Datenschutzverträge unter Druck: Neue EU-Vorgaben verschärfen Compliance-Pflichten

Die Anforderungen an Datenverarbeitungsverträge (DPAs) werden immer komplexer – und die Strafen für Verstöße steigen drastisch. Unternehmen in der EU und solche mit transatlantischen Datenströmen müssen ihre vertraglichen Beziehungen zu Dienstleistern dringend überprüfen. Neue Leitlinien der europäischen Aufsichtsbehörden sowie die verschärfte Durchsetzung der NIS2-Richtlinie setzen die Unternehmen unter massiven Zeitdruck.

Die rechtssichere Gestaltung von Verträgen mit Dienstleistern ist unter der DSGVO zur geschäftskritischen Aufgabe geworden, da Fehler bei der Auftragsdatenverarbeitung Unternehmen im Schnitt 50.000 € kosten können. Dieses kostenlose E-Book bietet fertige Vorlagen und Checklisten, mit denen Sie Ihre Haftungsrisiken bei Auftragsverarbeitern sofort minimieren. Gratis E-Book mit fertigen Vorlagen und Checklisten zum sofortigen Einsatz

Neue EDPB-Leitlinien zu Drittland-Transfers

Am 2. Mai 2026 veröffentlichte der Europäische Datenschutzausschuss (EDPB) aktualisierte Leitlinien zu Artikel 48 der DSGVO. Sie legen fest, unter welchen Bedingungen Daten an Behörden in Drittstaaten herausgegeben werden dürfen. Die Kernaussage: Solche Übermittlungen sind nur über gültige internationale Abkommen oder spezifische Ausnahmetatbestände zulässig. Zusammen mit der laufenden Audit-Phase der NIS2-Richtlinie und der bevorstehenden Umsetzung des EU AI Acts müssen Unternehmen ihre technischen und organisatorischen Maßnahmen (TOMs) deutlich strenger dokumentieren.

Haftungsverschiebung und neue Strafrahmen

Die rechtliche Unterscheidung zwischen Verantwortlichen und Auftragsverarbeitern bleibt zwar zentral, doch die finanziellen Risiken für die Verantwortlichen wachsen. Zwar hat die DSGVO auch für Auftragsverarbeiter spezifische Sicherheitspflichten eingeführt, doch die potenziellen Bußgelder für Sicherheitsverstöße treffen die Verantwortlichen deutlich härter. Ein meldepflichtiger Datenverstoß muss innerhalb von 72 Stunden nach Entdeckung bei der Aufsichtsbehörde gemeldet werden – eine enorme operative Herausforderung für die in den Verarbeitungsverträgen definierten Kommunikationswege.

Im Frühjahr 2026 sind die Risiken noch einmal gestiegen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Mai eine neue Audit-Phase für Unternehmen gestartet, die unter die NIS2-Richtlinie fallen. Die Zahl der regulierten Organisationen in Deutschland hat sich dadurch von rund 4.500 auf knapp 29.500 erhöht. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes. Hinzu kommt eine persönliche Haftung für das Management – mit möglichen Einzelstrafen von bis zu 500.000 Euro.

Die Unternehmen sind auf diese Entwicklung schlecht vorbereitet. Eine Studie vom April 2026 zeigt: Rund 84 Prozent der Organisationen sind noch nicht vollständig compliant. Besonders alarmierend: Die Aufsichtsbehörden werden aktiver. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) meldete Mitte April einen Anstieg der DSGVO-Beschwerden um über 67 Prozent im Vergleich zum Vorjahr – insgesamt mehr als 12.500 Fälle.

Internationale Datentransfers: Das Risiko US-amerikanischer Zugriffe

Die größte Herausforderung moderner DPAs bleibt die Steuerung von Datentransfers in Länder außerhalb des Europäischen Wirtschaftsraums – insbesondere in die USA. Der EU-US Data Privacy Framework (DPF) bietet seit Juli 2023 zwar eine formale Grundlage, doch die Rechtslage bleibt volatil. Der EDPB hat angekündigt, dass der DPF regelmäßig überprüft wird; die nächste große Evaluierung ist für 2027 geplant.

Der grundlegende Konflikt besteht weiterhin zwischen europäischen Datenschutzrechten und dem US-amerikanischen CLOUD Act. Dieser erlaubt US-Behörden, Datenzugriff zu verlangen, selbst wenn die Informationen auf Servern in der EU gespeichert sind. Juristen weisen darauf hin, dass selbst bei Nutzung US-amerikanischer Cloud-Anbieter mit EU-spezifischem Hosting die Rechtshoheit des Mutterkonzerns weiterhin Zugriffspflichten auslösen kann. Viele kleine und mittlere Unternehmen (KMU) prüfen daher zunehmend europäische Hosting-Alternativen, die nicht dem CLOUD Act unterliegen.

