Kennen Sie das Gefühl, wenn jemand das Kleingedruckte wirklich liest? Nicht überfliegt. Wirklich liest. Für viele Unternehmen war die Datenschutzerklärung bisher der Text, den niemand liest und den deshalb auch niemand wirklich ernst genommen hat. Das ändert sich 2026. Denn jetzt lesen ihn die Aufsichtsbehörden. Koordiniert. EU-weit. Mit einem gemeinsamen Bewertungsraster.

Der Europäische Datenschutzausschuss (EDPB) hat Transparenz- und Informationspflichten nach Art. 12–14 DSGVO zum Prüfschwerpunkt 2026 erklärt. Was das konkret bedeutet, warum gerade Ihre Datenschutzerklärung ins Visier gerät und wie Sie 2026 aktiv nutzen können, anstatt darauf zu warten, dass jemand anklopft: darum geht es in diesem Beitrag.

Hinter der Prüfaktion steckt kein bürokratisches Routineprojekt, sondern das Coordinated Enforcement Framework (CEF), also ein Mechanismus, mit dem europäische Datenschutzbehörden ein Thema gemeinsam priorisieren und abgestimmt angehen. Rund 25 Aufsichtsbehörden im EWR beteiligen sich (darunter der BfDI und die deutschen Landesdatenschutzbehörden). Sie prüfen nach einem gemeinsamen Frage- und Bewertungsraster, tauschen Ergebnisse aus und machen sowohl Verstöße als auch positive Beispiele EU-weit sichtbar.

Das ist der entscheidende Unterschied zu einer klassischen Einzelprüfung: Erkenntnisse fließen zusammen, Muster werden erkannt, und aus den Ergebnissen können verschärfte Leitlinien oder koordinierte Durchsetzungsmaßnahmen folgen. Wer also glaubt, die eigene Aufsichtsbehörde werde sich schon nicht melden, unterschätzt die Dynamik dieser Aktion.

Im Fokus stehen die Pflichten aus Art. 12, 13 und 14 DSGVO. Art. 12 verlangt, dass Informationen klar, prägnant, verständlich und leicht zugänglich bereitgestellt werden, nicht für Juristinnen und Juristen, sondern für normale Menschen. Art. 13 regelt, was Sie mitteilen müssen, wenn Sie Daten direkt bei Betroffenen erheben, etwa über Kontaktformulare, Registrierungen oder Bestellprozesse. Art. 14 greift, wenn Daten nicht direkt bei der betroffenen Person, sondern über Dritte, Plattformen oder externe Quellen zusammenkommen. Die Kernfrage, die sich die Behörden stellen werden, lautet schlicht: Verstehen die Menschen, was Sie mit ihren Daten tun – bevor oder während Sie es tun?

Die Datenschutzerklärung ist für Prüfer das erste und sichtbarste Dokument. Sie ist der Ort, an dem sich zeigt, ob Transparenz bei Ihnen gelebte Praxis oder gut verstecktes Pflichtprogramm ist. Und sie betrifft nicht nur die Website: Auch App- und In-App-Hinweise, HR-Informationsschreiben, Kundenportale und Self-Service-Plattformen gehören zum Prüfbild.

Das Problem, das sich in der Praxis immer wieder zeigt, ist weniger böser Wille als schlichte Trägheit. Datenschutzerklärungen werden einmal erstellt, oft auf Basis von Vorlagen, und dann alle paar Jahre punktuell ergänzt, wenn gerade jemand daran erinnert. Neue Tools, veränderte Prozesse, internationale Dienstleister, KI-Funktionen: All das findet sich in vielen Texten schlicht nicht wieder. Ein Prüfer, der Ihre Datenschutzerklärung liest und dabei gleichzeitig Ihre Produkte, Prozesse und eingesetzten Dienste im Blick hat, erkennt diese Lücken schnell.

Was werden Behörden konkret suchen – und finden? Aus aktuellen Veröffentlichungen und Prüferfahrungen zeichnen sich klare Muster ab.

Viele Datenschutzhinweise lesen sich noch immer wie aus einem DSGVO-Kommentar kopiert: verschachtelte Sätze, unklare Begriffe, endlose Passivkonstruktionen. Art. 12 ist eindeutig: verständliche Sprache ist keine Kür, sondern Pflicht. Wer seine Nutzerinnen und Nutzer mit Juristendeutsch abspeist, erfüllt die gesetzliche Anforderung schlicht nicht, unabhängig davon, wie vollständig der Text inhaltlich sein mag.

Ein zweites wiederkehrendes Problem sind pauschale oder fehlende Pflichtangaben. „Wir verarbeiten Ihre Daten zur Erbringung unserer Dienste“ klingt nach Transparenz, ist es aber nicht. Gefordert sind konkrete Zwecke, klar zugeordnete Rechtsgrundlagen, benannte Empfänger und nachvollziehbare Angaben zu Speicherdauern. Gerade bei Drittlandtransfers (etwa in die USA) haben mehrere Behörden bereits deutlich gemacht, dass pauschale Formulierungen nicht mehr ausreichen. Empfänger, Übermittlungsmechanismus und Rechtsgrundlage müssen konkret benannt sein.

