Strategische Säulen im EDSA-Arbeitsprogramm 2026–2027

Am 11. Februar 2026 hat der Europäische Datenschutzausschuss (EDSA) sein Arbeitsprogramm 2026–2027 beschlossen. Dieses Dokument ist mehr als eine Aufgabenliste: Es steckt den strategischen Kurs ab und übersetzt zugleich die tägliche Praxis in konkrete Vorhaben für die kommenden zwei Jahre. Gleichzeitig ist es bereits das zweite Programm, das die EDSA-Strategie 2024–2027 mit Leben füllt und knüpft dabei an die Zusagen aus der „Erklärung von Helsinki“ an, die vor allem mehr Orientierung, stärkere Unterstützung und einen intensiveren Dialog mit Stakeholdern in den Mittelpunkt rückt.

Damit das Ganze nicht abstrakt bleibt, ordnet der EDSA seine Pläne konsequent in vier Pfeiler ein. Jeder Pfeiler steht für einen eigenen Schwerpunkt und erst im Zusammenspiel wird deutlich, worauf der Ausschuss 2026 und 2027 wirklich setzt: praxistaugliche Leitlinien, verlässlichere Durchsetzung, eine Antwort auf neue Digitalregeln und ein stärkerer internationaler Auftritt.

Pfeiler I – Harmonisierung vorantreiben und Compliance erleichtern

Wer die DSGVO in der Praxis anwendet, kennt die typischen Reibungspunkte: Begriffe sind auslegungsbedürftig, Situationen wiederholen sich und doch fehlt oft ein gemeinsames, europäisch konsistentes Verständnis. Genau hier setzt der erste Pfeiler an. Der EDSA will zügig verfügbare, kurze und anwendungsnahe Leitlinien zu zentralen Themen veröffentlichen und damit die Harmonisierung stärken.

Leitlinien zu Schlüsselthemen: von Anonymisierung bis Forschung

Ein Schwerpunkt liegt auf Anonymisierung und Pseudonymisierung. Für die Anonymisierung ist vorgesehen, die praktische Handhabung des Konzepts deutlicher zu konturieren. Bei der Pseudonymisierung ist der Prozess bereits weiter: Eine Entwurfsfassung wurde schon für eine öffentliche Konsultation angenommen. Als nächster Schritt soll die Endfassung finalisiert werden. Begleitend fließen Erfahrungen aus Dialogformaten, Stakeholder-Terminen und Konsultationen in die Ausarbeitung ein, also genau das, was später in Unternehmen, Behörden und Projekten tatsächlich funktioniert oder eben nicht.

Ähnlich läuft es beim Thema „berechtigtes Interesse“. Auch hier liegt bereits eine Konsultationsversion vor, die nun in eine endgültige Fassung überführt werden soll. Zusätzlich will der EDSA den Praxisnutzen erhöhen, indem EU-weit nutzbare Vorlagen für Legitimate-Interest-Assessments entwickelt werden. Gerade für kleinere Organisationen kann das den Unterschied zwischen Theorie und tatsächlich umsetzbarer Dokumentation ausmachen.

Ein weiterer Block betrifft Daten von Kindern. Der EDSA kündigt Leitlinien an, die typische Streit- und Auslegungsfragen systematisch adressieren. Bemerkenswert ist der ausdrücklich betonte Blick auf die Schutzbedürftigkeit: Kinder werden als besonders vulnerable betroffene Personen eingeordnet. Deshalb soll es nicht bei juristisch-technischen Papieren bleiben. Ergänzend sind Informationsmaterialien und Werkzeuge geplant, die Nicht-Expertinnen und Nicht-Experten, Einzelpersonen und ausdrücklich auch Kinder selbst erreichen: verständlich, zugänglich und weniger „Behördensprache“.

Hinzu kommen Leitlinien zu „Consent or Pay“-Modellen, also Konstellationen, in denen Nutzerinnen und Nutzer entweder einwilligen oder bezahlen sollen. Der EDSA will dieses Modell klarer einordnen und eine einheitliche Anwendung unterstützen. Auch hier gilt: Die Ausarbeitung soll sich spürbar an realen Markterfahrungen orientieren, statt ausschließlich am Reißbrett zu entstehen.

