DSGVO-Prüfschwerpunkte 2026: Transparenz- und Informationspflichten im Fokus der Behörden

Die Einhaltung der Transparenz- und Informationspflichten sind die DSGVO-Prüfschwerpunkte 2026.
Kategorien:
,

Der Europäische Datenschutzausschuss (EDSA) hat die Einhaltung der Transparenz- und Informationspflichten als nächsten EU-weiten Prüfschwerpunkt für das Jahr 2026 festgelegt. Konkret sollen die Datenschutzbehörden der EU-Mitgliedstaaten gemeinsam untersuchen, ob Unternehmen und öffentliche Stellen ihren gesetzlichen Pflichten aus den Artikeln 12, 13 und 14 DSGVO ordnungsgemäß nachkommen. Konkret bedeutet das: Ob betroffene Personen ausreichend darüber informiert werden, wann und wie ihre personenbezogenen Daten verarbeitet werden.

Koordiniertes Vorgehen (CEF) der Datenschutzbehörden

Die gemeinsame Aktion der Aufsichtsbehörden erfolgt im Rahmen des Coordinated Enforcement Framework (CEF), der koordinierten Durchsetzungsmaßnahme, den der EDSA ins Leben gerufen hat. Ziel des CEF ist es, die Zusammenarbeit der nationalen Datenschutzbehörden zu stärken und eine einheitliche Durchsetzung der DSGVO in Europa zu fördern. Eine Teilnahme ist freiwillig. Dabei konzentrieren sich die teilnehmenden Aufsichtsbehörden zeitgleich auf dasselbe Schwerpunktthema und führen dazu in ihrem Land Untersuchungen durch. Die Ergebnisse werden anschließend auf EU-Ebene in einem gemeinsamen Bericht zusammengeführt, Best Practices identifiziert und Schwachstellen bei der Umsetzung der Vorgaben aufzeigt. Falls nötig, folgen daraus Empfehlungen oder weitere Durchsetzungsmaßnahmen.

Die Schwerpunktprüfung 2026 „Transparenz- und Informationspflichten“ ist bereits die fünfte gemeinsame Aktion. In den vergangenen Jahren hat der EDSA koordinierte Prüfungen unter anderem zu folgenden Themen durchgeführt:

  • 2023: Benennung und Aufgaben von Datenschutzbeauftragten
  • 2024: Umsetzung des Auskunftsrechts durch Verantwortliche (Art. 15 DSGVO)
  • 2025: Recht auf Löschung (Art. 17 DSGVO)


Die Wahl der neuen Schwerpunktsetzung fügt sich in die längerfristige Strategie des EDSA ein, die auf eine konsequentere und abgestimmte Durchsetzung der DSGVO abzielt.

Was bedeutet das konkret für Unternehmen?

Die Aufsichtsbehörden werden voraussichtlich standardisierte Fragebögen einsetzen, um bei vielen Organisationen den Stand der Transparenzmaßnahmen abzufragen. Anschließend können sie je nach Land entweder breite Stichproben durchführen oder gezielt förmliche Prüfungsverfahren bei einzelnen Verantwortlichen einleiten. In jedem Fall ist damit zu rechnen, dass Datenschutzerklärungen und ähnliche Dokumentationen angefordert und auf ihre Konformität geprüft werden. Bei festgestellten Verstößen stehen den Behörden weitere Schritte bis hin zu Sanktionen offen.

Verstöße gegen die Transparenzpflichten sind zudem keine „formalen Kleinigkeiten“: Sie betreffen Kernprinzipien der DSGVO.

Zugleich bietet die Aktion eine Chance: Wer Transparenz überzeugend umsetzt, stärkt das Vertrauen und reduziert Beschwerden, Nachfragen und Rechtsrisiken.

Lese-Tipp: Datenschutzbehörden prüfen KI-Einsatz! Diese 7 Fragen müssen Unternehmen jetzt beantworten

Schwachstellen aus Art. 12, 13 und 14 DGVO in der Praxis

Aus Sicht der Praxis werden Aufsichtsbehörden voraussichtlich vor allem auf folgende „klassische Schwachstellen“ achten:

  • Klarheit und Verständlichkeit:
    Sind die Datenschutzhinweise in einer für die Zielgruppe nachvollziehbaren Sprache verfasst? Verstecken sich wichtige Details im „Kleingedruckten“ bzw. in juristischem Fachjargon?

