25 EU-Behörden prüfen Ihre Datenschutzerklärung – Was Unternehmen jetzt tun müssen

Wer eine Datenschutzerklärung auf der eigenen Website hat, die seit Jahren nicht mehr angefasst wurde, sollte das jetzt schleunigst ändern. Der Europäische Datenschutzausschuss (EDPB) hat 2026 zum Jahr der europaweiten Transparenzprüfung erklärt – und 25 nationale Aufsichtsbehörden nehmen aktuell die Informationspflichten von Unternehmen unter die Lupe.

Gleichzeitig zeigen aktuelle Zahlen: Der Fokus der Behörden verschiebt sich weg von den großen Tech-Konzernen, hin zum Mittelstand. Für kleine und mittlere Unternehmen bedeutet das: Das Risiko, in eine Datenschutzprüfung zu geraten, ist 2026 so hoch wie noch nie.

Was steckt hinter der Transparenz-Offensive des EDPB?

Der Europäische Datenschutzausschuss koordiniert jedes Jahr eine sogenannte Coordinated Enforcement Action – eine abgestimmte Prüfwelle, bei der alle nationalen Datenschutzbehörden in der EU dasselbe Thema gleichzeitig unter die Lupe nehmen. Für 2026 wurde das Thema Transparenz und Informationspflichten ausgewählt.

  • Rechtsgrundlage: Artikel 12, 13 und 14 der Datenschutz-Grundverordnung (DSGVO) verpflichten Unternehmen, Betroffene vollständig, verständlich und rechtzeitig über die Verarbeitung ihrer personenbezogenen Daten zu informieren.
  • 25 Aufsichtsbehörden beteiligen sich – darunter alle deutschen Landesdatenschutzbehörden und der Bundesbeauftragte für den Datenschutz (BfDI).
  • Prüfmethode: Unternehmen aus unterschiedlichen Branchen und Größenklassen werden direkt kontaktiert – per Fragebogen oder durch formelle Ermittlungsverfahren.
  • Häufige Schwächen: Datenschutzhinweise sind zu komplex, nicht auffindbar, unvollständig oder informieren nicht über indirekte Datenerhebung (z. B. über Partnerunternehmen oder Analytics-Tools).
  • Ergebnis: Ein konsolidierter europäischer Bericht mit Best Practices und ggf. Durchsetzungsmaßnahmen ist für Anfang 2027 geplant.

Warum 2026 auch für KMU gefährlich wird

Lange galt der unausgesprochene Grundsatz: Datenschutzbehörden haben genug mit den großen Plattformanbietern zu tun. Dieses Bild stimmt nicht mehr. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit berichtete 2025 von einer Verdopplung der Verfahren gegen Unternehmen unter 250 Mitarbeitern. Die Berliner Datenschutzbeauftragte setzt gezielt auf Branchentiefenprüfungen – ein Ansatz, der deutlich mehr Unternehmen trifft als Einzelfallermittlungen.

Besonders häufig zum Verhängnis wird KMU die 72-Stunden-Meldepflicht nach Art. 33 DSGVO: Bei einer Datenpanne muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden – gerechnet ab dem Zeitpunkt, zu dem der Vorfall bekannt wird, nicht erst nach Abschluss der internen Untersuchung. Viele Unternehmen verpassen diese Frist, weil interne Abstimmungsprozesse zu lange dauern.

Was bedeutet das für Unternehmen?

  1. Datenschutzerklärung jetzt prüfen und aktualisieren. Enthält die Datenschutzerklärung alle Pflichtangaben nach Art. 13 DSGVO? Dazu gehören: Name und Kontaktdaten des Verantwortlichen, Verarbeitungszweck, Rechtsgrundlage, Speicherdauer, Empfänger (auch Auftragsverarbeiter), Drittlandsübermittlungen und Betroffenenrechte. Wer externe Tools wie Google Analytics, Microsoft 365 oder KI-Assistenten einsetzt, muss diese explizit erwähnen.
  2. Verständlichkeit herstellen. Eine gute Datenschutzerklärung ist kein juristischer Fließtext. Kurze Sätze, Zwischenüberschriften und klare Sprache sind nicht nur nutzerfreundlich – sie sind das, was Aufsichtsbehörden nach Art. 12 DSGVO ausdrücklich verlangen. Wer seine Erklärung zuletzt vor 2022 aktualisiert hat, sollte sie vollständig überarbeiten.
  3. Informationspflicht bei indirekter Datenerhebung beachten. Werden Daten nicht direkt beim Betroffenen erhoben – etwa über Bewerbungsportale, Partnerunternehmen oder Social-Media-Quellen – greift Art. 14 DSGVO. Betroffene müssen in diesem Fall nachträglich informiert werden, in der Regel innerhalb eines Monats. Dieser Punkt wird in der Praxis häufig übersehen.
  4. Internen Meldeprozess für Datenpannen strukturieren. Unternehmen brauchen einen dokumentierten Prozess, der sicherstellt, dass bei einem Datenschutzvorfall innerhalb von 48 Stunden intern eskaliert und innerhalb von 72 Stunden eine Meldung an die Behörde abgesetzt werden kann. Eine vorbereitete Meldevorlage (mit den Pflichtfeldern nach Art. 33 Abs. 3 DSGVO) spart im Ernstfall wertvolle Zeit.
  5. Verzeichnis der Verarbeitungstätigkeiten aktuell halten. Das Verzeichnis nach Art. 30 DSGVO ist die Grundlage jeder Behördenprüfung. Wer zeigen kann, dass er seine Datenflüsse kennt, dokumentiert und regelmäßig überprüft, wird von Aufsichtsbehörden erheblich milder bewertet – unabhängig vom konkreten Anlass der Prüfung.

Fazit

Die EDPB-Transparenzoffensive 2026 ist kein abstraktes EU-Projekt – sie ist eine konkrete Ankündigung, dass Datenschutzbehörden in diesem Jahr aktiv und koordiniert prüfen werden, ob Unternehmen ihre Informationspflichten wirklich erfüllen. Wer seine Datenschutzerklärung seit Jahren nicht angefasst hat, läuft Gefahr, dabei unangenehm aufzufallen. Die gute Nachricht: Die notwendigen Maßnahmen sind überschaubar und lassen sich mit externer Unterstützung zügig umsetzen.

Bei Fragen helfen wir Ihnen gerne weiter.

An den Anfang scrollen
×
Externe Inhalte & Cookies
Wir verwenden Cookies und externe Inhalte. Wenn Sie diese annehmen wollen, klicken Sie einfach auf "Alles akzeptieren". Über "Einstellungen" können Sie auch auswählen, welche Cookie- und Inhaltstypen Sie annehmen wollen. Lesen Sie unsere Datenschutz-Richtlinien
Einstellungen Alles ablehnen Alles akzeptieren
Externe Inhalte & Cookies
Wählen Sie aus, welche Cookies und Inhaltstypen akzeptiert werden sollen. Ihre Auswahl wird für 7 Tage gespeichert. Lesen Sie unsere Datenschutz-Richtlinien
Speichern Alles ablehnen Alles akzeptieren