EU-Datenschutz: Zwei Ereignisse erschüttern DPA-Verträge

Ein Doppelschlag erschüttert Europas Datenschutz-Landschaft: Die EU-Kommission präsentierte am 19. November das umstrittene „Digital Omnibus”-Paket, das die Spielregeln für KI-Datenverarbeitung grundlegend verändern könnte. Zeitgleich gewährte ein irisches Gericht TikTok eine Fristverlängerung für Datentransfers nach China. Für Unternehmen bedeutet das: Ihre Auftragsverarbeitungsverträge (AVV) müssen dringend auf den Prüfstand.

Die beiden Entwicklungen treffen die Wirtschaft mit voller Wucht. Während das „Digital Omnibus” die rechtliche Basis für KI-Training neu definieren will, wirft das TikTok-Urteil fundamentale Fragen zu internationalen Datentransfers auf. Was bedeutet das konkret für die Praxis?

Das Reformpaket der EU-Kommission klingt harmlos – „Vereinfachung der DSGVO-Compliance” – doch der Teufel steckt im Detail. Laut Analyse der Datenschutz-Organisation NOYB würden die geplanten Änderungen an Artikel 6(1) und 9(2) der DSGVO es Unternehmen erlauben, personenbezogene Daten für KI-Training auf Basis eines „berechtigten Interesses” zu verarbeiten.

Keine Einwilligung mehr nötig? Das wäre ein Paradigmenwechsel. Bisher mussten Auftragsverarbeiter strikt nach Weisung des Verantwortlichen handeln. Cloud-Anbieter oder SaaS-Plattformen könnten künftig jedoch eigenmächtig Kundendaten für das Training ihrer KI-Modelle nutzen – und sich dabei auf ihr „berechtigtes Interesse” berufen.

Viele AVV‑Verträge enthalten heute Klauseln, mit denen Dienstleister sich Rechte zur „Serviceverbesserung“ oder sogar zum KI‑Training vorbehalten – ein reales Haftungsrisiko für Verantwortliche. Fehler bei der Auftragsdatenverarbeitung kosten Unternehmen durchschnittlich 50.000 €. Unser gratis E‑Book erklärt, welche Formulierungen Sie sofort prüfen oder streichen sollten, liefert fertige Vertragsklauseln und pragmatische Checklisten für Rechtsabteilungen und Compliance‑Teams. Praxisnah und sofort anwendbar. Endgültiges AVV-Checkpaket gratis herunterladen

NOYB reagierte scharf: Die Entwürfe kämen einem „Blankoscheck” für KI-Konzerne gleich, europäische Daten „aufzusaugen”. Für Compliance-Verantwortliche heißt das: Aktuelle AVV-Verträge müssen sofort durchforstet werden. Haben Dienstleister sich bereits Rechte zur „Serviceverbesserung” oder zum „KI-Training” einräumen lassen?

TikTok-Urteil: Chinesische Datentransfers weiter erlaubt

Parallel dazu sorgt ein Gerichtsbeschluss für Aufsehen. Der irische High Court gewährte TikTok am 17. November eine Aussetzung der Verfügung, mit der die Datenschutzbehörde DPC Datentransfers nach China untersagen wollte. Richter Rory Mulcahy räumte zwar ein, dass die Verzögerung Grundrechte gefährde – der „irreparable Schaden” für TikTok durch ein sofortiges Verbot wiege jedoch schwerer.

Die Entscheidung fiel nicht aus heiterem Himmel. Die DPC hatte zuvor eine Geldstrafe von 530 Millionen Euro verhängt und festgestellt, dass chinesisches Recht kein gleichwertiges Schutzniveau biete. Bis zur Berufungsverhandlung im März 2026 darf TikTok Nutzerdaten weiter übermitteln.

