Datenschutzerklärungen im Fokus der Aufsichtsbehörden: Was Unternehmen jetzt wissen müssen

10. Feb. 2026

Die europäischen Datenschutzbehörden haben sich für das Jahr 2026 vorgenommen, die Umsetzung der Informationspflichten gemäß Art. 12-14 DSGVO zu überprüfen. Was das für Ihr Unternehmen bedeutet und wie Sie sich vorbereiten können, erfahren Sie in diesem Beitrag.

Corona-Test

Kontrollaktion der Behörden

Im Rahmen des Coordinated Enforcement Framework (CEF) führt der Europäische Datenschutzausschuss (EDSA) koordinierte Prüfaktionen durch. Nationale Aufsichtsbehörden können freiwillig an diesen Aktionen teilnehmen und in diesem Zuge Unternehmen und Organisationen anlasslos prüfen.

Was sind Informationspflichten überhaupt?

Die Art. 12 bis 14 DSGVO regeln verschiedene Transparenz- und Informationspflichten, die ein Unternehmen erfüllen muss. In der Praxis bedeutet das: Sie müssen verständliche Datenschutzerklärungen bereitstellen, zum Beispiel auf Ihrer Website.

Datenschutzinformationen müssen grundsätzlich wie folgt gestaltet sein:

  • präzise, transparent, verständlich und leicht zugänglich;
  • Informationen müssen in einer klaren, einfachen Sprache bereitgestellt werden;
  • die Bereitstellung sollte schriftlich oder elektronisch erfolgen; eine mündliche Information ist unter bestimmten Umständen ebenfalls möglich.

In der DSGVO werden zwei Fälle unterschieden:

  • Wenn Sie Daten direkt bei einer Person erheben, etwa über ein Kontaktformular auf Ihrer Website, greift 13 DSGVO.
  • Wenn Sie Daten nicht direkt bei der Person erheben, sondern von anderen Stellen erhalten, greift hingegen 14 DSGVO.

Typische Anwendungsfälle für eine Erhebung aus anderen Quellen sind:

  • Sie erhalten Adressdaten für Werbeaktionen (z.B. von einem Dienstleister);
  • Sie erhalten Kontaktdaten von Interessent:innen über einen Dienstleister oder Partner;
  • Sie recherchieren selbst Kontaktdaten im Internet oder in öffentlichen Registern;
  • Sie erhalten Daten von Behörden oder anderen öffentlichen Stellen;
  • Sie übernehmen Daten bei einer Unternehmensübernahme.

In diesen Fällen müssen Sie den betroffenen Personen trotzdem Datenschutzinformationen zur Verfügung stellen.

Externer Datenschutzbeauftragter // Newsletter abonnieren // Hinweisgebersystem

Worüber muss informiert werden?

Die DSGVO schreibt genau vor, welche Informationen Sie in Ihre Datenschutzerklärung aufnehmen müssen.

Den „Standard“ regelt Art. 13 DSGVO. Zu den Pflichtangaben gehören unter anderem der Name und die Kontaktdaten Ihres Unternehmens, die Kontaktdaten Ihres Datenschutzbeauftragten (falls vorhanden), die Zwecke und Rechtsgrundlagen der Verarbeitung sowie gegebenenfalls die verfolgten berechtigten Interessen. Außerdem müssen Sie angeben, welche anderen Stellen personenbezogene Daten erhalten (z.B. IT-Dienstleister oder Ihre Marketingagentur) und ob Daten in Länder außerhalb der EU (Drittländer) übermittelt werden. Die Speicherdauer oder die Kriterien für deren Festlegung sind ebenfalls anzugeben. Zudem muss Ihre Datenschutzerklärung einen Hinweis auf die Rechte der betroffenen Personen enthalten (z.B. Auskunft, Löschung, Widerspruch).

Bei der Erhebung aus anderen Quellen nach Art. 14 DSGVO muss zusätzlich darüber informiert werden, aus welcher Quelle die Daten stammen.

Best Practices

In den meisten Unternehmen werden personenbezogene Daten von vielen verschiedenen betroffenen Personen verarbeitet. Informationspflichten entstehen daher in den verschiedensten Situationen, zum Beispiel bei

  • Besuch Ihrer Unternehmenswebsite,
  • Anmeldung zu einem Newsletter,
  • Versand einer Anfrage über ein Kontaktformular,
  • Anmeldung zu einer Veranstaltung,
  • Durchführung einer Bestellung,
  • Registrierung für ein Kund:innenkonto,
  • Kontakt mit Ansprechpersonen per E-Mail,
  • Kontaktaufnahme mittels personalisierter Briefwerbung,
  • Besuch eines Social-Media-Accounts Ihres Unternehmens,
  • Abschluss eines Vertrages mit Ihnen.