Auch die Datenverarbeitung für wissenschaftliche Forschungszwecke wird als eigener Leitlinienstrang geführt. Geplant sind Orientierungshilfen, die typische Reibungen zwischen Forschungsinteresse, Transparenzanforderungen und geeigneten Garantien in die Praxis übersetzen.

Und weil Datenschutz nicht bei der DSGVO endet, enthält Pfeiler I ebenfalls Vorhaben zur Law Enforcement Directive (LED). Der EDSA will Leitlinien zu den Rechten betroffener Personen unter der LED erarbeiten, mit einem deutlichen Schwerpunkt auf dem Auskunftsrecht.

Neu hinzu kommt außerdem ein Themenpaket, das man leicht übersieht, das aber für viele Organisationen hochpraktisch ist: Der EDSA plant ein gezieltes Update der DPO-Leitlinien und will sich gleichzeitig mit der Frage beschäftigen, auf welcher Rechtsgrundlage E-Commerce-Anbieter die Erstellung verpflichtender Nutzerkonten verlangen können (auch dieses Dokument war bereits in einer Konsultationsfassung). Und schließlich hält sich der Ausschuss die Tür offen, aus dem Verfahren heraus Folgearbeiten zu den Auswirkungen des EuGH-Urteils zu Passenger Name Records (PNR) anzustoßen – ein Hinweis darauf, dass auch Urteile außerhalb der „klassischen“ DSGVO-Welt in künftige Leitlinienarbeit hineinwirken können.

Werkzeuge für KMU und ein breites Publikum: weniger Hürden, mehr Standardisierung

Nach den Leitlinien folgt der sehr praxisnahe Teil dieses Pfeilers: Hilfsmittel, die die Umsetzung vereinfachen sollen und zwar nicht nur für Rechtsabteilungen, sondern explizit für KMU und Menschen ohne Spezialwissen.

So sollen EU-Vorlagen für Meldungen von Datenschutzverletzungen entstehen. Ziel ist, dass Verantwortliche und Auftragsverarbeiter schneller erkennen, welche Angaben typischerweise erforderlich sind und wie eine Meldung strukturiert werden kann ohne bei Null anfangen zu müssen.

Dazu passen Templates für Datenschutz-Folgenabschätzungen (DSFA/DPIA). Gerade für kleinere Unternehmen ist die DSFA häufig die Stelle, an der Projekte ins Stocken geraten. Nicht weil kein Wille da wäre, sondern weil die Struktur fehlt. Ein EU-weit anschlussfähiges Template kann hier helfen, Erwartungshorizonte zu vereinheitlichen und Arbeitsschritte nachvollziehbarer zu machen.

Ergänzt wird das Ganze durch Checklisten, FAQs, anschauliche Beispiele und How-to-Leitfäden, die ausdrücklich auf bestehende nationale Initiativen und den konkreten Bedarf von KMU aufbauen sollen. Und weil Informationspflichten und „Papierlage“ in der Praxis oft genauso entscheidend sind wie die eigentliche Verarbeitung, will der EDSA sein Template-Set nicht nur um Verarbeitungsverzeichnisse, sondern auch um EU-Vorlagen für Datenschutzhinweise bzw. Privacy Notices/Policies erweitern.

Parallel dazu sollen zusätzliche „Informationsströme“ für ein breites Publikum ausgebaut werden – als verständliche Ergänzung zu juristisch-technischen Texten und ausdrücklich auch für vulnerable Gruppen wie Kinder.

Compliance-Instrumente: Zertifizierung, Verhaltensregeln und Akkreditierung

Damit Praxis nicht nur über Leitlinien funktioniert, sondern auch über anerkannte Instrumente, spielt in Pfeiler I außerdem das Thema Zertifizierung eine große Rolle. Der EDSA will Stellungnahmen zu Akkreditierungsanforderungen für Zertifizierungsstellen sowie zu Zertifizierungskriterien erarbeiten; dabei steht auch das Europäische Datenschutzsiegel im Fokus. Parallel soll es mehr Austausch mit Stakeholdern geben, um das Verständnis zu stärken, wie Zertifizierungen und Codes of Conduct tatsächlich wirksam eingesetzt werden können. Ergänzt wird das durch interne Trainings und Workshops, damit Best Practices schneller innerhalb der Behördenlandschaft zirkulieren.

