Der Europäische Gerichtshof hat klare Grenzen für Auskunftsansprüche gesetzt. Parallel starten Datenschützer eine europaweite Transparenz-Offensive.

Die europäische Datenschutzlandschaft erlebt eine fundamentale Wende. Innerhalb weniger Tage haben der Europäische Gerichtshof (EuGH) ein Grundsatzurteil gefällt und die europäischen Aufsichtsbehörden eine beispiellose Kontrollaktion gestartet. Beide Entwicklungen zielen auf einen ausgewogeneren, aber streng durchgesetzten Umgang mit personenbezogenen Daten ab. Für Unternehmen bedeutet das mehr Rechtssicherheit – aber auch schärfere Auflagen bei der Transparenz.

Anzeige

Um den steigenden Transparenzanforderungen der Aufsichtsbehörden gerecht zu werden, ist eine lückenlose Dokumentation aller Datenverarbeitungen unerlässlich. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Excel-Vorlage für das Verarbeitungsverzeichnis herunterladen

EuGH-Urteil: Auskunftsrecht ist kein Freibrief

Ein lange erwartetes Urteil bringt Klarheit im Kampf gegen missbräuchliche Datenschutz-Klagen. Am 19. März 2026 entschied der EuGH im Fall des deutschen Optiker-Unternehmens Brillen Rottler, dass Unternehmen Auskunftsersuchen verweigern dürfen – selbst beim ersten Antrag.

Der Hintergrund: Immer häufiger nutzten Einzelpersonen das Auskunftsrecht nach Artikel 15 der DSGVO, nicht um ihre Daten zu überprüfen, sondern um gezielt Schadensersatzklagen vorzubereiten. Dem setzt der Gerichtshof nun einen Riegel vor. Ein Antrag kann als unzulässig abgelehnt werden, wenn das verantwortliche Unternehmen nachweisen kann, dass er in bösgläubiger Absicht gestellt wurde.

„Das Recht auf Auskunft ist ein Grundpfeiler der DSGVO, aber nicht absolut“, so die Richter. Sie betonten den Grundsatz der Verhältnismäßigkeit. Entscheidend ist die neue „Kausalitätsbremse“: Für einen Schadensersatzanspruch muss nun ein tatsächlicher Schaden aus der Verweigerung nachgewiesen werden. Ein bloßer Formfehler reicht nicht mehr aus.

Für die Praxis heißt das: Unternehmen sind aufgefordert, bei der Prüfung von Anträgen Muster und Beweggründe zu dokumentieren. Deutsche Gerichte hatten diese Position bereits vertreten, nun ist sie höchstrichterlich bestätigt. Ein wichtiger Schritt gegen die „Industrialisierung“ von Abmahnungen, von der vor allem kleine und mittlere Unternehmen betroffen waren.

Europaweite Kontrollen: Der Fokus liegt auf Transparenz

Kaum war das Urteil verkündet, startete die nächste Großaktion. Am 20. März 2026 schaltete sich die Europäische Datenschutzbehörde (EDPB) ein. Ihr Koordinierter Durchsetzungsrahmen 2026 konzentriert sich ausschließlich auf die Transparenz- und Informationspflichten der DSGVO (Artikel 12-14).

25 nationale Aufsichtsbehörden werden prüfen, wie klar und verständlich Organisationen über die Verarbeitung personenbezogener Daten informieren. Im Visier stehen besonders komplexe Prozesse wie KI-gestützte Analysen oder grenzüberschreitende Datenflüsse. Die Botschaft ist eindeutig: Transparenz soll kein Papiertiger sein, sondern ein funktionierendes Recht, das Nutzern informierte Entscheidungen ermöglicht.

Anzeige

Die neuen Prüfungsschwerpunkte der Behörden betreffen insbesondere den Einsatz von Künstlicher Intelligenz und die damit verbundenen Kennzeichnungspflichten. Dieser kostenlose Leitfaden zur EU-KI-Verordnung erklärt Ihnen kompakt alle Anforderungen, Risikoklassen und notwendigen Dokumentationen für Ihr Unternehmen. Gratis E-Book zur KI-Verordnung jetzt sichern

Bis zum Jahresende werden die Behörden Fakten sammeln und Durchsetzungsmaßnahmen einleiten. Ein umfassender Bericht soll bis zur zweiten Jahreshälfte vorliegen. Für Unternehmen bedeutet das akuten Handlungsbedarf: Datenschutzerklärungen und Informationsblätter müssen auf den Prüfstand. „Privacy by Design“ in digitalen Oberflächen wird zum entscheidenden Kriterium.

Digital Omnibus: EU-Parlament will KI-Regeln verschieben

Während die Gerichte und Aufseher handeln, geht die Gesetzgebung in Brüssel weiter. Die Ausschüsse des EU-Parlaments einigten sich am 18. März auf ihre Position zum „Digital Omnibus“. Dieses Gesetzespaket will verschiedene Digitalvorschriften, darunter DSGVO und KI-Verordnung, harmonisieren.

Ein zentraler Punkt: Die Abgeordneten plädieren dafür, Teile der Hochrisiko-KI-Regeln erst im Dezember 2027 oder August 2028 in Kraft zu setzen. Als Grund nennen sie unfertige technische Standards. Zugleich fordern sie ein Verbot von „Nudifier“-KI-Systemen, die ohne Einwilligung intime Bilder erstellen. Sensible Daten sollen jedoch zur Erkennung von KI-Bias verarbeitet werden dürfen – unter strengen Auflagen.

In Deutschland meldete sich die Datenschutzkonferenz (DSK) zu Wort. Sie forderte am 17. März stärkere Rechte für Kinder und mehr Herstellerverantwortung. Gleichzeitig sprach sie sich für Bürokratieabbau bei KMU aus, etwa durch die Streichung der Meldepflicht für Datenschutzbeauftragte.

Was bedeutet das für die Wirtschaft?

Die parallelen Entwicklungen markieren eine neue Reifephase der DSGVO. Das EuGH-Urteil bietet Unternehmen ein wirksames Mittel gegen systematische Abmahnwellen. Gleichzeitig steigt der Druck, in eine robuste Daten-Governance zu investieren.

Unternehmen, die ihre Datenschutzerklärungen in klarer, verständlicher Sprache gestalten und „Dark Patterns“ vermeiden, können sich einen Wettbewerbsvorteil verschaffen. Vertrauen wird in der digitalen Wirtschaft zur harten Währung. Die kommenden Wochen sind entscheidend: Das EU-Parlament stimmt am 26. März über den Digital Omnibus ab. In Deutschland muss zügig eine Nachfolge für die scheidende Bundesdatenschutzbeauftragte Prof. Dr. Louisa Specht-Riemenschneider gefunden werden.

Experten raten Unternehmen, das zweite Quartal 2026 für interne Audits zu nutzen. Workflows für Auskunftsersuchen und Transparenzdokumente müssen überprüft werden. Das EuGH-Urteil bietet einen Schutzschild, verlangt aber auch präzise Dokumentation. Wer sich jetzt vorbereitet, ist für die verschärfte Aufsicht gewappnet.