Der Data (Use and Access) Act (DUAA) wurde im Juni 2025 verabschiedet. Der DUAA führte mehrere Änderungen an bestehenden Datenschutzgesetzen ein, darunter die britische Datenschutz-Grundverordnung von 2016 (UK GDPR), das Datenschutzgesetz von 2018 (DPA) und die Datenschutzrichtlinie für elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR).
Laut der offiziellen Website der britischen Regierung werden die Bestimmungen des Gesetzes schrittweise umgesetzt. Für eine vollständige Übersicht der Änderungen verweisen wir auf unseren Newsletter-Artikel vom August 2025.
Die letzten Bestimmungen zur Bearbeitung von Datenschutzbeschwerden treten 12 Monate nach der Verabschiedung in Kraft, also am 19. Juni 2026.
Artikel 103 DUAA ändert Abschnitt 164A des DPA und führt eine neue Pflicht für Unternehmen ein:
- Betroffene zum Zeitpunkt der Datenerhebung über ihr Recht zu informieren, Beschwerden direkt beim Unternehmen einzureichen; und
- Einen Mechanismus zur Einreichung von Datenschutzbeschwerden beim Unternehmen bereitzustellen. Dieser beinhaltet:
* den Betroffenen einen klaren Weg aufzeigen, wie sie eine Datenschutzbeschwerde einreichen können (bspw. über ein Formular);
* diese innerhalb von 30 Tagen nach Eingang bestätigen;
* ohne unnötige Verzögerung geeignete Maßnahmen zur Untersuchung ergreifen und die Betroffenen auf dem Laufenden halten; und
* den Beschwerdeführer über das Ergebnis informieren.
Unternehmen müssen daher ein internes Verfahren zur Bearbeitung von Datenschutzbeschwerden einrichten und die eingegangenen Beschwerden protokollieren, da dies von der Informationskommission (ICO) verlangt werden kann.
Weitere Informationen sind auf der Website des ICO zu finden.
Bei ePrivacy GmbH unterstützen wir Ihr Unternehmen bei der Einhaltung der durch den DUAA eingeführten Änderungen und halten Sie über aktuelle Entwicklungen im Vereinigten Königreich auf dem Laufenden.