Datenschutzerklärung und Informationspflichten (Art. 12 bis 14 DSGVO)
Wann eine Datenschutzerklärung erforderlich ist, welche Pflichtangaben sie enthalten muss und wie sie aufgebaut wird: Überblick zu den Informationspflichten nach Art. 12, 13 und 14 DSGVO.
Die Datenschutzerklärung ist das zentrale Instrument, mit dem der Verantwortliche seine Informationspflichten erfüllt. Was sie enthalten muss, ergibt sich aus Art. 13 DSGVO (Erhebung beim Betroffenen) und Art. 14 DSGVO (Erhebung aus anderen Quellen); wie die Information aufzubereiten und bereitzustellen ist, regelt Art. 12 DSGVO. Treffender als „Datenschutzerklärung" ist der Begriff Datenschutzhinweise, denn es geht um eine reine Information, nicht um eine Erklärung oder Zustimmung der betroffenen Person.
Das Wichtigste in Kürze
- Auslöser ist die Datenerhebung: bei Erhebung beim Betroffenen greift Art. 13 DSGVO, bei Erhebung aus anderen Quellen Art. 14 DSGVO.
- Die Information ist grundsätzlich zum Zeitpunkt der Erhebung zu erteilen (Art. 13) bzw. innerhalb einer kurzen Frist nach der Erlangung (Art. 14).
- Inhalt sind feste Pflichtangaben (Verantwortlicher, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer, Rechte und weitere), getrennt nach Direkt- und Dritterhebung.
- Es handelt sich um reine Information, nicht um eine Einwilligung: kein Häkchen, keine Kopplung an einen Vertragsschluss.
- Ein Verstoß ist bußgeldbewehrt (Art. 83 Abs. 5 lit. b DSGVO); die Information muss unentgeltlich bereitgestellt werden.
1. Wann eine Datenschutzerklärung erforderlich ist
1.1 Auslöser: Direkt- oder Dritterhebung
Die Informationspflicht knüpft an die Erhebung personenbezogener Daten an. Maßgeblich ist, woher die Daten stammen:
- Erhebung beim Betroffenen (Art. 13 DSGVO): Die betroffene Person ist selbst die Quelle, etwa beim Ausfüllen eines Formulars, bei der Registrierung oder durch Beobachtung ihres Verhaltens (Videoüberwachung, Sensoren, Tracking). Die Information ist zum Zeitpunkt der Erhebung zu erteilen.
- Erhebung aus anderen Quellen (Art. 14 DSGVO): Die Daten stammen von Dritten, aus öffentlich zugänglichen Quellen oder von Datenhändlern. Die Information ist innerhalb einer angemessenen Frist, spätestens binnen eines Monats, zu erteilen, unter Umständen früher.
Eine Datenschutzerklärung wird also nicht „für die Website" oder „für das Unternehmen" geschuldet, sondern für jede Verarbeitung, die personenbezogene Daten erhebt. In der Praxis bündelt man die Angaben zu vielen gleichartigen Verarbeitungen in einem Dokument.
1.2 Typische Anwendungsfälle
Sinnvoll ist, die Hinweise nach Zielgruppen zu ordnen und für besondere Verarbeitungssituationen eigene Hinweise vorzuhalten.
| Ebene | Beispiele |
|---|---|
| Allgemeine Hinweise nach Zielgruppe | Kunden und Geschäftspartner, Beschäftigte, Bewerber, Websitebesucher |
| Besondere Dienste und Angebote | Apps, Webanwendungen (SaaS, Cloud), Onlineshop, Newsletter, Nutzerkonto |
| Besondere Verarbeitungssituationen | Videoüberwachung, Gäste-WLAN, Zeiterfassung, Fotos auf Veranstaltungen |
Eine allgemeine Datenschutzerklärung deckt die Standardfälle ab; für Situationen, die der Betroffene nicht ohne Weiteres erwartet, sind gesonderte, kontextnahe Hinweise erforderlich (dazu die Gestaltung).
1.3 Reine Information, keine Zustimmung
Die Datenschutzerklärung informiert; sie verlangt keine Zustimmung. Daraus folgt für die Praxis:
- Kein Häkchen zur Datenschutzerklärung bei der Registrierung. Wer ein Bestätigungskästchen verlangt, suggeriert eine Einwilligung, die hier weder nötig noch gewollt ist (zur Einwilligung als Rechtsgrundlage).
- Kein Vertragsbestandteil. In AGB gehört allenfalls ein Verweis auf die Datenschutzhinweise, nicht deren Inhalt.
- Unentgeltlich. Die Information darf nicht von einer Zahlung oder vom Kauf einer Leistung abhängig gemacht werden (Art. 12 Abs. 5 S. 1 DSGVO).
2. Wozu sie dient
Die Datenschutzerklärung erfüllt zugleich mehrere Funktionen, die man bei der Gestaltung im Blick behalten sollte:
- Gegenüber Betroffenen: Information und Außendarstellung; sie ist Voraussetzung dafür, dass Betroffene ihre Rechte überhaupt ausüben können.
- Gegenüber Aufsichtsbehörden: Absicherung und Vermeidung von Bußgeldern; eine fehlende oder unvollständige Information ist eigenständig bußgeldbewehrt (Art. 83 Abs. 5 lit. b DSGVO).
- Gegenüber Wettbewerbern und Anwälten: Verringerung des Abmahn- und Schadensersatzrisikos.
- