Gesetzentwurf zur Datennutzung und zum Datenzugriff (DUA) im Vereinigten Königreich: Änderungen und Compliance mit BigID meistern

Das Vereinigte Königreich Gesetzentwurf zur Datennutzung und zum Datenzugriff (DUA) wurde am 24. November 2024 dem britischen Oberhaus vorgelegt, um den bestehenden Datenschutzrahmen, insbesondere das Datenschutzgesetz, zu reformieren. Datenschutz- und elektronische Kommunikationsverordnung (PECR)und UK GDPRDer DUA-Gesetzentwurf zielt darauf ab, datengetriebene Innovationen in Einklang zu bringen und gleichzeitig das Recht auf Privatsphäre zu schützen. Er könnte jedoch zu Konflikten mit den EU-Datenschutzstandards führen, was sich auf die Angemessenheit der Datenlage in Großbritannien auswirken könnte.

Was ist der DUA-Gesetzentwurf?

Die Datenrechnung (Nutzung und Zugriff) ist ein Gesetzesvorschlag zur Schaffung eines Rahmens für digitale Identifikationssysteme und zur Regulierung der Datennutzung und des Datenzugriffs innerhalb des Landes. Der DUA-Gesetzentwurf wurde am 24. Oktober 2024 veröffentlicht und ersetzt den gescheiterten Gesetzesentwurf der vorherigen Regierung. Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI).

Die DUA zielt darauf ab, „Ermöglichen Sie die sichere und effektive Nutzung von Daten im öffentlichen Interesse“ Gleichzeitig soll das Wirtschaftswachstum gefördert und das Leben der britischen Bevölkerung verbessert werden. Der Gesetzentwurf zielt darauf ab, die Datenverarbeitung zu modernisieren, digitale Innovationen zu fördern und robuste Datenschutzmaßnahmen zu gewährleisten.

Wichtige Reformen im DUA-Gesetz

Der DUA-Gesetzentwurf hat erhebliche Auswirkungen auf den britischen Datenschutz. Er konzentriert sich auf die Reduzierung des regulatorischen Aufwands für kleine und mittlere Unternehmen (KMU), die Vereinfachung von Auskunftsersuchen (DSARs) und eine bessere Angleichung an die EU-Datenschutzrichtlinien. Diese vorgeschlagenen Änderungen haben Auswirkungen und sind für Organisationen, die sich auf zukünftige Gesetzesentwicklungen vorbereiten, von entscheidender Bedeutung.

Der DUA-Gesetzentwurf sieht mehrere bedeutende Änderungen der britischen Datenschutzlandschaft vor:

Berechtigte Interessen und Verarbeitung

• Berechtigtes Interesse: Der Gesetzentwurf sieht vor, dass Verantwortliche keine Bewertung der berechtigten Interessen (LIA) durchführen müssen, wenn die Verarbeitung unter „anerkannte berechtigte Interessen“ fällt. Dazu gehören Szenarien wie die Wahrung der nationalen Sicherheit, der Schutz gefährdeter Personen oder die Reaktion auf einen Notfall.

Darüber hinaus enthält der DUA-Gesetzentwurf konkrete Beispiele für Verarbeitungstätigkeiten, die als zur Wahrung berechtigter Interessen erforderlich gelten können, darunter Direktmarketing, interner Datenaustausch und Cybersicherheit. Der Gesetzentwurf schafft dringend benötigte Klarheit und stellt sicher, dass Verantwortliche verstehen, wann sie sich rechtmäßig auf berechtigte Interessen als Grundlage für die Datenverarbeitung berufen können.

• Weitere Verarbeitung personenbezogener Daten: Der Gesetzentwurf verschärft die Vorschriften zur Weiterverarbeitung personenbezogener Daten und betont deren Vereinbarkeit mit dem ursprünglichen Erhebungszweck. Organisationen müssen strengere Prüfungen durchführen, um sicherzustellen, dass jede neue Verwendung personenbezogener Daten mit ihrem ursprünglichen Zweck im Einklang steht.

