EDPB schärft Datenschutz-Aufsicht: Von Löschpflicht zu Transparenz

Die EU-Datenschutzbehörde beendet ihre große Löschrechts-Prüfung – und nimmt bereits die nächste Baustelle ins Visier. Ab 2026 stehen undurchsichtige Datenschutzerklärungen im Fokus.

Brüssel zieht Bilanz: Die europaweite Überprüfung des „Rechts auf Vergessenwerden“ durch den Europäischen Datenschutzausschuss (EDPB) geht in die Schlussphase. Die koordinierte Aktion von 32 nationalen Aufsichtsbehörden war eine der umfangreichsten in der Geschichte der Datenschutz-Grundverordnung (DSGVO). Noch bevor der Abschlussbericht für 2025 vorliegt, hat der EDPB das nächste Großziel bekanntgegeben: 2026 wird der Schwerpunkt auf Transparenz und Informationspflichten liegen. Für Unternehmen bedeutet das eine strategische Neuausrichtung.

Die koordinierte Durchsetzungsaktion (CEF) zum Löschrecht startete am 5. März 2025. Ein Jahr lang untersuchten die Behörden, wie Unternehmen mit Anträgen von Bürgern umgehen, ihre personenbezogenen Daten löschen zu lassen. Besonderes Augenmerk lag auf Branchen mit hohem Anfrageaufkommen wie Einzelhandel, Telekommunikation und digitalen Plattformen.

„Das Recht auf Löschung ist eines der am häufigsten genutzten Rechte, aber auch eines der komplexesten in der Umsetzung“, so ein EDPB-Sprecher zum Start. Die Prüfung zielte nicht nur auf Bestrafung, sondern darauf, strukturelle Hürden für eine wirksame Datenlöschung zu identifizieren.

Passend zum Thema Transparenz und Dokumentation: Viele Unternehmen unterschätzen das Verarbeitungsverzeichnis nach Art. 30 – und genau das steht bei Prüfungen häufig im Fokus. Eine lückenhafte Dokumentation erschwert Nachweise gegenüber Aufsichtsbehörden und erhöht das Bußgeldrisiko. Mit der kostenlosen, vollständig editierbaren Excel-Vorlage erstellen Sie Ihr Verzeichnis schnell und prüfungssicher, inklusive Anleitung und praktischen Feldern, die Prüfer erwarten. Verarbeitungsverzeichnis jetzt kostenlos herunterladen

Geprüft wurden vor allem:
* Einhaltung der Fristen: Werden Anfragen innerhalb der gesetzlichen Monatsfrist bearbeitet?
* Begründete Ausnahmen: Wenden Unternehmen Ausnahmetatbestände wie rechtliche Aufbewahrungspflichten korrekt an – oder nutzen sie sie als pauschale Abwehr?
* Technische Umsetzung: Werden Daten wirklich vollständig gelöscht, auch aus Back-up-Systemen und bei Dienstleistern?

Der Wechsel 2026: Der Kampf gegen undurchsichtige Datenschutzerklärungen

Bereits am 14. Oktober 2025 kündigte der EDPB den Schwerpunkt für das kommende Jahr an. Die koordinierte Aktion 2026 konzentriert sich auf die Transparenz- und Informationspflichten nach den Artikeln 12 bis 14 der DSGVO.

Damit kehren die Aufseher zu den Grundlagen des Datenschutzes zurück. Im Visier stehen unverständliche, zu lange oder irreführende Datenschutzhinweise. Regulierer wollen gegen „Information Fatigue“ durch juristischen Jargon und gegen „Dark Patterns“ vorgehen – gestalterische Tricks, die Nutzer zu einer bestimmten Entscheidung drängen.

„Transparenz ist das Tor zu allen anderen Datenschutzrechten“, kommentieren Rechtsanalysten die Ankündigung. „Wenn ein Nutzer nicht versteht, was mit seinen Daten geschieht, kann er sein Löschrecht kaum wirksam ausüben.“ Die Prüfung im kommenden Jahr dürfte die vagen Datenschutzerklärungen ins Visier nehmen, die in vielen Branchen noch Standard sind.

Hintergrund: Ein aktives Jahresende für die EU-Datenschützer

Die Bilanz der Löschrechts-Prüfung fällt in eine Phase intensiver regulatorischer Aktivitäten in Brüssel:

• Internationale Kooperation (3. Dezember 2025): Der EDPB verstärkte die Zusammenarbeit mit Aufsichtsbehörden aus Drittlaten wie Japan, Kanada und dem UK, die ein EU-Angemessenheitsbeschluss haben. Dieses Netzwerk ist für grenzüberschreitende Löschanträge essenziell.
• E-Commerce-Empfehlungen (4. Dezember 2025): Neue Leitlinien sollen das Online-Shopping datenschutzfreundlicher gestalten und greifen Probleme aus früheren Verfahren auf.
• Digital Omnibus (19. November 2025): Der Vorschlag der EU-Kommission für eine neue Verordnung zielt darauf ab, DSGVO-Verfahren zu vereinfachen und mit neuen Digitalgesetzen abzustimmen. Dies könnte den Aufsichtsbehörden künftig schnellere Werkzeuge für grenzüberschreitende Ermittlungen verschaffen.

Was auf Unternehmen zukommt

Für die Wirtschaft bedeutet der Wechsel der Schwerpunkte eine strategische Anpassung. Wer 2025 seine Löschprozesse optimiert hat, muss 2026 seine Datenschutzdokumentation überprüfen.

Die Agenda für das erste Quartal 2026:
1. Abschlussbericht CEF 2025: Der EDPB wird die Ergebnisse der Löschrechts-Prüfung veröffentlichen. Neue Leitlinien zum Umgang mit exzessiven Anfragen oder Back-up-Daten sind zu erwarten.
2. Start der CEF 2026: Die Transparenz-Prüfung startet voraussichtlich Februar oder März 2026. Die Aufsichtsbehörden werden wahrscheinlich zunächst die Datenschutzerklärungen großer Player in Werbetechnologie, KI und Finanzsektor prüfen.
3. Debatte um den Digital Omnibus: Während Europaparlament und Rat über den Kommissionsvorschlag beraten, müssen Unternehmen mögliche Verfahrensänderungen im Blick behalten, die Bußgeldverfahren beschleunigen könnten.

Die Botschaft aus Brüssel ist klar: Datenschutz-Compliance ist kein einmaliger Haken auf einer Checkliste, sondern ein sich ständig weiterentwickelnder Standard. Nach dem aktiven Durchsetzen des Löschrechts wird nun die Grundlage jeder Datenverarbeitung – die Transparenz – zum nächsten Prüfstein.

PS: Lücken im DSGVO-Verarbeitungsverzeichnis können teuer werden – Bußgelder bis zu 2% des Jahresumsatzes drohen bei fehlenden Angaben. Dieser kostenlose Download kombiniert eine editierbare Excel-Vorlage mit einem E-Book, das Schritt für Schritt erklärt, welche Felder Prüfer sehen wollen und wie Sie Nachreichungen vermeiden. Ideal für Datenschutzbeauftragte und Compliance-Verantwortliche, die schnell prüfungssichere Nachweise erstellen müssen. Jetzt Excel-Vorlage & Anleitung sichern