Die koordinierte Aktion der Datenschutzbehörden 2026 widmet sich den Transparenz- und Informationspflichten. Wir werfen einen Blick auf Art. 12 bis 14 DSGVO.
Nachdem das Recht auf Löschung und „Vergessenwerden“ gemäß Art. 17 DSGVO im vergangenen Jahr das Thema der koordinierten Aktion der europäischen Datenschutzaufsichtsbehörden war, steht in diesem Jahr die Einhaltung der Transparenz- und Informationspflichten nach Art. 12 bis 14 DSGVO im Mittelpunkt.
Die Datenschutzaufsichtsbehörden wählen entsprechend dem Koordinierten Durchsetzungsrahmenwerk (Coordinated Enforcement Framework [CEF]) ein besonders praxisrelevantes Thema für ihre koordinierte Aktion des jeweiligen Jahres, um die Durchsetzung der Europäischen Datenschutz-Grundverordnung (DSGVO) und die Zusammenarbeit zwischen den Datenschutzbehörden in der EU zu optimieren und um Einblicke in die Umsetzung der DSGVO zu gewinnen. Die jeweiligen nationalen Behörden schließen sich der koordinierten Aktion freiwillig an. Die Ergebnisse der Aktion werden im Folgejahr zusammengefasst und analysiert. Für das Jahr 2026 hat der Europäische Datenschutzausschuss (EDSA) die Art. 12 bis 14 DSGVO als Thema gewählt, auf die wir im Folgenden näher eingehen.
Bei dem Recht auf Information handelt es sich um ein Kernelement der Transparenzpflicht des Verantwortlichen. Dieses Recht soll sicherstellen, dass die betroffenen Personen Kontrolle über ihre Daten haben, indem sie regelmäßig bereits bei der Erhebung ihrer Daten durch den Verantwortlichen konkrete Informationen erhalten, insbesondere über den Verantwortlichen und die Verarbeitungszwecke.
Transparenzpflichten nach Art. 12 DSGVO
Art. 12 Abs. 1 DSGVO setzt das Transparenzprinzip für die vom Verantwortlichen zu erteilenden Informationen um und definiert den Maßstab für verständliche Kommunikation. Die Informationen sollen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erteilt werden. Gleichzeitig legen Art. 13 und Art. 14 DSGVO dem Verantwortlichen die Pflicht zur Erteilung spezifischer Angaben zum Umgang mit personenbezogenen Daten auf. Dies wirkt auf den ersten Blick widersprüchlich. In der Praxis ist es in der Tat schwierig, die unterschiedlichen Anforderungen – klare und einfache Sprache auf der einen Seite und präzise und transparente Informationen auf der anderen Seite – in Einklang zu bringen. Die Aufsichtsbehörden haben wiederholt betont, dass die Lösung dieses scheinbaren Widerspruchs in einer gestuften und zielgruppengerechten Darstellung liegt, jedoch nicht in einer Reduktion des Inhalts der zu erteilenden Informationen.
In der Praxis empfiehlt sich für umfangreiche Datenverarbeitungen ein zweistufiges Informationsdesign (Layered Privacy Statement): Auf der oberen Ebene sollte eine kurze, klar strukturierte Zusammenfassung der zentralen Informationen in einfacher Sprache erfolgen. Diese umfasst insbesondere die Identität des Verantwortlichen, die wesentlichen Zwecke der Verarbeitung, die maßgeblichen Rechtsgrundlagen in komprimierter Form, die wichtigsten Empfänger oder Empfängerkategorien, Hinweise zu Übermittlungen in Drittländer mit einem knappen Verweis auf Garantien, die Grundzüge der Speicherdauer sowie die Betroffenenrechte einschließlich des Beschwerderechts.
