. Dies wird Zeit für die Bewertung des DUAA geben. Mit "Angemessenheit" beschreibt die EU die Fähigkeit von Ländern, die in der Lage sind, ein "im Wesentlichen gleichwertiges" Datenschutzniveau wie die EU zu bieten.

Internet der Dinge - aktualisierte ICO-Leitlinien

Das ICO hat einen aktualisierten Leitfaden für die Verarbeitung personenbezogener Daten in Verbraucherprodukten des Internets der Dinge (IoT) herausgegeben und erläutert, wie das britische Datenschutzrecht und die Privacy and Electronic Communications Regulations 2003 anzuwenden sind. Zu den IoT-Produkten für Verbraucher gehören intelligente Glühbirnen und intelligente Uhren. Den vollständigen Leitfaden finden Sie hier: Über diese Anleitung | ICO.

Brasiliens neue AI-Gesetze

Brasilien schlägt einen Gesetzentwurf zur Regulierung von KI vor, der sich auf Risiken und die Festlegung individueller Rechte konzentriert. Bestimmte KI-Systeme werden als zu risikoreich eingestuft, zum Beispiel solche, die zum Zweck des "Social Scoring" (Einsatz von KI, um Personen einen Wert zuzuweisen, der auf ihrem Wert basiert, indem sie sie überwacht und ihre Rechte bestimmt) eingesetzt werden.

Wie wir helfen können

Wir können Ihnen dabei helfen, die Auswirkungen der britischen Datengesetze auf Ihr Unternehmen zu verstehen und Ihr Unternehmen bestmöglich zu schützen. Wenn Sie eine Überprüfung oder Aktualisierung Ihrer Richtlinien und Verträge benötigen, setzen Sie sich bitte mit unserem Team in Verbindung.