Datenschutz-Urteil: AVV-Vertrag ist Pflicht – bis 10 Millionen Euro Bußgeld
10.06.2026 - 22:16:46 | boerse-global.de
Die Botschaft für Unternehmen: Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht – und wer ihn vernachlässigt, riskiert trotzdem hohe Strafen.
Der aktuelle Fall der Deutschen Wohnen zeigt, wie schnell Speicherverstöße zu Bußgeldern führen können. Damit Sie bei der Auftragsdatenverarbeitung keine rechtlichen Risiken eingehen, bietet dieser kostenlose Experten-Report fertige Vorlagen und Checklisten zum sofortigen Einsatz. Endlich DSGVO-konforme Auftragsdatenverarbeitung – ohne teuren Anwalt
Gericht reduziert Millionen-Bußgeld gegen Immobilienkonzern
Am 9. Juni 2026 senkte das Landgericht Berlin das ursprüngliche Bußgeld gegen die Deutsche Wohnen von 14,5 Millionen auf 900.000 Euro. Das Unternehmen hatte über Jahre Mieterdaten unzulässig gespeichert – ein klarer Verstoß gegen die Grundsätze der Datenminimierung und Speicherbegrenzung.
Trotz der deutlichen Reduzierung wertete das Gericht den Verstoß als vorsätzlich. Mildernd wirkten sich die Kooperation des Konzerns und die frühzeitigen Bemühungen zur Systemumstellung aus. Das Urteil zeigt: Behörden und Gerichte verfolgen Verstöße gegen Speicher- und Löschpflichten konsequent – auch wenn die Strafen im Einzelfall angepasst werden.
AVV als obligatorische Absicherung bei IT-Zugriffen
Sobald ein Dienstleister Zugriff auf Server, E-Mail-Postfächer oder Backups erhält, ist ein AVV nach Artikel 28 DSGVO zwingend erforderlich. Der Vertrag muss zehn spezifische Pflichtbausteine enthalten: Weisungsgebundenheit, technische und organisatorische Maßnahmen (TOM), Regelungen zu Unterauftragsverarbeitern und Datenlöschung nach Vertragsende.
Fehlt der AVV, drohen Bußgelder von bis zu 10 Millionen Euro. Die Hamburgische Datenschutzbehörde verhängte bereits Strafen allein wegen eines fehlenden Vertrages – unabhängig davon, ob ein Datenabfluss stattfand. Aktuelle Musterverträge (Stand Juni 2026) empfehlen Serverstandorte in Deutschland, erlauben aber Zugriffe freier Mitarbeiter aus Drittstaaten, sofern vertraglich geregelt.
Cyberangriffe bei Dienstleistern häufen sich
Die Notwendigkeit lückenloser Kontrolle zeigt eine Serie von Sicherheitsvorfällen im Frühjahr 2026:
- April 2026: Cyberangriff auf den Abrechnungsdienstleister Unimed – Daten von über 120.000 Patienten entwendet
- April 2026: Daten von rund 6 Millionen Reisenden bei Carnival/AIDA kopiert
- Mai 2026: Vorfall bei Portraitbox betrifft etwa 2.000 Fotografen
In allen Fällen bleiben die betroffenen Unternehmen als Verantwortliche gegenüber den Aufsichtsbehörden meldepflichtig. Ein AVV ist rechtlich notwendig, ersetzt aber nicht die praktische Kontrolle der Sicherheitsmaßnahmen des Dienstleisters.
Neue Herausforderungen durch NIS2 und den EU AI Act
Zusätzlich zur DSGVO erhöhen neue Gesetze den Druck auf die Vertragsgestaltung. Die NIS2-Richtlinie fordert vertraglich verankerte Sicherheitsanforderungen entlang der gesamten Lieferkette – inklusive Audit-Rechten, Incident-Prozessen und präzisen Meldefristen.
Parallel dazu schafft der EU AI Act neue Pflichten. Seit dem 2. Februar 2025 müssen Unternehmen KI-Kompetenz bei ihren Mitarbeitern aufbauen. Ab dem 2. August 2026 erhalten nationale Behörden umfassende Aufsichtsbefugnisse – unter anderem für die Kennzeichnungspflicht KI-generierter Inhalte. Erste spezialisierte Dienste wie „AI Act as a Service“ unterstützen Unternehmen bereits bei der Risikobewertung und Dokumentation von KI-Systemen.
Neben der DSGVO stellen neue Regeln wie der EU AI Act Unternehmen vor komplexe Dokumentationspflichten. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle neuen Anforderungen, Fristen und Risikoklassen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Die Haftungsrealität hat sich verschärft. Verstöße gegen Compliance-Pflichten können als Verletzung von Kardinalpflichten gewertet werden – mit persönlicher Haftung für Geschäftsführer. Das Oberlandesgericht Nürnberg bestätigte jüngst Schadensersatzforderungen gegen Führungskräfte aufgrund fehlender Compliance-Systeme.
