Schwerpunktprüfung 2026: Transparenzpflichten
Transparenz ist das Herzstück wirksamen Datenschutzes: Nur wenn Betroffene klar, verständlich und vollständig über die Verarbeitung ihrer personenbezogenen Daten informiert werden, können sie ihre Datenschutzrechte nach DSGVO effektiv nutzen. Mit der EU-weit koordinierten Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDSA) für 2026 rücken Transparenzpflichten, Informationspflichten und Datenschutzerklärungen noch stärker in den Fokus – und damit auch die Frage, wie gut Unternehmen beim Thema Datenschutz wirklich aufgestellt sind.
CEF-Initiative des EDSA: EU-weiter Fokus auf Transparenz im Datenschutz
Der Europäische Datenschutzausschuss plant für 2026 im Rahmen des sogenannten Coordinated Enforcement Framework (CEF) eine EU-weite Schwerpunktprüfung zu den Transparenzpflichten nach der DSGVO. Im Zentrum stehen dabei die Vorgaben aus den Artikeln 12, 13 und 14 DSGVO, die festlegen, wie Verantwortliche Betroffene über die Verarbeitung ihrer personenbezogenen Daten informieren müssen. Diese Regelungen bilden die Grundlage dafür, dass Betroffene ihre Rechte – etwa auf Auskunft, Berichtigung oder Löschung – tatsächlich kennen und wahrnehmen können.
Im Rahmen der CEF-Aktion werden die teilnehmenden Aufsichtsbehörden parallel prüfen, wie Unternehmen und Organisationen ihre Informationspflichten praktisch umsetzen. Ziel ist es, durch einen europaweiten Vergleich Best Practices zu identifizieren und typische Schwachstellen sichtbar zu machen. Die Initiative ist ein Kernbaustein der EDSA-Strategie 2024–2027 und soll zu einer einheitlicheren Durchsetzung der DSGVO beitragen. Für Verantwortliche bedeutet das: Datenschutzerklärungen und Informationsprozesse geraten zunehmend unter die Lupe – wer hier nur formal „abhakt“, geht ein unnötiges Risiko ein.
Vorgehensweise bei Schwerpunktprüfung
Die teilnehmenden Aufsichtsbehörden werden Verantwortliche unterschiedlicher Größe sowie aus verschiedenen Branchen und Sektoren anschreiben, um ein möglichst umfassendes Bild zur Umsetzung zu erhalten. Die Durchführung der Maßnahme wird voraussichtlich sowohl mittels standardisierter Fragebögen als auch durch förmliche Untersuchungen erfolgen, wie bereits im vergangenen Jahr beim Thema Auskunft. Laut EDSA ist auch nicht ausgeschlossen, dass die teilnehmenden Aufsichtsbehörden zusätzliche Schritte zur Durchsetzung der Maßnahmen ergreifen.
Was 2026 konkret geprüft werden dürfte
Im Fokus der koordinierten Durchsetzungsmaßnahme stehen vor allem die Qualität und Praxistauglichkeit der Transparenz im Datenschutz. Aufsichtsbehörden werden sich nicht nur damit zufriedengeben, dass irgendwo eine Datenschutzerklärung existiert. Entscheidend ist, ob die Informationen für Betroffene wirklich lesbar, verständlich und vollständig sind. Damit rücken Aufbau, Sprache und Struktur von Datenschutzhinweisen ebenso in den Mittelpunkt wie deren Platzierung in Webseiten, Apps oder Formularen.
Ein weiterer Schwerpunkt wird der Umgang mit Daten sein, die von Dritten stammen, zum Beispiel aus Adressdatenbanken, Plattformen oder Kooperationsprojekten. Gerade hier hapert es oft an klaren Informationen: Wer verarbeitet was, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange, und an wen werden Daten weitergegeben? Unternehmen, die bislang auf juristisch aufgeblähte Standardtexte setzen, werden sich die Frage gefallen lassen müssen, ob diese Texte realistisch dazu beitragen, Betroffene zu informieren – oder nur formal dem Papier nach „Datenschutz“ suggerieren.
Typische Schwachstellen in Datenschutzerklärungen und Transparenzprozessen
Die Praxis zeigt, dass viele Datenschutzhinweise zwar umfangreich sind, aber inhaltlich an den Bedürfnissen der Betroffenen vorbeigehen. Komplexe Fachsprache, lange Schachtelsätze und unübersichtliche Strukturen sorgen dafür, dass wichtige Informationen im Text „untergehen“. Für die Aufsicht ist jedoch entscheidend, ob Betroffene ohne juristische Vorkenntnisse verstehen können, welche Daten sie preisgeben und was damit passiert.
Häufig fehlen zudem zentrale Pflichtangaben nach der DSGVO, etwa zur konkreten Datenherkunft, zu Empfängern oder Kategorien von Empfängern, zur Speicherdauer oder zu den konkreten Rechten der Betroffenen. Auch Online-Formulare, Newsletter-Anmeldungen oder Bewerbungsportale verweisen nicht immer klar und eindeutig auf passende Datenschutzhinweise. All dies schwächt die Transparenz und damit letztlich das Vertrauen in den Datenschutz.
Vor dem Hintergrund der CEF-Initiative ist es daher nur eine Frage der Zeit, bis solche Defizite nicht nur kritisch hinterfragt, sondern auch mit aufsichtsbehördlichen Maßnahmen oder Bußgeldern beantwortet werden können.
Praktische Handlungsempfehlungen
Angesichts des geplanten EU-weiten Fokus auf Transparenz ist es ratsam, nicht abzuwarten, bis eine Aufsichtsbehörde anklopft. Verantwortliche sollten zeitnah ihre Datenschutzerklärungen, Informationsblätter und internen Prozesse zur Erfüllung der Informationspflichten systematisch überprüfen.
1. Ausgangspunkt ist ein sauberes Verzeichnis von Verarbeitungstätigkeiten: Welche Datenquellen nutzen Sie, welche Zwecke verfolgen Sie, auf welchen Rechtsgrundlagen stützen Sie sich, an wen übermitteln Sie Daten und wie lange speichern Sie diese? Nur auf dieser Basis lassen sich verständliche und zugleich DSGVO-konforme Informationen formulieren.
2. Überprüfen Sie anschließend Sprache, Struktur und Auffindbarkeit Ihrer Datenschutzhinweise; nicht nur in der Datenschutzerklärung auf der Website. Hilfreich sind klare Überschriften, modulare Darstellung und eine zielgruppenorientierte Wortwahl.
3. Achten Sie zudem darauf, dass bei jeder Datenerhebung – online wie offline – eindeutig auf die passende Datenschutzerklärung verwiesen wird.
4. Stellen Sie sicher, dass Ihre oder Ihr Datenschutzbeauftragter frühzeitig eingebunden ist und bei Anfragen der Aufsichtsbehörde sofort informiert wird.
Wer Transparenz im Datenschutz jetzt aktiv stärkt, reduziert Prüfungsrisiken und baut zugleich Vertrauen bei Betroffenen auf.
