Was ist das Coordinated Enforcement Framework (CEF)?
Das Coordinated Enforcement Framework (CEF) ist ein Instrument des EDPB, das seit 2022 jährlich eingesetzt wird, um europaweit koordiniert bestimmte Datenschutzthemen zu überprüfen. Die nationalen Datenschutzaufsichtsbehörden führen dabei gleichzeitig und nach einem gemeinsam abgestimmten Fragebogen Prüfungen durch – bei Unternehmen, Behörden oder ganzen Branchen.
Bisherige CEF-Aktionen betrafen:
- 2023: Einsatz von Cloud-Diensten im öffentlichen Sektor
- 2024: Benennung und Stellung des Datenschutzbeauftragten
- 2025: Recht auf Auskunft (Art. 15 DSGVO)
- 2026: Transparenz- und Informationspflichten (Art. 12–14 DSGVO)
Die Ergebnisse der nationalen Prüfungen fließen am Ende des Jahres in einen konsolidierten EDPB-Bericht ein, der Grundlage für weitere Durchsetzungsmaßnahmen auf nationaler und europäischer Ebene ist.
Welche DSGVO-Pflichten werden 2026 geprüft?
Gegenstand der CEF-Prüfaktion 2026 sind die Artikel 12, 13 und 14 der DSGVO:
- Art. 12 DSGVO regelt die allgemeinen Anforderungen an Transparenz: Informationen müssen präzise, leicht zugänglich, verständlich und in klarer, einfacher Sprache erteilt werden.
- Art. 13 DSGVO verpflichtet Verantwortliche zur Information bei der direkten Erhebung personenbezogener Daten – etwa beim Abschluss eines Vertrags, bei der Newsletter-Anmeldung oder beim Kauf im Onlineshop.
- Art. 14 DSGVO betrifft die Information bei der indirekten Datenerhebung – also wenn Daten nicht direkt von der betroffenen Person, sondern etwa über Dritte oder aus öffentlichen Quellen erlangt werden.
Besonderes Augenmerk legen die Behörden auf Vollständigkeit, Verständlichkeit und Aktualität der Datenschutzhinweise sowie darauf, ob die Informationen tatsächlich zugänglich und leicht auffindbar sind.
„Transparenz ist kein bloßes Formerfordernis – sie ist das Fundament informierter Einwilligung und Grundlage für die Ausübung aller Betroffenenrechte.”
Wer prüft in Deutschland?
An der CEF-Aktion 2026 nehmen europaweit 25 Datenschutzaufsichtsbehörden teil. In Deutschland sind die Landesbeauftragte für den Datenschutz Brandenburg sowie die Landesbeauftragte für den Datenschutz Niedersachsen beteiligt. Die brandenburgische Behörde hat einen besonderen Schwerpunkt auf Personalvermittlungen im Land Brandenburg gelegt.
Betroffene Unternehmen müssen damit rechnen, direkt von den Aufsichtsbehörden angeschrieben und zur Auskunft aufgefordert zu werden. Die Behörden können darüber hinaus Folgemaßnahmen einleiten – bis hin zu formellen Bußgeldverfahren.
Was müssen Unternehmen jetzt konkret tun?
Unabhängig davon, ob Ihr Unternehmen direkt in das Visier der Behörden gerät: Die CEF-Prüfaktion 2026 ist ein dringender Anlass, die eigenen Datenschutzhinweise auf den Prüfstand zu stellen. Folgende Maßnahmen sollten prioritär angegangen werden:
1. Datenschutzerklärung auf Vollständigkeit prüfen
Überprüfen Sie, ob alle nach Art. 13 und 14 DSGVO erforderlichen Angaben enthalten sind: Verantwortlicher und Kontaktdaten, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger oder Empfängerkategorien, Drittlandübermittlungen, Speicherdauer sowie Betroffenenrechte und das Beschwerderecht bei der Aufsichtsbehörde.
