ICO setzt mit neuer Richtlinie letztes Puzzleteil für Datenschutz-Reform ( Finanztrends)

26.03.2026, 8417 Zeichen

Die britische Datenschutzaufsicht ICO stellt mit einer neuen Richtlinie die Weichen für die größte Reform seit der DSGVO. Ab Juni müssen alle Unternehmen verbindliche interne Beschwerdeverfahren einführen – eine fundamentale Verschiebung der regulatorischen Last.

Die Landschaft des britischen Datenschutzes steht vor der tiefgreifendsten Veränderung seit der Einführung der DSGVO. Die Information Commissioner's Office (ICO) finalisiert den Rechtsrahmen für den Data (Use and Access) Act 2025 (DUAA). Mit der Frist für verpflichtende interne Beschwerdeverfahren am 19. Juni 2026 im Nacken hat die Behörde diese Woche eine entscheidende Klarstellung veröffentlicht. Am 23. März 2026 publizierte die ICO eine neue Leitlinie zur Nutzung von „Anerkanntem berechtigtem Interesse“. Rechtsexperten sehen darin das letzte fehlende Puzzleteil für Unternehmen, die derzeit ihre Datenverarbeitung und Streitbeilegung überarbeiten.

Während neue Gesetze wie der DUAA 2025 die Anforderungen verschärfen, bleibt die korrekte Dokumentation nach Art. 30 DSGVO die wichtigste Basis für jedes Unternehmen. Diese kostenlose Excel-Vorlage mit Schritt-für-Schritt-Anleitung macht Ihre Datenschutz-Dokumentation kinderleicht und rechtssicher. Verarbeitungsverzeichnis in unter einer Stunde erstellen

Diese Entwicklung ist das finale Signal an die Wirtschaft: Die Übergangsphase endet. Die ICO betont, dass das neue Beschwerderegime Unternehmen zum primären Anlaufpunkt für Betroffene macht. Die regulatorische Last verlagert sich damit nach „vorne“. Laut aktuellen Berichten der Aufsicht stieg die Zahl der Datenschutzbeschwerden im Königreich innerhalb von zwei Jahren von 40.000 auf über 66.000 jährlich. Die Strategie zielt nun auf strukturierte, unternehmensgeführte Lösungswege.

DUAA 2025: Der neue Standard für Beschwerdemanagement

Kern der anstehenden wende ist die Formalisierung des Rechts, sich direkt bei einer Organisation zu beschweren. Viele britische Firmen haben zwar bereits Helpdesks, doch der DUAA 2025 führt ein Maß an Rechenschaftspflicht und Verfahrensstrenge ein, das bisher freiwillig war. Experten betonen: Ab dem 19. Juni 2026 muss jede Organisation, die personenbezogene Daten verarbeitet – unabhängig von Größe oder Branche – einen klaren, dokumentierten internen Prozess vorhalten.

Der Rahmen der ICO präzisiert: Eine Datenschutzbeschwerde kann durch jede mutmaßliche Verletzung der UK-DSGVO oder des Data Protection Act 2018 ausgelöst werden. Das umfasst Bedenken zur Datenerhebung, Verzögerungen bei Betroffenenanfragen oder Probleme nach einer Datenpanne. Ein zentraler Aspekt ist die geforderte „Kanalneutralität“. Unternehmen müssen Beschwerden unabhängig vom Übermittlungsweg bearbeiten – ob per Online-Formular, Telefonat oder Social-Media-Nachricht, sofern die Identität des Beschwerdeführers verifiziert werden kann.

Rechtsexperten stellen klar: Die Leitlinie lässt keine Ausnahmen zu. KMU unterliegen demselben Grundstandard wie Konzerne, auch wenn die ICO signalisiert, dass bestehende Tools angepasst werden können. Das primäre Ziel ist die frühe Lösung von Problemen, um Eingriffe der Aufsicht zu reduzieren.