  • Vollständigkeit der Angaben:
    Werden sämtliche gemäß Art. 13 und 14 DSGVO vorgeschriebenen Informationen angegeben, beispielsweise die Zwecke der Verarbeitung, die Rechtsgrundlagen, alle Empfänger (bzw. Kategorien von Empfängern), Speicherfristen und die Rechte der Betroffenen? Fehlen keine relevanten Details?

  • Information bei indirekter Datenerhebung:
    Falls personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden, sondern etwa von Dritten oder aus öffentlich zugänglichen Quellen stammen: Erfolgt die nachträgliche Information gemäß Art. 14 DSGVO fristgerecht und in geeigneter Form? Sind Prozesse etabliert, um solche Informationspflichten auch bei Daten aus externen Quellen zu erfüllen?

  • Interne Datenschutz-Informationen:
    Werden nicht nur Kunden und Nutzer, sondern auch Mitarbeiter angemessen über die Verarbeitung ihrer Daten informiert? Unternehmen sollten darauf achten, interne Datenschutzhinweise (z. B. für Beschäftigte) aktuell zu halten, da die Aufsichtsbehörden vermutlich nicht nur öffentlich zugängliche Erklärungen, wie die Datenschutzerklärung auf der Website, prüfen werden.

  • Sprache und Struktur:
    Ist die Sprache verständlich und die Darstellung übersichtlich? Gerade bei komplexen Sachverhalten (etwa beim Einsatz von Cookies, Tracking-Tools oder Datenübermittlungen in Drittländer) sollte die Information so gestaltet sein, dass ein laienverständlicher Überblick möglich ist.

Drei praxisnahe Quick-Checks zur Vorbereitung

Quick Check 1: Datenschutzhinweise in der Praxis
Gleichen Sie die Datenschutzhinweise systematisch mit dem VVT und den tatsächlichen Datenflüssen ab: Zwecke, Rechtsgrundlagen, Empfänger, Tools, Speicherfristen.

Quick Check 2: Art. 14 DSGVO im Blick
Identifizieren Sie Prozesse, in denen Daten nicht direkt bei Betroffenen erhoben werden (z. B. Lead-Listen, Konzernweitergaben, Dienstleisterdaten). Prüfen Sie, ob und wie die Informationspflicht erfüllt wird oder ob Ausnahmen dokumentiert begründet sind.

Quick Check 3: Verständlichkeit testen
Lassen Sie Hinweise von Nichtjuristen im Unternehmen lesen (z. B. Vertrieb, HR). Wenn Inhalte nicht verstanden werden, ist das ein starkes Indiz für Verbesserungsbedarf und ein guter Reality-Check für Art. 12 DSGVO.

Fazit zum EDSA-Prüfschwerpunkt 2026

Mit der Wahl von Transparenz und Informationspflichten als EU-weitem Prüfschwerpunkt 2026 setzt der EDSA einen klaren Akzent: Datenschutzhinweise werden inhaltlich und strukturell geprüft. Für Unternehmen lohnt sich deshalb ein gezieltes „Transparenz-Audit“. Insbesondere dort, wo Datenflüsse komplex sind (Tracking, Plattformen, internationale Dienstleister, konzernweite Prozesse). Wer jetzt nachschärft, stärkt nicht nur Compliance, sondern auch Vertrauen und Effizienz im Umgang mit Betroffenenrechten.

Benötigen Sie Unterstützung bei der Beantwortung eines behördlichen Informationsersuchens oder bei einer konkreten Prüfaktion? Unsere Datenschutzexperten prüfen das Schreiben der für Sie zuständigen Datenschutzbehörde, erstellen die notwendigen Unterlagen und unterstützen Sie bei allen regulatorischen Anforderungen. Kontaktieren Sie uns für eine unverbindliche Erstberatung.

Quelle: Coordinated Enforcement Framework: EDPB selects topic for 2026

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge