Der britische Data Use and Access Act (DUAA) aktualisiert die britischen Datenschutzrichtlinien und ergänzt die bestehenden britischen DSGVO- und PECR-Vorschriften (Privacy and Electronic Communications Regulations). Die Idee hinter dem DUAA ist es, die Datenverarbeitung für Innovation und Wachstum zu vereinfachen. Sind Sie bereit für den DUAA?
Die britische Datenschutz-Grundverordnung (UK GDPR) ist die britische Version der EU-DSGVO. Nach dem Brexit wurde die EU-DSGVO mit geringfügigen Änderungen über den Data Protection Act 2018 in britisches Recht übernommen. Während die Grundprinzipien nahezu identisch mit denen der EU-DSGVO sind, gibt es wichtige Unterschiede, die britische Unternehmen – und alle Organisationen, die mit den Daten britischer Einwohner umgehen – beachten müssen. Im Jahr 2025 wurde diese sogenannte UK GDPR zum Data Use and Access Act (DUAA).
Wie die EU-DSGVO legt auch die DUAA strenge Anforderungen an die Erhebung, Verarbeitung und Sicherung personenbezogener Daten durch Unternehmen fest. Um die Vorschriften einzuhalten, müssen Unternehmen:
Verarbeiten Sie personenbezogene Daten fair und rechtmäßig:
Die Datenerhebung und -nutzung muss rechtmäßig, fair und transparent sein.
Daten für bestimmte Zwecke sammeln:
Personenbezogene Daten dürfen nur zu klar definierten und legitimen Zwecken erhoben werden.
Benennen Sie einen Datenverantwortlichen:
Es muss eine Einzelperson (oder Organisation) benannt werden, die für den Nachweis der Einhaltung verantwortlich ist.
Beschränken Sie die Erfassung und Speicherung:
Befolgen Sie das Prinzip der Datenminimierung: Sammeln Sie nur das Nötigste und speichern Sie es nur so lange wie nötig.
Genauigkeit beibehalten:
Stellen Sie sicher, dass die personenbezogenen Daten korrekt und auf dem neuesten Stand sind.
Datensicherheit schützen:
Wenden Sie geeignete technische und organisatorische Maßnahmen an, um Integrität, Vertraulichkeit und Verfügbarkeit zu gewährleisten.
Die DUAA/UK-DSGVO gilt für:
Jede Organisation mit Sitz im Vereinigten Königreich, die personenbezogene Daten verarbeitet.
Jede Organisation außerhalb des Vereinigten Königreichs, die Waren oder Dienstleistungen für Einwohner des Vereinigten Königreichs anbietet oder deren Verhalten überwacht.
Das bedeutet, dass Sie die DSGVO möglicherweise auch dann einhalten müssen, wenn Ihr Unternehmen außerhalb des Vereinigten Königreichs ansässig ist und Sie mit den Daten britischer Bürger arbeiten.
Die DUAA/UK GDPR gewährt Einzelpersonen eine Reihe robuster Datenschutzrechte:
Einzelpersonen können eine Kopie ihrer personenbezogenen Daten anfordern.
Betroffene Personen können unrichtige oder unvollständige Daten korrigieren.
Einzelpersonen können die Löschung ihrer personenbezogenen Daten verlangen.
Die Menschen können die Verwendung ihrer Daten einschränken.
Die Daten müssen in einem nutzbaren, übertragbaren Format bereitgestellt werden.
Einzelpersonen können die Verwendung ihrer Daten für Profilerstellung, Marketingzwecke oder andere Zwecke ablehnen.
Menschen werden vor Entscheidungen geschützt, die ausschließlich automatisiert und ohne menschliche Beteiligung getroffen werden.
Cookies bleiben ein kritisches Compliance-Problem. Gemäß der DUAA/UK GDPR und den britischen Datenschutz- und elektronischen Kommunikationsvorschriften (PECR) müssen Websites vor dem Setzen der meisten Arten von Cookies eine gültige Einwilligung einholen.
Compliance erfordert:
Informierte Einwilligung: Nutzer müssen nicht unbedingt erforderliche Cookies akzeptieren.
Transparenz: Kategorien, Zwecke und Aufbewahrungsfristen der über Cookies erfassten Daten müssen klar angegeben werden.
Einfacher Widerruf: Nutzer können ihre Einwilligung jederzeit problemlos widerrufen.
Für die meisten britischen Websites bedeutet dies die Implementierung eines Cookie-Einwilligungsbanners, das den Nutzern eine echte und klare Wahlmöglichkeit bietet.
