Datenschutz-Updates und wichtige Überlegungen für Unternehmen

Das Vereinigte Königreich hat sich verpflichtet, hohe Datenschutzstandards für Einzelpersonen aufrechtzuerhalten, und Unternehmen müssen mit schwerwiegenden Konsequenzen rechnen, wenn sie die einschlägigen Gesetze nicht einhalten. Dieses Bekenntnis wird jedoch durch das Ziel der Innovationsförderung ausgeglichen, was sich insbesondere in der Einführung des neuen Gesetz über Daten (Nutzung und Zugang) von 2025. In diesem Update werden wir auf wesentliche Änderungen eingehen, die durch diese Gesetzgebung eingeführt wurden, sowie auf weitere wichtige Neuigkeiten zum Datenschutz, die Sie beachten sollten, um die Einhaltung der Vorschriften in Ihrem Unternehmen sicherzustellen.  

Die britische DSGVO und das Datenschutzgesetz von 2018

Bei der Betrachtung der britischen Datenschutzvorschriften ist es unerlässlich, sowohl die britische DSGVO als auch den Data Protection Act 2018 zu berücksichtigen, die den Grundstein des britischen Datenschutzsystems bilden. Diese Gesetze legen fest, wie personenbezogene Daten gespeichert, verarbeitet und erhoben werden dürfen.

Die britische DSGVO wurde nach dem Brexit eingeführt und legt mehrere Grundsätze der Datenverarbeitung fest, darunter Rechtmäßigkeit, Fairness und Transparenz. Sie regelt die Rechte betroffener Personen (einschließlich des Rechts auf Auskunft und Löschung) sowie die Vorschriften für internationale Datenübermittlungen. Sie gilt für alle Organisationen im Vereinigten Königreich sowie für Unternehmen im Ausland, die personenbezogene Daten von Personen mit Wohnsitz im Vereinigten Königreich verarbeiten.

Das Datenschutzgesetz von 2018 ergänzt die britische DSGVO und enthält Bestimmungen wie beispielsweise Ausnahmen von den Verpflichtungen der britischen DSGVO in bestimmten Fällen.

Gesetz über Daten (Nutzung und Zugang) von 2025 (DUAA)

Das DUAA erhielt am 19. Juni 2025 die königliche Zustimmung und wird schrittweise umgesetzt, wobei einige Bestimmungen bereits in Kraft sind und andere voraussichtlich im Laufe des nächsten Jahres in Kraft treten werden. Das DUAA bringt wesentliche Änderungen gegenüber der derzeitigen Regelung mit sich.

Die Ziele der DUAA bestehen darin, Innovationen zu fördern, den bestehenden Datenschutzrahmen im Vereinigten Königreich zu stärken und Unternehmen die Möglichkeit zu geben, ihre Dienstleistungen zu verbessern, ohne dabei den Schutz der Rechte des Einzelnen zu beeinträchtigen.  

Neben der Gewährleistung der Compliance, auf die weiter unten eingegangen wird, sollten Unternehmen darüber nachdenken, wie sie die Änderungen nutzen können, die Unterstützung Innovation.

Innovation

Die ICO begrüßt die durch das DUAA eingeführten Änderungen und stellt fest, dass das DUAA Unternehmen auf folgende Weise bei der Innovation unterstützen kann:

1. Forschung: die Klarstellung, dass für einen Bereich der wissenschaftlichen Forschung eine ‘allgemeine Einwilligung’ erteilt werden kann, wenn Organisationen personenbezogene Daten zu Forschungszwecken verwenden.

2. Datenschutzerklärungen: Sollte die Erstellung einer Datenschutzerklärung für die Weiterverwendung personenbezogener Daten zu wissenschaftlichen Forschungszwecken einen unverhältnismäßigen Aufwand bedeuten, müssen die Organisationen keine neue Erklärung veröffentlichen. Die Erklärung muss weiterhin auf der Website der Organisation verfügbar sein, und die Rechte der Betroffenen sind wie gewohnt geschützt.

3. Automatisierte Entscheidungsfindung (ADM): Unternehmen können sich auf die gesamte Bandbreite der Rechtsgrundlagen stützen, wenn sie personenbezogene Daten nutzen, um automatisierte Entscheidungen über Personen zu treffen, sofern sie die entsprechenden Schutzmaßnahmen anwenden.  

4. Cookies: Bestimmte Arten von Cookies können ohne Einwilligung gesetzt werden, beispielsweise solche, die zur Erfassung von Informationen zur Verbesserung der Website-Funktionalität dienen.  

