Unternehmens-Transparenzpflichten werden überprüft

Auch in diesem Jahr müssen sich Firmenchefs auf Überprüfungen durch die europäischen Datenschutzbehörden einstellen. Im Zentrum der Überprüfungen, die der Europäische Datenschutzausschuss (EDSA) angekündigt hat, steht die Frage, ob die überprüften Unternehmen ihren Informationspflichten genügend Aufmerksamkeit schenken.

Jedes Jahr ein anderes Prüfthema

Die EU-Behörden widmen ihre großangelegten Überprüfungen in jedem Prüfungszeitraum einem speziellen Datenschutz-Thema. In den Jahren 2024 und 2025 waren bereits das Auskunftsrecht und das Recht auf Löschung (Art. 15 und 17 DSGVO) europaweit kontrolliert worden. Diesmal geht es um die in den DSGVO-Artikeln 12 bis 14 vorgeschriebenen Transparenz- bzw. Informationspflichten, konkret um deren Vollständigkeit, Rechtskonformität und Verständlichkeit. Die offizielle Bezeichnung der Aktion lautet koordinierte Durchsetzungsmaßnahme (Coordinated Enforcement Framework) und hat das Kürzel CEF 26. Beteiligt sind auch in diesem Jahr alle obersten Datenschutzbehörden der EU-Länder.

Für dieses umfangreiche Vorhaben ziehen die nationalen Datenschutzbehörden unter dem Dach des EDSA eng an einem Strang. Die koordinierte Zusammenarbeit soll sicherstellen, dass alle Mitgliedstaaten einheitlich vorgehen – ein Prozess, der sich über das gesamte Jahr erstrecken wird und erhebliche personelle wie organisatorische Ressourcen bindet.

Der Prüfplan der nationalen Behörden ist ebenso einheitlich wie die zu prüfenden Kriterien. Einheitlichkeit soll auch für mögliche Sanktionen gelten. Unternehmen, die eklatant gegen ihre Pflichten zur Transparenz verstoßen, müssen mit erheblichen Bußgeldern rechnen. So können bis zu vier Prozent des weltweiten Jahresumsatzes fällig werden.

Verständlichkeit als wichtiges Kriterium

Im Rahmen der Überprüfung nehmen die Behörden nicht nur den Inhalt der Datenschutzerklärungen unter die Lupe. Sie achten ebenso darauf, ob die Informationen klar formuliert sind, vollständig vorliegen, zum richtigen Zeitpunkt bereitgestellt werden und für Nutzerinnen und Nutzer ohne Umwege auffindbar sind. Auch die Frage, ob die Angaben aktuell gehalten werden, spielt dabei eine zentrale Rolle.

Kritisch könnten beispielsweise mit Juristenjargon und Fachtermini überladene Texte sein, die von den Usern nur rudimentär verstanden werden. Mitunter sind Datenschutzerklärungen überhaupt schwer aufzufinden, nicht auf dem neuesten Stand und lassen wesentliche Angaben aus. Dies liefert den überprüfenden Behörden ausreichend Grund zur Beanstandung und muss von den Unternehmen nachgebessert werden.

Gründlicher Check aller Pflichten zur Information

Den Prüfern geht es nicht ausschließlich um die Webseiten der Unternehmen. Vielfach müssen Unternehmen dafür Sorge tragen, dass auch ihre Datenschutzinformationen in Apps oder Verträgen im eigenen Haus sowie Informationen für Kunden, Partner oder Bewerber die gleichen Anforderungen nach DSGVO erfüllen wie die Internet-Varianten. Unternehmen können mit einer guten Vorbereitung schmerzhaften Bußgeldern aus dem Weg gehen – außerdem, so wird seitens der prüfenden Behörden argumentiert, bedeutet die Umsetzung der Informationspflichten für die Unternehmen in der Regel einen Wettbewerbsvorteil.

Für Unternehmen mit Sitz in Deutschland sind die Datenschutzbehörden der Länder sowie die übergeordnete Datenschutz-Konferenz maßgebend.