EU-Datenschutzbehörden starten Großaktion zu Transparenzpflichten

Europäische Datenschützer starten eine koordinierte Überprüfung der Informationspflichten von Unternehmen gegenüber Anlegern und Aktionären. Die Aktion im Frühjahr 2026 konzentriert sich auf die Transparenzvorschriften der Datenschutz-Grundverordnung (DSGVO).

Die Prüfung erfolgt in einer entscheidenden Phase der digitalen Regulierung in der EU. Die Konsultation zum „Digital Omnibus“, einem Vorschlag zur Vereinfachung der DSGVO- und KI-Verordnung-Einhaltung, endete erst im März 2026. Der Markt beobachtet nun, wie sich diese Gesetzesänderungen mit der verschärften Kontrolle des Umgangs mit Investorendaten vereinbaren lassen.

Lücken in der Dokumentation können bei derartigen Prüfungen schnell zu hohen Bußgeldern von bis zu 2 % des Jahresumsatzes führen. Eine kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher gemäß Art. 30 DSGVO zu erstellen. DSGVO-Excel-Vorlage jetzt gratis herunterladen

Schwerpunkt auf klare Kommunikation

Der diesjährige Durchsetzungsschwerpunkt unter dem Coordinated Enforcement Framework (CEF) markiert eine strategische Wende. Nach dem „Recht auf Vergessenwerden“ 2025 rücken nun die grundlegenden Transparenzartikel 12 bis 14 der DSGVO in den Fokus. Diese verpflichten Unternehmen, Informationen über Datenverarbeitung „in präziser, verständlicher und leicht zugänglicher Form“ bereitzustellen.

Für börsennotierte Gesellschaften bedeutet das: Ihre Datenschutzhinweise für Aktionäre müssen die Rechtsgrundlage der Datenerhebung, Aufbewahrungsfristen und Details zu Datenübermittlungen an Dritte klar darlegen. Nationale Behörden haben zuletzt anhaltende Mängel bei der Offenlegung der Zwecke von Datenaustausch mit Finanzintermediären und Steuerbehörden festgestellt.

Die Kosten der Nichtbefolgung bleiben hoch. Zwar sank das Gesamtvolumen der DSGVO-Bußgelder in Europa 2024 im Vergleich zum Vorjahr um etwa ein Drittel. Doch dies lag vor allem am Ausbleiben neuer Rekordstrafen gegen Tech-Giganten. Die Anzahl der Durchsetzungsmaßnahmen im Finanzdienstleistungs- und Energiesektor nimmt weiter zu.

Schnittstelle zu Finanzberichterstattung

Parallel verschärft die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) ihren Blick auf das Zusammenspiel von Datenschutz und Unternehmenspublizität. In ihrer jüngsten Bewertung bezog sich fast die Hälfte aller Durchsetzungsmaßnahmen auf Angaben nach der EU-Taxonomie-Verordnung.

Besonderes Augenmerk liegt auf dem European Single Electronic Format (ESEF). Prüfungen Tausender Einreichungen offenbarten eine bemerkenswerte Rate an Verstößen, oft durch verspätete Einreichung oder fehlende maschinenlesbare Formate. Diese digitalen Berichtspflichten sind für Markttransparenz essenziell, stellen Unternehmen beim Umgang mit sensiblen Aktionärsdaten aber vor komplexe Herausforderungen.

Zudem treibt die Umsetzung der FASTER-Richtlinie zur Beschleunigung von Steuerrückerstattungen eine Überholung der Anlegeridentifikationsprozesse voran. Die 2024 verabschiedete Richtlinie führt digitale Steueransässigkeitsbescheinigungen ein. Die vollständige Anwendung ist erst für 2030 geplant, doch die Anforderung an Echtzeit-Datenaustausch zwingt Firmen bereits jetzt, ihre Datenschutzrahmen zu modernisieren.

Persönliche Haftung für Vorstände rückt in den Fokus

Eine bedeutende Entwicklung ist die wachsende Betonung der persönlichen Verantwortung von Führungskräften. Die Einhaltung der DSGVO wird nicht länger als rein operative Aufgabe der Rechtsabteilung gesehen, sondern als direkte Aufsichtspflicht für Vorstände und Geschäftsführung.

In mehreren EU-Staaten prüfen Datenschutzbehörden bereits die Rolle einzelner Direktoren bei systematischen Transparenzversäumnissen. Dieser Wandel spiegelt Anforderungen aus anderen EU-Gesetzen wie der NIS2-Richtlinie wider, die aktives Engagement der Führungsebene beim Management digitaler Risiken betont.

Da die Compliance-Anforderungen für die Führungsebene stetig wachsen, bietet dieser kostenlose Umsetzungsleitfaden zum EU AI Act eine wichtige Orientierungshilfe. Erfahren Sie in 5 Schritten alles über Fristen, Pflichten und Risikoklassen, um rechtlich auf der sicheren Seite zu bleiben. Kostenlosen KI-Verordnung-Guide sichern

Auch die überarbeiteten OECD-Grundsätze der Corporate Governance unterstreichen diesen Trend. Sie fördern einen robusteren Dialog zwischen Unternehmen und Aktionären über Risikomanagement – einschließlich der ethischen Datenerhebung und -nutzung, besonders bei Integration von KI in Investor Relations.

Zwischen Vereinfachung und hohen Standards

Die aktuelle Regulierungslage zeigt einen zweigleisigen Ansatz der EU-Kommission: Sie strebt durch den Digital Omnibus „digitale Fitness“ und weniger Bürokratie an, will aber gleichzeitig hohe Standards für Grundrechte wahren. Während kleine und mittlere Unternehmen entlastet werden sollen, bleiben die Transparenzanforderungen für große börsennotierte Konzerne enorm.

Marktbeobachter sehen nach dem Ende der Konsultation noch Unklarheiten, etwa zur Zukunft von Cookie-Bannern. Zivilgesellschaftliche Gruppen warnen, dass eine „weichere“ Durchsetzung zu einem Abbau digitaler Schutzrechte führen könnte.

International bewegt sich viel: Die Einführung des American Privacy Rights Act in den USA 2024 signalisiert einen möglichen Schritt zu einem einheitlichen Bundesrahmen, der viele DSGVO-Prinzipien spiegelt. Diese globale Konvergenz zwingt multinationale Konzerne zu einem „Goldstandard“ im Datenschutz, da getrennte Systeme für verschiedene Regionen immer kostspieliger und riskanter werden.

Ausblick: Mehr Audits und Investitionen nötig

Für den Rest des Jahres 2026 müssen sich Unternehmen auf häufigere Prüfungen ihrer Datenschutzerklärungen und Verarbeitungsverzeichnisse einstellen. Die Ergebnisse der koordinierten Aktion, die Anfang 2027 vorliegen sollen, werden den Ton für künftige Durchsetzung und mögliche weitere DSGVO-Änderungen vorgeben.

Die Transformation bis zur FASTER-Frist 2030 bleibt ein Haupttreiber für Investitionen in Datenmanagement-Technologie. Finanzinstitute und Emittenten müssen sicherstellen, dass ihre Systeme zur Identifikation wirtschaftlich Berechtigter sowohl steuerrechtlich als auch datenschutzkonform sind.

Vorstände sollten in den kommenden Monaten die Überprüfung ihrer Transparenzhinweise priorisieren. Diese müssen nicht nur korrekt, sondern auch für den durchschnittlichen Anleger verständlich sein. Nur so lassen sich regulatorische Strafen und die zunehmende Gefahr von Aktionärsklagen wegen Datenpannen wirksam reduzieren.

de | boerse | 69117588 |