Wichtigste Änderungen

Zu den wichtigsten Änderungen durch das DUAA gehören:

• Automatisierte Entscheidungsfindung (ADM): ermöglicht es Organisationen, unter bestimmten Voraussetzungen Entscheidungen ausschließlich auf der Grundlage automatisierter Verarbeitungsprozesse zu treffen, sofern bestimmte Schutzvorkehrungen getroffen werden. Zu diesen Schutzvorkehrungen gehören die Unterrichtung der betroffenen Person und das Recht auf menschliches Eingreifen in den Entscheidungsprozess. Für besondere Datenkategorien gelten jedoch Einschränkungen hinsichtlich der automatisierten Entscheidungsfindung.
• Auskunftsrecht: eine ‘Stopp-die-Uhr’-Regel, wonach die Antwortfristen ausgesetzt werden können, wenn weitere Informationen vom Antragsteller benötigt werden. Darüber hinaus müssen Organisationen, wenn jemand Zugang zu seinen Daten beantragt, lediglich angemessene und verhältnismäßige Recherchen durchführen.
• Anerkannte berechtigte Interessen: eine neue Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Gilt diese Rechtsgrundlage, ist es nicht erforderlich, die Auswirkungen auf die betroffenen Personen, deren personenbezogene Daten verwendet werden, gegen den Nutzen abzuwägen. In der Regel würde dies durch die Durchführung einer Prüfung der berechtigten Interessen (LIA) erfolgen. Das DUAA enthält eine Liste vorab genehmigter Rechtsgrundlagen, darunter nationale Sicherheit, Reaktion auf Notfälle und der Schutz von Kindern oder gefährdeten Personen.
• Datenschutz für Kinder: Bei der Bereitstellung eines Online-Dienstes, der voraussichtlich von Kindern genutzt wird, müssen Organisationen bei der Entscheidung über die Verwendung der personenbezogenen Daten der Kinder berücksichtigen, wie diese unterstützt und geschützt werden können.   
• Beschwerden: die Verpflichtung, Personen zu unterstützen, die Beschwerden über den Umgang mit ihren personenbezogenen Daten einreichen möchten, sowie eine Frist für die Bestätigung des Eingangs (innerhalb von 30 Tagen und eine Antwort ‘ohne unnötige Verzögerung’).

Neue Befugnisse der ICO

Unternehmen sollten sich bewusst sein, dass die ICO im Rahmen des DUAA so umstrukturiert wird, dass sie mit anderen britischen Aufsichtsbehörden vergleichbar ist und über einen CEO sowie einen Vorstand verfügt. Paul Arnold wurde als erster CEO benannt. Die Befugnisse der ICO werden ebenfalls erweitert, mit neuen Ermittlungs- und Durchsetzungsbefugnissen sowie der Möglichkeit, Strafen von bis zu 17,5 Millionen Pfund oder 41 % des weltweiten Umsatzes zu verhängen. Eine der neuen Befugnisse der ICO ist die Möglichkeit, ‘Vorladungen’ und ‘Auskunftsaufforderungen’ zu erlassen, anhand derer die ICO prüfen wird, ob Datenschutzbestimmungen verletzt wurden. Die ICO muss diese erweiterten Befugnisse mit ihren neuen Pflichten und Berichtspflichten in Einklang bringen.

Daher ist es wichtiger denn je, sicherzustellen, dass Unternehmen die geltenden Vorschriften einhalten, entsprechende Nachweise vorlegen und ihre Prozesse begründen können. Im Hinblick auf den Einsatz von KI-Systemen sollten Unternehmen die damit verbundenen Risiken, Möglichkeiten zur Risikominderung sowie die potenziellen Datenschutzprobleme verstehen.

Die ICO bekräftigt in ihren Leitlinien, dass sie weiterhin als ‘vertrauenswürdige, faire und unabhängige Regulierungsbehörde’ agieren wird und sich darauf konzentrieren wird, weiterhin Beratung und Dienstleistungen anzubieten, während sie gleichzeitig ‘den Verwaltungsaufwand verringert’ und ‘Innovation und Wachstum’ fördert.

Einhaltung der Vorschriften sicherstellen

Die Anforderungen verstehen

Unternehmen sollten alle wesentlichen Bestimmungen prüfen und sich über bestehende sowie bevorstehende Änderungen informieren, um sicherzustellen, dass die entsprechenden Richtlinien und Vorgehensweisen bei Bedarf aktualisiert werden. Wir empfehlen Unternehmen zudem, die unten verlinkten Leitfäden zu lesen und weiterhin auf weitere Erläuterungen und Leitlinien zu achten (bitte beachten Sie, dass weitere Leitlinien der ICO zu gegebener Zeit veröffentlicht werden).

Um die Anforderungen zu erfüllen, ist es entscheidend zu verstehen, welche der Änderungen auf Ihr spezifisches Geschäftsmodell zutreffen und welche Bereiche Ihres Unternehmens davon betroffen sein werden.

Die DUAA ist sehr umfangreich, und es kann sich lohnen, rechtlichen Rat einzuholen, um sicherzustellen, dass Ihr Unternehmen die geltenden Datenschutzbestimmungen einhält und für künftige Änderungen gerüstet ist.

Aktualisierung von Richtlinien, Verträgen, Schulungsunterlagen und Systemen

Es ist zudem wichtig zu prüfen, ob Schulungsunterlagen für Mitarbeiter und Kundenverträge aktualisiert werden müssen. Die Aktualisierung von Richtlinien und Verträgen trägt nicht nur zur Einhaltung der Vorschriften bei, sondern kann auch das Vertrauen der Kunden stärken und Risiken minimieren.

