ICO setzt mit neuer Richtlinie letztes Puzzleteil für Datenschutz-Reform ( Finanztrends)

Die britische Datenschutzaufsicht ICO stellt mit einer neuen Richtlinie die Weichen für die größte Reform seit der DSGVO. Ab Juni müssen alle Unternehmen verbindliche interne Beschwerdeverfahren einführen – eine fundamentale Verschiebung der regulatorischen Last.

Die Landschaft des britischen Datenschutzes steht vor der tiefgreifendsten Veränderung seit der Einführung der DSGVO. Die Information Commissioner's Office (ICO) finalisiert den Rechtsrahmen für den Data (Use and Access) Act 2025 (DUAA). Mit der Frist für verpflichtende interne Beschwerdeverfahren am 19. Juni 2026 im Nacken hat die Behörde diese Woche eine entscheidende Klarstellung veröffentlicht. Am 23. März 2026 publizierte die ICO eine neue Leitlinie zur Nutzung von „Anerkanntem berechtigtem Interesse“. Rechtsexperten sehen darin das letzte fehlende Puzzleteil für Unternehmen, die derzeit ihre Datenverarbeitung und Streitbeilegung überarbeiten.

Anzeige

Während neue Gesetze wie der DUAA 2025 die Anforderungen verschärfen, bleibt die korrekte Dokumentation nach Art. 30 DSGVO die wichtigste Basis für jedes Unternehmen. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation kinderleicht und rechtssicher. Verarbeitungsverzeichnis in unter einer Stunde erstellen

Diese Entwicklung ist das finale Signal an die Wirtschaft: Die Übergangsphase endet. Die ICO betont, dass das neue Beschwerderegime Unternehmen zum primären Anlaufpunkt für Betroffene macht. Die regulatorische Last verlagert sich damit nach „vorne“. Laut aktuellen Berichten der Aufsicht stieg die Zahl der Datenschutzbeschwerden im Königreich innerhalb von zwei Jahren von 40.000 auf über 66.000 jährlich. Die Strategie zielt nun auf strukturierte, unternehmensgeführte Lösungswege.

DUAA 2025: Der neue Standard für Beschwerdemanagement

Kern der anstehenden wende ist die Formalisierung des Rechts, sich direkt bei einer Organisation zu beschweren. Viele britische Firmen haben zwar bereits Helpdesks, doch der DUAA 2025 führt ein Maß an Rechenschaftspflicht und Verfahrensstrenge ein, das bisher freiwillig war. Experten betonen: Ab dem 19. Juni 2026 muss jede Organisation, die personenbezogene Daten verarbeitet – unabhängig von Größe oder Branche – einen klaren, dokumentierten internen Prozess vorhalten.

Der Rahmen der ICO präzisiert: Eine Datenschutzbeschwerde kann durch jede mutmaßliche Verletzung der UK-DSGVO oder des Data Protection Act 2018 ausgelöst werden. Das umfasst Bedenken zur Datenerhebung, Verzögerungen bei Betroffenenanfragen oder Probleme nach einer Datenpanne. Ein zentraler Aspekt ist die geforderte „Kanalneutralität“. Unternehmen müssen Beschwerden unabhängig vom Übermittlungsweg bearbeiten – ob per Online-Formular, Telefonat oder Social-Media-Nachricht, sofern die Identität des Beschwerdeführers verifiziert werden kann.

Rechtsexperten stellen klar: Die Leitlinie lässt keine Ausnahmen zu. KMU unterliegen demselben Grundstandard wie Konzerne, auch wenn die ICO signalisiert, dass bestehende Tools angepasst werden können. Das primäre Ziel ist die frühe Lösung von Problemen, um Eingriffe der Aufsicht zu reduzieren.