DSARs und automatisierte Entscheidungsfindung

• DSARs: Der DUA-Gesetzentwurf verfeinert den Umgang mit Auskunftsersuchen betroffener Personen (DSARs) und verpflichtet Verantwortliche zu „angemessenen und verhältnismäßigen“ Recherchen, definiert diese Begriffe jedoch nicht explizit. Er sieht Ausnahmen für Informationen vor, die durch die anwaltliche Schweigepflicht geschützt sind, und präzisiert Antwortfristen basierend auf Identitätsprüfung oder zusätzlichen Verarbeitungsdetails. Im Gegensatz zum DPDI-Gesetzentwurf erlaubt er Verantwortlichen nicht, Beschwerdeanfragen abzulehnen, bietet aber gesetzliche Grundlagen für die Einschränkung des Rechercheumfangs und stellt sicher, dass Verantwortliche nur Informationen bereitstellen müssen, die mit angemessenem und verhältnismäßigem Aufwand verbunden sind. Dies bietet mehr Klarheit und Rechtssicherheit für Organisationen, die die DSAR-Compliance verwalten.
• Automatisierte Entscheidungsfindung: Der Gesetzentwurf sieht strengere Vorschriften für wichtige Entscheidungen vor, die ausschließlich durch automatisierte Verarbeitung getroffen werden, und gewährleistet so Fairness und Transparenz bei algorithmischen Entscheidungen. Er beschränkt das Verbot automatisierter Entscheidungen auf Fälle, die erhebliche Auswirkungen auf betroffene Personen haben und besondere Kategorien von Daten betreffen. Darüber hinaus führt er neue Rechte für betroffene Personen ein, darunter das Recht, Informationen über automatisierte Entscheidungen zu erhalten und menschliches Eingreifen in den Entscheidungsprozess zu verlangen.

Einwilligung und Cookies

• Regulierung der Cookie-Einwilligung: Der Gesetzentwurf ändert die Datenschutz- und elektronischen Kommunikationsvorschriften (PECR), die darauf abzielen, Cookie-Popups und Banner zu reduzieren, indem bestimmte Arten von Cookies platziert werden, ohne ausdrückliche Zustimmung des Benutzers. Dazu gehören Cookies, die für grundlegende Website-Funktionen, Sicherheit, Betrugsprävention und Besuchermessung verwendet werden. Darüber hinaus fördert der Gesetzentwurf die Entwicklung browserbasierter oder gerätebezogener Einstellungen, die es Benutzern ermöglichen, ihre Cookie-Einstellungen effektiver, wodurch die Notwendigkeit wiederholter Zustimmungsaufforderungen reduziert wird.
• Klärung der Einwilligung: Der Gesetzentwurf definiert die „freiwillige Einwilligung“, um Bedenken hinsichtlich der Nutzung von Diensten, die eine Einwilligung als Zugangsvoraussetzung erfordern, auszuräumen. Diese Änderung fördert mehr Transparenz und einen insgesamt benutzerfreundlichen Umgang mit Daten.
• Wissenschaftliche Forschung: Der Gesetzentwurf ändert die britische DSGVO, um es Datenverantwortlichen zu ermöglichen, Daten für wissenschaftliche Forschung zu verarbeiten, um die Einwilligung für einen bestimmten Forschungsbereich einzuholen. Dies ermöglicht es den Betroffenen, nur bestimmten Aspekten der Forschung statt der gesamten Studie zuzustimmen.

Neuerungen aus dem DUA-Gesetz

Der DUA-Gesetzentwurf enthält neue Elemente, die im DPDI-Gesetzentwurf nicht enthalten sind, wie etwa:

• Daten besonderer Kategorien: Gemäß Klausel 74 ist der Außenminister befugt, Verordnungen zu erlassen, die die besonderen Datenkategorien gemäß Artikel 9 der britischen DSGVO erweitern. Diese Verordnungen können neue Datenkategorien einführen, geltende Bedingungen präzisieren, die Verarbeitung verbieten und Definitionen hinzufügen, um dem technologischen und gesellschaftlichen Fortschritt Rechnung zu tragen.
• Daten von Kindern: Der DUA-Gesetzentwurf verstärkt die Schutz der Daten von Kindern indem es das britische Information Commissioner’s Office (ICO) dazu verpflichtet, bei der Durchsetzung von Datenschutzgesetzen der Verletzlichkeit von Kindern bei der Datenverarbeitung Priorität einzuräumen.
• Beschwerden betroffener Personen: Der DUA-Gesetzentwurf verlangt von den betroffenen Personen zunächst, Beschwerden einreichen direkt an den zuständigen Verantwortlichen weiterzuleiten, bevor sie bei Nichtlösung an das ICO weitergeleitet werden, um die Falllast des ICO zu reduzieren. Organisationen müssen ein formelles Beschwerdeverfahren einrichten und ein Register ihrer Datenschutzbeschwerden führen, das dem ICO auf Anfrage zur Verfügung gestellt werden muss.
• Internationale Datenübertragungen: Der Gesetzentwurf ändert die britische DSGVO, indem er dem Außenminister die Genehmigung von Datenübertragungen anhand eines neuen „Datenschutztests“ erteilt. Damit wird sichergestellt, dass die Standards anderer Länder nicht wesentlich niedriger sind als die des Vereinigten Königreichs.
• Digitale Verifizierungsdienste: Der Gesetzentwurf legt Vorschriften für digitale Verifizierungsdienste fest, darunter ein Anbieterregister und ein Vertrauensrahmenwerk, das das Vertrauen in die Online-Identitätsverifizierung stärken soll.

