Das DUAA-Fristenproblem, das Entwickler unvorbereitet trifft: Es geht nicht um deine Datenpraktiken, es geht um deinen Prozess

Die meisten Organisationen, die mit UK-Nutzerdaten umgehen, haben 2025 und Anfang 2026 ihre Aufmerksamkeit den richtigen Themen gewidmet: Rechtsgrundlagen, Datensparsamkeit, Übermittlungsmechanismen. Was viele von ihnen jedoch übersehen haben, ist, dass der Data (Use and Access) Act 2025 eine eigenständige verfahrensrechtliche Pflicht in das UK-Recht eingefügt hat – eine Pflicht, die nichts damit zu tun hat, ob die zugrundeliegenden Datenpraktiken einwandfrei sind. Die Anforderung lässt sich einfach formulieren und ist überraschend leicht zu übersehen: Bis zum 19. Juni 2026 muss jeder Verantwortliche, der dem UK-Datenschutzrecht unterliegt, über ein dokumentiertes und funktionsfähiges Verfahren verfügen, um Beschwerden von Einzelpersonen über die Verwendung ihrer personenbezogenen Daten entgegenzunehmen und zu bearbeiten. Keine Ausnahmen. Keine Übergangsfrist für kleine Organisationen. Keine Ausnahmeregelung für Plattformen, die noch nie eine formelle Beschwerde erhalten haben.

Was das Gesetz tatsächlich verlangt

Section 103 des Data (Use and Access) Act 2025 fügt gemäß Hunton Andrews Kurth den neuen Section 164A in den Data Protection Act 2018 ein. Diese Bestimmung verpflichtet jeden Verantwortlichen, einen Mechanismus oder ein Verfahren einzurichten, über das betroffene Personen Beschwerden im Zusammenhang mit ihren personenbezogenen Daten einreichen können. Der DUAA erhielt am 19. Juni 2025 die Royal Assent, womit die Beschwerdeverpflichtung genau ein Jahr später durchsetzbar wird, wie Katten Muchin Rosenman auf JDSupra bestätigt.

Der ICO veröffentlichte am 12. Februar 2026 detaillierte operative Leitlinien im Anschluss an eine öffentliche Konsultation, die laut einer eigenen Pressemitteilung des ICO mehr als 85 Antworten erhielt. Diese Leitlinien unterscheiden zwischen dem, was Verantwortliche tun müssen (gesetzliches Minimum), tun sollten (bewährte Praxis) und tun könnten (ein robusterer Ansatz). Die Muss-Ebene ist der Bereich, in dem Ihre rechtliche Exposition liegt.

Die Leitlinien des ICO legen die wesentlichen operativen Schritte fest: Einzelpersonen eine klare Möglichkeit geben, eine Beschwerde einzureichen, den Eingang innerhalb von 30 Tagen bestätigen, angemessene Schritte zur Beantwortung ohne unangemessene Verzögerung unternehmen, den Beschwerdeführer während des gesamten Prozesses informiert halten und das Ergebnis mitteilen – laut ZwillGens Analyse der ICO-Leitlinien. Diese Schritte müssen dokumentiert und nachweisbar sein.

Der ICO hat laut Mayer Brown einen maßvollen Ansatz bei der Durchsetzung während des Übergangszeitraums signalisiert, insbesondere wenn die eigenen Leitlinien noch nicht abgeschlossen sind. Maßvoll bedeutet jedoch nicht abwesend – und die Leitlinien zur Beschwerdebearbeitung sind seit Februar 2026 verfügbar.

Warum die Prozesslücke das eigentliche Risiko ist

Hier kommt der kontraintuitive Teil. Eine Organisation kann eine wirklich vertretbare Datenpraktik haben – Rechtsgrundlage dokumentiert, Aufbewahrungsfristen festgelegt, Auskunftsersuchen prompt bearbeitet – und dennoch am 19. Juni 2026 einem direkten Durchsetzungsrisiko ausgesetzt sein, wenn kein formelles Beschwerdeverfahren vorhanden ist.

