Zurück zum Blog
5 Min. Lesezeitprivacygdprcompliancedataarchitecture

Das Durchsetzungsziel des EDSA für 2026 ist Ihre Datenschutzerklärung

Die koordinierte Aktion des EDSA für 2026 prüft die Transparenz nach den DSGVO-Artikeln 12–14. Der kürzeste Weg hindurch: so wenig erheben, dass sich die Erklärung von selbst schreibt.

Izac CavalheiroFounder

Zwei Jahre lang ist die teure DSGVO-Frage gewandert. Zuerst prüften die Aufsichtsbehörden, ob Sie eine Rechtsgrundlage hatten, dann, ob Sie Daten rechtzeitig löschten. Am 19. März 2026 richtete der Europäische Datenschutzausschuss die nächste Prüfwelle auf ein drittes Ziel: ob Ihre Datenschutzerklärung ehrlich darüber ist, was Sie erheben.

Was die koordinierte Aktion 2026 prüft

Der Coordinated Enforcement Framework (CEF) des EDSA verfolgt jedes Jahr ein gemeinsames Thema über die gesamte Union hinweg. Die Aktion 2025 untersuchte das Recht auf Löschung. Die Aktion 2026 — die fünfte — untersucht Transparenz- und Informationspflichten nach den Artikeln 12, 13 und 14 der DSGVO.

Fünfundzwanzig Datenschutzbehörden nehmen teil. Ihre Ankündigung ist deutlich, was die Methode angeht: Die teilnehmenden Aufsichtsbehörden „werden in Kürze Verantwortliche aus verschiedenen Sektoren in ganz Europa kontaktieren, entweder durch Durchsetzungsmaßnahmen oder durch Sachverhaltsermittlungen". Die Erkenntnisse fließen in der zweiten Jahreshälfte 2026 in einen konsolidierten EDSA-Bericht ein, mit „gezielten Folgemaßnahmen auf nationaler wie auf EU-Ebene".

Das ist keine Leitlinie. Es ist eine koordinierte Aufforderung zum Nachweis, dass das Dokument auf Ihrer Website mit den Daten in Ihrer Datenbank übereinstimmt.

Was Artikel 13 Sie tatsächlich zu offenbaren verpflichtet

Dem Recht auf Information ist mit einem Absatz „Wir nehmen Ihren Datenschutz ernst" nicht Genüge getan. Artikel 13 — der gilt, wenn Sie Daten direkt beim Besucher erheben — zählt auf, was eine Erklärung im Moment der Erhebung angeben muss:

  • Die Identität und Kontaktdaten des Verantwortlichen.
  • Die Zwecke der Verarbeitung und die Rechtsgrundlage für jeden einzelnen.
  • Die Empfänger oder Kategorien von Empfängern der Daten.
  • Jede Übermittlung in ein Drittland und die zugehörigen Garantien.
  • Die Speicherdauer, oder die Kriterien zu ihrer Festlegung.
  • Die Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit.
  • Das Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling, mit aussagekräftigen Informationen über die involvierte Logik.

Jede Klausel entspricht einer Tatsache über Ihren Stack. Eine Erklärung ist nur dann zutreffend, wenn jede Offenlegung wahr ist. Genau das prüft eine Sachverhaltsermittlung — nicht ob die Erklärung existiert, sondern ob sie die Realität beschreibt.

Warum Überwachungsanalytik die Erklärung fragil macht

Geht man eine typische Analytics-Integration durch diese Liste, vervielfachen sich die Offenlegungspflichten. Ein Verhaltens-Tag mit seitenübergreifenden Kennungen bedeutet, dass Sie Empfänger zu nennen haben — den Anbieter, seine Werbepartner, sein Messnetzwerk. Es bedeutet meist eine zu erklärende und abzusichernde Drittlandübermittlung. Eine stabile Kennung, die einem Besucher über Monate folgt, ist Profiling, was die Klausel zur automatisierten Entscheidungsfindung ins Spiel bringt. Die Speicherdauer ist, was auch immer der Standardwert des Anbieters vorsieht, den Sie nun kennen und korrekt angeben müssen.