Weniger bekannt, aber mindestens genauso relevant: die Lücken bei indirekten Datenerhebungen nach Art. 14 DSGVO. Viele Unternehmen sind bei der Direkterhebung gut aufgestellt: Einwilligungstexte, Formularhinweise, Newsletter-Opt-ins. Aber Lead-Listen aus Messen oder Plattformen, Datenanreicherungen aus externen Quellen oder Nutzer-Tracking über Social-Media-Tools? Hier fehlen die Informationspflichten häufig komplett oder sind nur rudimentär umgesetzt. 2026 wird das sichtbar.

Tracking, Profiling und KI-basierte Funktionen sind ein weiterer Schwerpunkt. Es reicht nicht, „Cookies“ in einem Satz zu erwähnen oder KI als Schlagwort in die Datenschutzerklärung einzubauen. Behörden erwarten nachvollziehbare Erklärungen: Welche Daten werden erfasst? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Welche Auswirkungen hat das für Betroffene, wenn etwa Scoring oder automatisierte Entscheidungen im Spiel sind?

Und schließlich – ein Thema, das oft unterschätzt wird – Auffindbarkeit und Nutzerführung. Eine inhaltlich korrekte Datenschutzerklärung, die auf mobilen Geräten kaum lesbar ist, nur im Footer auftaucht oder hinter Cookie-Bannern mit Dark Patterns versteckt wird, erfüllt die Anforderung an „leicht zugängliche“ Information nicht. Transparenz ist eben nicht nur ein Textthema, sondern auch eine Design- und UX-Frage.

Die gute Nachricht: Sie müssen nicht warten, bis eine Behörde Kontakt aufnimmt. Wer jetzt aktiv wird, kann die Prüfaktion als Anlass nutzen, um Transparenz strukturiert und nachhaltig aufzusetzen und dabei dreifach zu profitieren: geringeres Risiko von Beanstandungen und Bußgeldern, mehr Vertrauen bei Kunden, Mitarbeitenden und Partnern, und eine bessere Basis für die eigene Datennutzung, weil Menschen eher bereit sind, Daten zu teilen, wenn sie verstehen, wofür.

Der erste Schritt ist eine ehrliche Bestandsaufnahme. Wo überall informieren Sie über Datenschutz: auf der Website, in Apps, in HR-Prozessen, in Newslettern, in Verträgen? Wann wurden diese Texte zuletzt grundlegend überarbeitet, nicht nur punktuell ergänzt? Und passen die beschriebenen Verarbeitungen noch zu dem, was heute technisch und organisatorisch tatsächlich passiert? Diese Fragen klingen einfach, aber die Antworten sind oft ernüchternd.

Vor jeder Textarbeit steht die interne Klarheit. Transparenz nach außen setzt voraus, dass Sie intern genau wissen, was Sie tun: Welche Daten verarbeiten Sie, für welche Zwecke, auf welcher Rechtsgrundlage, mit welchen Empfängern, wie lange? Diese Dokumentation ist nicht nur die Grundlage für Ihre Datenschutzhinweise, sie ist zugleich ein wichtiger Baustein für jede Prüfung.

Wenn Sie wissen, was Sie tun, können Sie klar darüber sprechen. Das bedeutet in vielen Fällen nicht nur aktualisieren, sondern neu strukturieren: nach Betroffenengruppen und Verarbeitungszwecken statt nach internen Abteilungen, in klarer und einfacher Sprache, mit sogenannten Layered Notices, also kurzen, verständlichen Hinweisen direkt am Erhebungsort, verlinkt auf ausführlichere Informationen.

Besondere Aufmerksamkeit verdienen dabei Tracking- und Analytics-Setups, KI-gestützte Funktionen sowie internationale Datentransfers. Gerade hier werden Behörden 2026 besonders sensibel sein, und gerade hier können Sie durch transparente Kommunikation echtes Vertrauen aufbauen.

Transparenz ist kein Projekt, das man einmal „fertig“ macht. Sinnvoll ist es, klare Verantwortlichkeiten festzulegen, regelmäßige Reviews einzuplanen und Entwicklungen bei Aufsichtsbehörden und EDPB kontinuierlich im Blick zu behalten. Denn Änderungen in Tools, Prozessen oder Rechtsgrundlagen müssen sich zuverlässig in Ihren Datenschutzhinweisen niederschlagen, nicht erst, wenn jemand fragt.

Die koordinierte Prüfaktion des EDPB ist kein Aufsichtsprojekt unter vielen. Sie setzt beim Fundament der DSGVO an und macht sichtbar, wie ernst Unternehmen Datenschutz wirklich nehmen. Die Frage ist 2026 nicht mehr, ob Sie informieren, sondern wie gut.

Projekt 29 begleitet Unternehmen seit vielen Jahren dabei, Transparenz nicht als lästige Pflicht, sondern als strategischen Hebel zu verstehen. Von der strukturierten Bestandsaufnahme über die Überarbeitung von Datenschutzhinweisen bis hin zur Etablierung nachhaltiger Prozesse: Wir entwickeln gemeinsam mit Ihnen Datenschutzhinweise, die nicht nur prüffest, sondern auch verständlich, ehrlich und zu Ihrem Unternehmen passend sind.

2026 ist kein Prüfjahr. Es ist ein Vertrauensjahr.

Wenn Sie beim Lesen an mehr als eine Baustelle gedacht haben, sind Sie damit nicht allein. Lassen Sie uns gern gemeinsam draufschauen – für einen Transparenz-Check, eine gezielte Überarbeitung oder als Sparringspartner für Ihre Datenschutzstrategie 2026.