Europas 25 Datenschutzbehörden haben eine koordinierte Prüfung von Online-Diensten gestartet
Der EDPB startete am 19. März 2026 seine Durchsetzungsmaßnahme zur DSGVO-Transparenz. Online-Datei-Tools, die Nutzerdaten erfassen, stehen direkt im Fokus.
VaultTools · 20. März 2026
Foto von Philipp Katzenberger auf Unsplash
Inhaltsverzeichnis
- Was gestern gestartet wurde
- Was die DSGVO-Artikel 12 bis 14 tatsächlich verlangen
- Warum Online-Datei-Tools im Fokus stehen
- Wie browserbasierte Verarbeitung die Gleichung verändert
- Was Betreiber jetzt tun sollten
- Quellen
Was Gestern Gestartet Wurde
Am 19. März 2026 startete der Europäische Datenschutzausschuss (EDPB) formell seine Maßnahme im Rahmen des Coordinated Enforcement Framework (CEF) für 2026. Fünfundzwanzig nationale Datenschutzbehörden (DSBs) in der EU führen nun eine synchronisierte Prüfkampagne zu einem einzigen Thema durch: Transparenz und Informationspflichten nach den DSGVO-Artikeln 12, 13 und 14.
Das Thema wurde im Oktober 2025 angekündigt. Die aktive Durchsetzungsphase begann gestern.
Die teilnehmenden DSBs werden Organisationen aus verschiedenen Sektoren mithilfe standardisierter Fragebögen zur Compliance befragen. Die Ergebnisse werden auf EU-Ebene zusammengeführt, mit gezielten Folgemaßnahmen auf nationaler und europäischer Ebene. Frühere CEF-Kampagnen haben direkt zu Bußgeldern und Korrekturmaßnahmen geführt.
Was Die DSGVO-Artikel 12 Bis 14 Tatsächlich Verlangen
Die Artikel 12, 13 und 14 der DSGVO regeln, was Organisationen Menschen mitteilen müssen, wenn sie deren personenbezogene Daten verarbeiten. Die Vorschriften umfassen vier Kernfragen, die jede Datenschutzerklärung klar beantworten muss:
- Welche personenbezogenen Daten erhoben werden
- Warum sie erhoben werden (Rechtsgrundlage und Zweck)
- Wie lange sie gespeichert werden
- An wen sie weitergegeben oder übermittelt werden
Die Information muss zum Zeitpunkt der Erhebung bereitgestellt werden (Artikel 13) oder innerhalb eines Monats, wenn die Daten mittelbar erhoben wurden (Artikel 14). Artikel 12 legt den Maßstab fest: Die Informationen müssen präzise, transparent, verständlich und in klarer Sprache formuliert sein.
Die Behörden suchen kein Kleingedrucktes. Sie suchen klare, zugängliche Hinweise, die ein gewöhnlicher Mensch verstehen kann.
Warum Online-Datei-Tools Im Fokus Stehen
Ein Online-PDF-Konverter, ein Bildkomprimierungsdienst oder ein Dokumenteneditor, der Dateien auf einem Server empfängt, verarbeitet personenbezogene Daten. Die meisten Dokumente, die Nutzer konvertieren oder komprimieren, enthalten persönliche Informationen: Namen, Adressen, Unterschriften, Finanzdaten, medizinische Details. Unter der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Wenn ein cloudbasiertes Datei-Tool ein Dokument empfängt, wird es für diese Verarbeitungstätigkeit zum Verantwortlichen oder Auftragsverarbeiter. Es muss Nutzern mitteilen, welche Daten aus der Datei erhoben werden, wie lange die Datei auf seinen Servern gespeichert wird und ob die Datei oder extrahierte Metadaten an Dritte weitergegeben werden.
Viele Tools verbergen diese Offenlegungen in mehrseitigen Datenschutzrichtlinien in juristischer Sprache. Dieser Ansatz ist nun ein primäres Durchsetzungsziel. Die CEF-Kampagne 2026 des EDPB wird prüfen, ob Hinweise tatsächlich zugänglich sind, nicht nur technisch vorhanden.
Wie Browserbasierte Verarbeitung Die Gleichung Verändert
Ein Tool, das Dateien vollständig im Browser des Nutzers mithilfe von WebAssembly verarbeitet, empfängt die Datei auf keinem Server. Die Datei verlässt das Gerät des Nutzers nicht. Kein Dokumenteninhalt wird von der Infrastruktur des Tools verarbeitet.
Wenn aus der Dateiverarbeitung selbst keine personenbezogenen Daten erhoben werden, gelten die Transparenzpflichten der Artikel 13 und 14 für diese Verarbeitungstätigkeit nicht. Es gibt keinen Datenerhebungsvorgang, der offengelegt werden müsste, keine Aufbewahrungsfrist, die angegeben werden müsste, und keine Drittübermittlung, die beschrieben werden müsste.
Das ist keine Compliance-Abkürzung. Es ist eine strukturelle Konsequenz des Verarbeitungsorts. Browserbasierte Datei-Tools eliminieren durch ihr Design eine gesamte Kategorie von DSGVO-Risiken. Sie können weiterhin Transparenzpflichten für andere erhobene Daten unterliegen (Analysen, Kontaktformulare, Kontoerstellung), aber die Dateiverarbeitung selbst liegt außerhalb des Anwendungsbereichs.
Was Betreiber Jetzt Tun Sollten
Für Betreiber cloudbasierter Datei-Tools mit europäischen Nutzern ist die CEF-Maßnahme 2026 ein Signal zur sofortigen Prüfung der Datenschutzhinweise. Der EDPB hat Leitlinien zu den Artikeln 12 bis 14 veröffentlicht. Die konkreten Fragen:
- Ist der Datenschutzhinweis sichtbar an dem Punkt, an dem Nutzer Dateien hochladen?
- Erklärt er in klarer Sprache, was mit hochgeladenen Dateien geschieht und wie lange?
- Nennt er Auftragsverarbeiter oder Unterauftragsverarbeiter, die Dateidaten verarbeiten?
- Gibt es einen klaren Ansprechpartner für Anfragen betroffener Personen?
DSBs können sich proaktiv mit Fragebögen melden oder formelle Untersuchungen auf Basis von Beschwerden einleiten. Beide Wege können zu Korrekturanordnungen und Bußgeldern führen.
Für browserbasierte Tools: Dokumentieren und kommunizieren Sie, dass Dateien lokal verarbeitet werden. „Dateien verlassen Ihr Gerät nicht” ist nicht nur ein Marketingversprechen. Im Kontext der Durchsetzungswelle 2026 ist es eine wesentliche Compliance-Aussage.
Quellen
- CEF 2026: EDPB Launches Coordinated Enforcement Action on Transparency (EDPB)
- Coordinated Enforcement Framework: EDPB Selects Topic for 2026 (EDPB)
- What the EDPB’s 2026 Focus on Transparency Means for Online Businesses (iubenda)
- EDPB to Focus on Transparency in 2026 Enforcement (Inside Privacy)
- EDPB Selects Topic for 2026 Coordinated Enforcement Action (Hunton Andrews Kurth)
- GDPR Audit Priorities for 2026: Transparency and Information Obligations (Ailance)
- GDPR Transparency Duties: Information Obligations under Articles 12 to 14 (CMS Law Now)
- Europe Fines Big Tech Over EUR 1.2 Billion under GDPR in 2025 (Bitdefender)