UK Data Use and Access Act (DUAA) 2025 – Warum es für Ihr Unternehmen wichtig ist

Der Data (Use and Access) Act (DUAA) wurde am 19. Juni 2025 vom britischen Königreich verabschiedet. Der DUAA reformiert die Verwaltung nicht personenbezogener und personenbezogener Daten im Vereinigten Königreich (UK) und zielt darauf ab, die effektive Nutzung von Daten zu ermöglichen.

Die Verordnung ändert aber ersetzt nicht die Gesetze, die den Datenschutz zuvor geregelt haben, wie die britische Datenschutz-Grundverordnung (UK GDPR), das Datenschutzgesetz von 2018 (DPA) und die Datenschutzrichtlinie für elektronische Kommunikation (EG-Richtlinie) von 2003 (PERC)

Während der Data Use and Access Act 2025 (DUAA) mit der königlichen Zustimmung im Juni 2025 offiziell zum Gesetz wurde, werden die meisten seiner Bestimmungen zu den vom Staatssekretär durch sekundäre Rechtsvorschriften festgelegten Terminen in Kraft treten

Welche sind die wichtigsten Änderungen im Bereich des Datenschutzes und welche Auswirkungen haben diese für Unternehmen, die unter Teil 5 des Gesetzes fallen?

  1. Anerkannte berechtigte Interessen
    Unternehmen können nun personenbezogene Daten für bestimmte Zwecke des öffentlichen Interesses verarbeiten, wie z. B. die Weitergabe von Daten an öffentliche Stelle, den Schutz schutzbedürftiger Personen und die Verbrechensbekämpfung, wenn ein berechtigtes Interesse besteht, ohne dass eine Prüfung des berechtigten Interesses erforderlich ist. Anhang 4 des DUAA fügt einen neuen Anhang in die britische DSGVO ein und legt die Bedingungen fest, die eine Organisation erfüllen muss, wenn sie sich auf die neuen anerkannten berechtigten Interessen als Rechtsgrundlage für die Verarbeitung beruft. 
     
  2. Klarheit über Verarbeitungstätigkeiten, die sich auf berechtigtes Interesse stützen können
    Das Gesetz umfasst Verarbeitungstätigkeiten, die sich auf ein berechtigtes Interesse stützen können, darunter Direktmarketing, gruppeninterne Übermittlungen zu Verwaltungszwecken und die Sicherheit von Netz- und Informationssystemen. Die Bestimmung war zuvor im Erwägungsgrund der britischen DSGVO enthalten, war jedoch nicht verbindlich, ist nun aber ausdrücklich im DUAA vorgesehen.
     
  3.  Automatisierte Entscheidungen
    Im Gegensatz zu den Beschränkungen in der britischen DSGVO lockert Abschnitt 80 des DUAA die Beschränkungen für automatisierte Entscheidungen, sofern angemessene Schutzvorkehrungen getroffen werden. Zu diesen Schutzvorkehrungen gehören Transparenz darüber, wie Entscheidungen getroffen werden, die Möglichkeit für die betroffene Person, die Entscheidung anzufechten und menschliches Eingreifen zu erwirken. Dies ist eine willkommene Entwicklung für viele Unternehmen, die interne Prozesse automatisieren und KI in Großbritannien einsetzen möchten.
    Es ist wichtig zu erwähnen, dass automatisierte Entscheidungen unter Verwendung besonderer Kategorien personenbezogener Daten weiterhin nicht zulässig sind.
     
  4. Auskunftsverlangen der betroffenen Person
    Der DUAA vereinfacht den Prozess, indem er den Verantwortlichen erlaubt, die Antwortfrist auszusetzen, wenn sie weitere Informationen benötigen, um die relevanten Daten oder Verarbeitungstätigkeiten im Zusammenhang mit der Anfrage zu identifizieren. Darüber hinaus kann der Verantwortliche bei der Beantwortung einer DSAR der betroffenen Person nur nach einer angemessenen und verhältnismäßigen Suche eine Antwort geben.
     
  5. Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation
    Das Gesetz ersetzt die nach der britischen DSGVO erforderliche Angemessenheitsentscheidung durch einen „Datenschutz-Test“. Der Test bewertet, ob der Schutz im Zielland nicht wesentlich geringer ist als im Vereinigten Königreich, und berücksichtigt dabei mehr Faktoren als die in der britischen DSGVO genannten. Der Minister würde die internationale Übermittlung an Drittländer und internationale Organe genehmigen, die den Test bestehen.
    Es ist wichtig zu erwähnen, dass die internationale Übermittlung gemäß dem Gesetz nur dann gilt, wenn ein Datenschutz-Test durchgeführt wurde, angemessene Schutzvorkehrungen getroffen wurden (wie in der DSGVO) und eine Ausnahmeregelung für bestimmte Situationen in Anspruch genommen wird (wie in der DSGVO).
     