2. Verständlichkeit und Zugänglichkeit sicherstellen
Datenschutzhinweise müssen in klarer und einfacher Sprache verfasst und leicht zugänglich sein – das heißt: prominent verlinkt und ohne mehrere Klicks erreichbar. Übermäßig juristische Formulierungen sollten durch verständliche Erklärungen ersetzt werden.
3. Spezifische Verarbeitungssituationen berücksichtigen
Prüfen Sie, ob Sie für besondere Verarbeitungssituationen – z. B. Bewerberdaten, Kundendaten, Mitarbeiterdaten oder Newsletter-Empfänger – separate oder angepasste Informationen bereithalten. Eine einheitliche Datenschutzerklärung für alle Verarbeitungen genügt häufig nicht den gesetzlichen Anforderungen.
4. Datenschutzhinweise aktuell halten
Datenschutzhinweise müssen den aktuellen Verarbeitungstätigkeiten entsprechen. Haben sich seit der letzten Aktualisierung Verarbeitungszwecke, eingesetzte Tools oder Empfänger geändert, ist eine unverzügliche Aktualisierung erforderlich.
„Eine veraltete oder lückenhafte Datenschutzerklärung ist nicht nur ein erhebliches Bußgeldrisiko – sie untergräbt das Vertrauen Ihrer Kunden und Geschäftspartner nachhaltig.”
Häufige Fragen (FAQ)
Muss mein Unternehmen mit einer direkten Prüfung rechnen?
Grundsätzlich können alle Unternehmen und öffentlichen Stellen, die personenbezogene Daten verarbeiten, von der Prüfaktion erfasst werden. Besonders gefährdet sind Verantwortliche, deren Datenschutzhinweise fehlen, veraltet oder schwer auffindbar sind. In Deutschland liegt der Schwerpunkt 2026 zunächst auf Personalvermittlungen in Brandenburg – die übrigen Aufsichtsbehörden können jedoch eigene Schwerpunkte setzen und auch anlassunabhängig tätig werden.
Welche Bußgelder drohen bei Verstößen gegen Transparenzpflichten?
Verstöße gegen die Informationspflichten nach Art. 12–14 DSGVO können nach Art. 83 Abs. 2 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Bei schwerwiegenden Verstößen kann auch der erhöhte Bußgeldrahmen nach Art. 83 Abs. 5 DSGVO (bis zu 20 Mio. Euro oder 4 % des Umsatzes) zur Anwendung kommen.
Was ist der Unterschied zwischen Art. 13 und Art. 14 DSGVO?
Art. 13 DSGVO gilt, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden – zum Beispiel durch ein Kontaktformular, einen Kaufvorgang oder die Registrierung für einen Service. Art. 14 DSGVO greift dagegen, wenn Daten nicht direkt von der betroffenen Person stammen, sondern beispielsweise aus öffentlichen Quellen, von Partnerunternehmen oder durch Datenmakler beschafft werden. In beiden Fällen muss die betroffene Person vollständig und rechtzeitig informiert werden.
Reicht eine allgemeine Datenschutzerklärung auf der Website aus?
Eine allgemeine Datenschutzerklärung auf der Website genügt häufig nicht. Art. 13 DSGVO verlangt, dass die Informationen zum Zeitpunkt der Datenerhebung bereitgestellt werden – also situationsbezogen bei jedem Formular und jedem Serviceangebot. Eine generische, schwer auffindbare Datenschutzseite allein erfüllt die Anforderungen an Transparenz nach der DSGVO in der Regel nicht.
Wie kann die Kanzlei Wetzel helfen?
Als auf Datenschutzrecht und IT-Recht spezialisierte Kanzlei mit Sitz in Berlin unterstützen wir Unternehmen bei der Überprüfung und Aktualisierung ihrer Datenschutzhinweise, der Dokumentation ihrer Verarbeitungstätigkeiten und der Vorbereitung auf mögliche Behördenanfragen. Sprechen Sie uns gerne an – wir helfen Ihnen, Ihre DSGVO-Compliance nachhaltig zu sichern.