Datenschutz-Spaltung: EU und UK gehen getrennte Wege

Die digitale Compliance-Landschaft in Europa driftet auseinander. Während die EU über strengere Regeln streitet, setzt Großbritannien auf Deregulierung – und zwingt Unternehmen zu sofortigen Anpassungen.

Seit dem 5. Februar 2026 gilt der Großteil des britischen Data (Use and Access) Act 2025 (DUAA). Die neuen Regeln schaffen einen „business-friendly“ Ansatz, der sich fundamental von den Plänen in Brüssel unterscheidet. Für Unternehmen mit Geschäft in beiden Regionen bedeutet das: Sie müssen ihre Datenschutzerklärungen und Nutzungsbedingungen jetzt trennen und aktualisieren.

UK führt „Anerkannte berechtigte Interessen“ ein

Der dringendste Grund für Überarbeitungen kommt aus London. Der DUAA etabliert eine neue Rechtsgrundlage für die Datenverarbeitung: „Anerkannte berechtigte Interessen“ (Recognised Legitimate Interests, RLI).

Laut einer Analyse der Kanzlei A&O Shearman vom 17. Februar 2026 entfällt für diese Kategorie die bisher obligatorische Interessenabwägung. Fünf Verarbeitungszwecke gelten per Gesetz automatisch als legitim:
1. Weitergabe für öffentliche Aufgaben an Behörden
2. Verarbeitung für nationale Sicherheit und Verteidigung
3. Datenverarbeitung in Notfällen und bei Naturkatastrophen
4. Verbrechensbekämpfung und -aufklärung
5. Schutz von Kindern und schutzbedürftigen Erwachsenen

Unternehmen, die sich auf diese Gründe berufen, müssen ihre Datenschutzerklärungen umgehend anpassen. Die Transparenzvorgaben verlangen eine explizite Nennung der „Anerkannten berechtigten Interessen“. Wer diese neue Kategorie nicht von den standardmäßigen „berechtigten Interessen“ trennt, riskiert einen Verstoß gegen das angepasste UK-GDPR.

Automatisierte Entscheidungen: Neue Freiheit mit Fallstrick

Eine der wichtigsten Änderungen betrifft automatisierte Entscheidungsfindung (Automated Decision-Making, ADM). Bisher waren solche Verfahren mit rechtlichen oder ähnlich schwerwiegenden Folgen stark eingeschränkt.

Das neue britische Recht lockert diese Vorgabe – mit einer entscheidenden Einschränkung. Unternehmen können für ADM nun jede rechtmäßige Grundlage nutzen, auch standardmäßige „berechtigte Interessen“. Das eröffnet neue Möglichkeiten für KI-gestützte Betrugserkennung oder personalisierte Preise, ohne dass zwingend eine Einwilligung vorliegen muss.

Doch Vorsicht: Diese neue Flexibilität gilt nicht für die fünf Kategorien der „Anerkannten berechtigten Interessen“. Für diese darf keine ADM eingesetzt werden. In aktualisierten Nutzungsbedingungen müssen zudem weiterhin Schutzmechanismen wie ein Recht auf menschliches Eingreifen klar kommuniziert werden.

Die neuen Regeln zu automatisierten Entscheidungen und KI bringen zwar Chancen – aber auch konkrete Pflichten für Unternehmen. Ein praxisnaher Leitfaden zur EU‑KI‑Verordnung erklärt, welche Anforderungen an Risikoklassifizierung, Dokumentation und Schutzmechanismen jetzt gelten und wie Sie Ihre KI‑gestützten Systeme rechtssicher einordnen. KI-Verordnung: Jetzt kostenlosen Umsetzungsleitfaden herunterladen

EU-Digitalpaket stößt auf scharfe Kritik

Während Großbritannien dereguliert, steckt der Versuch der EU-Kommission, den Datenschutz zu modernisieren, in der Krise. Der Vorschlag für ein „Digital Omnibus“-Paket, das GDPR-Durchsetzung und KI-Gesetz harmonisieren soll, erntete massive Kritik.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) lehnten in einer gemeinsamen Stellungnahme vom 11. und 12. Februar 2026 zentrale Punkte ab. Sie kritisierten die geplante Einschränkung des Begriffs „personenbezogene Daten“ und eine mögliche Aushöhlung von Betroffenenrechten.

Die Datenschutz-NGO NOYB (None of Your Business) warnte, die „Vereinfachungen“ bedeuteten faktisch eine Beschneidung des Grundrechts auf Datenschutz. Für Unternehmen schafft dieser regulatorische Tauziehen Unsicherheit. Deutsche Aufsichtsbehörden meldeten 2025 eine Rekordzahl an Beschwerden – die Toleranz für unklare Richtlinien sinkt.

e-Evidence-Richtlinie: Neue Pflichten für Dienstleister

Parallel läuft eine weitere Frist ab: Bis zum 18. Februar 2026 mussten die EU-Mitgliedstaaten die e-Evidence-Richtlinie umsetzen. Sie erlaubt Strafverfolgungsbehörden eines Mitgliedstaats, elektronische Beweismittel direkt bei Dienstleistern in einem anderen Land anzufordern – und umgeht damit langsame Rechtshilfeverfahren.

Deutschland hat die Richtlinie in nationales Recht überführt, die Umsetzung in der EU bleibt jedoch lückenhaft. Cloud-Anbieter, Messaging-Dienste und Marktplätze müssen prüfen, ob ihre Nutzungsbedingungen und internen Verfahren für direkte Anfragen ausländischer EU-Behörden gerüstet sind.

Checkliste für Compliance-Verantwortliche

Was müssen Rechts- und Compliance-Abteilungen in den nächsten 30 Tagen priorisieren?

1. Britische Datenschutzerklärungen prüfen: Verarbeiten Sie Daten für Verbrechensbekämpfung, Schutzaufgaben oder behördliche Zwecke? Dann muss die Rechtsgrundlage auf „Anerkannte berechtigte Interessen“ umgestellt und der Verweis auf eine Interessenabwägung gestrichen werden. Passen Sie auch den Abschnitt zu automatisierter Entscheidungsfindung an.

2. Verfahren für Betroffenenanfragen (SAR) aktualisieren: Der DUAA legt fest, dass die 30-Tage-Frist für Antworten erst beginnt, nachdem die Identität des Anfragenden geprüft oder eine erforderliche Gebühr gezahlt wurde. Interne Abläufe müssen angepasst werden. Neue Suchstandards sind „angemessen und verhältnismäßig“ – erschöpfende Suchen sind nicht mehr nötig, wenn sie unverhältnismäßig wären.

3. Auf die Spaltung vorbereiten: Eine einzige „globale Datenschutzerklärung“ könnte jetzt zum Risiko werden. Die unterschiedlichen Regeln für automatisierte Entscheidungen und die britischen Sonderkategorien machen getrennte Fassungen für den EWR und das UK sinnvoll, um Klarheit und Compliance zu gewährleisten.

Der sogenannte „Brussels Effect“, bei dem EU-Regeln globale Standards setzen, wird erstmals von einem deregulierenden Nachbarn herausgefordert. Die EU-Kommission hat den Angemessenheitsbeschluss für das UK bis Ende 2025 verlängert. Doch die wachsende Divergenz könnte eine Überprüfung auslösen. Daten dürfen vorerst weiter fließen – die rechtlichen Rahmenbedingungen dafür entfernen sich jedoch immer weiter voneinander.