Datenschutz: EU startet Großoffensive für Transparenz

Die europäische Datenschutzaufsicht startet eine beispiellose, koordinierte Kontrolloffensive. Im Fokus steht das Recht der Bürger auf verständliche Information.

Brüssel setzt ein klares Signal: Die Zeit unverständlicher Datenschutzhinweise und intransparenter Datenverarbeitung ist vorbei. Mit der Aktivierung des Koordinierte-Durchsetzungsrahmens 2026 (CEF) starten 25 nationale Aufsichtsbehörden eine einjährige Großuntersuchung. Sie prüfen, wie Unternehmen ihre Kunden über die Verarbeitung personenbezogener Daten informieren. Parallel tagt der Europäische Datenschutzausschuss (EDPB) mit Stakeholdern zu Transparenz in der politischen Werbung – ein Thema mit hoher Brisanz im Superwahljahr 2026.

Die neue Kontrolloffensive der EU zeigt deutlich, dass Unternehmen ihre Dokumentationspflichten jetzt ernster denn je nehmen müssen. Mit dieser kostenlosen Excel-Vorlage erstellen Sie Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Rechtssicheres Verarbeitungsverzeichnis jetzt kostenlos erstellen

Neuer Fokus: Verständlichkeit statt juristischer Floskeln

Die Aufsicht vollzieht einen strategischen Wandel. Waren früher vor allem hohe Strafen für Sicherheitsverstöße Schlagzeilen, rückt nun das „Recht auf Information“ in den Mittelpunkt. Artikel 12, 13 und 14 der DSGVO, die Transparenz und Informationspflichten regeln, stehen im Fokus. Die Behörden wollen keine seitenlangen, juristisch undurchdringlichen Dokumente mehr akzeptieren. Stattdessen fordern sie Klarheit, Zugänglichkeit und Ehrlichkeit – besonders bei sensiblen Technologien wie Künstlicher Intelligenz (KI) und übergreifender Nutzerverfolgung.

Die koordinierte Aktion soll „Forum Shopping“ verhindern, bei dem Unternehmen gezielt Standorte mit lascheren Behörden wählen. Die einheitliche Prüfung spannt sich über den Einzelhandel, Finanzdienstleistungen bis zum Digitalmarketing. In der ersten Jahreshälfte 2026 werden ausgewählte Organisationen kontaktiert und ihre Datenschutzhinweise überprüft. Die zweite Hälfte dient der Auswertung, um systemische Schwächen in der gesamten EU aufzudecken.

Cross-Regulation: Datenschutz trifft auf Wettbewerbs- und KI-Recht

Ein entscheidender Trend ist die zunehmende Verzahnung der DSGVO mit anderen EU-Gesetzen. Die Aufseher betrachten Datenschutz nicht mehr isoliert, sondern im Kontext des Digital Markets Act (DMA), des Digital Services Act (DSA) und des neuen KI-Gesetzes (AI Act).

Der EDPB arbeitet mit der EU-Kommission an gemeinsamen Leitlinien, wo Wettbewerbsrecht und Datenschutz aufeinandertreffen. Das betrifft vor allem große Tech-Konzerne, die riesige Datenmengen für Werbung und KI-Training verarbeiten. Die Botschaft ist klar: Eine Datenverarbeitung kann nun Prüfungen mehrerer Regulierungsbehörden gleichzeitig auslösen.

Die Transparenzpflichten müssen laut EDPB künftig auch die Logik automatisierter Entscheidungen erklären. Nutzt ein Unternehmen personenbezogene Daten zum Training eines KI-Modells, muss es verständlich darlegen, wie diese Daten das Ergebnis des Algorithmus beeinflussen.