Branchenspezifische Beispiele für die Aktualisierung von Systemen und Richtlinien:

• Einrichtung eines geeigneten Systems zur Bearbeitung von Beschwerden im Zusammenhang mit der Datennutzung, sofern dies noch nicht geschehen ist.
• Einrichtung eines angemessenen Systems zum Schutz von Kindern bei der Nutzung von Online-Diensten.
• Erfassung und Dokumentation aller Verarbeitungsvorgänge auf der Grundlage anerkannter berechtigter Interessen sowie entsprechende Aktualisierung der Datenschutzerklärung.
• Die Nutzung von KI in automatisierten Entscheidungsprozessen in Ihrer Organisation zu untersuchen und zu dokumentieren, einschließlich der Funktionsweise dieser Systeme, der Art der Eingabedaten und der Gründe für den Einsatz automatisierter Entscheidungsprozesse.
• Wenn Sie Änderungen an Ihren Prozessen vornehmen, um die Innovation zu fördern, sollten Sie die Datenschutzrichtlinien und die entsprechenden Verträge entsprechend anpassen.
• Sicherstellen, dass in den Richtlinien klar dargelegt wird, welche Schutzmaßnahmen im Zusammenhang mit automatisierten Entscheidungen getroffen wurden.
• Erwägen Sie die Ernennung eines Datenschutzbeauftragten (DSB), der die Einhaltung der Vorschriften überwacht und als Ansprechpartner für datenschutzbezogene Fragen fungiert.

Leitfaden für ICOs: Britische Organisationen können von neuen Datenschutzgesetzen profitieren | ICO

Behördliche Leitlinien: Gesetz über Daten (Nutzung und Zugriff) von 2025: Änderungen im Bereich Datenschutz und Privatsphäre – GOV.UK

Weitere Nachrichten

23andMe

Das Gentestunternehmen 23andMe wurde von der ICO mit einer Geldstrafe in Höhe von 2,31 Millionen Pfund belegt, da es keine ausreichenden Sicherheitsmaßnahmen zum Schutz personenbezogener Daten getroffen hatte. Dies folgt auf einen Cyberangriff im Jahr 2023, der zur Offenlegung der personenbezogenen Daten (einschließlich genetischer Daten) von über 150.000 Nutzern im Vereinigten Königreich und Millionen weltweit führte. Es wurde berichtet, dass es zwar bereits Anfang 2023 Meldungen über Datendiebstahl gab, diese jedoch als unbegründet abgetan wurden, und dass es erst zu einer umfassenden Untersuchung kam, als die gestohlenen Daten im Oktober 2023 auf Reddit zum Verkauf angeboten wurden. Dieser Fall unterstreicht, wie wichtig es ist, angemessene Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung zu ergreifen und bei der Speicherung von Daten besonderer Kategorien besondere Vorsichtsmaßnahmen zu treffen.

Die EU verlängert die Angemessenheitsbeschlüsse für das Vereinigte Königreich um sechs Monate  

Die Europäische Kommission hat ihre Angemessenheitsbeschlüsse bezüglich der Datenübermittlung in das Vereinigte Königreich um sechs Monate verlängert; sie laufen nun am 27. Dezember 2025 aus. Dies verschafft Zeit für die Bewertung des DUAA. ‘Angemessenheit’ ist der Begriff, mit dem die EU die Fähigkeit von Ländern beschreibt, ein Datenschutzniveau zu gewährleisten, das dem der EU ‘im Wesentlichen gleichwertig’ ist.

Internet der Dinge – aktualisierte Leitlinien der ICO

Die ICO hat aktualisierte Leitlinien zur Verarbeitung personenbezogener Daten in IoT-Produkten für Verbraucher sowie zur Anwendung des britischen Datenschutzrechts und der „Privacy and Electronic Communications Regulations 2003“ herausgegeben. Zu den IoT-Produkten für Verbraucher zählen beispielsweise intelligente Glühbirnen und Smartwatches. Die vollständigen Leitlinien finden Sie hier: Über diesen Leitfaden | ICO.

Brasiliens neue Gesetze zur künstlichen Intelligenz

Brasilien legt einen Gesetzentwurf zur Regulierung künstlicher Intelligenz vor, dessen Schwerpunkt auf der Risikobewertung und der Festlegung individueller Rechte liegt. Bestimmte KI-Systeme werden darin als mit übermäßig hohem Risiko behaftet eingestuft, beispielsweise solche, die zum Zweck des ‘Social Scoring’ eingesetzt werden (d. h. der Verwendung von KI, um Einzelpersonen durch Überwachung einen Wert zuzuweisen und damit ihre Rechte zu bestimmen).

Wie wir helfen können

Wir helfen Ihnen gerne dabei, die Auswirkungen der britischen Datenschutzgesetze auf Ihr Unternehmen zu verstehen und zu ermitteln, wie Sie Ihr Unternehmen am besten schützen können. Wenn Sie eine Überprüfung oder Aktualisierung Ihrer Richtlinien und Verträge benötigen, wenden Sie sich bitte an unser Team.