Digital Omnibus: 4,5 Millionen Euro Strafe zeigt Risiko veralteter Datenschutzverträge

Während die EU-Kommission ihren “Digital Omnibus” präsentiert, um Datenschutzregeln für das KI-Zeitalter zu modernisieren, demonstriert eine saftige Strafe von 4,5 Millionen Euro: Wer die Grundlagen bei Auftragsverarbeitungsverträgen vernachlässigt, zahlt bitter.

Diese Woche markiert eine Zäsur für den europäischen Datenschutz. Die EU-Kommission treibt ihren “Digital Omnibus”-Vorschlag voran – eine Initiative, die Rechtsexperten in den vergangenen 72 Stunden als ambitionierten Versuch analysieren, die DSGVO-Compliance zu vereinfachen. Doch zeitgleich mahnen die Aufsichtsbehörden: Aktuelle Pflichten bleiben bestehen.

Zwischen dem 1. und 3. Dezember veröffentlichte Rechtsanalysen verdeutlichen die Doppelrealität für Unternehmen: Auf der einen Seite steht die Aussicht auf künftige Vereinfachungen. Auf der anderen drohen empfindliche Strafen für veraltete Auftragsverarbeitungsverträge (AVV). Eine kürzlich verhängte Strafe von 4,5 Millionen Euro der kroatischen Datenschutzbehörde AZOP gegen einen Telekommunikationsanbieter hat die Compliance-Szene aufgeschreckt. Die Botschaft: Verträge mit internationalen Datentransfers müssen zwingend aktuell sein.

Viele Unternehmen unterschätzen die Gefahr veralteter AVV – der 4,5‑Millionen‑Euro‑Fall zeigt, wie schnell ein alter Vertrag teuer wird. Dieses kostenlose E-Book erklärt praxisnah, welche Vertragsklauseln und Transferinstrumente Sie sofort prüfen müssen, liefert fertige Vorlagen für Auftragsverarbeitungsverträge und einen Schnell-Check für Nicht‑EU‑Prozessoren. So schließen Sie Haftungsfallen und stellen Schrems‑II‑Konformität wieder her – auch ohne teure Beratung. Gratis E-Book: Auftragsdatenverarbeitung jetzt prüfen

Digital Omnibus: AVV-Vereinfachung für die KI-Ära

Der “Digital Omnibus”-Vorschlag der EU-Kommission dominiert derzeit die Fachdiskussionen in Rechtsabteilungen und bei Datenschutzbeauftragten. Experten von Loyens & Loeff (3. Dezember) und Crowell & Moring (1. Dezember) haben die Initiative analysiert und weitreichende Änderungen für die AVV-Praxis identifiziert.

Das Reformpaket zielt darauf ab, die DSGVO mit dem neuen EU-KI-Gesetz zu harmonisieren. Im Fokus steht dabei ein zentrales Problem für Unternehmen: die Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten.

Berechtigtes Interesse als Rechtsgrundlage: Der Omnibus-Vorschlag will explizit klarstellen, dass “berechtigtes Interesse” eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Training von KI-Modellen sein kann – sofern angemessene Schutzmaßnahmen greifen. Dies würde AVV mit KI-Anbietern erheblich vereinfachen, die derzeit oft Schwierigkeiten haben, die Rechtsgrundlage für solche Verarbeitungen zu definieren.

Bürokratieabbau für KMU: Die Vorlage sieht vor, bestimmte Dokumentationspflichten für kleine und mittlere Unternehmen zu streichen, sofern die Datenverarbeitung kein “hohes Risiko” darstellt.

Konsequenzen für AVV: Bei Annahme würden diese Änderungen eine Massenrevision bestehender Verträge erfordern, um neue “berechtigtes Interesse”-Klauseln aufzunehmen und reduzierte Dokumentationsanforderungen abzubilden. Tausende EU-Unternehmen könnten davon profitieren.

4,5 Millionen Euro Lehrgeld: Warum “Altlasten-AVV” toxisch sind

Während die Kommission in die Zukunft blickt, erinnert eine Ende November ergangene und diese Woche intensiv diskutierte Entscheidung brutal an die aktuellen Compliance-Risiken. Die kroatische Datenschutzbehörde AZOP verhängte eine Strafe von 4,5 Millionen Euro gegen einen Telekommunikationsanbieter – wegen Verstößen gegen Artikel 28 (Auftragsverarbeiter) und Kapitel V (internationale Transfers) der DSGVO.

Der Verstoß bezog sich auf die Beauftragung eines Prozessors in Serbien (einem Nicht-EU-Land) für Software-Wartungsarbeiten.

Der Fehler: Die Unternehmen hatten sich auf alte Standardvertragsklauseln (SCC) verlassen, die im Dezember 2022 abliefen. Sie versäumten es, ihre AVV mit den neuen, verpflichtenden Transferinstrumenten zu aktualisieren.

