Die Datenschutz-Aufsichtsbehörden nehmen 2026 europaweit die Transparenz- und Informationspflichten nach der DSGVO in den Blick. Der Europäische Datenschutzausschuss (EDSA) hat seine diesjährige koordinierte Durchsetzungsmaßnahme im Rahmen des Coordinated Enforcement Framework (CEF) gestartet. Nach der Vorjahresaktion zum Recht auf Löschung richtet sich der Fokus nun auf die Einhaltung der Anforderungen aus Artt. 12, 13 und 14 DSGVO.
Im Kern geht es darum, ob betroffene Personen klar, verständlich und rechtzeitig darüber informiert werden, dass und wie ihre personenbezogenen Daten verarbeitet werden. Diese Informationspflichten sind kein formaler Nebenaspekt, sondern ein zentrales Element der Transparenz und damit eine wesentliche Voraussetzung dafür, dass Betroffene ihre Datenschutzrechte überhaupt wirksam ausüben können.
An der diesjährigen Aktion beteiligen sich 25 Datenschutz-Aufsichtsbehörden in Europa und weitere aus Deutschland. Der EDPB kündigt an, dass Verantwortliche aus unterschiedlichen Branchen kontaktiert werden sollen – entweder im Rahmen konkreter Prüfmaßnahmen oder durch Sachverhaltsaufklärungen. Auch weitere Folgemaßnahmen bleiben ausdrücklich möglich.
Die LfD Niedersachsen hat bereits mitgeteilt, 15 Unternehmen und 5 Kommunen anzuschreiben. Im Fokus stehen dort insbesondere die Maßnahmen und Prozesse zu den Informationspflichten nach Artt. 13 und 14 DSGVO. Brandenburg hat ergänzend angekündigt, sich bei seiner Beteiligung auf eine Auswahl von Personalvermittlungen zu konzentrieren. Gerade dort ist das Thema besonders sensibel, weil personenbezogene Daten häufig nicht unmittelbar bei der betroffenen Person selbst erhoben werden.
Für Unternehmen ist das ein deutliches Signal: Datenschutzhinweise müssen nicht nur vorhanden, sondern auch inhaltlich belastbar, verständlich formuliert und sauber in die tatsächlichen Prozesse eingebunden sein. Kritisch wird es insbesondere dort, wo Daten aus Drittquellen stammen, etwa im Recruiting über Personalvermittlungen, bei konzerninternen Datenflüssen, in Compliance-Prozessen oder bei Recherchen aus externen Quellen. Gerade in solchen Konstellationen zeigt sich schnell, ob Informationspflichten richtig eingeordnet und rechtzeitig erfüllt werden.
Handlungsempfehlungen für Unternehmen
Unternehmen sollten ihre Transparenzpflichten jetzt zum Anlass nehmen, die bestehenden Datenschutzhinweise und die dahinterliegenden Prozesse zu überprüfen. Dabei sollte zunächst geklärt werden, an welchen Stellen personenbezogene Daten direkt bei der betroffenen Person erhoben werden und in welchen Fällen Daten indirekt über Dritte oder andere Quellen in das Unternehmen gelangen. Denn hiervon hängt ab, welche Informationspflichten konkret ausgelöst werden und zu welchem Zeitpunkt informiert werden muss.
Ebenso wichtig ist eine inhaltliche Prüfung der Hinweise selbst. Angaben zu Zwecken, Rechtsgrundlagen, Empfängern, Speicherdauer, Betroffenenrechten und den Kontaktdaten der zuständigen Stellen sollten vollständig, aktuell und verständlich formuliert sein. Unternehmen sollten dabei nicht nur auf juristische Vollständigkeit achten, sondern auch darauf, ob die Informationen aus Sicht der Betroffenen tatsächlich nachvollziehbar sind. Der europäische Prüfungsfokus auf Transparenz zeigt gerade, dass es nicht genügt, Pflichtinformationen lediglich formal vorzuhalten.
Schließlich sollte die operative Umsetzung dokumentiert sein. Unternehmen sollten nachweisen können, wo im Prozess informiert wird, wer dafür verantwortlich ist und wie sichergestellt wird, dass Änderungen an Verarbeitungen oder Datenflüssen auch in den Datenschutzhinweisen nachvollzogen werden. Gerade bei standardisierten Formularen, HR-Prozessen, Online-Portalen und digitalen Workflows liegt hier in der Praxis häufig die Schwachstelle.
Fazit
Die Prüfaktion 2026 macht deutlich, dass Transparenzpflichten von den Aufsichtsbehörden als zentraler Baustein wirksamen Datenschutzes verstanden werden. Unternehmen sollten ihre Informationspflichten daher nicht nur rechtlich, sondern auch organisatorisch und prozessual überprüfen. Die frühzeitige Einbindung der Datenschutzbeauftragten ist dabei besonders sinnvoll: Sie können bewerten, welche Transparenzpflichten einschlägig sind, wo Artt. 12, 13 oder 14 DSGVO greifen und an welchen Stellen bestehende Prozesse nachgeschärft werden sollten.
Sie haben Fragen zur Umsetzung in Ihrem Unternehmen oder suchen praxisnahe Unterstützung im Datenschutz und Compliance-Management? Wir stehen Ihnen mit Erfahrung und Expertise zur Seite – sprechen Sie uns gerne an: consulting@AdOrgaSolutions.de.
Weitere Informationen: https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
