Mit dem Data (Use and Access) Act 2025 reformiert das Vereinigte Königreich sein Datenschutz- und Datenrecht nach dem Brexit weiter. Die Reform ersetzt die UK GDPR nicht, verändert aber zentrale Stellschrauben für Unternehmen, Behörden und andere Organisationen. Im Mittelpunkt steht die Frage, wie Datennutzung erleichtert werden kann, ohne die Rechte betroffener Personen vollständig zurückzudrängen.
Warum die Reform?
Die Reform verfolgt vor allem das Ziel, den Umgang mit Daten praktikabler zu machen und zugleich Innovation, Forschung und digitale Dienste zu fördern. Die britische Regierung und der ICO stellen die Änderungen als Modernisierung des bestehenden Rechtsrahmens dar: Organisationen sollen mehr Rechtssicherheit erhalten, bestimmte Prozesse sollen vereinfacht und neue digitale Infrastrukturen unterstützt werden.
Gleichzeitig bleibt der Grundansatz des Datenschutzrechts erhalten. Die UK GDPR, der Data Protection Act 2018 und die Privacy and Electronic Communications Regulations werden nicht aufgehoben, sondern punktuell geändert. Es handelt sich in rechtlicher Hinsicht nicht um eine vollständige Abkehr vom bisherigen Datenschutzmodell, sondern um eine Korrektur und Ergänzung einzelner Regelungsbereiche.
Was beinhaltet die Reform?
Ein wichtiger Bereich betrifft Forschung und statistische Zwecke. Die Reform präzisiert, wann personenbezogene Daten für wissenschaftliche Forschung genutzt werden können, und erweitert die Möglichkeiten, Einwilligungen in diesem Kontext breiter zu fassen. Für Unternehmen mit datengetriebenen Forschungs- oder Entwicklungsprojekten kann dies mehr Flexibilität schaffen. Gleichwohl bleiben Schutzmechanismen Teil des Regelwerks, insbesondere zur Anonymisierung von personenbezogenen Daten.
Auch beim Thema automatisierte Entscheidungen verschiebt sich der Rechtsrahmen. Die Reform eröffnet mehr Spielraum für signifikante automatisierte Entscheidungen, sofern geeignete Schutzvorkehrungen eingehalten werden. Dazu gehören insbesondere Transparenz, Möglichkeiten zur Anfechtung und menschliche Überprüfung. Unternehmen sollten dies nicht als Freibrief für KI- oder Scoring-Systeme verstehen, sondern als stärker ausdifferenzierten Rechtsrahmen.
Bei Betroffenenrechten wird klargestellt, dass Suchläufe bei Auskunftsersuchen angemessen und verhältnismäßig sein müssen. Das kann die Bearbeitung von Data Subject Access Requests erleichtern, ändert aber nichts daran, dass Auskunftsersuchen weiterhin ernsthaft geprüft und nachvollziehbar beantwortet werden müssen.
Weitere Änderungen betreffen Cookies und ähnliche Technologien. Bestimmte technisch oder funktional begründete Nutzungen können künftig ohne Einwilligung möglich sein. Für Tracking, Profiling und werbliche Zwecke bleibt jedoch weiterhin sorgfältig zu prüfen, ob eine Einwilligung erforderlich ist.
Neu hervorgehoben wird außerdem der Umgang mit Beschwerden. Organisationen müssen betroffenen Personen einen klaren Weg zur Einreichung datenschutzbezogener Beschwerden eröffnen, Beschwerden bestätigen, prüfen und über das Ergebnis informieren. Diese Pflicht tritt zum 19. Juni 2026 in den praktischen Vordergrund.
In welchem zeitlichen Stadium befindet sich die Reform?
Die Reform befindet sich nicht mehr im Gesetzgebungsverfahren, sondern bereits in der Umsetzungsphase. Der Data (Use and Access) Act 2025 erhielt im Juni 2025 die Royal Assent und ist damit formell geltendes Recht. Die einzelnen Regelungen treten jedoch nicht einheitlich, sondern gestaffelt in Kraft. Dies erfolgt durch sogenannte Commencement Regulations, die jeweils festlegen, ab welchem Zeitpunkt bestimmte Vorschriften anwendbar werden. Ein wesentlicher Teil der Reform ist bereits seit dem 5. Februar 2026 wirksam. Weitere Bestimmungen folgen am 19. Juni 2026, weshalb der Information Commissioner’s Office (ICO) Unternehmen derzeit ausdrücklich zur Vorbereitung auf die bevorstehenden Änderungen auffordert. Die Reform kann daher als rechtlich beschlossen, aber noch nicht vollständig umgesetzt bezeichnet werden. Für Unternehmen bedeutet dies, dass sie sich nicht mehr auf mögliche Gesetzesänderungen einstellen müssen, sondern auf die konkrete Anpassung ihrer Datenschutz- und Compliance-Prozesse an die nun schrittweise in Kraft tretenden Vorschriften.
Praktische Bedeutung für Unternehmen
Für Unternehmen mit Bezug zum Vereinigten Königreich besteht Handlungsbedarf vor allem in vier Bereichen: Interne Datenschutzprozesse, Beschwerdemanagement, Auskunftsersuchen und der Einsatz datengetriebener Technologien. Bestehende Richtlinien sollten daraufhin überprüft werden, ob sie die neuen Spielräume korrekt abbilden, ohne Schutzpflichten zu unterschätzen.
Besondere Vorsicht ist bei automatisierten Entscheidungen und KI-gestützten Verfahren geboten. Die Reform schafft hier zwar mehr Flexibilität, verlangt aber weiterhin belastbare Governance. Wer automatisierte Entscheidungen einsetzt, sollte dokumentieren können, welche Rechtsgrundlage genutzt wird, welche Schutzmaßnahmen bestehen und wie Betroffene ihre Rechte praktisch ausüben können.
Fazit
Die britische Data Reform bringt keine vollständige Neuordnung des Datenschutzrechts, aber eine relevante Verschiebung hin zu mehr Flexibilität und stärkerer Praxisorientierung. Für Unternehmen kann dies Erleichterungen schaffen, insbesondere bei Forschung, internen Prozessen und bestimmten digitalen Diensten. Zugleich entstehen neue Anforderungen, etwa bei der Behandlung datenschutzrechtlicher Beschwerden.
Entscheidend ist deshalb eine nüchterne Einordnung: Die Reform reduziert nicht die Bedeutung von Datenschutz-Compliance, sondern verändert deren Schwerpunkte. Unternehmen sollten die neuen Spielräume nutzen, aber rechtlich sauber dokumentieren und organisatorisch absichern.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
