Seit Jahren drehen sich die Gespräche über die Datenregulierung in Großbritannien weitgehend um den gleichen Rahmen. Die Datenschutzgrundverordnung (GDPR) hat die Art und Weise, wie Unternehmen personenbezogene Daten erheben und schützen, neu gestaltet, der Data Protection Act hat diese Verpflichtungen verstärkt und Sicherheitsverantwortliche haben Governance-Strukturen aufgebaut, um die Einhaltung der Vorschriften in ihren Unternehmen zu gewährleisten.
Viele CISOs haben das letzte Jahrzehnt damit verbracht, Richtlinien zu verfeinern, Mitarbeiter zu schulen und Kontrollen zu implementieren, die diesen Standards entsprechen.
Aber die Regulierung steht niemals still.
Der Data (Use and Access) Act 2025 (DUAA) stellt eine der bedeutendsten Entwicklungen in der britischen Data-Governance-Landschaft dar, seit die GDPR in Kraft getreten ist. Das Gesetz ersetzt zwar nicht die bestehende Regulierung, führt aber neue Erwartungen an die Art und Weise ein, wie Organisationen auf Daten in immer komplexeren digitalen Umgebungen zugreifen, sie teilen, verwalten und nutzen.
Für CISOs ist dies von Bedeutung, da viele der Änderungen direkt an der Schnittstelle zwischen Cybersicherheit, Governance und menschlichem Verhalten liegen. Das Gesetz führt neue Erwartungen in Bezug auf die Nutzung von KI, den internen Datenzugriff, die behördliche Aufsicht und die organisatorische Verantwortlichkeit ein. Dies sind alles Bereiche, in denen Sicherheitsverantwortliche bereits eine große Verantwortung tragen.
Während die Organisationen weiterhin interpretieren, was die Gesetzgebung im Jahr 2026 in der Praxis bedeutet, wird eines immer deutlicher. Die Einhaltung der Vorschriften wird ebenso sehr von Menschen, Prozessen und Kultur abhängen wie von der Technologie.
Warum der Data (Use And Access) Act jetzt wichtig ist
Obwohl das Gesetz im Jahr 2025 verabschiedet wurde, beginnen viele Organisationen erst jetzt, seine praktischen Auswirkungen zu verstehen.
Die Gesetzgebung zielt darauf ab, die Art und Weise des Zugriffs auf Daten und deren Nutzung in der britischen Wirtschaft zu modernisieren. Vereinfacht ausgedrückt, ermutigt es Organisationen, Daten besser zu nutzen und gleichzeitig den Schutz von Personen und sensiblen Informationen aufrechtzuerhalten.
Dieses Gleichgewicht schafft neue Herausforderungen für CISOs.
Unternehmen werden ermutigt, den Wert von Daten zu erschließen, teamübergreifend zusammenzuarbeiten und neue Technologien wie künstliche Intelligenz zu erforschen. Gleichzeitig sind sie weiterhin dafür verantwortlich, sensible Daten zu schützen, angemessene Zugriffskontrollen zu gewährleisten und die Einhaltung der Vorschriften nachzuweisen, wenn die Regulierungsbehörden Fragen stellen.
Sicherheitsverantwortliche bewegen sich daher in einem komplexeren Umfeld, in dem Datenfreigabe und Datenschutz nebeneinander bestehen müssen.
Um dieses Gleichgewicht zu erreichen, bedarf es einer klaren Unternehmensführung, starker interner Prozesse und einer Belegschaft, die sich ihrer Verantwortung im Umgang mit Unternehmensdaten bewusst ist.
Stärkerer Fokus auf Data Governance und Verantwortlichkeit
Eines der wichtigsten Themen des Gesetzes ist die stärkere Betonung einer strukturierten Datenverwaltung.
Die meisten Unternehmen verfügen bereits über Richtlinien zur Datenklassifizierung, Zugriffsverwaltung und Aufbewahrung. Die DUAA unterstreicht jedoch die Erwartung, dass Organisationen ein klares und überprüfbares Verständnis davon haben sollten, wie Daten durch das Unternehmen fließen.
Dazu gehören Fragen wie die, wer Zugriff auf bestimmte Datensätze hat, warum dieser Zugriff erforderlich ist und wie sensible Informationen intern oder extern weitergegeben werden.
Für CISOs erhöht diese Verschiebung die Bedeutung von Sichtbarkeit und Aufsicht. Die Sicherheitsteams konzentrieren sich nicht mehr nur auf externe Bedrohungen. Sie müssen sich auch darauf verlassen können, dass der legitime interne Zugang ordnungsgemäß genutzt wird.
An dieser Stelle wird das menschliche Verhalten entscheidend. Selbst die robustesten technischen Kontrollen können die versehentliche Offenlegung von Daten oder die unangemessene Weitergabe von Daten nicht vollständig verhindern, wenn die Mitarbeiter sich der Risiken nicht bewusst sind oder die Regeln nicht kennen.
Klare Kommunikation, regelmäßige Schulungen und gut definierte Prozesse sind daher wesentliche Bestandteile einer effektiven Data Governance.
Neue Überlegungen zu KI und Datennutzung
Ein weiterer sich entwickelnder Aspekt des Gesetzes ist seine Bedeutung für KI und automatisierte Entscheidungsfindung.
Unternehmen experimentieren zunehmend mit KI-Tools, die auf großen Datenmengen basieren. Von internen Produktivitäts-Tools bis hin zu kundenorientierten Diensten – KI wird schnell Teil des täglichen Geschäftsbetriebs.
