Brüssel, 14. Oktober 2025 – Der Europäische Datenschutzausschuss (EDSA, engl. European Data Protection Board, EDPB) hat in seiner Oktober-Plenarsitzung beschlossen, dass die fünfte koordinierte Durchsetzungsmaßnahme dem Thema Transparenz und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Konkret sollen Unternehmen EU-weit darauf überprüft werden, wie gut sie ihren Verpflichtungen nach Art. 12, 13 und 14 DSGVO nachkommen – also ob sie betroffene Personen verständlich und vollständig darüber informieren, wenn und wofür personenbezogene Daten verarbeitet werden. Dieses Recht auf Information der Bürgerinnen und Bürger ist ein zentrales Element der Transparenz im Datenschutz und ermöglicht es Menschen, mehr Kontrolle über ihre Daten auszuüben.

Was ist der koordinierte Durchsetzungsrahmen (Coordinated Enforcement Framework)?

Der koordinierte Durchsetzungsrahmen (CEF) bezeichnet einen Mechanismus, mit dem der EDSA die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten auf ein gemeinsames Jahresthema einschwört und koordiniert agieren lässt. Jedes Jahr wird ein bestimmtes Datenschutz-Thema festgelegt, das alle teilnehmenden nationalen Datenschutzbehörden parallel in ihrem Zuständigkeitsbereich untersuchen. Auf diese Weise können die Behörden eng zusammenarbeiten, Erkenntnisse austauschen und für eine einheitlichere und effizientere Durchsetzung der DSGVO in Europa sorgen.

In der Praxis läuft dies so ab, dass der EDSA ein Schwerpunktthema definiert und den nationalen Aufsichtsbehörden entsprechende Untersuchungen nahelegt. Die Teilnahme ist dabei freiwillig – interessierte Datenschutzbehörden schließen sich der Aktion an und führen im eigenen Land Prüfungen oder Befragungen zum Thema durch. Die Ergebnisse dieser dezentralen Aktionen werden anschließend vom EDSA gebündelt und ausgewertet, um EU-weite Trends, häufige Schwachstellen und best practices zu identifizieren[5]. Gegebenenfalls können daraus weitere Folgemaßnahmen entstehen, etwa koordinierte Empfehlungen oder verstärkte Durchsetzungsschritte sowohl auf nationaler als auch auf europäischer Ebene.

Der koordinierte Durchsetzungsrahmen wurde im Oktober 2020 ins Leben gerufen und ist ein zentrales Element der EDSA-Strategie, um die Zusammenarbeit der Datenschutzbehörden zu stärken. In den vergangenen Jahren gab es bereits mehrere solcher koordinierten Prüfaktionen: 2022/23 wurden z.B. die Cloud-Dienste im öffentlichen Sektor unter die Lupe genommen, 2023 die Benennung und Stellung der Datenschutzbeauftragten in Unternehmen und 2024 die Umsetzung des Auskunftsrechts durch Datenverarbeiter untersucht. Eine weitere Aktion zum Recht auf Vergessenwerden (Löschung) nach Art. 17 DSGVO startete 2025 und befindet sich in der Auswertungsphase. Die nun angekündigte Transparenz-Initiative für 2026 ist somit die nächste Stufe dieses europaweiten Durchsetzungsprogramms.

Transparenzpflichten als EU-weites Schwerpunktthema 2026

Für das Jahr 2026 hat der EDSA also Transparenz und Informationspflichten als gemeinsames Schwerpunkthema ausgewählt. Das bedeutet, dass die Datenschutzbehörden verstärkt überprüfen werden, wie Unternehmen die Betroffenen über die Verarbeitung ihrer Daten informieren. Die DSGVO schreibt detailliert vor, welche Informationen Betroffene erhalten müssen. Art. 13 DSGVO verpflichtet etwa jeden Verantwortlichen, bereits zum Zeitpunkt der Datenerhebung umfassende Auskunft zu erteilen – zum Beispiel wer das Unternehmen ist, zu welchem Zweck und auf welcher Rechtsgrundlage es die Daten verarbeitet, wie lange die Daten gespeichert werden, ob sie an Dritte oder ins Ausland übermittelt werden und welche Rechte die betroffene Person hat. Wenn personenbezogene Daten nicht direkt bei der Person erhoben werden (sondern etwa über Dritte oder aus öffentlichen Quellen), greift Art. 14 DSGVO: Dann muss das Unternehmen die betroffenen Personen nachträglich proaktiv informieren, in der Regel innerhalb eines Monats nach Erhebung der Daten. All diese Angaben müssen laut Art. 12 DSGVO in klarer, verständlicher und leicht zugänglicher Form erfolgen – also ohne unverständliches Juristendeutsch und nicht versteckt im Kleingedruckten. Transparenz bedeutet hier, dass ein durchschnittlicher Nutzer auf Anhieb verstehen kann, welche Daten über ihn wofür verwendet werden.

