{"id":2458,"date":"2025-08-14T09:36:17","date_gmt":"2025-08-14T07:36:17","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2458"},"modified":"2025-08-14T14:02:02","modified_gmt":"2025-08-14T12:02:02","slug":"das-britische-gesetz-ueber-die-datenverwendung-und-den-datenzugang-von-2025-warum-es-fuer-ihr-unternehmen-wichtig-ist","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2458&lang=de","title":{"rendered":"UK Data Use and Access Act (DUAA) 2025 \u2013 Warum es f\u00fcr Ihr Unternehmen wichtig ist"},"content":{"rendered":"\n

Der Data (Use and Access) Act (DUAA)<\/a> wurde am 19. Juni 2025 vom britischen K\u00f6nigreich verabschiedet. Der DUAA reformiert die Verwaltung nicht personenbezogener und personenbezogener Daten im Vereinigten K\u00f6nigreich (UK) und zielt darauf ab, die effektive Nutzung von Daten zu erm\u00f6glichen.

Die Verordnung \u00e4ndert aber ersetzt nicht die Gesetze, die den Datenschutz zuvor geregelt haben, wie die britische Datenschutz-Grundverordnung (UK GDPR)<\/a>, das Datenschutzgesetz von 2018 (DPA)<\/a> und die Datenschutzrichtlinie f\u00fcr elektronische Kommunikation (EG-Richtlinie) von 2003 (PERC)<\/a>. 

W\u00e4hrend der Data Use and Access Act 2025 (DUAA) mit der k\u00f6niglichen Zustimmung im Juni 2025 offiziell zum Gesetz wurde, werden die meisten seiner Bestimmungen zu den vom Staatssekret\u00e4r durch sekund\u00e4re Rechtsvorschriften festgelegten Terminen in Kraft treten

Welche sind die wichtigsten \u00c4nderungen im Bereich des Datenschutzes und welche Auswirkungen haben diese f\u00fcr Unternehmen, die unter Teil 5 des Gesetzes fallen?<\/strong><\/p>\n\n\n\n

  1. Anerkannte berechtigte Interessen<\/strong>
    Unternehmen k\u00f6nnen nun personenbezogene Daten f\u00fcr bestimmte Zwecke des \u00f6ffentlichen Interesses verarbeiten, wie z. B. die Weitergabe von Daten an \u00f6ffentliche Stelle, den Schutz schutzbed\u00fcrftiger Personen und die Verbrechensbek\u00e4mpfung, wenn ein berechtigtes Interesse besteht, ohne dass eine Pr\u00fcfung des berechtigten Interesses erforderlich ist. Anhang 4 des DUAA f\u00fcgt einen neuen Anhang in die britische DSGVO ein und legt die Bedingungen fest, die eine Organisation erf\u00fcllen muss, wenn sie sich auf die neuen anerkannten berechtigten Interessen als Rechtsgrundlage f\u00fcr die Verarbeitung beruft. 
     <\/li>
  2. Klarheit \u00fcber Verarbeitungst\u00e4tigkeiten, die sich auf berechtigtes Interesse st\u00fctzen k\u00f6nnen<\/strong>
    Das Gesetz umfasst Verarbeitungst\u00e4tigkeiten, die sich auf ein berechtigtes Interesse st\u00fctzen k\u00f6nnen, darunter Direktmarketing, gruppeninterne \u00dcbermittlungen zu Verwaltungszwecken und die Sicherheit von Netz- und Informationssystemen. Die Bestimmung war zuvor im Erw\u00e4gungsgrund der britischen DSGVO enthalten, war jedoch nicht verbindlich, ist nun aber ausdr\u00fccklich im DUAA vorgesehen.
     <\/li>
  3.  Automatisierte Entscheidungen<\/strong>
    Im Gegensatz zu den Beschr\u00e4nkungen in der britischen DSGVO lockert Abschnitt 80 des DUAA die Beschr\u00e4nkungen f\u00fcr automatisierte Entscheidungen, sofern angemessene Schutzvorkehrungen getroffen werden. Zu diesen Schutzvorkehrungen geh\u00f6ren Transparenz dar\u00fcber, wie Entscheidungen getroffen werden, die M\u00f6glichkeit f\u00fcr die betroffene Person, die Entscheidung anzufechten und menschliches Eingreifen zu erwirken. Dies ist eine willkommene Entwicklung f\u00fcr viele Unternehmen, die interne Prozesse automatisieren und KI in Gro\u00dfbritannien einsetzen m\u00f6chten.
    Es ist wichtig zu erw\u00e4hnen, dass automatisierte Entscheidungen unter Verwendung besonderer Kategorien personenbezogener Daten weiterhin nicht zul\u00e4ssig sind.
     <\/li>
  4. Auskunftsverlangen der betroffenen Person<\/strong>
    Der DUAA vereinfacht den Prozess, indem er den Verantwortlichen erlaubt, die Antwortfrist auszusetzen, wenn sie weitere Informationen ben\u00f6tigen, um die relevanten Daten oder Verarbeitungst\u00e4tigkeiten im Zusammenhang mit der Anfrage zu identifizieren. Dar\u00fcber hinaus kann der Verantwortliche bei der Beantwortung einer DSAR der betroffenen Person nur nach einer angemessenen und verh\u00e4ltnism\u00e4\u00dfigen Suche eine Antwort geben.
     <\/li>
  5. \u00dcbermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation<\/strong>
    Das Gesetz ersetzt die nach der britischen DSGVO erforderliche Angemessenheitsentscheidung durch einen \u201eDatenschutz-Test\u201c. Der Test bewertet, ob der Schutz im Zielland nicht wesentlich geringer ist als im Vereinigten K\u00f6nigreich, und ber\u00fccksichtigt dabei mehr Faktoren als die in der britischen DSGVO genannten. Der Minister w\u00fcrde die internationale \u00dcbermittlung an Drittl\u00e4nder und internationale Organe genehmigen, die den Test bestehen.
    Es ist wichtig zu erw\u00e4hnen, dass die internationale \u00dcbermittlung gem\u00e4\u00df dem Gesetz nur dann gilt, wenn ein Datenschutz-Test durchgef\u00fchrt wurde, angemessene Schutzvorkehrungen getroffen wurden (wie in der DSGVO) und eine Ausnahmeregelung f\u00fcr bestimmte Situationen in Anspruch genommen wird (wie in der DSGVO).
     <\/li>
  6. Kinder und Online-Dienste<\/strong>
    Die DUAA verpflichtet Unternehmen, die Online-Dienste anbieten, die m\u00f6glicherweise auch von Kindern genutzt werden, deren Bed\u00fcrfnisse (als besonders schutzbed\u00fcrftige Personen) bei der Entscheidung \u00fcber die Verwendung ihrer personenbezogenen Daten zu ber\u00fccksichtigen. Unternehmen k\u00f6nnen diese Anforderung bereits erf\u00fcllen, wenn sie den Age-Appropriate Design Code (AADC) der ICO einhalten.
    Laut der Website der Kommission wird der Kodex derzeit jedoch \u00fcberarbeitet.
     <\/li>
  7. Beschwerden zum Datenschutz<\/strong>
    Betroffene Personen k\u00f6nnen sich direkt an den Verantwortlichen wenden, wenn sie der Ansicht sind, dass bei der Verarbeitung ihrer personenbezogenen Daten eine Verletzung vorliegt. Die DUAA verpflichtet Unternehmen daher, Ma\u00dfnahmen zu ergreifen, um betroffene Personen, die solche Beschwerden einreichen m\u00f6chten, zu unterst\u00fctzen, beispielsweise durch die Bereitstellung eines elektronischen Beschwerdeformulars, wie von der ICO vorgeschlagen. Es gilt eine 30-Tage-Regel f\u00fcr die Best\u00e4tigung des Eingangs von Beschwerden und die Antwort an die betroffene Person.
     <\/li>
  8. Forschung<\/strong>
    Das Gesetz erweitert die Definition der Verarbeitung, die unter historische, statistische und wissenschaftliche Zwecke fallen kann. So kann wissenschaftliche Forschung nun auch kommerzielle oder nichtkommerzielle T\u00e4tigkeiten sowie Studien zur technologischen Entwicklung umfassen. Es enth\u00e4lt auch Faktoren, die bei der Beurteilung zu ber\u00fccksichtigen sind, ob eine weitere Verarbeitung personenbezogener Daten zu wissenschaftlichen, historischen, archivarischen oder statistischen Zwecken ohne Unterrichtung der betroffenen Person erforderlich ist, wenn dies einen unverh\u00e4ltnism\u00e4\u00dfigen Aufwand bedeuten w\u00fcrde.
     <\/li>
  9. Cookies und elektronische Kommunikation<\/strong>
    Mit dem Gesetz werden auch einige Bestimmungen der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR) ge\u00e4ndert.