Auf den nachgelagerten Ebenen sollten sämtliche Detailangaben, die nach Art. 13 bzw. Art. 14 DSGVO zu erteilen sind, vollständig und präzise dargelegt werden. Dazu gehören die Differenzierung nach Zwecken mit konkreten Rechtsgrundlagen je Zweck, die Beschreibung berechtigter Interessen, differenzierte Speicherdauern oder Kriterien für deren Festlegung, konkretisierte Empfänger oder Empfängerkategorien, Informationen zu Drittlandtransfers einschließlich der einschlägigen Garantien, Herkunftskategorien und Quellen bei Datenerhebung nicht bei der betroffenen Person, Hinweise zur Pflicht zur Bereitstellung von Daten und den Folgen der Nichtbereitstellung sowie Informationen zu automatisierten Entscheidungen einschließlich Profiling.
Informationspflicht nach Art. 13 DSGVO
Art. 13 DSGVO legt fest, welche Informationsinhalte der Verantwortliche bereitstellen muss, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden. Art. 13 DSGVO definiert damit den inhaltlichen Mindeststandard für die Erstinformation zum Zeitpunkt der Datenerhebung bei der betroffenen Person. Zu diesen Informationen zählen insbesondere die Identität und Kontaktdaten des Verantwortlichen (sowie des Datenschutzbeauftragten, falls ein solcher bestellt wurde), die Zwecke der Verarbeitung mit jeweils zugeordneten Rechtsgrundlagen, die Empfänger oder Empfängerkategorien, Hinweise zu Drittlandübermittlungen und Garantien, die Speicherdauer bzw. Kriterien, die Betroffenenrechte einschließlich Widerruf von Einwilligungen und Beschwerderecht, die Erforderlichkeit der Bereitstellung von Daten und Folgen der Nichtbereitstellung sowie Angaben zu automatisierten Entscheidungen einschließlich Profiling, sofern einschlägig. Sofern der Verantwortliche eine Verarbeitung auf Art. 6 Abs. 1 Unterabs. 1 lit. f) DSGVO stützt (berechtigtes Interesse), hat der EuGH bereits in mehreren Entscheidungen betont, dass der Verantwortliche nach Art. 13 Abs. 1 lit. d) DSGVO verpflichtet ist, der betroffenen Person das verfolgte berechtigte Interesse explizit mitzuteilen (EuGH, Urteil v. 9. Januar 2025 – C-394/23; EuGH, Urteil v. 4. Oktober 2024 – C‑621/22; EuGH, Urteil v. 4. Juli 2023 – C‑252/21).
Zeitlich sind diese Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen, also unmittelbar im Zusammenhang mit dem Erstkontakt bzw. der ersten Erhebung von Daten betroffener Personen.
Nachinformationen bei Zweckänderung
In dem Fall, dass sich die Zwecke oder die Rechtsgrundlagen der Datenerhebung im Laufe der Verarbeitung der Daten durch den Verantwortlichen ändern, sind sog. Nachinformation zu erteilen. Art. 13 Abs. 3 DSGVO ist sehr praxisrelevant. Dabei sei z.B. an die Erhebung von Daten im Rahmen eines Beschäftigungsverhältnisses gedacht, die später im Rahmen von internen Untersuchungen zu Zwecken der Unternehmens-Compliance verarbeitet werden. Verantwortlichen empfiehlt es sich daher, bei der Verfassung ihrer Datenschutzinformationen bereits zukünftige Verarbeitungsszenarien zu bedenken und diese in ihre Datenschutzinformationen mit aufzunehmen, damit eine „Nachinformation“ der betroffenen Personen nicht erfolgen muss.
Informationspflicht nach Art. 14 DSGVO
Die Abgrenzung zu den Informationspflichten nach Art. 14 DSGVO erfolgt über die Herkunft der Daten: Art. 13 DSGVOist anwendbar, wenn der Verantwortliche die Daten bei der betroffenen Person erhebt. Art. 14 DSGVO greift, wenn der Verantwortliche die Daten nicht direkt bei der betroffenen Person erhebt.