Was bedeutet das für andere Unternehmen? Die meisten AVV-Verträge mit außereuropäischen Dienstleistern basieren auf Standardvertragsklauseln (SCCs) und Transfer Impact Assessments (TIAs). Das Urteil schafft vorübergehend Rechtssicherheit – aber nur oberflächlich. Die grundsätzliche Feststellung der DPC bleibt bestehen: China bietet keinen ausreichenden Datenschutz.

Verträge in der Grauzone

Die Konvergenz beider Entwicklungen schafft eine prekäre Situation. Historisch waren AVV-Verträge klare Anweisungsverhältnisse: Der Auftragsverarbeiter handelte als „verlängerter Arm” des Verantwortlichen. Doch diese Grenze verschwimmt zunehmend.

Wenn ein Dienstleister sich künftig auf „berechtigtes Interesse” beruft, um Kundendaten für KI-Training zu nutzen, agiert er faktisch als eigenständiger Verantwortlicher. Die Haftungsfrage verschiebt sich dramatisch. Ein Branchenanalyst bringt es auf den Punkt: „Wenn Ihr AVV-Vertrag KI-Training nicht explizit verbietet, erlauben Sie Ihrem Dienstleister möglicherweise ungewollt, zum Verantwortlichen Ihrer Kundendaten zu werden.”

Prozessharmonisierung bringt Klarheit

Immerhin eine positive Nachricht: Der EU-Rat und das Parlament einigten sich am 17. November auf die neue GDPR-Verfahrensverordnung. Laut der Civil Society Alliance for Digital Empowerment (CADE) wurden harmonisierte Kriterien für die Zulässigkeit von Beschwerden verabschiedet.

Für international tätige Unternehmen bedeutet das weniger Fragmentierung. Eine Beschwerde gegen einen Auftragsverarbeiter wird künftig in allen EU-Staaten nach denselben Standards behandelt. Das „Forum Shopping”, das bisher Verteidigungsstrategien erschwerte, wird damit eingedämmt.

Handlungsempfehlungen für Unternehmen

Compliance-Teams müssen jetzt handeln. Die kommenden Monate werden entscheidend:

Sofortmaßnahmen:
* AVV-Verträge auf Klauseln zu „Serviceverbesserung” oder „KI-Training” überprüfen
* Legitime-Interessen-Abwägungen (LIA) erstellen, falls Dienstleister auf diese Rechtsgrundlage wechseln
* Transfer Impact Assessments für chinesische Dienstleister aktualisieren und den TikTok-Fall dokumentieren
* Datenschutzerklärungen prüfen: Decken sie potenzielle KI-Verarbeitung ab?

Mittelfristig:
Die TikTok-Berufung im März 2026 wird voraussichtlich zum Präzedenzfall für Datentransfers nach China. Tausende AVV-Verträge, die auf aktuellen SCCs basieren, könnten dann ihre Gültigkeit verlieren.

Das „Digital Omnibus” steht vor einem steinigen Weg. Organisationen wie NOYB und EDRi laufen Sturm gegen die geplante Lockerung. Bis zur finalen Fassung sollten Unternehmen ihre AVV-Verträge restriktiv gestalten und die Nutzung von Daten für KI-Training explizit begrenzen.

Die Grenze zwischen Auftragsverarbeiter und Verantwortlichem verschwimmt – wer jetzt nicht handelt, riskiert unkalkulierbare Haftungsrisiken.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Unternehmen sollten sich bezüglich ihrer spezifischen Auftragsverarbeitungsverträge rechtlich beraten lassen.

PS: Endlich DSGVO-konforme Auftragsdatenverarbeitung – ohne teuren Anwalt. Holen Sie sich das kostenlose E‑Book mit vorgefertigten AVV‑Vorlagen, Haftungshinweisen und einer Schritt‑für‑Schritt‑Checkliste, die Compliance‑Teams sofort umsetzen können. Ideal, um AVV‑Klauseln zu prüfen und Dienstleister rechtssicher zu steuern – gerade jetzt nach Diskussionen um KI‑Training und internationalen Datentransfers. Gratis E-Book mit AVV-Vorlagen und Checklisten sichern