Eng damit verknüpft sind Verhaltensregeln (Codes of Conduct). Auch hier kündigt der EDSA Stellungnahmen an. Zum einen zu den Anforderungen an Überwachungsstellen, zum anderen zu konkreten Verhaltensregeln selbst, soweit sie nach der DSGVO eine europäische Dimension haben. Damit solche Instrumente europaweit tragen, soll außerdem die Akkreditierung der relevanten Stellen durch einheitliche Maßstäbe abgesichert werden.

Beratung der EU-Gesetzgebung: nicht nur „allgemein“, sondern auch gemeinsam

Der EDSA bleibt zudem in seiner Beratungsrolle gegenüber dem EU-Gesetzgeber aktiv. Auffällig ist dabei, dass das Programm diese Funktion nicht nur allgemein beschreibt, sondern auch ausdrücklich die gemeinsamen Stellungnahmen mit dem EDPS im Rahmen von Joint Opinions erwähnt, etwa als Reaktion auf Anfragen der Kommission, beispielhaft genannt wird hier ein „Digital Omnibus“.

Pfeiler II – Gemeinsame Durchsetzungskultur stärken und Zusammenarbeit effizienter machen

Nach der Harmonisierung kommt die zweite große Frage: Was passiert, wenn Datenschutz nicht eingehalten wird und wie gelingt eine konsistente Durchsetzung über Ländergrenzen hinweg? Pfeiler II dreht sich genau darum: Kooperation, Kohärenz und operative Unterstützung sollen so weiterentwickelt werden, dass Verfahren weniger stocken, Behörden besser zusammenarbeiten und Entscheidungen innerhalb Europas stärker zusammenpassen.

Kooperationsinstrumente: Beschwerden, Amtshilfe, Dringlichkeit, Bußgelder und bessere Daten über die Durchsetzung

Bei der Beschwerdebearbeitung zielt der EDSA darauf ab, die Verfahren nach Kapitel VII DSGVO praktikabler und effizienter zu machen. Dafür sollen die Leitlinien zu Artikel 60 DSGVO überarbeitet werden mit besonderem Blick auf die Vorbereitungsschritte, die häufig darüber entscheiden, ob ein Verfahren sauber läuft oder sich früh verhakt. Zusätzlich sind neue Leitlinien geplant, die sich ausdrücklich mit der frühzeitigen Beilegung von Beschwerden befassen.

Auch die gegenseitige Amtshilfe nach Artikel 61 DSGVO soll durch eigene Leitlinien klarer gefasst werden. Ähnlich wird es beim Dringlichkeitsverfahren nach Artikel 66 DSGVO: Der EDSA plant Leitlinien, die den Umgang mit diesen Situationen vereinheitlichen sollen, und bleibt zugleich als Organ aktiv, das in solchen Konstellationen Entscheidungen oder Stellungnahmen annimmt.

Und weil Sanktionen in der Praxis ein Dauerbrenner sind, steht auch eine Aktualisierung der früher von der Artikel-29-Gruppe erarbeiteten und vom EDSA gebilligten Leitlinien zur Anwendung und Bemessung administrativer Geldbußen auf der Agenda. Neu als eigener Baustein kommt hinzu, dass der EDSA sich auch um eine konsistentere Berichterstattung und Statistik zu Durchsetzungsaktivitäten kümmern will: Also darum, Vollzugsdaten vergleichbarer zu machen und die Durchsetzung nicht nur fallbezogen, sondern auch strukturell besser auswerten zu können.

Operative Unterstützung: CEF, Expertenpool, Entsendungen und Task Forces

Neben Leitlinien setzt Pfeiler II stark auf praktische Unterstützungsstrukturen. Ein Schlüsselprojekt ist das Coordinated Enforcement Framework (CEF). Für 2026 ist eine Aktion vorgesehen, die die Transparenz- und Informationspflichten (Artikel 12 bis 14 DSGVO) in den Mittelpunkt stellt. Für 2027 ist bereits eine weitere koordinierte Maßnahme angekündigt. Das konkrete Thema soll allerdings erst feststehen, wenn die 2026er Aktion abgeschlossen ist.

Flankiert wird das durch den Support Pool of Experts, der den Austausch zu Methodik und Praxis stärker strukturieren soll, sowie durch das Secondment-Programm, das Personalaustausch zwischen Behörden weiterentwickelt. Für Fälle, die besonders enges Zusammenspiel erfordern, sieht das Programm außerdem die Einrichtung von Task Forces als operative Plattform vor.