    * Einwilligung zu Cookies: Unternehmen k\u00f6nnen bestimmte Arten von Cookies setzen, ohne eine Einwilligung einzuholen. Allerdings m\u00fcssen den betroffenen Personen auch in diesem Fall klare Informationen bereitgestellt werden und sie m\u00fcssen die M\u00f6glichkeit haben, die Verwendung von Cookies abzulehnen. Zu diesen Ausnahmen geh\u00f6ren Cookies, die statistische Informationen \u00fcber die Nutzung des Dienstes oder der Website sammeln, Cookies, die die Funktionalit\u00e4t der Website oder die Pr\u00e4ferenzen der Nutzer erm\u00f6glichen, und Cookies, die eine geografische Verfolgung erm\u00f6glichen, um Hilfe bei Notfallkommunikation zu leisten.
    * Cookie-Einwilligungsregel: Die Einwilligung ist auch von Unternehmen erforderlich, die die Speicherung veranlassen oder Zugriff auf gespeicherte Daten haben.
    * Soft Opt-in f\u00fcr Wohlt\u00e4tigkeitsorganisationen: Wohlt\u00e4tigkeitsorganisationen und gemeinn\u00fctzige Einrichtungen k\u00f6nnen nun bei der Versendung von Direktmarketing per E-Mail auf die Soft-Opt-in-Regelung zur\u00fcckgreifen, sofern die Empf\u00e4nger eine klare M\u00f6glichkeit zum Opt-out haben.
    * H\u00f6here Bu\u00dfgelder: Die DUAA gleicht die H\u00f6chststrafen f\u00fcr Verst\u00f6\u00dfe gegen die PECR, einschlie\u00dflich Cookie-Verst\u00f6\u00dfe, an die der britischen DSGVO an, die Bu\u00dfgelder von bis zu 17,5 Millionen Pfund oder 4 % des weltweiten Jahresumsatzes vorsieht.
    * Verhaltenskodizes: Die Informationskommission (ehemals ICO) kann nun repr\u00e4sentative Gremien dazu ermutigen, Verhaltenskodizes zur Unterst\u00fctzung der Einhaltung der PECR zu entwickeln und solche Gremien zu akkreditieren.<\/li><\/ol>\n\n\n\n

    Von Unternehmen erforderliche Ma\u00dfnahmen<\/strong><\/p>\n\n\n\n