Auftragsverarbeiter: EU-Datenschützer verschärfen Regeln für Daten-Dienstleister

Die EU-Datenschutzbehörden ziehen die Schrauben für Auftragsverarbeiter an. Neue Leitlinien und Strafen zeigen: Dienstleister haften direkt und teuer für Datenschutzverstöße.

Neue EU-Opinion fordert klare Rollentrennung

Die europäischen Datenschutz-Wächter schlagen Alarm. Am 12. März veröffentlichten der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzausschuss (EDPS) eine gemeinsame Stellungnahme zum geplanten EU-Biotech-Gesetz. Ihr Kernvorwurf: Die Gesetzesvorlage muss die Rollen von Datenverantwortlichen und Auftragsverarbeitern scharf trennen. Besonders bei sensiblen Gesundheitsdaten aus klinischen Studien sei diese Unterscheidung existenziell.

Die falsche Rollenverteilung oder Fehler in der Auftragsdatenverarbeitung kosten Unternehmen im Schnitt 50.000 € an Bußgeldern. Dieser kostenlose Experten-Report zeigt Ihnen, wie Sie die gesetzlichen Anforderungen rechtssicher umsetzen und teure Sanktionen vermeiden. Kostenlosen Experten-Report jetzt herunterladen

„Initiativen zur Rechtsvereinheitlichung dürfen den Schutz der DSGVO nicht verwässern“, mahnen die Behörden. Für Unternehmen, die als Auftragsverarbeiter fungieren, wird die Lage damit noch komplexer. Sie müssen künftig noch präziser definieren, welche Aufgaben sie im Datenverarbeitungsprozess übernehmen – sonst riskieren sie unbeabsichtigt die Haftung eines Verantwortlichen.

Internationale Datenübermittlung wird zum Hindernislauf

Parallel verschärft sich der Rahmen für grenzüberschreitende Datenflüsse. Die Konsultationsphase für aktualisierte Leitlinien zu Processor Binding Corporate Rules (BCR-P) endete am 2. März. Diese firmeninternen Datenschutzregeln sollen den strengen Anforderungen nach dem „Schrems II“-Urteil gerecht werden.

Die neuen Empfehlungen bringen Klarheit, aber auch neue Hürden. Zwar entfällt für Konzern-interne Unterauftragsverarbeiter die Pflicht zu separaten Verträgen. Doch für direkte Datenübermittlungen von einem EU-Verantwortlichen an einen Auftragsverarbeiter außerhalb der EU gelten die BCR-P nicht. Hier bleiben die Standardvertragsklauseln (SCC) der einzige Weg. Für globale Dienstleister bedeutet das einen erheblichen Anpassungsaufwand bei ihren Vertrags- und Transferarchitekturen.

Artikel 28 DSGVO: Pflichten werden konkretisiert

Die aktuellen Entwicklungen unterstreichen die Grundpflichten aus Artikel 28 der DSGVO. Ein Auftragsverarbeiter darf personenbezogene Daten niemals für eigene Zwecke nutzen. Er handelt ausschließlich nach dokumentierter Weisung des Verantwortlichen.

Die Pflichten gehen aber weit darüber hinaus. Dienstleister müssen eigenständig geeignete technische und organisatorische Maßnahmen für die Datensicherheit umsetzen. Dazu gehören vollständige Verzeichnisse der Verarbeitungstätigkeiten und die Unterstützung bei Betroffenenrechten. Bevor ein Unterauftragsverarbeiter eingeschaltet wird, ist zudem eine schriftliche Genehmigung des Verantwortlichen einzuholen. Juristen warnen: Gerade das unerlaubte Behalten von Daten nach Vertragsende oder die mangelhafte Prüfung von Subunternehmern sind die häufigsten Fallstricke.

Paradigmenwechsel: Hohe Strafen treffen jetzt direkt die Dienstleister

Die theoretischen Pflichten bekommen zunehmend finanzielle Zähne. Datenschutzbehörden in Europa zeigen immer weniger Zurückhaltung, Auftragsverarbeiter direkt zur Kasse zu bitten.

Ein Beispiel: Die französische CNIL verhängte im Dezember 2025 eine Geldbuße von 1 Million Euro gegen den britischen Dienstleister Mobius Solutions. Das Unternehmen hatte Daten von über 46 Millionen Nutzern eines Musik-Streaming-Dienstes nach Vertragsende weiter gespeichert. Ein klarer Verstoß gegen die DSGVO.

Viele Geschäftsführer unterschätzen die Haftungsrisiken bei der Zusammenarbeit mit externen Dienstleistern und Unterauftragsverarbeitern. Sichern Sie sich dieses Gratis-E-Book mit fertigen Vorlagen und Checklisten, um Ihre Auftragsdatenverarbeitung sofort auf ein rechtssicheres Fundament zu stellen. Gratis E-Book mit Vorlagen und Checklisten sichern

Bereits im April 2025 traf es die Advanced Computer Software Group. Die britische ICO verhängte eine Strafe von umgerechnet etwa 3,6 Millionen Euro, weil mangelhafte Sicherheitsvorkehrungen einen Ransomware-Angriff ermöglichten. Die Botschaft ist eindeutig: Auftragsverarbeiter können sich nicht mehr hinter dem Verantwortlichen verstecken. Sie haften direkt für Compliance-Verstöße und mangelnde Cybersicherheit.

Ausblick: 2026 wird zum Jahr der Compliance-Prüfungen

Für Auftragsverarbeiter steht ein anspruchsvolles Jahr bevor. Die finalen BCR-P-Empfehlungen des EDPB werden noch 2026 erwartet und dürften eine Welle von Compliance-Audits bei multinationalen Dienstleistern auslösen.

Gleichzeitig schreitet das EU-Biotech-Gesetz voran. Unternehmen im Gesundheits- und Forschungssektor müssen sich auf präzisere Rollendefinitionen einstellen. Experten raten zu proaktivem Handeln: Automatisierte Löschprotokolle nach Vertragsende und robuste Programme zum Management von Unterauftragsverarbeitern werden unverzichtbar.

Die Fähigkeit, einen lückenlosen, verifizierbaren Datenschutz nachweisen zu können, wird zum entscheidenden Wettbewerbsvorteil auf dem europäischen Markt. Der Schutz personenbezogener Daten ist keine Last mehr, die allein der Verantwortliche trägt – sie ist eine gemeinsame Pflicht entlang der gesamten Datenlieferkette.

boerse | 68681522 |