WhatsApp-Urteil und China-Warnung verändern Datenschutz-Landschaft

Die europäische Datenschutzlandschaft erlebt eine historische Woche. Ein Grundsatzurteil des EuGH stärkt Unternehmen, während deutsche Aufseher vor Datenflüssen nach China warnen. Für Compliance-Verantwortliche bedeutet das eine strategische Zäsur.

EuGH stärkt Unternehmen gegen EU-Datenschutzgremium

In einem wegweisenden Urteil hat der Europäische Gerichtshof (EuGH) am Dienstag die Rechte von Unternehmen gestärkt. Konzerne wie WhatsApp können nun bindende Entscheidungen der Europäischen Datenschutzbehörde (EDPB) direkt vor Gericht anfechten. Bislang mussten sie zunächst den abschließenden Bescheid ihrer nationalen Aufsichtsbehörde abwarten.

Der Fall drehte sich um eine ursprünglich 225 Millionen Euro hohe Geldbuße gegen WhatsApp wegen Transparenzverstößen. Die EDPB hatte die irische Aufsichtsbehörde angewiesen, die Strafe deutlich zu erhöhen. Dagegen ging der Messengerdienst vor – mit Erfolg.

Rechtsexperten sehen darin einen Paradigmenwechsel. „Unternehmen können nun früher in grenzüberschreitende Ermittlungen eingreifen“, erklärt eine Anwältin für IT-Recht. Für Compliance-Abteilungen heißt das: Die Verteidigungsstrategie bei Audits muss überarbeitet werden. Zwar könnten sich Verfahren verlängern, doch Unternehmen erhalten ein wirksames Mittel gegen mögliche Überregulierung auf EU-Ebene.

Berlin warnt eindringlich vor TikTok-Datenflüssen

Während die Gerichte Verfahrensrechte neu definieren, verschärfen Aufseher den Ton bei internationalen Datenströmen. Der Berliner Beauftragte für Datenschutz warnte am Mittwoch gemeinsam mit seinem Kollegen aus Mecklenburg-Vorpommern eindringlich vor der Nutzung von TikTok.

Der Kern der Warnung: Chinesische Sicherheitsgesetze könnten den Zugriff auf europäische Nutzerdaten erzwingen, da ausreichende rechtliche Schutzmechanismen fehlten. Für Unternehmen ist das kein rein privates Problem. Wer TikTok für Marketing, Recruiting oder interne Kommunikation nutzt, steht plötzlich selbst im Fokus der Aufseher.

„Die Datenverantwortung endet nicht am eigenen Server“, betont ein Compliance-Experte. Audits müssten 2026 daher sämtliche externen Datenverarbeiter prüfen – besonders jene in Ländern mit unzureichenden Datenschutzstandards.

Haftung für Third-Party-Cookies verschärft

Der Druck auf Unternehmen wuchs diese Woche von einer weiteren Seite. Das Oberlandesgericht Frankfurt entschied am Montag, dass Webseitenbetreiber unmittelbar für nicht konforme Cookies von Drittanbietern haften.

Die Richter machten klar: Die Datenverantwortung lässt sich nicht auslagern. Integriert ein Unternehmen ein Tool, das Cookies ohne korrektes Einwilligungsmanagement setzt, trifft die Haftung den Betreiber selbst – nicht nur den externen Anbieter. Die Entscheidung dürfte eine Welle von Notfall-Audits im E-Commerce auslösen.

DORA und KI-Gesetz: Der regulatorische Großkontext

Diese schnellen Entwicklungen finden vor einer breiteren regulatorischen Kulisse statt. Seit einem Jahr gilt die Digital Operational Resilience Act (DORA) für den Finanzsektor in vollem Umfang. Die BaFin verschärft aktuell die Aufsicht über das Risikomanagement für IT-Dienstleister.

Parallel läuft die gestaffelte Umsetzung des EU-KI-Gesetzes. Nach dem Verbot von KI-Systemen mit „inakzeptablem Risiko“ 2025 liegt der Fokus 2026 auf der Regulierung „hochriskanter“ KI-Anwendungen. Ein modernes Compliance-Audit ist damit keine isolierte GDPR-Prüfung mehr. Es ist eine ganzheitliche Bewertung von Cybersicherheit, KI-Governance und internationalen Datenübermittlungen.

Folgen für die Wirtschaft: Erleichterung und neue Pflichten

Die Mischung aus EuGH-Urteil und regulatorischen Warnungen sorgt in der Wirtschaft für ambivalente Stimmung. Das Anfechtungsrecht gegen die EDPB wird als wichtige Kontrollinstanz begrüßt. Branchenverbände hatten lange kritisiert, dass bindende EDPB-Entscheide Verfahrensrechte umgehen könnten.

Doch die Warnungen zu TikTok und Cookies wirken als ernüchterndes Gegengewicht. Sie zeigen: Der Radius der Datenverantwortung weitet sich ständig aus. Ein Unternehmen ist Hüter der Nutzerdaten im gesamten digitalen Ökosystem. Fahrlässigkeit bei der Prüfung eines Marketing-Tools wird zunehmend wie ein eigenes Datenleck behandelt.

Marktbeobachter verzeichnen bereits eine starke Nachfrage nach spezialisierter Legal-Tech und automatisierten Compliance-Tools. Unternehmen ersetzen manuelle Excel-Listen durch Echtzeit-Monitoring, das unbefugte Tracker oder riskante Datenexporte sofort erkennt.

Was Unternehmen jetzt tun müssen

Die Handlungsempfehlungen nach dieser Woche sind eindeutig:
1. Verteidigungsstrategien anpassen: Rechtsabteilungen sollten ihre Krisenpläne um die Option direkter Klagen gegen EU-Behörden erweitern.
2. Lieferantenrisiken neu bewerten: Angesichts der TikTok-Warnung müssen Datenflüsse in „unzureichende“ Drittländer streng dokumentiert werden.

Lücken im Verarbeitungsverzeichnis sind genau das, was Aufsichtsbehörden prüfen – vor allem bei Drittland-Übermittlungen oder eingesetzten Tracking-Tools. Ein praktisches Excel-Muster zeigt Schritt für Schritt, wie Sie alle Verarbeitungstätigkeiten inklusive externer Dienstleister und Cookie-Tracker lückenlos dokumentieren und prüfungssicher aufbereiten. Ideal für Compliance-Teams, die schnell eine übersichtliche, rechtssichere Dokumentation benötigen. Verarbeitungsverzeichnis nach Art. 30 DSGVO in unter einer Stunde erstellen

1. Webseiten sofort auditieren: Das Frankfurter Urteil erfordert eine technische Überprüfung aller Webauftritte auf korrekte Cookie-Einwilligungen.

Die Datenverantwortung wird zum zentralen Bestandteil von Unternehmensreputation und rechtlicher Haftung. Das Compliance-Audit wandelt sich vom periodischen Pflichttermin zur kontinuierlichen, strategischen Schlüsselfunktion.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.