Angesichts der neuen EU-KI-Verordnung und ihrer engen Verzahnung mit dem Datenschutz riskieren viele Unternehmen bereits jetzt unwissentlich hohe Sanktionen. Dieser kostenlose Leitfaden erklärt Ihnen kompakt die Kennzeichnungspflichten und Risikoklassen, damit Sie die neuen Regeln ohne juristische Fachkenntnisse umsetzen können. Gratis E-Book zur EU-KI-Verordnung herunterladen

Lehren aus aktuellen Strafen: Millionenbußen und persönliche Haftung

Während der CEF nach vorne blickt, zeigen aktuelle Strafen die finanziellen Risiken. Die französische CNIL verhängte im Januar 2026 eine kombinierte Geldstrafe von 42 Millionen Euro gegen die Telekom-Anbieter Free und Free Mobile. Grund war ein Datenschutzvorfall von 2024, bei dem Millionen Bankverbindungen (IBANs) offengelegt wurden.

Die CNIL kritisierte nicht nur mangelnde Sicherheitsvorkehrungen, sondern auch unzureichende Transparenz gegenüber den Nutzern. Dieser Fall zeigt einen Trend: Behörden verknüpfen Verstöße gegen die Sicherheitspflicht (Artikel 32) mit mangelnder Transparenz (Artikel 12), um höhere Strafen zu rechtfertigen.

Eine noch schärfere Entwicklung bahnt sich an: die persönliche Haftung des Managements. Nach einer Strafe von 30,5 Millionen Euro gegen ein Gesichtserkennungs-Unternehmen prüfen niederländische Behörden, ob Führungskräfte persönlich für systematische DSGVO-Verstöße verantwortlich gemacht werden können. DSGVO-Bußen sollen kein bloßer „Geschäftskosten“-Posten mehr sein.

Strategie bis 2027: „Consent or Pay“ und Wahlwerbung im Visier

Die aktuellen Aktionen sind Teil der EDPB-Strategie 2024-2027, die eine „gemeinsame Durchsetzungskultur“ etablieren will. Für Unternehmen wird die Roadmap klarer: Besondere Aufmerksamkeit gilt weiterhin „Consent-or-Pay“-Modellen großer Online-Plattformen und dem Einsatz von Gesichtserkennung im öffentlichen Raum.

Größere Unternehmen müssen formelle Risikomanagement-Systeme etablieren, die die „Transparenzlücke“ schließen – die Diskrepanz zwischen dem, was ein Unternehmen mit Daten tut, und dem, was der Verbraucher davon versteht.

Das Stakeholder-Treffen am 27. März unterstreicht die Risiken politischer Werbung. In einem von Wahlen geprägten Jahr 2026 wird die zielgerichtete Ansprache basierend auf sensiblen Daten mit null Toleranz verfolgt. Firmen in der digitalen Werbekette sollten ihre Verträge überprüfen, um nicht unbeabsichtigt unrechtmäßiges Profiling zu ermöglichen.

Ausblick: Konsolidierter Bericht und neue Leitlinien bis Jahresende

Die koordinierte Aktion soll bis Ende 2026 in einem Konsolidierten Bericht münden. Dieser wird voraussichtlich Grundlage für eine neue Welle rekordhoher Strafen Anfang 2027 sein, wenn die nationalen Behörden von der Tatsachenermittlung in die Sanktionsphase übergehen.

Die Integration des KI-Gesetzes in die DSGVO-Durchsetzung bringt neue Herausforderungen. Bis Ende 2026 sollen erste gemeinsame Leitlinien zum KI-Datentraining finalisiert werden. Sie werden klären, wie Grundsätze wie „Datenminimierung“ und „Zweckbindung“ auf maschinelles Lernen anzuwenden sind.

Die Botschaft aus Brüssel ist unmissverständlich: Die Ära undurchsichtiger Datenverarbeitung ist beendet. Unternehmen, die ihre Transparenzpraxis nicht an die neuen Standards anpassen, riskieren nicht nur hohe Geldstrafen, sondern möglicherweise auch die persönliche Haftung ihrer Führungsteams. Compliance-Verantwortliche sollten die aktuelle Untersuchungsphase für interne Audits ihrer Datenschutzhinweise nutzen.

boerse | 69008899 |