Jeder dieser Punkte ist ein Satz, der falsch sein kann. Die Erklärung weicht in dem Moment ab, in dem der Anbieter einen Unterauftragsverarbeiter hinzufügt, eine Region ändert oder die Speicherdauer verlängert — und Sie erfahren es selten. Unter einer Transparenzprüfung ist eine Erklärung, die Empfänger oder Speicherdauer untertreibt, kein Tippfehler. Sie ist genau der Verstoß, den der CEF aufdecken soll.

Eine kurze Erklärung ist die belastbare

Der günstigste Weg, eine Transparenzprüfung zu bestehen, ist, wenig offenzulegen zu haben. Das ist eine Eigenschaft des Datenmodells, keine des Textens.

Ein cookiefreier Tracker schrumpft den Analytics-Abschnitt einer Artikel-13-Erklärung auf wenige ehrliche Zeilen. Es gibt keine Drittempfänger, weil nichts geteilt wird. Es gibt kein Profiling, weil keine Kennung fortbesteht. Die Besucheridentität ist ein einseitiger Tageshash, der im Speicher am Edge berechnet wird:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

Die rohe IP und der User-Agent werden ausschließlich zur Berechnung dieses Digests verwendet und nie geschrieben; D1 speichert den Hash, nicht die Eingaben. Weil das Datum eine Eingabe ist, rotiert der Hash jede Mitternacht, sodass es kein sitzungsübergreifendes Profil zu beschreiben gibt. Die Speicherdauer ist eine harte, angebbare Grenze — Seitenaufrufe werden nach 730 Tagen gelöscht — kein Anbieter-Standardwert, den Sie erst nachschlagen müssen.

Die daraus resultierende Offenlegung ist kurz, weil die Verarbeitung klein ist. Sie lautet: Wir zählen aggregierte Seitenaufrufe, leiten Land und groben Gerätetyp am Edge ab, teilen mit niemandem, erstellen kein Profil und behalten die Daten höchstens zwei Jahre. Jede Klausel ist anhand des Schemas überprüfbar.

Die Artikel-30-Hälfte derselben Übung

Die Transparenz gegenüber dem Besucher (Artikel 12–14) hat einen internen Zwilling: das Artikel-30-Verzeichnis von Verarbeitungstätigkeiten, das Dokument, nach dem eine Behörde zuerst fragt. Es muss Zwecke, Empfänger, Übermittlungen und Speicherdauer auflisten — dieselben Tatsachen wie die öffentliche Erklärung, aus Sicht des Verantwortlichen.

Wo die beiden auseinandergehen, ist die Lücke der Befund. Ein Stack, der keine personenbezogene Kennung speichert und nichts teilt, hält beide Dokumente im Einklang, weil es auf keiner Seite fast nichts zu verzeichnen gibt.

Eine Datenschutzerklärung ist ein Versprechen über Ihr Datenmodell. Die Prüfwelle 2026 prüft, ob das Versprechen wahr ist. Das risikoärmste Versprechen ist jenes, das Sie ohne Nachdenken halten können — weil Sie das, was Sie sonst erklären müssten, nie erhoben haben.

Quellen

Related posts

5 Min. LesezeitLaw & Regulation

Wann Ist ein Hash ein Personenbezogenes Datum? Das SRB-Urteil des EuGH und die Identität in Analytics

Mit dem Urteil EDPS gegen SRB hat der EuGH die Identifizierbarkeit zu einem relativen, kontextabhängigen Test gemacht. Was das für hash-basierte Analytics bedeutet — und warum ein täglich rotierender, gesalzener Hash sowohl der Lesart des Gerichts als auch der strengeren des EDSA standhält.

Weiterlesen
5 Min. LesezeitLaw & Regulation

Speicherbegrenzung ist 2026 die neue Front der Durchsetzung für Analytics

Die Aufsichtsbehörden fragen nicht mehr, ob du Daten rechtmäßig erhoben hast, sondern wann du sie gelöscht hast. Nach dem 42-Mio.-€-Bescheid der CNIL gegen Free und der Lösch-Prüfaktion des EDSA ist die Aufbewahrung in Analytics das Audit-Ziel.

Weiterlesen
4 Min. LesezeitLaw & Regulation

Der Digital Omnibus will First-Party-Analytics von der Einwilligung befreien

Der EU-Digital-Omnibus vom November 2025 schlägt eine Einwilligungsausnahme für First-Party-Reichweitenmessung zur internen Nutzung vor. Er beschreibt das Modell, das cookiefreie Analytics längst betreibt.

Weiterlesen

Comments

Loading comments…