Neue EU-Regeln: Datenschutz und Cloud-Verträge im Umbruch

Brüssel – Die Europäische Kommission dreht an den Stellschrauben des digitalen Binnenmarkts: Mit dem am Mittwoch vorgestellten „Digital Omnibus”-Paket kommen auf Unternehmen weitreichende Änderungen zu. Im Mittelpunkt stehen neue Standardvertragsklauseln für Cloud-Dienste und eine mögliche Reform der Datenschutz-Grundverordnung (DSGVO).

Was bedeutet das konkret? Wer heute Auftragsverarbeitungsverträge (AVV) verhandelt, könnte schon bald auf völlig neue Rahmenbedingungen treffen. Die Kommission verspricht weniger Abhängigkeit von großen Cloud-Anbietern und klarere Regeln für künstliche Intelligenz. Doch der Teufel steckt wie so oft im Detail.

Der Kern der Ankündigung vom 19. November: Erstmals gibt es offiziell empfohlene Standardvertragsklauseln (SCCs) speziell für Cloud Computing. Anders als die bekannten SCCs für internationale Datentransfers zielen diese auf ein praktisches Problem ab – den Wechsel zwischen Cloud-Anbietern.

Seit September 2025 schreibt der EU Data Act vor, dass Unternehmen ihre Daten problemlos von einem Cloud-Dienst zum anderen übertragen können müssen. Die Realität sah bislang anders aus: Komplizierte Verträge, hohe Ausstiegskosten und unklare Fristen machten den Anbieterwechsel zur Geduldsprobe.

Viele Unternehmen unterschätzen, wie stark sich Auftragsverarbeitungsverträge (AVV) durch die neuen EU-Muster ändern müssen. Wenn Ausstiegsklauseln, Verantwortlichkeiten beim Datenübergang oder Haftungsfragen unklar bleiben, drohen erhebliche Risiken. Ein kostenloses E-Book erklärt praxisnah, welche Vertragsklauseln Sie jetzt anpassen sollten, liefert geprüfte Vorlagen und eine Schritt-für-Schritt-Checkliste zur sofortigen Umsetzung. Gratis E-Book: Auftragsverarbeitungs-Check herunterladen

Die neuen Musterklauseln decken drei kritische Bereiche ab:

1. Wechsel & Ausstieg: Standardisierte Bedingungen sollen sicherstellen, dass Kunden ihre Daten ohne überzogene Kosten oder Verzögerungen migrieren können.
2. Vertragsbeendigung: Klare Protokolle verhindern, dass Anbieter Daten nach Vertragsende zurückhalten.
3. Sicherheit beim Übergang: Besondere Schutzmaßnahmen während der heiklen Phase zwischen Alt- und Neuanbieter.

Zusätzlich veröffentlichte die Kommission Mustervertragsbedingungen (MCTs) für den Datenaustausch – etwa zwischen Herstellern vernetzter Geräte und deren Nutzern.

„Diese Klauseln sollen Transaktionskosten senken und Verhandlungen beschleunigen”, heißt es aus Brüssel. Zwar sind die Vorgaben rechtlich nicht bindend, Branchenkenner erwarten jedoch, dass sie schnell zum faktischen Marktstandard werden. Gerade die großen Cloud-Anbieter dürften unter Druck geraten, ihre oft einseitigen Geschäftsbedingungen anzupassen.

DSGVO-Reform: 96 Stunden Zeit und KI auf legitimer Basis

Das Digital Omnibus-Paket geht noch weiter: Es enthält konkrete Änderungsvorschläge zur DSGVO – die erste bedeutende Novellierung seit Inkrafttreten der Verordnung 2018.

Längere Fristen bei Datenpannen

Bislang müssen Unternehmen Datenschutzvorfälle binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Die Kommission will diese Frist auf 96 Stunden verlängern und gleichzeitig die Meldeschwelle anheben: Künftig sollen nur noch Vorfälle mit „hohem Risiko” für Betroffene meldepflichtig sein.