Die Folge: Der Transfer personenbezogener Daten wurde für fast zwei Jahre als rechtswidrig eingestuft.

Die Erkenntnis: Dieser Fall ist ein kritischer Weckruf für alle EU-Unternehmen. Viele Firmen haben noch “Zombie-AVV” in ihren Systemen – Verträge, die vor Jahren unterzeichnet wurden und auf ungültigen Transfermechanismen basieren (etwa dem alten Privacy Shield oder veralteten SCC). Wie die Strafe zeigt, ahnden Aufsichtsbehörden die Versäumnis, diese spezifischen Vertragsbestandteile zu aktualisieren, mittlerweile konsequent.

EDPB drängt auf Standardisierung

Um Unternehmen vor solch kostspieligen Fehlern zu bewahren, hat der Europäische Datenschutzausschuss (EDPB) gestern, am 3. Dezember 2025, eine wichtige Konsultationsphase abgeschlossen. Der Ausschuss finalisiert gerade einen Satz standardisierter Compliance-Vorlagen, die voraussichtlich Musterklauseln für Datenschutzhinweise und Verarbeitungsverzeichnisse umfassen werden.

Diese Initiative ergänzt das Vereinfachungsziel des “Digital Omnibus” perfekt. Durch offizielle “gebrauchsfertige” Vorlagen will der EDPB die Rechtsunsicherheit reduzieren, die häufig zu fehlerhaften AVV führt. Die Botschaft an Unternehmen ist eindeutig: Sobald diese Templates verfügbar sind, wird eine Abweichung ohne triftigen Grund von Prüfern kritisch beäugt werden.

Die “Compliance-Lücke” weitet sich

Das Zusammentreffen dieser Ereignisse – Omnibus-Vorschlag, AZOP-Strafe und EDPB-Konsultation – verdeutlicht eine wachsende “Compliance-Lücke”.

Einerseits verlangen Aufsichtsbehörden strikte Einhaltung komplexer Regeln für internationale Transfers (siehe kroatischer Fall).

Andererseits räumt die EU ein, dass die Vorschriften zu belastend sind und vereinfacht werden müssen (Omnibus-Vorschlag).

“Unternehmen sitzen derzeit zwischen allen Stühlen”, heißt es in einer am 2. Dezember veröffentlichen Compliance-Analyse. “Sie müssen die heutigen komplexen Regeln strikt befolgen, um Strafen zu vermeiden, während sie sich gleichzeitig auf ein vereinfachtes Regime vorbereiten, das noch gar nicht existiert.”

Besonders akut ist die Situation bei der KI-Integration. Während Firmen sich beeilen, AVV mit US-amerikanischen KI-Anbietern zu unterzeichnen, müssen sie die strengen “Schrems II”-Anforderungen für Datentransfers navigieren – in der Hoffnung, dass der Omnibus-Vorschlag das Argument “berechtigtes Interesse” künftig leichter durchsetzbar macht.

Ausblick 2026: Handeln statt Abwarten

Der “Digital Omnibus” wird voraussichtlich das gesamte Jahr 2026 das Gesetzgebungsverfahren durchlaufen. Dennoch sollten Unternehmen nicht auf dessen Verabschiedung warten.

Sofortiges Audit: Die AZOP-Strafe macht ein unverzügliches Audit aller AVV mit Nicht-EU-Prozessoren erforderlich. Verweisen Ihre Verträge noch auf die “SCC von 2010” oder das “Privacy Shield”, sind Sie aktuell nicht compliant und riskieren Sanktionen.

KI-Zusatzvereinbarungen: Erwarten Sie, dass große Software-Anbieter ihre Data Processing Addendums im ersten Quartal 2026 aktualisieren, um auf den “Digital Omnibus”-Entwurf zu verweisen und das “berechtigtes Interesse”-Argument für KI-Training zu nutzen.

Template-Übernahme: Achten Sie auf die finalen EDPB-Vorlagen Anfang 2026. Deren Verwendung für Standard-AVV dürfte zum “Goldstandard” werden, um Compliance-Bemühungen nach Treu und Glauben zu demonstrieren.

Die Priorität bleibt klar: Jeder externe Datenverarbeiter benötigt einen gültigen, aktuellen Vertrag. Die 4,5-Millionen-Euro-Strafe beweist: Eine Unterschrift auf einem veralteten Dokument bietet null Schutz.

PS: Sie wollen schnell nachweisen, dass Ihre AVV‑Dokumente sicher und aktuell sind? Dieses kostenlose E-Book liefert sofort einsetzbare Vertragsvorlagen, eine Checkliste für internationale Transfers und klare Anweisungen, wie Sie SCC‑Ersetzungen und Data Processing Addendums prüfen. Ideal für Datenschutzbeauftragte und Geschäftsführungen, die Bußgelder und Betriebsunterbrechungen vermeiden wollen. Gratis E-Book: Auftragsdatenverarbeitung jetzt prüfen