Die verfahrensrechtliche Anforderung ist eigenständig. Eine betroffene Person, die glaubt, dass ihre Daten falsch behandelt wurden – ob zu Recht oder nicht –, hat nun ein gesetzliches Recht, diese Beschwerde zunächst beim Verantwortlichen einzulegen, bevor sie an den ICO weitergeleitet wird. Die Absicht, wie von Hunton beschrieben, besteht darin sicherzustellen, dass Beschwerden vom Verantwortlichen geprüft werden, bevor sie die Aufsichtsbehörde erreichen. Liegt kein Verfahren zur Entgegennahme dieser Beschwerde vor, hat die Organisation eine eigenständige rechtliche Verpflichtung verletzt – unabhängig davon, wie die zugrundeliegende Datenpraktik aussieht.

ZwillGen formuliert dies präzise: Die Änderung erfordert kein komplett neues Datenschutzprogramm, aber sie verlangt von Organisationen sicherzustellen, dass Beschwerden erkannt, weitergeleitet, bestätigt, untersucht und auf eine Weise gelöst werden, die dem ICO bei Bedarf vorgezeigt werden kann. Dieser letzte Satz hat erhebliches Gewicht. Der ICO kann Ihr Verfahren einsehen wollen. Wenn Sie keines vorlegen können, ist dieses Fehlen selbst der Verstoß.

Für Bildungsplattformen und Edtech-Entwickler im Besonderen, die mit an Sicherheit grenzender Wahrscheinlichkeit personenbezogene Daten von Schülern, Eltern und Mitarbeitern gemäß UK GDPR verarbeiten, sind Sie ein Verantwortlicher. Die Formulierung ohne Ausnahmen in den ICO-Leitlinien, bestätigt von Bratby Law und DLA Pipers Privacy Matters, bedeutet, dass die Plattformgröße, der Sektor oder die bisherige Compliance-Geschichte keinen sicheren Hafen schafft.

Was Entwickler und Compliance-Teams jetzt tun sollten

Der praktische Aufbau hier ist nicht kompliziert, erfordert aber bewusste Anstrengung statt bloßes Abhaken einer Liste. Laut Mayer Brown haben Organisationen noch ein Zeitfenster, um Datenschutzpraktiken zu überprüfen, Richtlinien und Verfahren zu aktualisieren und sich auf die Anforderungen zur Beschwerdebearbeitung vorzubereiten.

Konkret bedeutet das:

• Festlegen, wer Beschwerden entgegennimmt (ein benannter Posteingang, ein Formular oder ein dokumentierter Kanal)
• Einrichten eines internen Bestätigungs-Workflows, der das 30-Tage-Fenster einhält
• Dokumentieren der Untersuchungsschritte
• Erstellen einer Vorlage für die Mitteilung von Ergebnissen an Beschwerdeführer

Die Leitlinien des ICO, im Februar veröffentlicht und im Mai 2026 aktualisiert, führen durch jede Phase und sind kostenlos öffentlich zugänglich.

Für regulierte Organisationen weist Bratby Law auf eine weitere prüfenswerte Ebene hin: Wenn Sie den Beschwerderegeln von Ofcom oder der FCA unterliegen, überschneidet sich die DUAA-Verpflichtung mit diesen bestehenden Rahmenwerken und schafft eine Compliance-Wechselwirkung, die kartiert werden muss. Das betrifft eine kleinere Gruppe, aber Edtech-Unternehmen mit integrierten Finanzprodukten oder regulierten Kommunikationsdiensten sollten nicht davon ausgehen, dass das Beschwerdeverfahren ihrer Sektorbehörde automatisch Section 164A erfüllt.

Die stellvertretende Kommissarin des ICO für Regulierungspolitik stellte im Mai 2026 fest, dass kleinere Organisationen mit geringerer Wahrscheinlichkeit über bestehende Verfahren zur Beschwerdebearbeitung verfügen, und forderte sie ausdrücklich auf, die Leitlinien zu lesen und die unkomplizierten Schritte zur Einhaltung zu unternehmen. Das ist keine Drohung; es ist eine Leseliste. Die Leitlinien existieren, die Frist ist festgelegt, und die Anforderung kennt keine Ausnahmen.

Für alle, die Produkte entwickeln, die UK-Nutzerdaten berühren, stellt sich die Frage nicht mehr, ob dies zutrifft. Die Frage ist, ob Ihr Verfahren einer Prüfung durch die Aufsichtsbehörde standhalten kann.