Strategische Klarstellung: „Anerkanntes berechtigtem Interesse“

Während die Beschwerderegeln im Februar skizziert wurden, liefert die Veröffentlichung vom 23. März zur „Anerkannten berechtigten Interesse“ die nötige Rechtssicherheit. Diese neue Rechtsgrundlage des DUAA 2025 unterscheidet sich deutlich vom Standard des „berechtigten Interesses“ unter der UK-DSGVO.

Die Leitlinie definiert fünf Szenarien im öffentlichen Interesse, in denen Daten ohne umfassende Interessenabwägung verarbeitet werden dürfen. Dazu zählen die Reaktion auf Anfragen staatlicher Stelle, die Gewährleistung der nationalen Sicherheit und das Management von Notlagen. Für Compliance-Beauftragte ist diese Klarstellung essenziell, da sie die Verteidigung bestimmter Verarbeitungsvorgänge während einer Beschwerdeprüfung vereinfacht.

Neben den klassischen Datenschutzregeln müssen Unternehmen zunehmend neue Vorgaben für künstliche Intelligenz beachten, um keine Bußgelder zu riskieren. Unser Gratis-E-Book liefert einen kompakten Umsetzungsleitfaden zu Anforderungen und Fristen der EU-KI-Verordnung. EU-KI-Verordnung kompakt und verständlich erklärt

Doch die ICO warnt: Die neue Grundlage entbindet nicht von Transparenzpflichten. Personen müssen über die Verarbeitung informiert und ihr Widerspruchsrecht gewahrt bleiben. Analysten sehen in diesem Update das „letzte Puzzleteil“ für Unternehmen, die mit der Finalisierung interner Richtlinien zögerten.

Operative Umsetzung: 30-Tage-Regel und Lösungsvorgaben

Für Compliance-Verantwortliche sind die strengen Fristen der drängendste Aspekt. Die Richtlinie führt eine „30-Tage-Regel“ für die erste Bestätigung des Beschwerdeeingangs ein. Die Frist beginnt am Tag nach dem Eingang. Zwar mag für elektronische Einsendungen eine automatische Antwort genügen, doch die ICO rät, den Beschwerdeführern einen klaren Fahrplan für die Untersuchung zu geben.

Die Prüfung selbst muss „unverzüglich“ erfolgen, was die Behörde als Vermeidung „unvertretbarer oder übermäßiger“ Wartezeiten definiert. In dieser Phase müssen Unternehmen ein detailliertes Beschwerdelogbuch führen und interne Beweise sammeln. Diese Dokumentation ist kein bloßer Formalismus, sondern ein zentraler Nachweis für das „Rechenschaftsprinzip“, einen Grundpfeiler des britischen Datenschutzrechts.

Am Ende muss das Ergebnis der Untersuchung sowie ergriffene Abhilfemaßnahmen mitgeteilt werden. Jede finale Antwort muss klar darauf hinweisen, dass der Betroffene sein Anliegen an die ICO eskalieren kann, falls er unzufrieden bleibt. Genau dieser Eskalationspfad macht einen robusten internen Prozess unerlässlich: Die ICO wird die Qualität der internen Untersuchung prüfen, bevor sie regulatorische Schritte erwägt.

Die Evolution der ICO: Vom Commissioner zum Gremium

Die Veröffentlichung fällt mit einer grundlegenden Restrukturierung der Aufsicht zusammen. Die ICO befindet sich in der Endphase des Übergangs vom „Corporation Sole“-Modell – wo alle Befugnisse bei einem einzelnen Commissioner lagen – hin zu einer behördengeführten Information Commission. ICO-CEO Paul Arnold betonte, dieser Schritt solle den wachsenden Anforderungen der Digitalwirtschaft gerecht werden und diversere Expertise in die Führung bringen.