Strategische Klarstellung: „Anerkanntes berechtigtem Interesse“

Während die Beschwerderegeln im Februar skizziert wurden, liefert die Veröffentlichung vom 23. März zur „Anerkannten berechtigten Interesse“ die nötige Rechtssicherheit. Diese neue Rechtsgrundlage des DUAA 2025 unterscheidet sich deutlich vom Standard des „berechtigten Interesses“ unter der UK-DSGVO.

Die Leitlinie definiert fünf Szenarien im öffentlichen Interesse, in denen Daten ohne umfassende Interessenabwägung verarbeitet werden dürfen. Dazu zählen die Reaktion auf Anfragen staatlicher Stelle, die Gewährleistung der nationalen Sicherheit und das Management von Notlagen. Für Compliance-Beauftragte ist diese Klarstellung essenziell, da sie die Verteidigung bestimmter Verarbeitungsvorgänge während einer Beschwerdeprüfung vereinfacht.

Anzeige

Neben den klassischen Datenschutzregeln müssen Unternehmen zunehmend neue Vorgaben für künstliche Intelligenz beachten, um keine Bußgelder zu riskieren. Unser Gratis-E-Book liefert einen kompakten Umsetzungsleitfaden zu Anforderungen und Fristen der EU-KI-Verordnung. EU-KI-Verordnung kompakt und verständlich erklärt

Doch die ICO warnt: Die neue Grundlage entbindet nicht von Transparenzpflichten. Personen müssen über die Verarbeitung informiert und ihr Widerspruchsrecht gewahrt bleiben. Analysten sehen in diesem Update das „letzte Puzzleteil“ für Unternehmen, die mit der Finalisierung interner Richtlinien zögerten.

Operative Umsetzung: 30-Tage-Regel und Lösungsvorgaben

Für Compliance-Verantwortliche sind die strengen Fristen der drängendste Aspekt. Die Richtlinie führt eine „30-Tage-Regel“ für die erste Bestätigung des Beschwerdeeingangs ein. Die Frist beginnt am Tag nach dem Eingang. Zwar mag für elektronische Einsendungen eine automatische Antwort genügen, doch die ICO rät, den Beschwerdeführern einen klaren Fahrplan für die Untersuchung zu geben.

Die Prüfung selbst muss „unverzüglich“ erfolgen, was die Behörde als Vermeidung „unvertretbarer oder übermäßiger“ Wartezeiten definiert. In dieser Phase müssen Unternehmen ein detailliertes Beschwerdelogbuch führen und interne Beweise sammeln. Diese Dokumentation ist kein bloßer Formalismus, sondern ein zentraler Nachweis für das „Rechenschaftsprinzip“, einen Grundpfeiler des britischen Datenschutzrechts.

Am Ende muss das Ergebnis der Untersuchung sowie ergriffene Abhilfemaßnahmen mitgeteilt werden. Jede finale Antwort muss klar darauf hinweisen, dass der Betroffene sein Anliegen an die ICO eskalieren kann, falls er unzufrieden bleibt. Genau dieser Eskalationspfad macht einen robusten internen Prozess unerlässlich: Die ICO wird die Qualität der internen Untersuchung prüfen, bevor sie regulatorische Schritte erwägt.

Die Evolution der ICO: Vom Commissioner zum Gremium

Die Veröffentlichung fällt mit einer grundlegenden Restrukturierung der Aufsicht zusammen. Die ICO befindet sich in der Endphase des Übergangs vom „Corporation Sole“-Modell – wo alle Befugnisse bei einem einzelnen Commissioner lagen – hin zu einer behördengeführten Information Commission. ICO-CEO Paul Arnold betonte, dieser Schritt solle den wachsenden Anforderungen der Digitalwirtschaft gerecht werden und diversere Expertise in die Führung bringen.

Unter dieser neuen Struktur wird der amtierende Information Commissioner, John Edwards, erster Vorsitzender des Gremiums sein. Die Strategie verlagert sich hin zu „präventiver“ Regulierung, die Werkzeuge und Leitlinien bereitstellt, um Verstöße von vornherein zu verhindern, anstatt sich auf reaktive Durchsetzung zu verlassen. Die Ausweitung des Schulungsprogramms „Data Essentials“ für KMU und die Einführung eines regulatorischen Sandkastens sind Schlüsselelemente dieses proaktiven Ansatzes.