Zusätzlich zu den nach Art. 13 DSGVO zu erteilenden Informationen muss der Verantwortliche in dieser Situation Informationen zu den Kategorien der personenbezogenen Daten (z.B. Kontakt-, Vertrags-, Nutzungsdaten) und zur Herkunft der Daten (d.h. der Datenquelle, z.B. aus öffentlich zugänglichen Quellen) erteilen. Diese Informationen kommen somit zu den (weitgehend identischen) Pflichtangaben hinzu, die der Verantwortliche nach Art. 13 DSGVOerteilen muss.
In der Praxis werden die Informationspflichten aus Art. 13 und Art. 14 DSGVO oft in einheitlichen Datenschutzhinweisen zusammengeführt. Dies ist aus Praxissicht zu empfehlen. In „Mischsachverhalten“ müssen sowohl die nach Art. 13 als auch die nach Art. 14 DSGVO geforderten Informationen erteilt werden. Oftmals erfolgt beim Verantwortlichen keine klare Trennung zwischen Daten, die bei der betroffenen Person erhoben werden, und Daten, die nicht bei der betroffenen Person erhoben werden, also aus anderen Quellen. Als Beispiel sei hier wieder das Beschäftigungsverhältnis angeführt. Die Erteilung der (vollständigen) Informationen nach Art. 13 und Art. 14 DSGVO vermeidet Doppelarbeit, eine Inkonsistenz zwischen verschiedenen Datenschutzhinweisen und nicht zuletzt Fehler bei einem „Update“ der entsprechenden Datenschutzhinweise aufgrund veränderter Verarbeitungsvorgänge.
Rechtsfolgen bei Verstößen
Nach deutschen Gerichtsurteilen drohen Verantwortlichen neben Maßnahmen der Datenschutzaufsichtsbehörden bei Verstößen gegen die Art. 12 bis 14 DSGVO auch Schadensersatzforderungen der betroffenen Personen gemäß Art. 82 DSGVO. Die bisher ausgeurteilten Schadensersatzsummen befinden sich eher im niederschwelligen Bereich (z.B. EUR 250: AG Düsseldorf, Urteil v. 19. August 2025 – 42 C 61/25; ArbG Hannover, Urteil v. 23. Januar 2024 – 1 Ca 121/23; LG Nürnberg-Fürth, Urteil v. 20. Oktober 2023 – 10 O 1510/22; EUR 1.000: BAG, Urteil v. 5. Juni 2025 – 8 AZR 117/24; LAG Düsseldorf, Urteil v. 10. April 2024 – 12 Sa 1007/23). Allerdings kann sich das Risiko von Schadensersatzforderungen für den Verantwortlichen kumulieren, wenn mehrere oder sogar eine erhebliche Anzahl von betroffenen Personen derartige Forderungen erheben (z.B. Kunden* eines Online-Shops oder Beschäftigte eines Arbeitgebers).
Koordinierte Aktion der Datenschutzbehörden: Status quo und Ausblick
Nachdem der Digitale Omnibus der EU u.a. Änderungen an den Art. 12 bis 15 der DSGVO vorsieht, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Reformvorschläge für die DSGVO insgesamt und im Hinblick auf die Betroffenenrechte im Zusammenhang mit dem Einsatz von Künstlicher Intelligenz (KI) im Speziellen unterbreitet. Die Änderungen bleiben abzuwarten, aber ohne konkrete Auswirkungen auf die koordinierte Aktion in diesem Jahr. Die Datenschutzbehörden werden prüfen, wie die Art. 12 bis 14 DSGVO in den Unternehmen umgesetzt werden. Das Ziel ist die Bewertung der Umsetzung dieser DSGVO-Vorschriften in der Praxis und die Feststellung von Schwierigkeiten hierbei. Mit dem Abschlussbericht zu dieser koordinierten Aktion ist im Folgejahr 2027 zu rechnen.
Bleiben Sie mit unserem Blog zu weiteren datenschutzrechtlichen Themen auf dem Laufenden. Einen Überblick über DSGVO-Bußgelder erhalten Sie mit dem CMS Enforcement Tracker. Unser regelmäßig aktualisierter Blog-Beitrag zur Rechtsprechung zum Schadensersatz nach Art. 82 DSGVO informiert Sie laufend zu diesem Thema.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.
