UK-Datenschutzreform 2026: Cookies lockern, KI-Freiheit

Großbritannien reformiert Datenschutz: Cookies lockern, KI-Freiheit steigt.

Seit dem 5. Februar 2026 tritt das Data (Use and Access) Act 2025 (DUAA) in Kraft. Es markiert die umfassendste Veränderung der britischen Datenschutzregeln seit dem Brexit. Für deutsche und EU-Unternehmen hat das Regelwerk direkte Folgen: Datenflüsse mit britischen Partnern bleiben erlaubt, doch Verträge, Transfermechanismen und Compliance müssen neu justiert werden.

Lockere Cookie-Regeln – was bleibt im Blick?

Unter dem neuen Regime in Verbindung mit den Privacy and Electronic Communications Regulations (PECR) dürfen „low-risk“-Cookies künftig ohne ausdrückliche Nutzerzustimmung genutzt werden. Dazu zählen vor allem Cookies zu statistischen Zwecken (Analytics) sowie solche, die Erscheinungsbild oder Funktionen einer Website an Nutzerpräferenzen anpassen. Die Liberalisierung zielt darauf ab, die sogenannte Consent-Fatigue der User zu reduzieren und den Nutzern ein reibungsloseres Erlebnis zu ermöglichen.

Gleichzeitig hat das DUAA das Strafrecht bei Verstößen verschärft: Die Aufsichtsbehörde ICO kann Bußgelder bei Verstößen gegen PECR verhängen – bis zu 17,5 Millionen Pfund oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens. Das reicht damit deutlich über frühere Grenzen hinaus und erhöht den Anreiz zur Einhaltung.

Automatisierte Entscheidungen: Mehr Freiheit, mehr Verantwortung

Künftig dürfen Unternehmen überwiegend ausschließlich automatisierte Entscheidungsprozesse (ADM) einsetzen – ohne menschliches Eingreifen – für die meisten Zwecke, sofern geeignete Schutzmaßnahmen implementiert sind. Dazu gehört das Recht der Betroffenen, Einspruch zu erheben oder eine Mensch-Entscheidung zu verlangen. Ausnahmen bleiben bei besonders sensiblen Datenkategorien (Gesundheitsdaten, biometrische Daten): Hier gelten weiterhin strikte Vorgaben, einschließlich notwendiger Einwilligungen oder vertraglicher Erforderlichkeiten.

Diese Verschiebung soll Innovationen in Bereichen wie FinTech oder Versicherungen in Großbritannien beschleunigen, lässt jedoch Unterschiede zur EU-Variante des GDPR deutlich spürbar.

Apropos automatisierte Entscheidungen – während Großbritannien ADM erweitert, gelten in der EU mit der KI-Verordnung weiterhin umfangreiche Pflichten zu Risikoklassifizierung, Kennzeichnung und Dokumentation. Für Unternehmen, die grenzüberschreitend mit KI-Systemen arbeiten, ist klar: Wer jetzt nicht nachsteuert, riskiert Prüfungen und Bußgelder. Ein kompakter Umsetzungsleitfaden erklärt praxisnah, welche Anforderungen für Entwickler und Anwender von KI-Systemen gelten und wie Sie Ihre Systeme korrekt einordnen und dokumentieren. Jetzt kostenlosen KI-Leitfaden herunterladen

Stärkere Aufsicht und DSAR-Verfahren: Klarheit statt Bürokratie

Der regulatorische Werkzeugkasten der ICO wurde deutlich erweitert. Neben höheren Bußgeldern hat die ICO neue Befugnisse, Aussagen von Stellen zu Interview-Terminen zu zwingen und technische Berichte von Verantwortlichen im Rahmen von Untersuchungen zu verlangen.

Für Unternehmen mit vielen Datenanfragen (DSARs) gibt es ebenfalls Verbesserungen: Ein neues „Stop-the-Clock“-Verfahren erlaubt es, die gesetzliche Frist von einem Monat bei klärungsbedürftigen Auskünften zu pausieren. Rechtsanwälte erwarten hier eine spürbare Erleichterung im Umgang mit komplexen oder vagen Auskunftsbegehren.

EU-Anerkennung bis 2031 gesichert

Trotz der Divergenzen bleibt der grenzüberschreitende Datenaustausch mit der EU sicher. Die Europäische Kommission verlängerte die UK-Adequacy bis zum 27. Dezember 2031. Damit können EU-Unternehmen weiterhin persönliche Daten in die UK übertragen, ohne teure Alternativmechanismen wie Standardvertragsklauseln (SCCs) einsetzen zu müssen. Für den deutschen Markt bedeutet das Planungssicherheit und Marktstabilität im bilateralen Austausch.

Ausblick: Beschwerderecht ab Mitte Juni 2026

Der Großteil der Reformen ist umgesetzt. Ab dem 19. Juni 2026 tritt ein neues Recht auf Beschwerde direkt bei den Verantwortlichen in Kraft. Unternehmen müssen dann eine transparente, gut erreichbare Beschwerdeabteilung vorhalten. In den kommenden Monaten konzentriert sich der Fokus der Aufsicht darauf, wie intensiv die ICO die neuen Befugnisse nutzt. Branchen mit starkem direktem Marketing und Datenverarbeitung sollten ihre Compliance-Strategien unmittelbar überprüfen, um Konflikte mit dem neuen Regime zu vermeiden.

Fazit: Die britische Datenschutzreform strebt mehr Flexibilität für Unternehmen an, ohne die Schutzstandards aufzugeben. Für Deutschland und die EU bedeutet dies eine verstärkte Prüfung von Data-Transfer-Verträgen, neue Koordinationsbedarf mit britischen Dienstleistern und ein engeres Auge auf die grenzüberschreitende Zusammenarbeit im Bereich Digitalwirtschaft.