In all diesen Situationen müssen Sie die Betroffenen über die Datenverarbeitungen informieren.

Die Website-Datenschutzerklärung als zentraler Ort

Unser Tipp: Sammeln Sie die Informationen für möglichst viele Betroffenengruppen an einem zentralen Ort. In der Praxis bietet sich hierfür die Website-Datenschutzerklärung an, in der die Informationen modular aufbereitet werden können.

Die Website-Datenschutzerklärung kann dann an den verschiedenen Stellen verlinkt werden, an denen eine Erhebung personenbezogener Daten oder ein Erstkontakt mit Betroffenen stattfindet, zum Beispiel:

Der mehrstufige Ansatz

In bestimmten Situationen ist darüber hinaus ein mehrstufiger Ansatz sinnvoll. Hier können Sie zunächst die wichtigsten Informationen in kompakter Form bereitstellen und für weiterführende Details auf Ihre ausführliche Datenschutzerklärung verweisen. Dieses Vorgehen ist beispielsweise sinnvoll für

  • personalisierte Postwerbung;
  • Videoüberwachung;
  • Veranstaltungen:
  • telefonische Datenerhebung.

Spezielle Datenschutzhinweise für besondere Betroffenengruppen

Für besondere Betroffenengruppen wie Patient:innen oder Klient:innen kann es sinnvoll sein, separate Datenschutzhinweise zu erstellen, die speziell auf diese Gruppen zugeschnitten sind. Das erhöht die Transparenz und sorgt dafür, dass die Datenverarbeitungen insbesondere bei umfangreichen und sensiblen Datenverarbeitungen gut nachvollziehbar sind.

Ausnahmen und Zweckänderung

Es gibt Situationen, in denen Sie die Informationspflicht nicht erfüllen müssen. So entfällt die Informationspflicht beispielsweise, wenn die betroffene Person nachweislich bereits über die Informationen verfügt. Der Nachweis liegt hierbei allerdings bei Ihnen.

Eine besondere Regelung gibt es zudem für Zweckänderungen: Wenn Sie einmal erhobene Daten für einen anderen Zweck weiterverarbeiten möchten, müssen Sie die betroffene Person über diese Zweckänderung gesondert informieren. Die ursprüngliche Information reicht in diesem Fall nicht aus.

Häufige Irrtümer und Fallstricke in der Praxis

In unserer Beratungspraxis begegnen uns immer wieder die gleichen Irrtümer rund um Datenschutzerklärungen. Die wichtigsten klären wir nachfolgend auf.  

Irrtum 1: Die Bestätigung von Datenschutzerklärungen

Viele glauben, dass Datenschutzerklärungen unterzeichnet werden müssen oder dass man in die Datenschutzerklärung einwilligen muss. Auch die Annahme, dass Datenschutzerklärungen aktiv von den Betroffenen zur Kenntnis genommen werden müssen und dass auf Website-Formularen immer eine Checkbox für die Datenschutzerklärung vorhanden sein muss, ist falsch.

Richtig ist: Datenschutzerklärungen sind einseitige Informationen. Sie müssen nicht aktiv bestätigt oder zur Kenntnis genommen werden. Es genügt vollkommen, die Informationen zum Abruf bereitzustellen. Die betroffene Person muss lediglich die Möglichkeit haben, die Datenschutzerklärung zu lesen – mehr nicht.

Wann immer Sie also auf Websites Ihres Unternehmens über eine Checkbox stolpern, prüfen Sie den Text dieser Checkbox.

  • Falsch sind Aussagen, die eine aktive Bestätigung der Datenschutzerklärung fordern, wie zum Beispiel „Hiermit akzeptiere ich die Datenschutzhinweise.“, „Ich habe die Datenschutzerklärung zur Kenntnis genommen.“ oder „Ich erkläre mich mit der Datenschutzerklärung einverstanden.“ 
  • Richtig formuliert sind Texte, die lediglich auf die Datenschutzerklärung hinweisen, wie beispielsweise: „Hinweise zum Datenschutz finden Sie in unserer Datenschutzerklärung.“ oder „Informationen dazu, wie wir Ihre personenbezogenen Daten verarbeiten, finden Sie hier.

Weitere häufige Irrtümer

Irrtum 2: „Wenn ich die Datenschutzerklärung ändere, muss ich alle Betroffenen anschreiben und über die Änderungen informieren, oder?“

Das ist grundsätzlich nicht erforderlich. Eine aktive Information über Änderungen ist nur selten nötig, zum Beispiel bei einer Zweckänderung.

