Der Data (Use and Access) Act (DUAA) wurde im Juni 2025 verabschiedet. Der DUAA führte mehrere Änderungen an bestehenden Datenschutzgesetzen ein, darunter die britische Datenschutz-Grundverordnung von 2016 (UK GDPR), das Datenschutzgesetz von 2018 (DPA) und die Datenschutzrichtlinie für elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR).
Laut der offiziellen Website der britischen Regierung werden die Bestimmungen des Gesetzes schrittweise umgesetzt. Viele der datenschutzrelevanten Änderungen in Abschnitt 5 des DUAA traten im Februar 2026 in Kraft, etwa sechs Monate nach der Verabschiedung.
Eine dieser Änderungen wurde durch Artikel 81 des DUAA eingeführt, der Artikel 25 der UK GDPR zu Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen ändert. Diese Änderung verpflichtet Unternehmen, die Online-Dienste anbieten, die wahrscheinlich von Kindern genutzt werden, technische und organisatorische Maßnahmen zu ergreifen, um deren Schutz zu gewährleisten.
Weitere Änderungen, die auch in Kraft sind, ohne die Liste komplett abzudecken, sind:
- Anpassungen der Zweckbindungsregelungen.
- Die Einführung einer neuen Rechtsgrundlage, die als „anerkanntes berechtigtes Interesse“ bezeichnet wird.
- Änderungen der Cookie-Regeln, die es unter bestimmten Bedingungen ermöglichen, bestimmte Kategorien von Cookies und ähnlichen Technologien ohne vorherige Einwilligung zu setzen.
Für eine vollständige Übersicht der Änderungen verweisen wir auf unseren Newsletter-Artikel vom August 2025.
Bevorstehende Verpflichtung: Umgang mit Datenschutzbeschwerden
Die letzten Bestimmungen zur Bearbeitung von Datenschutzbeschwerden treten 12 Monate nach der Verabschiedung in Kraft, also im Juni 2026.
Welche Maßnahmen sollten Unternehmen ergreifen?
Angesichts dieser Entwicklungen sollten Unternehmen:
- Prüfen, ob ihre Dienste wahrscheinlich von Kindern genutzt werden, und technische und organisatorische Maßnahmen zu deren Schutz umsetzen.
- Ein Beschwerdeverfahren einführen, das Betroffene klar über ihr Recht informiert, Beschwerden direkt beim Unternehmen einzureichen, und erklärt, wie dies möglich ist.
- einen internen Prozess zur unverzüglichen Bearbeitung von Datenschutzbeschwerden gestalten.
- Mitarbeiter in der Bearbeitung von Datenschutzbeschwerden schulen.
- Die Rolle des Unternehmens nach der UK GDPR klären und mit gemeinsamen Verantwortlichen und Auftragsverarbeitern Vereinbarungen zur Beschwerdebearbeitung treffen und im AVV ergänzen.
- Die Rechtsgrundlagen für die Verarbeitung prüfen und Dokumente (Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten (VVT)) bei Bedarf an die Anforderungen des DUAA anpassen.
- Den Einsatz von Cookies und Tracking-Technologien auf Websites, Apps oder Produkten auf Compliance überprüfen.
Bei ePrivacy GmbH unterstützen wir Ihr Unternehmen bei der Einhaltung der durch den DUAA eingeführten Änderungen und halten Sie über aktuelle Entwicklungen im Vereinigten Königreich auf dem Laufenden.