DSGVO-Verstoß: 4,5 Millionen Euro Strafe läutet neue Ära ein

Während Europa auf die Datenschutzkonferenz im Dezember blickt, sorgt eine Rekordstrafe aus Kroatien für Aufregung. Unternehmen mit Datenverarbeitern außerhalb der EU sollten jetzt handeln.

Die kroatische Datenschutzbehörde AZOP hat Mitte November 2025 eine der höchsten Strafen in der Region verhängt: 4,5 Millionen Euro gegen den Telekommunikationsanbieter Telemach Hrvatska. Der Grund? Veraltete Verträge für Datentransfers nach Serbien – ein Problem, das auch deutsche und österreichische Unternehmen betreffen könnte.

Mit der anstehenden Datenschutzkonferenz (DSK) am 10. Dezember rückt das Thema in den Fokus. Experten warnen eindringlich: Die Zeiten, in denen Auftragsverarbeitungsverträge (AVV) nach Artikel 28 DSGVO einmal unterschrieben und dann vergessen wurden, sind endgültig vorbei.

Passend zum Thema Auftragsdatenverarbeitung: Der Telemach‑Fall und die 4,5‑Millionen‑Euro‑Strafe zeigen, wie gefährlich veraltete AVV und fehlende Transfer‑Impact‑Analysen sind. Unser kostenloses E‑Book erklärt Schritt für Schritt, wie Sie Ihre AVV DSGVO‑konform prüfen und aktualisieren – inklusive praktischer SCC‑Hinweise (Post‑2021), TIA‑Checklisten sowie konkreten Musterklauseln und Nachtragsvorlagen für die Textform. Ideal für Datenschutzbeauftragte und Geschäftsführer, die sofort prüfbare Vorlagen brauchen, um Haftungsrisiken zu reduzieren. Jetzt Gratis‑E‑Book zur Auftragsverarbeitung herunterladen

Der Fall Telemach zeigt die Brisanz veralteter Verträge. Das Unternehmen hatte im April 2020 Standardvertragsklauseln (SCCs) mit einem serbischen Dienstleister geschlossen. Doch nach dem 27. Dezember 2022 versäumte es die Aktualisierung – und ließ damit die Daten von knapp 850.000 Kunden über einen längeren Zeitraum ohne rechtlich gültige Grundlage transferieren.

Besonders gravierend: Der Datenimporteur in Serbien hatte administrativen Zugriff auf die gesamte CRM-Datenbank. Eine Transfer-Risikoanalyse (TRA) zur Bewertung der rechtlichen Risiken? Fehlanzeige. Die AZOP stellte klar fest, dass dieser Zustand nicht tolerierbar sei.

Für Unternehmen in Deutschland bedeutet das: Viele AVV aus der ersten DSGVO-Welle von 2018 bis 2020 könnten rechtlich unzureichend sein, wenn sie auf veralteten SCCs basieren oder aktuelle Transfer Impact Assessments (TIAs) fehlen. Wer jetzt nicht nachbessert, riskiert ähnliche Konsequenzen.

Datenschutzkonferenz im Fokus: Was kommt auf Unternehmen zu?

Die DSK vom 10. bis 12. Dezember dürfte intensive Diskussionen über internationale Datentransfers bringen. Im Zentrum steht ein komplexes Szenario: Wie geht man mit Datenimporteuren um, die bereits der DSGVO unterliegen, aber außerhalb der EU ansässig sind?

Die Europäische Kommission hatte bereits im vierten Quartal 2024 eine öffentliche Konsultation zu spezifischen SCCs für diese Konstellation gestartet. Doch eine finale Lösung lässt auf sich warten. Die DSK wird voraussichtlich Zwischenlösungen aufzeigen müssen – und dabei klarstellen, dass “Abwarten” keine zulässige Strategie darstellt.

Rechtsexperten rechnen damit, dass die Konferenz betonen wird: Unternehmen müssen mit den verfügbaren Instrumenten arbeiten. Das bedeutet die Nutzung der 2021er-SCCs kombiniert mit robusten ergänzenden Maßnahmen. Der Telemach-Fall zeigt unmissverständlich, dass Behörden lückenlose Dokumentation erwarten.

