Das DUAA-Beschwerderahmenwerk ist jetzt durchsetzbar: Jeder britische Datenverantwortliche braucht eine interne Anlaufstelle

Eine betroffene Person schickt um 23 Uhr eine E-Mail, in der sie behauptet, Ihr Unternehmen habe ihre personenbezogenen Daten ohne rechtmäßige Grundlage verwendet. Nach der alten Rechtslage hätte sie diese Beschwerde bereits am nächsten Morgen direkt beim Information Commissioner's Office einreichen können. Ab dem 19. Juni 2026 ist das nicht mehr möglich. Der Data (Use and Access) Act 2025 verpflichtet betroffene Personen nun dazu, die Beschwerde zunächst bei Ihnen einzureichen – und er verpflichtet Sie, dafür ein formelles, dokumentiertes Verfahren bereitzuhalten.

Was das Gesetz konkret geändert hat

Der DUAA erhielt laut Mayer Brown am 19. Juni 2025 die königliche Zustimmung. Er ändert das UK GDPR und den Data Protection Act 2018, ersetzt diese jedoch nicht. Die meisten datenschutzbezogenen Bestimmungen des Gesetzes traten am 5. Februar 2026 in Kraft, und zwar auf Grundlage der Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026 – wie sowohl Clifford Chance als auch der Privacy Matters Blog von DLA Piper festhalten. Die Pflicht zur Beschwerdebearbeitung wurde auf einen gesonderten Inkrafttretenstermin verschoben: den 19. Juni 2026, genau ein Jahr nach der königlichen Zustimmung.

Das zentrale Instrument ist eine verbindliche Pflicht zur vorherigen Kontaktaufnahme vor einer Beschwerde beim ICO. Laut Mintz muss eine betroffene Person, bevor sie eine Beschwerde beim ICO einreichen kann, das Anliegen zunächst direkt beim zuständigen Verantwortlichen vorbringen und diesem einen angemessenen Zeitraum zur Reaktion einräumen. Der ICO hat signalisiert, dass dieser Zeitraum in der Regel 45 Tage beträgt, wobei Mintz darauf hinweist, dass er je nach Komplexität des Falls variieren kann. Der praktische Effekt ist eine vorgelagerte Triageschicht zwischen der betroffenen Person und der Aufsichtsbehörde – die, wie Mintz erläutert, eine frühzeitige Einigung fördern und dem ICO ermöglichen soll, seine Ressourcen auf schwerwiegendere Fälle zu konzentrieren.

Wer betroffen ist und was aufgebaut werden muss

Der Privacy Matters Blog von DLA Piper ist beim Anwendungsbereich präzise: Der DUAA führt eine formelle Pflicht zur Einrichtung eines Beschwerdeverfahrens für alle Verantwortlichen ein – ohne Ausnahmen. Diese Formulierung hat praktische Bedeutung. Kleine gemeinnützige Organisationen, Startups mit einem einzigen Gründer, mittelständische Arbeitgeber und globale Plattformen fallen bei dieser Verpflichtung gleichermaßen darunter. Squire Patton Boggs beschreibt auf dem Employment Law Worldview-Blog, dass damit ein neues gesetzliches Recht für Arbeitnehmer entsteht, bei Verantwortlichen Beschwerden über Verstöße gegen das UK GDPR einzureichen – was bedeutet, dass allein das Arbeitsverhältnis Beschwerden im Anwendungsbereich erzeugen kann, völlig unabhängig von einer kundenbezogenen Datenverarbeitung.

Der Data Matters Blog von Sidley bietet eine hilfreiche Klarstellung dazu, was den Prozess tatsächlich auslöst: Nicht jede Kontaktaufnahme einer betroffenen Person gilt als regulierte Beschwerde. Organisationen müssen zwischen routinemäßigen Anfragen und Auskunftsersuchen einerseits und der Äußerung von Unzufriedenheit über den Umgang mit personenbezogenen Daten andererseits unterscheiden. Diese Unterscheidung richtig zu treffen hält das Verfahren verhältnismäßig und verhindert, dass jede eingehende Nachricht als formelles Compliance-Ereignis behandelt wird. Sidley weist zudem darauf hin, dass die DUAA-Anforderung durch aktuelle ICO-Leitlinien zur Vorbereitung auf und Bearbeitung von Datenschutzbeschwerden unterstützt wird, die als praxisnahe Referenz für den Aufbau interner Verfahren dienen.