Doch die ICO macht klar: Dieser kooperative Kurs bedeutet keine Schwächung der Durchsetzung. Aktuelle Bußgelder – darunter eine Strafe von 66.000 Pfund gegen Police Scotland am 11. März 2026 und eine bedeutende Geldbuße von 14,47 Millionen Pfund gegen Reddit Ende Februar – zeigen, dass die Behörde ihre Vollmachten gegen Unternehmen nutzt, die sensible Daten nicht schützen oder Meldepflichten ignorieren.

Ausblick und nächste Schritte für Unternehmen

Auf dem Weg zum Stichtag am 19. Juni 2026 sollten Unternehmen die kommenden drei Monate als kritische Testphase nutzen. Die ICO rät, die neuen Beschwerdestandards bereits jetzt umzusetzen – dies sei gute Praxis und demonstriere Bereitschaft gegenüber der neuen Information Commission.

Über den Juni hinaus plant die britische Regierung Konsultationen zu weiterer Sekundärgesetzgebung im Bereich KI und automatisierte Entscheidungsfindung. Die ICO arbeitet bereits an einem gesetzlichen Verhaltenskodex für KI, der sich wahrscheinlich in das neue Beschwerderegime einfügen wird. Derzeitige Priorität für Unternehmen bleibt die Anpassung interner Richtlinien an den DUAA 2025 und die prozeduralen Vorgaben der jüngsten ICO-Leitlinien.

Unternehmen, die bis Juni keine zugänglichen und transparenten Beschwerdewege implementieren, riskieren nicht nur individuelle Klagen, sondern auch gezielte regulatorische Eingriffe. Während die ICO ihre neue Gremiumsstruktur etabliert, wird die Fähigkeit eines Unternehmens, Datenschutzanliegen intern zu lösen, zum zentralen Maßstab für dessen gesamte Compliance-Gesundheit in den Augen der Aufsicht werden.

Christian Drastil: Wiener Börse Plausch

Zertifikate Party Österreich: Ab jetzt mitentscheiden, welcher dieser 14 Emittenten den Publikums-Preis 2026 gewinnt (+Spoiler ZFA-Award)

Bildnachweis

1. Trading

Random Partner

---

Do&Co
Als Österreichisches, börsennotiertes Unternehmen mit den drei Geschäftsbereichen Airline Catering, internationales Event Catering und Restaurants, Lounges & Hotel bieten wir Gourmet Entertainment auf der ganzen Welt. Wir betreiben 32 Locations in 12 Ländern auf 3 Kontinenten, um die höchsten Standards im Produkt- sowie Service-Bereich umsetzen zu können.

>> Besuchen Sie 54 weitere Partner auf boerse-social.com/partner

 Latest Blogs

» Emerald Horizon vor geplantem ATX-Prime-Listing: Thorium-Ticket und Pre-...

» Broadcom Aktie: Kapazitätsgrenzen bremsen KI-Wachstum ( Finanztrends)

» SoftBank Aktie: Brückenkredit für die KI-Wette ( Finanztrends)

» Bitcoin: Immobilienkauf ohne Verkaufszwang ( Finanztrends)

» Microsoft Aktie: Xbox-Neustart, schwacher Kurs ( Finanztrends)

» FutureGen Industries Aktie: Kapitaltausch vollzogen ( Finanztrends)

» ZEAL Network Aktie: Millionenschweres Kreditgeschäft ( Finanztrends)

» Vizsla Silver Aktie: Analysten vs. Kurspotenzial ( Finanztrends)

» Beyond Meat Aktie: Überlebenskampf ( Finanztrends)

» Pfizer Aktie: Zweifacher Studienerfolg ( Finanztrends)