Informationspflichten nach DSGVO werden geprüft

Aufsichtsbehörden benennen jedes Jahr einen Schwerpunkt im CEF

Das CEF, also das Coordinated Enforcement Framework, ist ein zentrales Strategieinstrument des Europäischen Datenschutzausschusses (EDSA). CEF dient der europaweiten Abstimmung und Stärkung der Zusammenarbeit der Datenschutzaufsichtsbehörden. In den vergangenen Jahren wurden im Rahmen des CEF unter anderem die Nutzung von Cloud-Diensten in der Verwaltung, die Rolle der Datenschutzbeauftragten, die Umsetzung des Auskunftsrechts und die Umsetzung des Rechts auf Löschung geprüft.

Nun also sind die Transparenz- und Informationspflichten der Schwerpunkt für 2026, was allerdings nicht bedeutet, dass die beteiligten Datenschutzaufsichtsbehörden nicht auch andere Themen im Jahr 2026 in den Blick nehmen und Prüfungen bei Unternehmen und Behörden vornehmen, ganz im Gegenteil: Jede der Aufsichtsbehörden wird mit hoher Wahrscheinlichkeit auch andere Themen kontrollieren, aber in einem anderen Rahmen als CEF.

Was Transparenz und Informationspflichten bedeuten

Wer als Unternehmen schauen möchte, wie man für Transparenz zur Datenverarbeitung sorgen kann und wie sich die Informationspflichten nach Datenschutz-Grundverordnung (DSGVO) erfüllen lassen, kann sich einmal ansehen, wie es die Aufsichtsbehörden selbst machen, zum Beispiel die Datenschutzaufsicht von Niedersachen.

Im Mittelpunkt der Prüfungen CEF 2026 stehen dabei die Bestimmungen der Artikel 13 und 14 DSGVO. Diese verpflichten Verantwortliche, betroffene Personen umfassend darüber zu informieren, wenn personenbezogene Daten erhoben oder verarbeitet werden. Mit der Prüfaktion CEF 2026 wird Einhaltung der Transparenz- und Informationspflichten der Datenschutz-Grundverordnung (DSGVO) untersucht, um festzustellen, wo es Problemstellen bei den Unternehmen und Behörden gibt, mit dem Ziel, dazu konkrete Hilfestellungen für die verantwortlichen Stellen zu entwickeln und bereitzustellen.

Prüfung der Transparenz: Nicht auf die Aufsicht warten

Wenn sich nun ein Unternehmen oder eine Behörde fragt, ob man selbst von der Prüfaktion betroffen sein wird, lautet die Antwort: Wahrscheinlich eher nicht.

Der Grund: An der diesjährigen CEF-Aktion beteiligen sich insgesamt 25 Datenschutzaufsichtsbehörden aus ganz Europa. Aus Deutschland nimmt außer Niedersachsen auch die Aufsichtsbehörde aus Brandenburg teil. Ziel ist es, die Einhaltung der Transparenzpflichten in verschiedenen Sektoren zu überprüfen und europaweit vergleichbare Erkenntnisse zu gewinnen. Es ist keine flächendeckende Prüfung.

Der Landesbeauftragte für den Datenschutz Niedersachsen zum Beispiel beabsichtigt, 15 Unternehmen und fünf Kommunen aus Niedersachsen im Rahmen der koordinierten Aktion anzuschreiben. Die ausgewählten Verantwortlichen werden zu ihren Maßnahmen und Prozessen im Hinblick auf die Informationspflichten nach Artikel 13 und 14 der DSGVO befragt.

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht in Brandenburg Dagmar Hartge erklärt dagegen: „Wir konzentrieren uns in diesem Jahr auf eine Auswahl von Personalvermittlungen, die in Brandenburg ihren Sitz haben. Die Einhaltung von Transparenzpflichten ist deshalb so wichtig, weil ohne sie betroffene Personen gar nicht wissen können, dass und auf welche Weise ihre Daten verarbeitet werden. Nur mit diesem Wissen können sie überhaupt erst weitere Betroffenenrechte geltend machen, beispielsweise das Auskunftsrecht oder das Recht auf Löschung.“

Im zweiten Halbjahr 2026 werden dann die teilnehmenden Aufsichtsbehörden ihre Ergebnisse austauschen und gemeinsam auswerten. Ziel ist es, die nationalen Erkenntnisse zu bündeln und ein vertieftes Verständnis für die Umsetzung der Transparenzpflichten zu gewinnen. Die Ergebnisse werden in einem konsolidierten Bericht zusammengefasst, der dem Europäischen Datenschutzausschuss zur Annahme vorgelegt wird. Dies ermöglicht gezielte Folgemaßnahmen sowohl auf nationaler als auch auf europäischer Ebene.

Unternehmen und Behörden in Deutschland sollten nun aber nicht auf diese Auswertung warten, sondern auch selbst intern prüfen, wie es um die Umsetzung der Transparenz- und Informationspflichten steht. Dafür muss man kein Empfänger eines Fragebogens zu CEF 2026 sein.

Die Aufsichtsbehörden geben auch in ihren Checklisten schon heute praktische Hinweise zur Umsetzung, auch beispielsweise speziell für kleine Unternehmen im Handel. So erklärt das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht): Betroffene Personen sind verständlich über die Verarbeitung ihrer Daten zu informieren. Wenn die Daten direkt von der Person stammen, muss dies im Zeitpunkt der Datenerhebung erfolgen. Werden die Daten nicht bei der betroffenen Person selbst erhoben, sondern bei einer anderen Person/Stelle (zum Beispiel bei Verwendung von Adressdaten von Dritten zu Werbezwecken), muss die Information in der Regel an die betroffene Person spätestens innerhalb eines Monats erteilt werden.

Die Datenschutzaufsicht gibt auch konkrete Tipps, wie dies geschehen kann: Informationen bei Datenerhebung im Laden (zum Beispiel Bestellung, Kundenkarte) kann mittels Aushangs, Informationsblatt oder im Bestell-/Vertragsformular selbst stattfinden. Informationen bei Datenerhebung im Webshop dagegen finden über die Webseite in der Datenschutzerklärung statt. Bei Verwendung von Daten Dritter können die Informationen entsprechend eines geeigneten Kommunikationsmittels (zum Beispiel E-Mail) bereitgestellt werden.

Es zeigt sich: Abwarten sollte man auch bei Prüfaktionen im Datenschutz nicht, bis man vielleicht selbst einen Fragebogen bekommt. Vielmehr sollte man solche Prüfaktionen zum Anlasse nehmen, selbst das Thema genauer unter die Lupe zu nehmen, also für Transparenz bei der eigenen Erfüllung der Transparenz- und Informationspflichten zu sorgen.