Kohärenzmechanismus und IT: Einheitlichkeit durch Verfahren und durch Systeme

Ein zentrales Element der europäischen Datenschutzarchitektur bleibt das Kohärenzverfahren. Der EDSA bekräftigt seine Rolle als Streitbeilegungsstelle für verbindliche Entscheidungen nach Artikel 65 DSGVO und will weiterhin Stellungnahmen nach Artikel 64 DSGVO verabschieden, um nationale Entscheidungen stärker zu synchronisieren. Gleichzeitig soll der Blick stärker darauf gerichtet werden, nationale Leitlinien und EDSA-Guidance aktiv anzugleichen, sobald sich inhaltliche Brüche oder Inkonsistenzen zeigen, damit Divergenzen nicht jahrelang parallel weiterlaufen.

Weil Verfahren heute nicht nur juristisch, sondern auch technisch funktionieren müssen, enthält Pfeiler II außerdem eine IT-Komponente: Das Binnenmarkt-Informationssystem (IMI) soll weiterentwickelt werden, unter anderem mit Blick auf neue Verfahrensregeln und digitale Rechtsakte. Außerdem soll die Anbindung nationaler Systeme an IMI vorangebracht werden, begleitet von einer generellen Weiterentwicklung der IT-Lösungen aus dem Sekretariat.

Pfeiler III – Datenschutz in der neuen digitalen Regulierungslandschaft absichern

Während Pfeiler I und II stark aus der DSGVO-Welt heraus gedacht sind, reagiert Pfeiler III auf ein Umfeld, in dem Datenschutz immer häufiger mit anderen Regeln kollidiert oder ineinandergreift. Neue Digitalgesetze und technische Entwicklungen sorgen dafür, dass Fragen nicht mehr nur „DSGVO ja/nein“ heißen, sondern: Wie passt die DSGVO zu AI Act, DMA, DSA, AML-Regeln oder politischer Werbung und wer koordiniert das?

Interplay: DSGVO trifft AI Act, DMA, DSA, AML und Regeln zu politischer Werbung

Zum Verhältnis von KI-Verordnung (AI Act) und DSGVO plant der EDSA gemeinsame Leitlinien. Für den Digital Markets Act (DMA) sind gemeinsame Leitlinien mit der EU-Kommission vorgesehen, zum Digital Services Act (DSA) eigene Leitlinien. Auch politische Werbung und das Zusammenspiel zwischen Datenschutz und AML/CFT-Anforderungen werden als eigene Arbeitsstränge geführt.

Damit diese Interplay-Arbeit nicht nur aus Einzelpapieren besteht, setzt der EDSA zusätzlich auf „Infrastruktur“ für die neue Querschnittswelt: Geplant sind Good Practices für die behördenübergreifende Kooperation und den Informationsaustausch zwischen Regulatoren – und sogar ein Template für Kooperationsvereinbarungen in dieser cross-regulatorischen Landschaft.

Forenpräsenz: mehr als zwei Gremien

Der EDSA will weiterhin aktiv in einschlägigen Foren präsent sein. Neben der DMA High Level Group und dem European Board for Digital Services wird im Programm ausdrücklich auch der European Data Innovation Board genannt. Ein Detail, das gut zeigt, wie breit die Schnittstellen mittlerweile geworden sind.

Technologie-Monitoring: Generative KI, Telemetrie und Blockchain

Parallel zur Rechtssetzung läuft die Technologieentwicklung und genau deshalb will der EDSA neue Technologien nicht nur beobachten, sondern mit konkreten Leitfäden begleiten. Geplant sind Leitlinien zu generativer KI und Data Scraping, zu Telemetrie- und Diagnosedaten sowie zur Blockchain. Der programmatische Rahmen bleibt dabei eindeutig: Der EDSA betont den Anspruch eines menschenzentrierten Ansatzes, der bei Entwicklung und Einsatz solcher Systeme leitend sein soll.

Wettbewerb als Partnerfeld und mehr Austauschformate

Eine weitere Achse von Pfeiler III ist die Zusammenarbeit mit Wettbewerbsbehörden. Geplant sind gemeinsame Leitlinien zum Verhältnis zwischen Datenschutzrecht und Wettbewerbsrecht, ergänzt durch Austauschformate bis hin zu öffentlichen Veranstaltungen zu neuen Interplay-Entwicklungen.