Wie BigID Organisationen bei der Einhaltung des DUA-Gesetzes unterstützen kann

BigID ermöglicht es Unternehmen, den neuen britischen Data Use and Access (DUA) Bill einzuhalten, indem es erweiterte Funktionen für Datenermittlung, Klassifizierung, Governance und KI bereitstellt. Mit automatisiertes Scannen und KatalogisierenBigID unterstützt Unternehmen bei der Identifizierung und Verwaltung personenbezogener und sensibler Daten und optimiert die Einhaltung strengerer Vorschriften zur Datenverarbeitung, zu berechtigten Interessen, zur Einwilligung und zu den Rechten der betroffenen Personen. Die Sicherheits- und Compliance-Überwachungsfunktionen von BigID tragen zudem dazu bei, Risiken im Zusammenhang mit Datenübertragungen, automatisierter Entscheidungsfindung und dem Schutz von Kinderdaten zu minimieren und Unternehmen an die sich entwickelnden regulatorischen Anforderungen des DUA-Gesetzes anzupassen.

Mit BigID können Organisationen:

• Datentransparenz gewinnen: Klassifizieren, kategorisieren, kennzeichnen und beschriften Sie sensible, persönliche Daten automatisch und präzise, detailliert und skalieren Sie sie nach Person, Sensibilität, Typ, Kontext und Inhalt.
• Daten entdecken: Entdecken und katalogisieren Sie Ihre sensiblen Daten, einschließlich strukturierter, halbstrukturierter und unstrukturierter Daten – in lokalen Umgebungen und in der gesamten Cloud.
• Daten minimieren: Sorgen Sie für eine Datenminimierung durch die Erkennung und Korrelation von Duplikaten, um ROT-Daten automatisch zu entfernen und Ihre Angriffsfläche zu reduzieren.
• Automatisieren Sie die Verwaltung von Datenrechten: Automatisieren Sie die Erfüllung individueller Anfragen zu persönlichen Datenrechten wie Zugriff, Aktualisierung, Einspruch und Löschung.
• Verwalten Sie die allgemeine Zustimmung und Einstellungen: Verwalten und passen Sie die Einwilligungen und Präferenzen der Verbraucher universell und zentral über verschiedene Kanäle hinweg an.
• Optimieren Sie das Datenlebenszyklusmanagement: Wenden Sie einen richtlinienbasierten Ansatz an, um das Datenlebenszyklusmanagement über die Erfassung, Aufbewahrung und Löschung hinweg zu automatisieren.
• Überwachung grenzüberschreitender Datenübertragungen: Erstellen Sie Richtlinien und weisen Sie Datenquellen und Einzelpersonen einen Speicherort zu, um die Anforderungen an den Datenspeicherort durchzusetzen und Datenübertragungen zu überwachen und entsprechende Warnmeldungen auszugeben.
• Bewerten Sie das Datenschutzrisiko: Initiieren, verwalten, dokumentieren und vervollständigen Sie verschiedene Bewertungen, einschließlich PIA, Datenschutz-Folgenabschätzung, KI, TIA, LIA und Anbieter, um die Einhaltung der Vorschriften aufrechtzuerhalten und Risiken zu reduzieren.
• Erreichen Sie die Einhaltung des DUA-Gesetzes: Optimieren Sie Compliance-Prozesse mit durchgängigen Datenschutz- und Sicherheitsfunktionen und -Frameworks, um Richtlinien durchzusetzen, gesetzliche Anforderungen zu erfüllen und persönliche, vertrauliche und regulierte Daten zu schützen.

Nehmen Sie Kontakt mit den Datenschutzexperten von BigID auf, um zu erfahren, wie Sie das Datenschutzmanagement optimieren und gleichzeitig die Compliance stärken können. Planen Sie noch heute Ihre Demo!

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.