Was sich am 19. Juni geändert hat
Der Data (Use and Access) Act 2025 erhielt am 19. Juni 2025 die königliche Zustimmung und wird in Phasen scharfgeschaltet. Die Inkraftsetzungsverordnung SI 2026 Nr. 82 setzt zwei Termine, die für Betreiber zählen: den 5. Februar 2026 für den Grossteil der Datenschutzänderungen und den 19. Juni 2026 für das Beschwerderegime nach Section 103 und Schedule 10.
Seit diesem zweiten Datum muss jede Organisation unter der UK GDPR ein formelles Verfahren für Datenschutzbeschwerden betreiben. Die neue Section 164A des Data Protection Act 2018 verlangt zugängliche Beschwerdewege, darunter ein elektronisches Formular neben E-Mail und Post, eine Eingangsbestätigung binnen 30 Tagen und ein inhaltliches Ergebnis in einer Sprache, die der Beschwerdeführer versteht, samt Hinweis auf das Eskalationsrecht zur Aufsichtsbehörde ICO.
Für das Ergebnis selbst gibt es keine gesetzliche Frist, aber der ICO-Richtlinienentwurf empfiehlt eine Erledigung binnen drei Monaten, ausser in Ausnahmefällen, und erwartet ein prominentes Verfahren: leicht auffindbar, verlinkt aus Datenschutzerklärung und Website. Die Februar-Phase brachte zudem anerkannte berechtigte Interessen als Rechtsgrundlage, einen Fristen-Stopp-Mechanismus bei Auskunftsanträgen und lockerere Regeln für risikoarme Cookies.
Der stille Teil: Marketingbussen wuchsen um das 35-Fache
Die Änderung, die weniger Unternehmer bemerkt haben, kam früher. Seit dem 5. Februar 2026 sprangen die Bussgeldbefugnisse der ICO unter PECR, den Regeln für elektronisches Direktmarketing und Cookies, von einer Obergrenze von 500.000 Pfund auf UK-GDPR-Niveau: bis zu 17,5 Millionen Pfund oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist.
Jahrelang war PECR-Durchsetzung ein begrenztes Ärgernis: Eine Kampagne mit wackliger Einwilligung war schlimmstenfalls ein sechsstelliges Problem. Diese Asymmetrie ist weg. Eine Marketingliste mit schlampiger Einwilligung spielt jetzt in derselben Strafklasse wie eine Datenpanne, und der neue Beschwerdekanal gibt jedem verärgerten Empfänger einen formellen Weg, der bei schlechter Behandlung vor der Tür der Behörde endet.
Was UK-exponierte Unternehmen jetzt tun sollten
Der Anwendungsbereich ist breiter, als viele annehmen. Die UK GDPR gilt nicht nur für Unternehmen mit Sitz im Vereinigten Königreich, sondern auch für solche ausserhalb, die Personen im Vereinigten Königreich Waren oder Dienste anbieten. Der deutsche Maschinenbauer mit UK-Kunden, der Mittelständler mit Londoner Vertriebsbüro, der SaaS-Anbieter mit britischen Nutzern: Die Beschwerdepflicht erreicht sie alle.
Der Aufbau ist nicht schwer, und genau deshalb sieht sein Fehlen schlecht aus. Veröffentlichen Sie einen Beschwerdeweg, inklusive elektronischem Formular. Verdrahten Sie ihn mit den Prozessen, die Sie für DSGVO-Anfragen ohnehin betreiben, mit einem Verantwortlichen, einem Protokoll und Textbausteinen, die die 30-Tage-Frist sicher schlagen. Verfolgen Sie Ergebnisse gegen die Drei-Monats-Erwartung und dokumentieren Sie die Begründung jedes Abschlusses.
Und dann behandeln Sie das Protokoll als das, was es ist: Beweismaterial. Jede Beschwerde, jeder Zeitstempel, jede Antwort ist ein Datensatz, den die ICO anfordern kann, und ein Muster ignorierter Beschwerden ist der einfachste Durchsetzungsfall, den eine Behörde je aufbauen wird. Dasselbe Protokoll, vierteljährlich gelesen, ist zugleich ein kostenloses Audit, wo Ihre Datenpraxis Kunden tatsächlich verärgert. Wenige Compliance-Pflichten bringen eine solche Rendite.
Weiterlesen: Der erste Auskunftsantrag kann Missbrauch sein · Rechtswidrig erlangte Daten gewinnen vor Gericht