Wie riskant internationale Abkommen sein können, zeigt ein aktuelles Beispiel: Anfang Mai lehnte die Regierung Ghanas ein gesundheitsbezogenes Datenabkommen mit den USA im Wert von rund 300 Millionen Euro ab. Die ghanaische Datenschutzkommission begründete dies mit fehlender nationaler Kontrolle und der Gefahr, dass mehrere US-Behörden ohne vorherige Zustimmung auf sensible Gesundheits-Metadaten zugreifen könnten. Ähnliche Vorbehalte hatten zuvor bereits Behörden in Simbabwe und Sambia geäußert – ein globaler Trend zu strengerer Datensouveränität zeichnet sich ab.

KI und strukturelle Governance-Defizite

Mit dem Übergang der Künstlichen Intelligenz von Pilotprojekten in den operativen Betrieb müssen DPAs nun auch die spezifischen Risiken automatisierter Entscheidungsfindung und des Trainings großer Sprachmodelle (LLMs) abdecken. Marktforscher beobachten, dass 68 Prozent der KI-Pilotprojekte aufgrund schlechter Datenqualität nie die Produktionsreife erreichen. Diese Zahl hat 73 Prozent der CIOs im DACH-Raum dazu bewogen, ihre IT-Budgets 2026 hin zu Data Governance und Infrastruktur zu verschieben.

Der EU AI Act, der für Hochrisikosysteme weitreichende Transparenz- und Human-Oversight-Pflichten vorsieht, muss in den Dienstleistungsverträgen verankert werden. Microsoft hat darauf am 2. Mai 2026 mit der Einführung einer neuen Governance-Plattform für KI-Agenten reagiert, die zentrale Beobachtbarkeit und Sicherheitsintegration bietet. Google Cloud zog am 4. Mai 2026 nach und stellte neue Schutzlösungen vor, die KI-Inventare identifizieren und gegen spezifische Bedrohungen wie Prompt-Injection und Datenverlust gehen sollen.

Angesichts der neuen gesetzlichen Anforderungen durch den EU AI Act müssen Unternehmen ihre Compliance-Strategien für künstliche Intelligenz jetzt grundlegend anpassen. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den notwendigen Überblick über Risikoklassen, Dokumentationspflichten und wichtige Übergangsfristen. Kostenlosen Umsetzungsleitfaden zum EU AI Act jetzt sichern

Auch die Rechtsprechung weitet den Verantwortungsbegriff aus. Ein Urteil des Europäischen Gerichtshofs vom 2. Dezember 2025 zum Online-Marktplatz Russmedia stellte klar: Plattformen, die Nutzerinhalte strukturieren und monetarisieren, können als „gemeinsam Verantwortliche" im Sinne der DSGVO eingestuft werden. Diese Einstufung ist besonders für Plattformen mit sensiblen Daten relevant, da sie DSGVO-Pflichten über die Haftungsprivilegien des E-Commerce-Rechts stellt.

Strukturelle Anforderungen: Die fünf P's

Datenschutz wird zunehmend nicht nur als rechtliche Hürde, sondern als strukturelle Anforderung verstanden. Branchenanalysten sprechen von den „fünf P's": People, Policies, Processes, Pipelines und Proof. Ohne interne Verantwortlichkeiten und skalierbare operative Richtlinien bleiben die durch Datenschutzgesetze gewährten Rechte – wie Auskunft, Berichtigung und Löschung – oft theoretisch.

Die zersplitterte Datenschutzlandschaft in den USA erschwert internationale DPAs zusätzlich. Seit dem 1. Januar 2026 sind neue Verbraucherdatenschutzgesetze in Indiana, Kentucky und Rhode Island in Kraft getreten. Damit haben nun 20 US-Bundesstaaten entsprechende Regelungen. Zwar wurde am 1. Mai 2026 mit dem SECURE Data Act ein bundesweiter Gesetzesentwurf im US-Kongress eingebracht, doch Datenschutzorganisationen kritisieren ihn scharf: Er enthalte kein privates Klagerecht und biete schwächeren Schutz als viele bestehende Landesgesetze.

Ausblick: 2026 wird zum Jahr der Data Governance

Der Rest des Jahres 2026 wird voraussichtlich eine weitere Verschiebung der IT-Ausgaben von Frontend-Anwendungen hin zu Backend-Data-Governance bringen. Mit den für August 2026 anstehenden Umsetzungsschritten des EU AI Acts werden Unternehmen gezwungen sein, ihre bestehenden DPAs zu überarbeiten, um die spezifischen Rückverfolgbarkeitsanforderungen des neuen Gesetzes zu erfüllen.

Die laufenden Verfahren gegen große Technologiekonzerne dienen als Warnung für die gesamte Branche. Am 4. Mai 2026 begann in New Mexico ein bedeutender Prozess gegen Meta, der operative Auflagen zur Kindersicherheit und Altersverifikation zum Gegenstand hat. Solche Verfahren könnten neue Maßstäbe für die „technischen und organisatorischen Maßnahmen" setzen, die künftig in Verarbeitungsverträgen enthalten sein müssen. Für Unternehmen bleibt die Priorität klar: die Integration automatisierter Sicherheits- und Governance-Tools, um mit dem rasant wachsenden Datenvolumen und der zunehmenden Regulierungsdichte Schritt zu halten.

de | wirtschaft | 69275142 |