Irrtum 3: „Eine Einwilligung kann in der Datenschutzerklärung eingeholt werden.

Das ist falsch. Eine Einwilligung in eine Datenverarbeitung ist stets separat einzuholen und darf keinesfalls in der Datenschutzerklärung versteckt werden.

Irrtum 4: „Wenn ich die Datenschutzerklärung an die Verträge hänge, sind die in der Erklärung beschriebenen Verarbeitungen automatisch rechtmäßig.

Das ist nicht korrekt. Die Datenschutzerklärung ist nur eine Information, keine Rechtsgrundlage. Die Informationspflicht (Art. 13, 14 DSGVO) ist klar von der Prüfung der Rechtmäßigkeit einer Datenverarbeitung (Art. 6, 9 DSGVO) zu trennen.

Irrtum 5: „Wenn jemand Auskunft verlangt, genügt die Zusendung der Datenschutzerklärung, um den Anspruch zu erfüllen.

Das stimmt ebenfalls nicht. Das Auskunftsrecht nach Art. 15 DSGVO geht deutlich weiter und verlangt konkrete Informationen zu den tatsächlich verarbeiteten Daten der anfragenden Person. Die Zusendung der Datenschutzerklärung reicht nicht aus.

Häufige Fallstricke aus der Praxis

In der Praxis sehen wir immer wieder folgende Fehler:

  • Oft ist die Datenschutzerklärung vollständig und korrekt erstellt, wird aber an wichtigen Stellen nicht verlinkt. Die beste Datenschutzerklärung nützt nichts, wenn Betroffene sie nicht finden können.
  • Die Datenschutzerklärung wird aufwendig erstellt, aber nie finalisiert und hochgeladen. Sie bleibt als Entwurf in der Schublade liegen.
  • Die Datenschutzerklärung wird erstellt, aber nicht aktuell gehalten. Gerade in Unternehmen, die ihre Prozesse und Systeme regelmäßig anpassen, muss auch die Datenschutzerklärung entsprechend aktualisiert werden.
  • Änderungen an der Datenschutzerklärung werden nicht dokumentiert. Das führt dazu, dass später nicht mehr nachvollziehbar ist, welche Version zu welchem Zeitpunkt gültig war. Das kann bei Prüfungen oder Auskunftsanfragen zu Problemen führen.

Die Lösung: Implementieren Sie feste Prozesse für die Erstellung, Veröffentlichung und Aktualisierung von Datenschutzerklärungen. Vergeben Sie klare Zuständigkeiten, planen Sie regelmäßige Revisionszyklen ein und dokumentieren Sie alle Versionen mit Datum.

Sie benötigen rechtliche Unterstützung bei der Umsetzung der datenschutzrechtlichen Informationspflichten?  Melden Sie sich gerne hier.

Checkliste: Was Sie nun prüfen sollten

  1. Ist die Website-Datenschutzerklärung überall abrufbar, wo personenbezogene Daten erhoben werden oder ein Erstkontakt stattfindet?
  2. Sind die Datenschutzerklärungen inhaltlich aktuell und vollständig?
  3. Werden alle weiteren Betroffenengruppen, deren Daten von Ihrem Unternehmen verarbeitet werden, über die Verarbeitung informiert?
  4. Gibt es festgelegte Prozesse für die Erstellung, Aktualisierung und Veröffentlichung von Datenschutzerklärungen?
  5. Gibt es eine Versionierung, um nachvollziehen zu können, welche Fassung der Datenschutzerklärung wann gilt?

Auf Anfrage stellen wir Ihnen gerne eine umfangreichere Checkliste zur Verfügung, mit der Sie die Umsetzung der Informationspflichten in Ihrem Unternehmen überprüfen können.

Fazit

Die Informationspflichten gehören zu den zentralen Anforderungen der DSGVO und stehen 2026 im Fokus der Aufsichtsbehörden. Jetzt ist der richtige Zeitpunkt, Ihre Datenschutzerklärungen zu überprüfen, Prozesse zu etablieren und sicherzustellen, dass alle Betroffenengruppen transparent über sämtliche Datenverarbeitungen informiert werden.

 

Louisa El-Dbeissi ist Wirtschaftsjuristin, zertifizierte Datenschutzbeauftragte (IHK) und Managing Consultant bei der Datenschutzkanzlei.

 

Antonia Preuß ist Legal Consultant bei der Datenschutzkanzlei.

Holen Sie die Datenschutzkanzlei an Bord

R

Rechtsberatung für Daten, Tech und Marketing

R

Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten

R

Benennung zum externen Datenschutzbeauftragten

R

Echte Lösungen statt nerviger Hindernisse

weitere Beiträge zeigen