Bürokratieentlastungsgesetz: Fluch und Segen zugleich

Parallel verschärft das vierte Bürokratieentlastungsgesetz (BEG IV), das am 1. Januar 2025 in Kraft trat, die Herausforderungen. Die Umstellung von der strengen Schriftform zur Textform hat Vertragsabschlüsse vereinfacht – doch die Kehrseite zeigt sich in der Praxis.

AVV können nun zunehmend per E-Mail oder digitaler Bestätigung ohne qualifizierte elektronische Signatur (QES) geschlossen werden. Audits aus dem dritten Quartal 2025 offenbarten jedoch ein Problem: Während der Vertragsabschluss einfacher wurde, leidet die Dokumentation erheblich.

“Die Flexibilität der Textform führt zu einer Fragmentierung der AVV-Versionen”, heißt es in einem aktuellen Compliance-Rundschreiben. Unternehmen hätten zunehmend Schwierigkeiten nachzuvollziehen, welche Version der technischen und organisatorischen Maßnahmen (TOMs) rechtlich bindend sei, wenn Updates per einfachem E-Mail-Austausch statt formeller Änderungsverträge erfolgten.

Drei konkrete Schritte für Dezember 2025

Die Kombination aus der AZOP-Strafe und den operativen Verschiebungen durch das BEG IV erfordert sofortiges Handeln. Compliance-Experten empfehlen einen Drei-Punkte-Plan für diesen Monat:

Transfer-Ketten überprüfen: Alle Datentransfers außerhalb der EU – insbesondere in “nahe” Drittstaaten wie Serbien oder das Vereinigte Königreich – müssen durch aktuelle SCCs (Post-2021-Versionen) abgesichert sein. Transfer Impact Assessments sollten dokumentiert vorliegen.

“Importeur”-Status klären: Dienstleister identifizieren, die über Artikel 3 Absatz 2 DSGVO der Verordnung unterliegen, aber außerhalb der EU ansässig sind. Vertragliche Formulierungen müssen potenzielle Konflikte zwischen lokalen Gesetzen und DSGVO-Verpflichtungen adressieren – ein Schwerpunkt der kommenden DSK-Diskussionen.

Textform-Archive zentralisieren: Wer die BEG-IV-Vereinfachungen nutzt, braucht ein zentrales Repository zur Versionsverfolgung jedes AVV und der TOMs-Anhänge. Die derzeit zu beobachtende “Versions-Drift” erschwert Haftungsbewertungen erheblich.

Zeitfenster für diskrete Nachbesserungen schließt sich

Mit der DSK-Konferenz in der kommenden Woche zeichnet sich eine härtere Regulierungshaltung bei internationalen Transfers ab. Die 4,5-Millionen-Strafe aus Kroatien sendet ein unmissverständliches Signal: Ein verfallener Vertrag ist aus Sicht der Aufsichtsbehörden genauso gefährlich wie gar kein Vertrag.

Für Unternehmen bedeutet das konkret: Die “ruhige” Phase für Compliance-Überprüfungen läuft ab. Wer jetzt nicht seine AVV-Landschaft auf Vordermann bringt, riskiert nicht nur hohe Strafen, sondern auch einen erheblichen Reputationsschaden. Die Botschaft ist klar – veraltete Verträge sind eine tickende Zeitbombe.

PS: Nutzen Sie die verbleibende Zeit vor der DSK: Dieses kostenlose E‑Book zur Auftragsverarbeitung liefert sofort einsetzbare Vertragsvorlagen, eine Checkliste für Transfer‑Ketten sowie Formulierungsvorschläge für Textform‑Änderungen nach dem BEG IV. Zusätzlich erhalten Sie Muster für Nachtragsvereinbarungen und Hinweise, wann eine DSFA/TRA erforderlich ist – ideal, um Ihre AVV prüfungssicher zu dokumentieren und Bußgelder zu vermeiden. Auftragsverarbeitung jetzt prüfen – E‑Book herunterladen