EDSA Durchsetzung 2026: DSGVO Transparenzpflichten

Der Europäische Datenschutzausschuss (EDSA) hat eine groß angelegte koordinierte Durchsetzungsmaßnahme für 2026 angekündigt, die sich damit befasst, wie Unternehmen Menschen über die Verwendung ihrer personenbezogenen Daten informieren. Laut EDSA beteiligen sich 25 Datenschutzbehörden aus ganz Europa an dieser Initiative, die am 19. März 2026 gestartet wurde.

Worum geht es?

Die Maßnahme fällt unter den Koordinierten Durchsetzungsrahmen (CEF) des EDSA, der Datenschutzbehörden aus den EU-Mitgliedstaaten zusammenbringt, um jedes Jahr an einem gemeinsamen Compliance-Schwerpunkt zu arbeiten. In diesem Jahr liegt der Fokus auf den Transparenz- und Informationspflichten nach der DSGVO, konkret den Anforderungen aus Art. 12, Art. 13 und Art. 14.

In der Praxis verpflichten diese Artikel Unternehmen dazu, Menschen klar darüber zu informieren, welche personenbezogenen Daten sie erheben, warum sie diese erheben, wie lange sie diese speichern und welche Rechte den Betroffenen zustehen. Diese Informationen finden sich typischerweise in einer Datenschutzerklärung auf einer Website. Für in Deutschland tätige Unternehmen gelten dabei die Anforderungen der DSGVO gemeinsam mit den ergänzenden Regelungen des BDSG.

Was werden die Datenschutzbehörden konkret tun?

Laut EDSA werden die teilnehmenden Datenschutzbehörden Verantwortliche aus verschiedenen Sektoren in ganz Europa kontaktieren. Diese Kontaktaufnahme kann in Form einer formellen Durchsetzungsmaßnahme oder einer Sachverhaltsermittlung erfolgen. Stellt eine Datenschutzbehörde im Rahmen einer Sachverhaltsermittlung Probleme fest, kann sie entscheiden, weitere Folgemaßnahmen einzuleiten.

Für Deutschland bedeutet dies, dass sowohl der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) als auch die zuständigen Landesdatenschutzbehörden an der Initiative beteiligt sein können, je nachdem, welche Unternehmen und Sektoren geprüft werden.

Im weiteren Verlauf des Jahres 2026 werden die teilnehmenden Datenschutzbehörden ihre Erkenntnisse untereinander austauschen. Anschließend wird ein konsolidierter Bericht erstellt und dem EDSA zur Annahme vorgelegt. Der EDSA hat angekündigt, dass gezielte Folgemaßnahmen sowohl auf nationaler als auch auf EU-Ebene zu erwarten sind.

Welche Sektoren gezielt geprüft werden, welche Kriterien die Datenschutzbehörden zur Beurteilung der Compliance heranziehen und ob Bußgelder oder Sanktionen aus den Maßnahmen resultieren werden, ist derzeit noch nicht bekannt.

Was bedeutet das für Ihre Website?

Wenn Ihre Website personenbezogene Daten erhebt, etwa Namen, E-Mail-Adressen oder das Surfverhalten von Besuchern, muss Ihre Datenschutzerklärung die Anforderungen aus Art. 12, Art. 13 und Art. 14 der DSGVO erfüllen. Jetzt ist ein guter Zeitpunkt, um zu prüfen, ob Ihre Datenschutzerklärung vollständig ist, in verständlicher Sprache verfasst wurde und für Besucher leicht auffindbar ist.

Denken Sie dabei auch daran, dass deutsche Websites in der Regel ein Impressum benötigen und dass für den Einsatz von Cookies und ähnlichen Technologien der TDDDG § 25 zu beachten ist. Nutzen Sie unsere DSGVO-Compliance-Checkliste und unseren Leitfaden zu den Anforderungen an Datenschutzerklärungen, um zu prüfen, ob Ihre aktuelle Umsetzung den Anforderungen standhält.

---

Quelle: EDSA, 19. März 2026