Und weil viele dieser Themen inzwischen direkt in Gesetzgebungs- und Institutionenprozesse hineinreichen, will der EDSA auch die Zusammenarbeit mit EU-Gesetzgebern und EU-Institutionen weiter pflegen – ausdrücklich genannt wird, dass man bei Bedarf auf Entwicklungen rund um den digitalen Euro sowie das Paket zu financial data access und payments reagieren will.

Pfeiler IV – Datenschutz global mitgestalten

Wenn Pfeiler II die Durchsetzung innerhalb Europas festigt, erweitert Pfeiler IV die Perspektive nach außen. Der EDSA versteht sich zunehmend als Akteur, der internationale Standards mitprägt und zugleich konkrete Leitplanken für grenzüberschreitende Datenübermittlungen setzt.

Transfermechanismen: Angemessenheit, BCR, SCC und zusätzliche Bausteine

Bei Angemessenheitsbeschlüssen bleibt der EDSA in einer doppelten Rolle: Einerseits sollen weiterhin Stellungnahmen erarbeitet und Überprüfungen durchgeführt werden, andererseits ist die enge Zusammenarbeit mit den Datenschutzbehörden jener Länder vorgesehen, für die bereits ein Angemessenheitsbeschluss besteht.

Für Binding Corporate Rules (BCR) kündigt der EDSA an, weiterhin Stellungnahmen abzugeben und zugleich den Genehmigungsprozess zu straffen, um ihn effizienter zu machen. Zusätzlich soll das Referenzdokument für BCR von Auftragsverarbeitern aktualisiert werden, flankiert von Trainings und Workshops.

Auch Standardvertragsklauseln (SCC) bleiben ein Schwerpunkt: Der EDSA will Stellungnahmen zu SCC und Ad-hoc-Klauseln erarbeiten, um die praktische Umsetzung internationaler Transfers weiter zu präzisieren. Neu ist, dass das Programm darüber hinaus ausdrücklich Stellungnahmen zu „administrative arrangements“ vorsieht und Zertifizierung als Transfer-Instrument als eigenes Opinion-Thema benennt und damit ein Signal setzt, dass Tr

Kooperation mit Drittstaaten: Durchsetzung endet nicht an Grenzen

Der internationale Teil bleibt nicht bei Transferinstrumenten stehen. Das Programm macht deutlich, dass die Zusammenarbeit mit Drittstaaten – insbesondere in der Rechtsdurchsetzung – weiter gestärkt werden soll. Geplant ist, die grenzüberschreitende Kooperation zwischen EDSA-Mitgliedern und Behörden außerhalb des EWR leichter nutzbar zu machen und gezielt auszubauen. Gleichzeitig wird die vertiefte Zusammenarbeit mit Ländern und Organisationen mit Angemessenheitsstatus fortgeführt.

Präsenz in internationalen Foren

Abgerundet wird Pfeiler IV durch das Vorhaben, den Informationsaustausch und die Koordination unter jenen EDSA-Mitgliedern zu unterstützen, die in internationalen Foren aktiv sind. Der Zweck ist klar: In globalen Debatten soll Europa nicht als Sammelsurium einzelner Stimmen auftreten, sondern mit stärkerer Abstimmung Einfluss auf Datenschutzstandards nehmen – kontinuierlich, nicht nur punktuell.

Was sich daraus ablesen lässt

In der Gesamtlinie bleibt der Kurs klar: Der EDSA will mehr praktische Umsetzbarkeit (Leitlinien plus Templates – inklusive Privacy-Notice-Vorlagen), eine engere und messbarere Vollzugszusammenarbeit (bis hin zu einheitlicheren Enforcement-Statistiken und dem Angleich nationaler Guidance), und gleichzeitig handlungsfähig bleiben, wenn sich Datenschutz mit AI Act, DMA/DSA, AML-Regeln oder neuen Finanz-Initiativen verschränkt. Und im globalen Teil wird sichtbar, dass Transfermechanismen breiter gedacht werden sollen – nicht nur über SCC/BCR, sondern auch über administrative Arrangements und Zertifizierung als Transfer-Hebel.