Auf der Dokumentationsseite empfiehlt Mayer Brown, dass Organisationen ihre Datenschutzpraktiken überprüfen, Richtlinien und Verfahren aktualisieren und die DUAA-Compliance als fortlaufende Priorität im Jahr 2026 behandeln sollten. Auch Datenschutzhinweise müssen aktualisiert werden: Squire Patton Boggs bestätigt, dass Organisationen, die dem UK GDPR unterliegen, die neuen Rechte zur Beschwerdebearbeitung ab dem 19. Juni 2026 in ihren veröffentlichten Hinweisen abbilden müssen.

Warum das bei einem Cybervorfall besonders hart trifft

Die oben beschriebene Compliance-Schicht funktioniert unter normalen Bedingungen. Überlegen Sie nun, was passiert, wenn eine Organisation eine Datenpanne erleidet. Die Meldefrist gegenüber dem ICO läuft bereits. Betroffene Personen nehmen Kontakt mit der Organisation auf. Einige dieser Kontaktaufnahmen stellen formelle Beschwerden im Rahmen des DUAA-Regelwerks dar – nicht bloß besorgte Anfragen. Ohne ein dokumentiertes internes Beschwerdeverfahren muss die Organisation gleichzeitig das Incident Response-Management, eine Meldepflicht gegenüber der Aufsichtsbehörde und ein unbestimmtes Volumen an Beschwerdepflichten bewältigen, für die kein Verfahren existiert.

Mayer Brown stellt fest, dass der ICO in dieser Übergangsphase einen maßvollen Durchsetzungsansatz signalisiert hat, insbesondere dort, wo Leitlinien noch nicht abschließend vorliegen. Das sollte man sorgfältig lesen: maßvoll bedeutet nicht abwesend. Dieselbe Veröffentlichung macht deutlich, dass Compliance als fortlaufende Priorität behandelt werden sollte und nicht bis zum Eingang einer Durchsetzungsverfügung aufgeschoben werden darf.

Für sicherheitsnahe Teams bedeutet das praktisch: Incident-Response-Runbooks brauchen jetzt einen Zweig für die Beschwerdebearbeitung – wer im Vorfallsfall formelle Datenschutzbeschwerden entgegennimmt, wie die Fristen für Bestätigung und Antwort aussehen und wie diese Beschwerden mit dem parallel laufenden ICO-Meldeverfahren zusammenwirken.

Was Organisationen jetzt tun sollten

Die Verpflichtung gilt bereits. Die Frage ist, ob Ihr internes Verfahren dokumentiert, kommuniziert und getestet ist. Auf Grundlage der gesichteten Leitlinien von Mayer Brown, Mintz, Sidley und Squire Patton Boggs ergibt sich folgende praktische Checkliste.

Erstens: Richten Sie einen definierten Kanal für den Eingang von Datenschutzbeschwerden ein, getrennt von allgemeinen Kundenservice-Warteschlangen. Zweitens: Dokumentieren Sie ein Bearbeitungsverfahren, das das vom ICO festgelegte indikative 45-Tage-Fenster berücksichtigt und festlegt, wer innerhalb der Organisation für welche Phase verantwortlich ist. Drittens: Aktualisieren Sie Datenschutzhinweise, um das neue Beschwerderecht abzubilden. Viertens: Schulen Sie alle Personen, die eingehende Kommunikation bearbeiten, darin zu erkennen, wann eine Nachricht von einer routinemäßigen Anfrage in den Bereich einer regulierten Beschwerde wechselt. Die vom ICO veröffentlichten Leitlinien zur Bearbeitung von Datenschutzbeschwerden sind die primäre Referenz für die Kalibrierung dieses Prozesses.

Organisationen, die bereits über ausgereifte Workflows für Auskunftsersuchen verfügen, haben einen strukturellen Vorsprung: Die zugrunde liegende Infrastruktur für Datenmapping und Verantwortlichkeiten lässt sich übertragen. Wer das nicht hat, sollte den Juni 2026 nicht als bereits versäumte Frist betrachten, sondern als den Zeitpunkt, ab dem der Aufbau dieses Verfahrens keine Option mehr ist. Die maßvolle Durchsetzungshaltung des ICO schafft ein kurzes Fenster praktischer Toleranz – aber keinen dauerhaften Schutz.