Mit der EU-weiten Aktion 2026 wollen die Behörden nun herausfinden, wo Unternehmen bei diesen Transparenzpflichten gut aufgestellt sind und wo es Defizite gibt. Die EDSA-Koordinierung ermöglicht dabei, Muster und häufige Probleme in verschiedenen Ländern zu erkennen. Typische Fragestellungen könnten sein: Werden Nutzern die Datenschutzhinweise leicht auffindbar präsentiert? Deckt der Inhalt der Datenschutzerklärung wirklich alle gesetzlich geforderten Punkte ab? Erfolgt die Information rechtzeitig und in verständlicher Sprache? Und erhalten Personen auch dann eine Mitteilung, wenn ihre Daten aus anderer Quelle stammen (z.B. gekaufte Adresslisten)? Durch die gemeinsame Untersuchung soll ein europäischer Überblick entstehen, wie es um die praktische Umsetzung der Transparenz bestellt ist. Bei Bedarf können die Datenschutzbehörden anschließend gezielt nachsteuern – sei es durch Leitlinien, Warnungen an bestimmte Branchen oder sogar koordinierte Durchsetzungsmaßnahmen gegen säumige Unternehmen, falls gravierende Verstöße festgestellt werden.

Was bedeutet das für Unternehmen im Jahr 2026?

Unternehmen sollten sich frühzeitig auf diese Schwerpunktprüfung einstellen. Für das Jahr 2026 ist damit zu rechnen, dass verstärkt Anfragen oder Prüfungen der Datenschutzaufsichtsbehörden zum Thema Transparenz eingehen werden. So könnten z.B. Firmen angeschrieben werden, um Fragebögen zu ihren Informationspraktiken zu beantworten, oder es finden stichprobenartige Kontrollen von Datenschutzerklärungen statt. Jedes Unternehmen – ob groß oder klein, ob in der EU ansässig oder als ausländischer Anbieter am EU-Markt tätig – tut gut daran, jetzt seine Informationspflichten auf den Prüfstand zu stellen. Die Behörden werden besonders darauf achten, dass die Vorgaben der Art. 12–14 DSGVO eingehalten werden.

Worauf sollten Unternehmen achten? Hier einige Kernpunkte, die im Vorfeld überprüft und ggf. verbessert werden sollten:

• Vollständige Datenschutz-Informationen: Stellen Sie sicher, dass Ihre Datenschutzerklärungen alle erforderlichen Angaben enthalten. Dazu gehören u.a. die Identität des Verantwortlichen, Kontaktmöglichkeiten (und ggf. des Datenschutzbeauftragten), Zwecke der Verarbeitung, Rechtsgrundlagen, Kategorien personenbezogener Daten, Empfänger oder Kategorien von Empfängern, Speicherdauer bzw. Kriterien für ihre Festlegung, Hinweise auf Übermittlungen in Drittstaaten sowie die Rechte der Betroffenen (Auskunft, Berichtigung, Löschung etc.). Keine der gesetzlich geforderten Informationen sollte fehlen.
• Klarheit und Verständlichkeit: Überprüfen Sie Sprache und Aufbau Ihrer Datenschutzhinweise. Sind sie in einfacher, klarer Sprache verfasst, die auch für Laien verständlich ist[12]? Vermeiden Sie Fachjargon und lange verschachtelte Sätze. Nutzen Sie übersichtliche Strukturen mit Abschnitten und ggf. Stichpunkten, damit Leser die Informationen schnell erfassen können. Wichtig ist auch, dass die Hinweise leicht zugänglich sind – z.B. auf der Website gut sichtbar verlinkt (nicht tief im Footer versteckt) oder bei einer App direkt beim ersten Start abrufbar.
• Rechtzeitige und proaktive Information: Sorgen Sie dafür, dass Betroffene zum richtigen Zeitpunkt informiert werden. Bei Direkterhebung (Art. 13 DSGVO) bedeutet das: sofort bei Datenerhebung (etwa im Online-Formular direkt unter den Eingabefeldern oder im Zuge des Vertragsabschlusses). Bei indirekter Datenerhebung (Art. 14 DSGVO) stellen Sie sicher, dass ein Prozess existiert, um die betroffenen Personen unverzüglich – spätestens binnen 1 Monat – von der Datenverarbeitung in Kenntnis zu setzen. Beispiel: Wenn Sie Adressdaten von einem Datenhändler erwerben oder öffentlich verfügbare Social-Media-Daten für Marketingzwecke sammeln, müssen Sie jedem dieser Kontakte innerhalb der Frist eine Mitteilung mit den oben genannten Informationsinhalten zukommen lassen. Versäumen Sie dies, verstoßen Sie gegen die Transparenzpflichten.
• Transparenz bei besonderen Verarbeitungen: Prüfen Sie, ob es in Ihrem Unternehmen Verarbeitungsvorgänge gibt, die besonders erklärungsbedürftig sind – etwa Profiling, automatisierte Entscheidungen oder umfangreiche Weitergaben von Daten an Dritte. Solche Fälle erfordern besondere Transparenz. Wenn Sie z.B. Nutzerdaten für personalisierte Werbung oder Algorithmen einsetzen, sollten Sie dies ausdrücklich in der Datenschutzerklärung erläutern. Ebenso ist offenzulegen, wenn Daten an Partnerunternehmen, Dienstleister oder konzerninterne Stellen weitergegeben werden. Überraschen Sie die Nutzer nicht: Alles, was mit ihren Daten geschieht, sollte für sie nachvollziehbar und vorhersehbar sein.

Wer diese Punkte beherzigt, hat gute Chancen, einer Prüfung gelassen entgegenzusehen. Unternehmen, die hingegen ihre Transparenzpflichten bisher vernachlässigt haben, laufen Gefahr, 2026 ins Visier der Aufsichtsbehörden zu geraten. Die koordinierte Aktion erhöht die Wahrscheinlichkeit, dass Lücken bei der Information der Betroffenen entdeckt werden – und im Zweifel sanktioniert. Verstöße gegen die Transparenzvorschriften sind nämlich keine Lappalie: So wurde z.B. der Messengerdienst WhatsApp im Jahr 2021 von der irischen Datenschutzbehörde mit 225 Millionen Euro Geldbuße belegt, weil er seine Nutzer nicht ausreichend über die Verwendung und Weitergabe ihrer Daten informierte[14]. Diese hohe Strafe verdeutlicht, dass mangelnde Transparenz gravierende Konsequenzen nach sich ziehen kann.

Fazit: Unternehmen sollten das Jahr 2025 nutzen, um ihre Datenschutz-Informationen auf den neuesten Stand zu bringen und eventuelle Defizite zu beseitigen. Die europaweite Transparenz-Offensive der Datenschutzbehörden bedeutet nicht zwangsläufig, dass jede Firma eine Prüfung bekommt – aber die Branchen und Unternehmen, in denen Transparenzverstöße häufiger vorkommen, dürften besonders unter der Lupe stehen. Wer hier proaktiv handelt und für vorbildliche, verständliche Datenschutzinfos sorgt, kann nicht nur regulatorischen Ärger vermeiden, sondern gewinnt auch das Vertrauen von Kunden und Mitarbeitern. Die koordinierte Durchsetzungsaktion 2026 setzt ein klares Zeichen: Transparenz ist kein „nice-to-have“, sondern essenzieller Bestandteil von Datenschutz-Compliance – darauf sollten sich alle Verantwortlichen einstellen.