Unter dieser neuen Struktur wird der amtierende Information Commissioner, John Edwards, erster Vorsitzender des Gremiums sein. Die Strategie verlagert sich hin zu „präventiver“ Regulierung, die Werkzeuge und Leitlinien bereitstellt, um Verstöße von vornherein zu verhindern, anstatt sich auf reaktive Durchsetzung zu verlassen. Die Ausweitung des Schulungsprogramms „Data Essentials“ für KMU und die Einführung eines regulatorischen Sandkastens sind Schlüsselelemente dieses proaktiven Ansatzes.

Doch die ICO macht klar: Dieser kooperative Kurs bedeutet keine Schwächung der Durchsetzung. Aktuelle Bußgelder – darunter eine Strafe von 66.000 Pfund gegen Police Scotland am 11. März 2026 und eine bedeutende Geldbuße von 14,47 Millionen Pfund gegen Reddit Ende Februar – zeigen, dass die Behörde ihre Vollmachten gegen Unternehmen nutzt, die sensible Daten nicht schützen oder Meldepflichten ignorieren.

Ausblick und nächste Schritte für Unternehmen

Auf dem Weg zum Stichtag am 19. Juni 2026 sollten Unternehmen die kommenden drei Monate als kritische Testphase nutzen. Die ICO rät, die neuen Beschwerdestandards bereits jetzt umzusetzen – dies sei gute Praxis und demonstriere Bereitschaft gegenüber der neuen Information Commission.

Über den Juni hinaus plant die britische Regierung Konsultationen zu weiterer Sekundärgesetzgebung im Bereich KI und automatisierte Entscheidungsfindung. Die ICO arbeitet bereits an einem gesetzlichen Verhaltenskodex für KI, der sich wahrscheinlich in das neue Beschwerderegime einfügen wird. Derzeitige Priorität für Unternehmen bleibt die Anpassung interner Richtlinien an den DUAA 2025 und die prozeduralen Vorgaben der jüngsten ICO-Leitlinien.

Unternehmen, die bis Juni keine zugänglichen und transparenten Beschwerdewege implementieren, riskieren nicht nur individuelle Klagen, sondern auch gezielte regulatorische Eingriffe. Während die ICO ihre neue Gremiumsstruktur etabliert, wird die Fähigkeit eines Unternehmens, Datenschutzanliegen intern zu lösen, zum zentralen Maßstab für dessen gesamte Compliance-Gesundheit in den Augen der Aufsicht werden.

(26.03.2026)

BSN Podcasts

Christian Drastil: Wiener Börse Plausch

Wiener Börse Party #1125: ATX unverändert, heute ex starke Andritz-Dividende, RBI wird Big Player in Rumänien, CPI Europe stark

BSNgine

Top/Flop Diashows

Star/Rutsch der Stunde

Matrix

Moving Averages

Märkte/ Indikationen

Tagessieger/ verlierer

„n“ Tage Top/Flop

Umsatz

BS-Hitparade

Reporting Days

Bildnachweis

1. Trading

Aktien auf dem Radar:CA Immo, Semperit, Polytec Group, EuroTeleSites AG, Flughafen Wien, Austriacard Holdings AG, Bajaj Mobility AG, Rosenbauer, FACC, Frequentis, Heid AG, Kapsch TrafficCom, BKS Bank Stamm, Oberbank AG Stamm, BTV AG, Amag, EVN, CPI Europe AG, Österreichische Post, Telekom Austria, Porr, Strabag, Verbund, VIG, Bayer, BASF, Fresenius Medical Care, Symrise, SAP, Deutsche Telekom, Siemens Energy.

Random Partner

WEB Windenergie AG
Die WEB Windenergie AG projektiert und betreibt Kraftwerke auf Basis Erneuerbarer Energien mit besonderem Schwerpunkt auf Windkraft. Die derzeit 339 Kraftwerke haben eine Gesamtleistung von 781 MW (Stand: 12.08.2025). Neben Österreich ist das Unternehmen in Deutschland, Frankreich, Italien, der Slowakei, Tschechien, Kanada und den USA tätig.

>> Besuchen Sie 54 weitere Partner auf boerse-social.com/partner