Die DUAA unterstreicht die Notwendigkeit für Unternehmen, zu verstehen, wie Daten innerhalb dieser Systeme verwendet werden und ob die Verwendung dieser Daten mit der Unternehmensführung und den gesetzlichen Anforderungen übereinstimmt.
Für CISOs ergeben sich daraus neue Herausforderungen bei der Überwachung. Sicherheitsverantwortliche müssen wissen, wie neue Technologien mit Unternehmensdaten interagieren, insbesondere wenn diese Tools schnell oder ohne zentrale Kontrolle eingeführt werden.
KI kann enorme Vorteile bieten, aber sie wirft auch wichtige Fragen zu Transparenz, Zugriffsrechten und verantwortungsvoller Datennutzung auf. Die Sicherstellung, dass Mitarbeiter die Risiken und Grenzen der Datennutzung verstehen, ist ein wichtiger Teil des Risikomanagements.
Verstärkte regulatorische Kontrolle und Durchsetzung
Wie bei vielen regulatorischen Änderungen werden die wirklichen Auswirkungen des Gesetzes wahrscheinlich durch die Durchsetzung und Überwachung sichtbar werden.
Es wird erwartet, dass die Aufsichtsbehörden immer mehr Wert darauf legen, dass die Unternehmen nachweisen können, dass sie über angemessene Unternehmensführung, Kontrollen und Prozesse verfügen. Dokumentation, Schulungsunterlagen und klare interne Richtlinien sind Teil dieser Geschichte.
Für CISOs verstärkt dies eine bekannte Herausforderung. Bei der Einhaltung von Vorschriften geht es nicht nur darum, die richtigen Tools oder Richtlinien auf dem Papier zu haben. Es muss nachgewiesen werden, dass die Mitarbeiter diese Richtlinien verstehen und sie bei ihrer täglichen Arbeit konsequent anwenden.
Programme zur Förderung des Sicherheitsbewusstseins spielen eine wichtige Rolle, wenn es darum geht, Unternehmen zu zeigen, dass Data Governance in der Unternehmenskultur verankert ist und nicht nur in der Dokumentation existiert.
Das menschliche Element der Dateneinhaltung
Viele der Anforderungen, die mit dem Data (Use and Access) Act verbunden sind, beziehen sich letztlich auf die Menschen.
Mitarbeiter greifen auf Systeme zu, tauschen Informationen aus, arbeiten abteilungsübergreifend zusammen und setzen neue Technologien ein. Diese alltäglichen Handlungen können die Fähigkeit einer Organisation, Daten verantwortungsvoll zu verwalten, entweder stärken oder schwächen.
Aus diesem Grund konzentrieren sich CISOs zunehmend auf den Aufbau einer Kultur, in der die Mitarbeiter den Wert von Daten und die mit dem falschen Umgang damit verbundenen Risiken verstehen.
Wenn Mitarbeiter wissen, wie sie sensible Informationen identifizieren können, die Grenzen des Datenzugriffs kennen und sich sicher fühlen, wenn sie potenzielle Probleme melden, sind Unternehmen viel besser in der Lage, die sich entwickelnden gesetzlichen Erwartungen zu erfüllen.
Um diese Kultur zu schaffen, bedarf es konsistenter Botschaften, ansprechender Schulungen und praktischer Anleitungen, die den Datenschutz zu einem Teil der täglichen Entscheidungsfindung machen.
Wie MetaCompliance helfen kann
Der Umgang mit sich entwickelnden Gesetzen wie dem Data (Use and Access) Act 2025 erfordert mehr als nur die Aktualisierung von Richtlinien. Unternehmen brauchen praktische Möglichkeiten, um Mitarbeiter zu schulen, Erwartungen zu stärken und die Einhaltung der Vorschriften zu demonstrieren.
MetaCompliance unterstützt Unternehmen bei der Entwicklung strukturierter, messbarer Sensibilisierungsprogramme, die die Verantwortung für den Datenschutz in das tägliche Verhalten einbinden.
Unsere Schulungsbibliothek umfasst spezielle Kurse, die die wichtigsten Bereiche abdecken, die Unternehmen im Rahmen des Gesetzes verstehen müssen, von einer Einführung in die Gesetzgebung selbst bis hin zu den Auswirkungen auf die Datenschutzgrundverordnung, Marketingkommunikation, die Einbeziehung der Aufsichtsbehörden und den Umgang mit Beschwerden. Die Inhalte sind so konzipiert, dass sie Führungskräften und Mitarbeitern ein klares, praktisches Verständnis dafür vermitteln, wie sich die Änderungen auf ihre tägliche Arbeit auswirken.
Diese Module helfen Führungsteams und Mitarbeitern zu verstehen, wie sich die Gesetzgebung auf ihre Verantwortlichkeiten auswirkt, von der Unternehmensführung und dem Engagement für Vorschriften bis hin zu praktischen Prozessen im Umgang mit Daten.
Neben dem Lernen bietet MetaCompliance auch die Tools, die Unternehmen benötigen, um Richtlinien zu verwaltenzu verwalten, das Verständnis der Mitarbeiter zu verfolgen und klare Aufzeichnungen zu führen, die die Einhaltung der Richtlinien belegen.
In Anbetracht der fortschreitenden Regulierung von Daten werden diejenigen Unternehmen erfolgreich sein, die eine starke Unternehmensführung, effektive Technologie und eine Belegschaft, die ihre Rolle beim Datenschutz versteht, miteinander kombinieren.
Für CISOs wird der Aufbau einer solchen Kultur schnell zu einem der wichtigsten Bestandteile des Managements von Cyber- und regulatorischen Risiken.
Um mehr zu erfahren, nehmen Sie Kontakt auf mit unserem Team in Verbindung.