Das Information Commissioner’s Office (ICO) setzt die britische DSGVO durch. Bußgelder können bis zu 17,5 Millionen GBP oder 4 % des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Neben Geldstrafen drohen bei Verstößen folgende Risiken:
Verlust des Verbrauchervertrauens
Vertragsrisiken, wenn Partner einen Nachweis der Einhaltung verlangen
Rechtliche Schritte von Einzelpersonen
Unternehmen sollten proaktive Schritte unternehmen, um das Compliance-Risiko zu verringern:
Überprüfen Sie die Datenpraktiken:
Überprüfen Sie, wie Daten erfasst, verarbeitet und weitergegeben werden, und stellen Sie die Einhaltung der DUAA sicher.
Implementieren Sie das Einwilligungsmanagement:
Verwenden Sie eine Consent Management Platform (CMP) wie CookieHub, um die Einhaltung von Cookie- und Einwilligungsbestimmungen zu optimieren.
Partnerverträge prüfen:
Aktualisieren Sie Verträge mit Drittanbietern, um sicherzustellen, dass sie den Verpflichtungen der britischen DSGVO entsprechen.
Datenschutzrichtlinien aktualisieren:
Erklären Sie klar und deutlich, wie personenbezogene Daten verwendet, gespeichert und weitergegeben werden.
Mitarbeiter schulen:
Informieren Sie Ihre Mitarbeiter über die Verpflichtungen der DUAA und ihre Rolle bei der Einhaltung.
Als vertrauenswürdige Plattform für das Einwilligungsmanagement unterstützt CookieHub Unternehmen bei der vereinfachten Einhaltung von DUAA und PECR. Von der Cookie-Einwilligung bis zur Datentransparenz ermöglicht CookieHub Unternehmen die Verwaltung von Benutzerentscheidungen, ohne dass sie Compliance-Prozesse von Grund auf neu aufbauen müssen.
Tausende Unternehmen vertrauen bereits auf CookieHub, um versteckte Cookies zu identifizieren, transparente Einwilligungsbanner bereitzustellen und sich vor ICO-Bußgeldern zu schützen.
Das DUAA legt Regeln fest, wie Organisationen in Großbritannien gemäß der britischen DSGVO auf personenbezogene Daten zugreifen, diese weitergeben und nutzen dürfen. Es gilt für in Großbritannien tätige Unternehmen und öffentliche Einrichtungen sowie für ausländische Unternehmen, die Daten von in Großbritannien ansässigen Personen im Zusammenhang mit Waren, Dienstleistungen oder Überwachungsaktivitäten verarbeiten. Das DUAA ergänzt die britische DSGVO, indem es klarere Standards für den Datenzugriff setzt, insbesondere in regulierten oder risikoreichen Sektoren.
Personenbezogene Daten sind alle Informationen, die eine lebende Person direkt oder indirekt identifizieren können. Dazu gehören Angaben wie Name, Geburtsdatum, Adresse, Identifikationsnummern, Online-Kennungen (wie Cookies oder IP-Adressen) oder alle Faktoren, die sich auf die physische, kulturelle oder soziale Identität einer Person beziehen.
Zu den sensiblen Daten (rechtlich als Daten besonderer Kategorien bezeichnet) gehören Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung, Gesundheitsinformationen und Angaben zum Sexualleben oder zur sexuellen Orientierung. Die Verarbeitung dieser Art von Daten gemäß DUAA und der britischen DSGVO erfordert strengere Schutzmaßnahmen und in der Regel eine ausdrückliche Einwilligung.
Das Information Commissioner’s Office (ICO) ist die unabhängige britische Datenschutzbehörde. Es überwacht die Einhaltung der britischen DSGVO, des Data Protection Act 2018 und verwandter Gesetze wie dem DUAA. Das ICO ist befugt, bei Verstößen Untersuchungen durchzuführen, Richtlinien herauszugeben und Bußgelder zu verhängen.
Das DUAA gilt grundsätzlich nicht für Personen, die personenbezogene Daten ausschließlich für persönliche oder familiäre Zwecke verwenden. Ausnahmen gelten möglicherweise auch für Daten, die für journalistische Zwecke, die wissenschaftliche Forschung oder die nationale Sicherheit verarbeitet werden. Darüber hinaus können bestimmte gesetzliche Bestimmungen in Ausnahmefällen eine eingeschränkte Nutzung personenbezogener Daten ohne DUAA-Verpflichtungen erlauben.
Leitlinien und offizielle Updates finden Sie auf der Website des Information Commissioner’s Office (ICO) (ico.org.uk). Je nach Branche können Aufsichtsbehörden wie der NHS (für das Gesundheitswesen) oder die FCA (für den Finanzbereich) zusätzliche Ressourcen bereitstellen. Für eine ausführliche Beratung empfehlen wir die Konsultation eines Rechts- oder Compliance-Experten mit Fachkenntnissen im britischen Datenschutzrecht.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
