EDPB prüft 2026 Transparenzpflichten – Ihre Datenschutzerklärung ist das Ziel
Die europäischen Datenschutzbehörden haben sich für 2026 ein gemeinsames Prüfthema vorgenommen. Sie werden koordiniert kontrollieren, ob Unternehmen ihre Kunden, Nutzer und Mitarbeiter korrekt darüber informieren, was mit deren Daten passiert. Wer hier Lücken hat, steht nicht nur einer nationalen Behörde gegenüber, sondern einem EU-weit abgestimmten Prüfapparat. Besonders im Fokus stehen Datenschutzerklärungen, die seit Jahren nicht mehr aktualisiert wurden.
Das Wichtigste auf einen Blick
- Alle nationalen Datenschutzbehörden in der EU führen 2026 koordinierte Prüfungen durch, mit geteilten Erkenntnissen und abgestimmten Maßstäben. Das erhöht die Wahrscheinlichkeit einer Prüfung deutlich.
- Behörden erwarten, dass Datenschutzerklärungen konkret benennen, in welche Länder außerhalb der EU Daten fließen und auf welcher rechtlichen Grundlage. Pauschale Formulierungen reichen nicht mehr.
- Datenschutzhinweise, die zuletzt 2020 oder 2021 aktualisiert wurden, entsprechen dem heutigen Prüfstandard häufig nicht mehr. Das ist ein messbares Bußgeld- und Reputationsrisiko.
Was ist passiert
Der EDPB, also der europäische Zusammenschluss aller nationalen Datenschutzbehörden, hat im Oktober 2025 bekanntgegeben, dass seine koordinierte Durchsetzungsmaßnahme für 2026 auf Transparenzpflichten ausgerichtet ist. Das bedeutet konkret: Jede Datenschutzbehörde im Europäischen Wirtschaftsraum, darunter der BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) und die deutschen Landesdatenschutzbehörden, werden in diesem Jahr Unternehmen zu diesem Thema prüfen. Sie tauschen dabei ihre Erkenntnisse aus und stimmen ihre Maßstäbe aufeinander ab.
Geprüft wird, ob Unternehmen ihre Informationspflichten aus der DSGVO (Datenschutz-Grundverordnung) erfüllen. Das sind die Pflichten aus Art. 12 bis 14: Wer verarbeitet welche Daten, zu welchem Zweck, auf welcher rechtlichen Grundlage, wie lange, und wer bekommt sie? Diese Informationen müssen betroffenen Personen klar und vollständig mitgeteilt werden, in der Regel über die Datenschutzerklärung auf der Website, in Apps oder in Verträgen.
Das Instrument heißt koordinierter Durchsetzungsrahmen, auf Englisch „Coordinated Enforcement Framework“. Es kommt seit 2022 jährlich zum Einsatz: 2023 wurden Datenschutzbeauftragte geprüft, 2024 das Auskunftsrecht, 2025 das Recht auf Löschung. Datenschutzerklärungen gehören zu den am häufigsten beanstandeten Compliance-Elementen überhaupt. Mehrere Behörden haben in jüngsten Verfahren klargemacht, dass pauschale Formulierungen nicht ausreichen. Wer Daten in Drittstaaten wie die USA übermittelt, muss das konkret benennen, mit Empfänger, Übermittlungsmechanismus und Rechtsgrundlage.
Was bedeutet das konkret
Bin ich als IT- oder Softwareunternehmen betroffen?
Ja, praktisch jedes Unternehmen mit Kunden, Nutzern oder Mitarbeitern ist informationspflichtig. Für Softwareanbieter gilt das doppelt: Wer selbst personenbezogene Daten verarbeitet und zugleich im Auftrag seiner Kunden deren Nutzerdaten verwaltet, muss in beiden Rollen korrekte Datenschutzhinweise vorhalten.
Was prüfen Behörden konkret?
Im Mittelpunkt stehen Vollständigkeit und Verständlichkeit der Datenschutzerklärung: Sind alle Verarbeitungszwecke genannt? Ist die Rechtsgrundlage jeweils klar benannt? Werden Empfänger außerhalb der EU konkret aufgeführt, mit Name und Übermittlungsgrundlage? Formulierungen wie „Dienstleister in Drittstaaten" genügen nach aktuellem Prüfstandard nicht.
Was ist der erste sinnvolle Schritt?
Eine strukturierte Durchsicht aller relevanten Datenschutzdokumente: Datenschutzerklärung der Website, Hinweise in der App, Mitarbeiterinformationen, Klauseln in AGB und Verträgen. Erfahrungsgemäß konzentrieren sich Lücken auf Drittlandübermittlungen, eingesetzte Tools von Drittanbietern und Profilinghinweise. Wer weiß, wo er steht, kann gezielt nachbessern, und das vor einer Prüfung.
Wie Bitkom Consult hier begleitet
Bitkom Consult prüft und aktualisiert Datenschutzdokumentation für Unternehmen aus der IT- und Digitalwirtschaft, von der strukturierten Lückenanalyse bestehender Datenschutzhinweise bis zur revisionssicheren Neufassung. Das kann als Einzelprojekt starten oder in eine laufende Compliance-Begleitung übergehen.
Als Teil des größten europäischen Digitalverbands haben wir direkten Einblick in die Prüfpraxis der Aufsichtsbehörden, durch Beteiligung an Bitkom Arbeitskreisen und EDPB Konsultationen. Wir wissen, worauf Behörden in der Praxis tatsächlich achten.
Wir besprechen, welche Anforderungen für Sie gelten und was der nächste konkrete Schritt ist.