Die Logik dahinter: Datenschutzbehörden ertrinken derzeit in Meldungen über Bagatellvorfälle. Für Unternehmen würde die Reform bedeuten, dass Incident-Response-Pläne und Auftragsverarbeitungsverträge überarbeitet werden müssen – viele davon enthalten noch strengere interne Fristen von 24 bis 48 Stunden.

Rechtssicherheit für KI-Training

Politisch brisant ist der Vorschlag zur künstlichen Intelligenz: Das Training von KI-Modellen soll ausdrücklich auf „berechtigtes Interesse” (Artikel 6 Absatz 1 Buchstabe f DSGVO) gestützt werden können – sofern angemessene Schutzmaßnahmen greifen.

Damit reagiert die Kommission auf eine zentrale Schwachstelle europäischer KI-Entwickler. Anders als US-Konkurrenten taten sie sich bisher schwer, eine rechtssichere Grundlage für die Verarbeitung öffentlich verfügbarer Daten zu finden. Wird der Vorschlag Gesetz, müssten Unternehmen zwar ihre Verarbeitungsverzeichnisse und Datenschutzerklärungen anpassen – der Weg für KI-Innovation in Europa wäre jedoch deutlich geebnet.

Was bedeutet das für Auftragsverarbeitungsverträge?

Die Entwicklungen der letzten Tage machen eines deutlich: Vertragsvorlagen gehören auf den Prüfstand. Während die DSGVO-Änderungen noch den Gesetzgebungsprozess durchlaufen müssen, sind die neuen SCCs und MCTs bereits jetzt nutzbar.

Konkrete Handlungsschritte für Compliance-Verantwortliche:

• Cloud-Verträge prüfen: Vergleichen Sie aktuelle Anbietervereinbarungen mit den neuen „Wechsel & Ausstieg”-SCCs der Kommission. Hohe Ausstiegsgebühren oder schwammige Fristen lassen sich nun mit offiziellen EU-Standards kontern.
• AVV-Muster aktualisieren: Stellen Sie sicher, dass Ihre Standard-Auftragsverarbeitungsverträge zwischen personenbezogenen Daten (DSGVO) und sonstigen Daten (Data Act) unterscheiden – die neuen MCTs regeln explizit Letzteres.
• Ausnahmen beachten: Das Digital Omnibus-Paket sieht spezifische Erleichterungen für kleine und mittlere Unternehmen vor. Welche Cloud-Wechsel-Pflichten konkret gelten, muss bei der Anbieterprüfung geklärt werden.

Ausblick: Der lange Weg bis 2026

Der Digital Omnibus-Vorschlag wandert nun ins Europäische Parlament und den Rat. Angesichts der Komplexität einer DSGVO-Novelle rechnen Beobachter frühestens Ende 2026 oder Anfang 2027 mit einem finalen Text. Die Richtung ist dennoch klar: Die EU versucht, den Spagat zwischen Datenschutz und digitaler Wettbewerbsfähigkeit zu schaffen.

Die Standardvertragsklauseln für Cloud Computing benötigen dagegen keine Gesetzgebung – sie gelten ab sofort als offizielle Empfehlung. Die Deutsche Datenschutzkonferenz (DSK) dürfte sich in kommenden Sitzungen mit nationalen Umsetzungshinweisen befassen.

Eines zeichnet sich bereits heute ab: Die Ära unklarer Cloud-Ausstiegsklauseln neigt sich dem Ende zu. Wer die neuen Musterverträge proaktiv in seine AVVs einbaut, sichert sich nicht nur rechtliche Compliance – sondern auch mehr Handlungsspielraum in einer zunehmend multi-cloudbasierten Geschäftswelt.

PS: Die EU bringt nicht nur neue Klauseln, sondern auch verbindliche Regeln für KI auf den Weg. Wenn Sie wissen möchten, wie sich die EU-KI-Verordnung auf Ihre Dokumentationspflichten, Risikoklassifizierung und Kennzeichnungspflichten auswirkt, gibt ein kostenloser Umsetzungsleitfaden klare Handlungsschritte. Praktisch für Entwickler und Compliance-Teams: Risikoklassen, Pflichten und Übergangsfristen kompakt erklärt. KI-Umsetzungsleitfaden kostenlos downloaden