Dr. Datenschutz Shortnews im Februar 2026 – KW08

Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.

EU-Kommission veröffentlicht Mustervertragsklauseln zum Data Act

Die EU-Kommission hat unverbindliche Mustervertragsklauseln zur Umsetzung des Data Act veröffentlicht. Diese sollen insbesondere kleine und mittlere Unternehmen (KMU) bei Datenteilungs- und Cloud-Verträgen unterstützen.
Zu den veröffentlichten Mustern gehören Model Contractual Terms (MCTs) für den Zugang zu und die Nutzung von Daten, insbesondere bei Daten aus vernetzten Produkten. Außerdem wurden Standard Contractual Clauses (SCCs) für Cloud-Computing-Verträge vorgestellt. Diese regeln unter anderem den Wechsel von Cloud-Anbietern, Sicherheitsanforderungen sowie eine ausgewogene Haftung und faire Vertragsbedingungen.

Bedeutung für die Praxis:

• Unternehmen können die MCTs und SCCs nutzen, um Datenteilung und Cloud-Nutzung strukturiert und rechtssicher zu gestalten. Auch beim Einsatz dieser Muster bleibt die DSGVO maßgeblich, sodass Verantwortliche weiterhin die Rechtsgrundlagen prüfen, die Rollen der Beteiligten klar definieren und geeignete Sicherheitsmaßnahmen ergreifen müssen. Zwar erleichtern die Musterverträge die Einhaltung gesetzlicher Vorgaben, sie ersetzen jedoch keine datenschutzrechtlichen Pflichten und sollten stets individuell an die jeweiligen Geschäftsprozesse angepasst werden.

Hilfreiche Links:

• Entwurf einer Empfehlung zu unverbindlichen Modellvertragsbedingungen und Standardklauseln für Cloud-Computing-Verträge
• Cloud-Switching unter dem Data Act
• Hilfe, der Data Act ist schon da!

AWS startet European Sovereign Cloud: Mehr Souveränität für EU-Daten

Amazon Web Services (AWS) hat am 15. Januar 2026 die „AWS European Sovereign Cloud“ (ESC) gestartet, eine Cloud-Infrastruktur speziell für Europa. Sie richtet sich an Organisationen mit hohen Datenschutzanforderungen wie öffentliche Verwaltungen, KRITIS und Banken. AWS verspricht, dass alle Kundendaten ausschließlich in der EU gespeichert und verarbeitet werden und der Betrieb sowie der Support ausschließlich durch EU-Personal erfolgen. Technische Maßnahmen wie Verschlüsselung, Kill-Switch-Schutz und unabhängige Updates sollen unbefugte Zugriffe durch Dritte verhindern. Der Aufbau der ESC wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) begleitet, das insbesondere die Entkopplung von anderen Systemen und die Umsetzung von Souveränitätsmaßnahmen prüft.

Bedeutung für die Praxis:

• Unternehmen sollten die ESC zunächst ausschließlich mit unkritischen Workloads testen und sich nicht allein auf die Marketingversprechen von AWS verlassen. Eine eigenständige Risikobewertung ist unerlässlich, ebenso die sorgfältige Beobachtung der Prüfung durch das BSI. Parallel dazu empfiehlt es sich, europäische Alternativen zu prüfen, um Abhängigkeiten zu minimieren und sensible Daten zuverlässig zu schützen.

Hilfreiche Links:

• BSI: AWS European Sovereign Cloud startet
• Dürfen Beschäftigtendaten in die AWS-Cloud?
• Amazon Web Service datenschutzkonform nutzen

Urteil zur Herausgabe von E-Mail-Adressen von Vereinsmitgliedern

Der BGH entschied, dass ein Sportverein die E-Mail-Adressen seiner Mitglieder an eine vereinsinterne Oppositionsinitiative herausgeben muss. Dies sei nach Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung des „Vertrags“ Vereinsmitgliedschaft erforderlich. Der Beitritt zu einem Verein wird unionsautonom als Vertrag betrachtet, dessen Inhalt und Pflichten durch die Satzung bestimmt werden. Dazu gehört auch das Recht der Mitglieder auf unmittelbare Kommunikation untereinander, um die innerverbandliche Willensbildung zu ermöglichen. Eine bloß mittelbare Kommunikation über das Präsidium stellt kein gleich geeignetes milderes Mittel dar.

Bedeutung:

• Die Entscheidung verdeutlicht, dass Mitgliedschaften in Vereinen, Verbänden oder Genossenschaften als Verträge im Sinne der DSGVO zu behandeln sind und interne Kommunikationsrechte der Mitglieder eine Datenweitergabe rechtfertigen können. Organisationen sollten daher ihre Satzungen und Datenschutzhinweise daraufhin überprüfen, welche Kommunikationsrechte den Mitgliedern zustehen und auf welcher Rechtsgrundlage sie entsprechende Datenverarbeitungen begründen möchten.

Hilfreiche Links:

• BGH, Urteil vom 10.12.2025 – II ZR 132/24
• Datenschutz und Recht im Verein: Anforderungen und Schulungen
• Konflikt im Verein – Datenschutz der Mitgliederlisten

Urteil zur Haftung des Verantwortlichen nach Ende der Auftragsverarbeitung

Der BGH entschied, dass ein Verantwortlicher haftet, wenn ein Auftragsverarbeiter personenbezogene Daten nach Vertragsende nicht löscht und diese später im Darknet veröffentlicht werden. Um dies zu verhindern, muss der Verantwortliche aktiv sicherstellen, dass beim Auftragsverarbeiter keine Daten mehr verbleiben, etwa indem er vereinbarte Löschbestätigungen einholt. Verlässt er sich lediglich auf Zusicherungen des Auftragsverarbeiters, handelt er fahrlässig. Wird eine Veröffentlichung personenbezogener Daten im Darknet bekannt, liegt ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO vor; eine Entlastung nach Art. 82 Abs. 3 DSGVO ist in diesem Fall ausgeschlossen.

Bedeutung:

• Unternehmen müssen Lösch- und Rückgabeprozesse nach dem Ende von Auftragsverarbeitungen organisatorisch und nachvollziehbar absichern; bloßes Vertrauen auf den Dienstleister reicht nicht aus. Die Entscheidung verdeutlicht außerdem, dass Datenabflüsse ins Darknet regelmäßig einen ersatzfähigen immateriellen Schaden begründen und das Haftungsrisiko für Verantwortliche dadurch deutlich erhöhen.

Hilfreiche Links:

• BGH, Urteil vom 11.11.2025 – VI ZR 396/24
• Wann haften Verantwortliche für ihre Auftragsverarbeiter?
• Auftrags- vs. Aufsichtsverarbeitung: Wo sind die Unterschiede?