Der Europäische Datenschutzausschuss (EDSA) hat das Thema für die nächste koordinierte Durchsetzungsmaßnahme festgelegt: 2026 werden die europäischen Datenschutzaufsichtsbehörden gemeinsam untersuchen, wie Verantwortliche ihre Transparenzpflichten nach der DSGVO umsetzen.
Transparenz auf dem Prüfstand
Die fünfte Coordinated Enforcement Framework (CEF)-Aktion nimmt die Artikel 12, 13 und 14 DSGVO unter die Lupe. Diese Bestimmungen regeln, wann und wie Unternehmen und Behörden Betroffene über die Verarbeitung ihrer Daten informieren müssen. Transparenz ist dabei das Fundament, auf dem alle anderen Betroffenenrechte aufbauen, ohne verständliche Information können Nutzer ihre Rechte schlicht nicht wahrnehmen.
Die Aufsichtsbehörden werden prüfen, ob Datenschutzerklärungen tatsächlich lesbar sind, ob alle Pflichtangaben enthalten sind und wie transparent Unternehmen kommunizieren, wenn sie Daten von Dritten erhalten. Wer schon einmal versucht hat, eine 20-seitige Datenschutzerklärung in juristischem Fachdeutsch zu durchdringen, ahnt, warum dieses Thema überfällig ist.
So funktioniert das CEF
Das Coordinated Enforcement Framework wurde 2020 etabliert und läuft nach einem bewährten Muster ab: Die teilnehmenden Datenschutzbehörden konzentrieren sich zeitgleich auf dasselbe Thema. Jede Behörde prüft auf nationaler Ebene, die Ergebnisse werden anschließend zusammengeführt und ausgewertet.
Der EDSA veröffentlicht dann einen gemeinsamen Bericht, der Best Practices identifiziert und zeigt, wo es noch Verbesserungsbedarf gibt. Falls nötig, folgen Empfehlungen oder konkrete Durchsetzungsmaßnahmen.
Was bisher geschah
Seit 2023 hat der EDSA bereits mehrere koordinierte Aktionen durchgeführt:
- 2023: Cloud-Nutzung im öffentlichen Sektor
- 2024: Stellung und Unabhängigkeit von Datenschutzbeauftragten
- 2025: Umsetzung des Auskunftsrechts
Aktuell läuft noch eine Untersuchung zum Recht auf Löschung (Art. 17 DSGVO). Der Abschlussbericht dazu wird in den nächsten Monaten erwartet.
Was das für die Praxis bedeutet
Unternehmen und öffentliche Stellen sollten diese Ankündigung ernst nehmen. Spätestens jetzt ist der richtige Zeitpunkt, die eigenen Datenschutzhinweise kritisch zu überprüfen:
- Sind die Informationen wirklich verständlich formuliert oder verstecken sich die wichtigen Details im Kleingedruckten?
- Sind alle Pflichtangaben vollständig: Verarbeitungszwecke, Rechtsgrundlagen, Empfänger, Speicherdauern?
- Werden Betroffene klar über ihre Rechte informiert?
- Wie läuft die Information bei Datenerhebungen über Dritte, z.B. wenn Daten von Geschäftspartnern oder aus öffentlichen Quellen stammen?
Gerade bei komplexen Verarbeitungen durch KI-Systeme, Tracking-Tools oder Cloud-Dienste wird Transparenz schnell zur Herausforderung. Wer hier frühzeitig nachbessert, vermeidet nicht nur Bußgelder, sondern gewinnt auch das Vertrauen seiner Nutzer.
Einordnung
Die Fokussierung auf Transparenzpflichten ist konsequent. Die Informationspflichten nach Art. 12 bis 14 DSGVO bilden die Grundlage für die Ausübung sämtlicher Betroffenenrechte, denn eine unzureichende Information verhindert faktisch deren wirksame Wahrnehmung.
Die CEF-Initiative ist als Instrument der EDSA-Strategie 2024-2027 auf eine kohärente Durchsetzung der DSGVO innerhalb der EU ausgerichtet. In Verbindung mit dem Support Pool of Experts (SPE), der die Aufsichtsbehörden bei komplexen fachlichen Fragestellungen unterstützt, soll das CEF zu einer einheitlicheren Anwendung der Verordnung in grenzüberschreitenden Fällen beitragen und die behördliche Zusammenarbeit strukturell verstärken.