Datenschutz: EU startet Großprüfung, Deutschland will Hersteller in die Pflicht nehmen

Die europäische Datenschutzaufsicht startet eine beispiellose Prüfaktion zur Transparenz bei Dienstleistern. Parallel drängt Deutschland auf eine gesetzliche Kehrtwende, um vor allem den Mittelstand zu entlasten.

Brüssel/Berlin – Für Unternehmen in Europa beginnt eine neue Ära der Datenschutzkontrolle. Am 20. März 2026 startete der Europäische Datenschutzausschuss (EDPB) sein koordiniertes Durchsetzungsprogramm (CEF) für das Jahr. Der Fokus liegt auf einem neuralgischen Punkt: der Transparenz gegenüber Kunden, wenn externe Dienstleister wie Cloud-Anbieter oder KI-Tools personenbezogene Daten verarbeiten. An der groß angelegten Prüfaktion beteiligen sich 25 nationale Aufsichtsbehörden. Zeitgleich fordern deutsche Datenschützer ein radikales Umdenken: Sie wollen die rechtliche Verantwortung stärker auf die Software-Hersteller selbst verlagern.

Angesichts der verschärften Kontrollen durch die Aufsichtsbehörden riskieren viele Unternehmen Bußgelder aufgrund lückenhafter Dokumentation nach Art. 30 DSGVO. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis rechtssicher und zeitsparend zu erstellen. Excel-Muster für das Verarbeitungsverzeichnis kostenlos herunterladen

EU-Großprüfung: Der undurchsichtige Dienstleister-Dschungel

Die aktuelle Initiative ist die größte regulatorische Aktion seit Inkrafttreten der DSGVO. Konkret prüfen die Behörden, ob Unternehmen ihre Informationspflichten aus den Artikeln 12, 13 und 14 der DSGVO erfüllen. Im Visier steht die oft intransparente Datenverarbeitung in komplexen Lieferketten. Viele Firmen können heute kaum lückenlos darlegen, welche Unterauftragnehmer im Hintergrund agieren – besonders bei globalen SaaS-Plattformen oder integrierter KI.

Die nationalen Aufsichtsbehörden werden in den kommenden Monaten gezielte Prüfungen und Erhebungen in verschiedenen Branchen durchführen. Die Ergebnisse sollen noch in diesem Jahr in einem umfassenden Bericht zusammengefasst werden. Experten rechnen damit, dass daraus strengere nationale Richtlinien für das Management und die Offenlegung von Dienstleistern hervorgehen.

Deutsche Forderung: Mehr Verantwortung für Tech-Konzerne

Parallel zum EU-Programm positioniert sich Deutschland mit einer eigenen Initiative. Die Datenschutzkonferenz (DSK) sprach sich am 17. März im Zuge des „Digital Fitness Check“ der EU-Kommission für eine grundlegende Verschiebung der Haftung aus. Bisher trägt primär der „Verantwortliche“ – oft ein mittelständisches Unternehmen oder eine Behörde – das rechtliche Risiko für die Konformität der gekauften Software.

Die DSK will Hersteller und Dienstleister direkt für die Datenschutz-Funktionen ihrer Produkte in die Pflicht nehmen. Das Ziel: „Privacy by Design“ soll verbindlicher Standard für alle in der EU vertriebenen digitalen Dienste werden. „Wir brauchen ein funktionsfähigeres, zentrales Datengesetz, das die Bürger schützt und die Umsetzung für die Wirtschaft vereinfacht“, betonte DSK-Vorsitzender Professor Dr. Tobias Keber kürzlich. Für den Mittelstand könnte dies eine massive Entlastung bei der oft überfordernden Due-Diligence-Prüfung neuer Partner bedeuten.

Neue Werkzeuge: Standard-Templates und Zertifizierungen

Als Hilfestellung für die Unternehmen entwickelt der EDPB bis 2027 standardisierte Vorlagen für zentrale Compliance-Aufgaben. Diese sollen unter anderem die Datenfolgenabschätzung (DPIA) für externe Dienstleister vereinheitlichen. Derzeit können die Anforderungen in Deutschland und Frankreich für denselben IT-Dienstleister leicht voneinander abweichen. Die Templates sollen einen „Goldstandard“ schaffen und Rechtsunsicherheit bei internationalen Datenübermittlungen reduzieren.

Da die Anforderungen an die Datenschutz-Folgenabschätzung (DSFA) oft komplex sind und bei Fehlern Bußgelder drohen, benötigen Verantwortliche klare Leitfäden. Dieser Experten-Ratgeber bietet Ihnen kostenlose Muster-Vorlagen und Checklisten für eine rechtssichere Erstellung Ihrer DSFA. Kostenloses E-Book zur Datenschutz-Folgenabschätzung sichern

Zugleich gewinnen unabhängige Zertifizierungen an Bedeutung. So hat etwa die Aufsichtsbehörde Nordrhein-Westfalen kürzlich ein Zertifikat für Informationsverarbeitungsdienste genehmigt. Der Trend geht klar in Richtung einer externen Überprüfung von Dienstleistern noch vor Markteintritt.

EuGH-Urteil: Abwehr von missbräuchlichen Auskunftsersuchen

Die rechtlichen Rahmenbedingungen wurden durch ein Grundsatzurteil des Europäischen Gerichtshofs (EuGH) vom 19. März präzisiert. Das Gericht entschied, dass das Auskunftsrecht nach Art. 15 DSGVO als Rechtsmissbrauch gewertet werden kann, wenn es einzig zum Zweck der Beweissicherung für andere Schadensersatzklagen genutzt wird.

Für Unternehmen bietet dies eine wichtige Verteidigungslinie gegen exzessive Anfragen. Die Beweislast für einen solchen Missbrauch liegt jedoch vollständig beim datenverarbeitenden Unternehmen. Dies unterstreicht die Notwendigkeit lückenloser Dokumentation und klarer Auftragsverarbeitungsverträge (AVV), die die Rollen und Zugriffsrechte aller Beteiligten exakt definieren.

Ausblick: KI und automatisierte Compliance

Die größte künftige Herausforderung bleibt die Integration von KI in Geschäftsprozesse. Der EDPB kündigte an, dass die nächste Durchsetzungsphase „agentische KI“ und autonome Handlungen von Dienstleister-Bots in den Fokus nehmen wird. Je mehr Aufgaben an KI-gesteuerte Plattformen ausgelagert werden, desto verschwommener werden die Verantwortungslinien.

Unternehmen wird geraten, die aktuelle „Transparenzphase“ der Großprüfung zu nutzen: Dienstleisterlisten sollten überprüft, Datenschutzhinweise aktualisiert und Partner auf das neue Prüfniveau vorbereitet werden. Der Wechsel von einer reaktiven zu einer proaktiven „Privacy-Engineering“-Haltung ist im regulatorischen Umfeld von 2026 überlebenswichtig.

boerse | 68969548 |