  6. Kinder und Online-Dienste
    Die DUAA verpflichtet Unternehmen, die Online-Dienste anbieten, die möglicherweise auch von Kindern genutzt werden, deren Bedürfnisse (als besonders schutzbedürftige Personen) bei der Entscheidung über die Verwendung ihrer personenbezogenen Daten zu berücksichtigen. Unternehmen können diese Anforderung bereits erfüllen, wenn sie den Age-Appropriate Design Code (AADC) der ICO einhalten.
    Laut der Website der Kommission wird der Kodex derzeit jedoch überarbeitet.
     
  7. Beschwerden zum Datenschutz
    Betroffene Personen können sich direkt an den Verantwortlichen wenden, wenn sie der Ansicht sind, dass bei der Verarbeitung ihrer personenbezogenen Daten eine Verletzung vorliegt. Die DUAA verpflichtet Unternehmen daher, Maßnahmen zu ergreifen, um betroffene Personen, die solche Beschwerden einreichen möchten, zu unterstützen, beispielsweise durch die Bereitstellung eines elektronischen Beschwerdeformulars, wie von der ICO vorgeschlagen. Es gilt eine 30-Tage-Regel für die Bestätigung des Eingangs von Beschwerden und die Antwort an die betroffene Person.
     
  8. Forschung
    Das Gesetz erweitert die Definition der Verarbeitung, die unter historische, statistische und wissenschaftliche Zwecke fallen kann. So kann wissenschaftliche Forschung nun auch kommerzielle oder nichtkommerzielle Tätigkeiten sowie Studien zur technologischen Entwicklung umfassen. Es enthält auch Faktoren, die bei der Beurteilung zu berücksichtigen sind, ob eine weitere Verarbeitung personenbezogener Daten zu wissenschaftlichen, historischen, archivarischen oder statistischen Zwecken ohne Unterrichtung der betroffenen Person erforderlich ist, wenn dies einen unverhältnismäßigen Aufwand bedeuten würde.
     
  9. Cookies und elektronische Kommunikation
    Mit dem Gesetz werden auch einige Bestimmungen der Datenschutzrichtlinie für elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR) geändert.

    * Einwilligung zu Cookies: Unternehmen können bestimmte Arten von Cookies setzen, ohne eine Einwilligung einzuholen. Allerdings müssen den betroffenen Personen auch in diesem Fall klare Informationen bereitgestellt werden und sie müssen die Möglichkeit haben, die Verwendung von Cookies abzulehnen. Zu diesen Ausnahmen gehören Cookies, die statistische Informationen über die Nutzung des Dienstes oder der Website sammeln, Cookies, die die Funktionalität der Website oder die Präferenzen der Nutzer ermöglichen, und Cookies, die eine geografische Verfolgung ermöglichen, um Hilfe bei Notfallkommunikation zu leisten.
    * Cookie-Einwilligungsregel: Die Einwilligung ist auch von Unternehmen erforderlich, die die Speicherung veranlassen oder Zugriff auf gespeicherte Daten haben.
    * Soft Opt-in für Wohltätigkeitsorganisationen: Wohltätigkeitsorganisationen und gemeinnützige Einrichtungen können nun bei der Versendung von Direktmarketing per E-Mail auf die Soft-Opt-in-Regelung zurückgreifen, sofern die Empfänger eine klare Möglichkeit zum Opt-out haben.
    * Höhere Bußgelder: Die DUAA gleicht die Höchststrafen für Verstöße gegen die PECR, einschließlich Cookie-Verstöße, an die der britischen DSGVO an, die Bußgelder von bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes vorsieht.
    * Verhaltenskodizes: Die Informationskommission (ehemals ICO) kann nun repräsentative Gremien dazu ermutigen, Verhaltenskodizes zur Unterstützung der Einhaltung der PECR zu entwickeln und solche Gremien zu akkreditieren.

Von Unternehmen erforderliche Maßnahmen

  • Bewerten Sie die aktuelle Rechtsgrundlage für die Verarbeitung in Ihrem Unternehmen und passen Sie Ihre Dokumente (Datenschutzerklärung, ROPA usw.) an die Anforderungen des Gesetzes an.
  • Implementieren Sie ein Beschwerdeverfahren, das sicherstellt, dass betroffene Personen Beschwerden direkt an das Unternehmen richten können und dass Beschwerden umgehend bearbeitet werden.
  • Überprüfen Sie die aktuellen Rechtsgrundlagen für Cookies und Tracking-Technologien.
  • Berücksichtigen Sie bei der Verarbeitung personenbezogener Daten von Kindern den Grundsatz des Datenschutzes durch Technik und durch datenschutzfreundliche Gestaltung und halten Sie insbesondere den Age-Appropriate Design Code (AADC) der ICO ein. 

Die ePrivacy GmbH unterstützt Ihr Unternehmen bei der Einhaltung der DUAA und hält Sie über die aktuellen Entwicklungen in Großbritannien auf dem Laufenden.

ePrivacy GmbH