Im Oktober 2025 hat der Europäische Datenschutzausschuss (EDSA / EDPB) entschieden, dass seine fünfte koordinierte Durchsetzungsaktion im Jahr 2026 den Transparenz- und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Damit nehmen die europäischen Aufsichtsbehörden genau jene Vorschriften ins Visier, die sicherstellen sollen, dass Bürgerinnen und Bürger wissen, was mit ihren personenbezogenen Daten geschieht – ein zentrales Element der Datenschutz-Compliance.
Was ist das Coordinated Enforcement Framework (CEF)?
Das sogenannte Coordinated Enforcement Framework (CEF) wurde vom EDPB geschaffen, um die Zusammenarbeit der europäischen Datenschutzbehörden zu stärken.
Jedes Jahr wird dabei ein bestimmtes Thema ausgewählt, zu dem alle nationalen Aufsichtsbehörden parallele Untersuchungen durchführen. Diese nationalen Ergebnisse werden anschließend europaweit ausgewertet, um gemeinsame Schwachstellen zu erkennen, Best Practices abzuleiten und gegebenenfalls weitere Maßnahmen einzuleiten.
Dieses Vorgehen hat sich bereits bei früheren Aktionen bewährt: In den letzten Jahren standen u. a. Cloud-Dienste im öffentlichen Sektor, die Rolle der Datenschutzbeauftragten und die Umsetzung des Auskunftsrechts im Fokus. 2026 richtet sich der Blick nun auf die Transparenz, also darauf, ob Unternehmen ihre Informationspflichten gegenüber Betroffenen tatsächlich korrekt erfüllen.
Warum Transparenz jetzt im Mittelpunkt steht
Die Artikel 12, 13 und 14 DSGVO verpflichten Unternehmen, Betroffene verständlich, vollständig und rechtzeitig über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
In der Praxis hapert es daran aber häufig: Datenschutzerklärungen sind oft zu komplex, zu lang oder zu unverständlich. Manche Unternehmen vergessen, Personen zu informieren, deren Daten indirekt erhoben wurden – etwa über Dritte, Geschäftspartner oder Social-Media-Quellen.
Der EDPB will 2026 genau diese Schwachstellen untersuchen. Nationale Datenschutzbehörden werden prüfen, ob Unternehmen:
- ihre Datenschutzhinweise leicht auffindbar und verständlich bereitstellen,
- die gesetzlich vorgeschriebenen Informationen vollständig angeben,
- und Personen auch dann informieren, wenn sie deren Daten nicht direkt erhoben haben.
Ziel ist es, ein realistisches Bild der Transparenz-Umsetzung in Europa zu erhalten – und darauf basierend Leitlinien, Empfehlungen oder, falls nötig, Durchsetzungsmaßnahmen zu ergreifen.
Worauf Unternehmen sich einstellen sollten
Ab 2026 ist mit verstärkten Prüfungen und Befragungen durch die Datenschutzaufsichtsbehörden zu rechnen.
Das bedeutet nicht, dass jedes Unternehmen automatisch kontrolliert wird, aber die Wahrscheinlichkeit steigt, dass die eigenen Datenschutzhinweise unter die Lupe genommen werden.
Gerade kleinere und mittlere Unternehmen (KMU) sollten deshalb jetzt überprüfen, ob ihre Transparenzpflichten eingehalten werden.
Wichtige Prüfpunkte:
- Aktualität und Vollständigkeit der Datenschutzerklärung:
Alle Pflichtangaben nach Art. 13/14 DSGVO müssen enthalten sein – etwa Name und Kontaktdaten des Verantwortlichen, Verarbeitungszwecke, Rechtsgrundlage, Speicherdauer, Empfänger, Drittlandsübermittlungen und Betroffenenrechte. - Einfache Sprache und klare Struktur:
Eine gute Datenschutzerklärung ist kein juristischer Text, sondern verständlich und alltagstauglich.
Absätze, Zwischenüberschriften und kurze Sätze erhöhen die Lesbarkeit erheblich. - Information bei indirekter Datenerhebung:
Werden personenbezogene Daten aus anderen Quellen bezogen, müssen Betroffene nachträglich informiert werden – in der Regel innerhalb eines Monats. - Transparenz bei besonderen Prozessen:
Profiling, Tracking oder KI-gestützte Analysen müssen ausdrücklich erläutert werden.
Betroffene sollen wissen, wie und warum ihre Daten verarbeitet werden.
Typische Schwachstellen – und wie man sie vermeidet
Viele Unternehmen unterschätzen, wie viel Transparenz die DSGVO tatsächlich verlangt.
Häufige Fehler sind z. B.:
- Verlinkte Datenschutzerklärungen, die im Footer „versteckt“ sind,
- unvollständige Angaben zu Empfängern oder Speicherfristen,
- oder der Einsatz externer Tools (Analytics, Cloud, KI), ohne dass die Datenflüsse erklärt werden.
Wer diese Punkte jetzt angeht, spart sich später Aufwand – und vermeidet Sanktionen.
Denn: Fehlende oder mangelhafte Transparenz kann teuer werden. Die bisher höchsten DSGVO-Bußgelder betrafen oft genau diesen Punkt – etwa die 225 Millionen Euro Strafe gegen WhatsApp im Jahr 2021 wegen unzureichender Informationen für Nutzer.
Fazit: Transparenz wird zum Prüfstein der Datenschutzkultur
Mit der geplanten Durchsetzungsaktion 2026 setzt der EDPB ein deutliches Signal:
Datenschutz lebt von Transparenz. Nur wenn Betroffene verstehen, wie ihre Daten verwendet werden, können sie ihre Rechte ausüben – und nur dann ist Datenschutz tatsächlich wirksam.
Unternehmen sollten 2025 nutzen, um ihre Datenschutzhinweise zu überarbeiten, interne Prozesse zur Informationspflicht zu prüfen und Mitarbeitende zu sensibilisieren.
Wer hier gut aufgestellt ist, geht gelassen in das Jahr 2026.
Wenn Sie Unterstützung bei der Überprüfung oder Optimierung Ihrer Transparenzpflichten benötigen, stehen wir Ihnen gern beratend zur Seite.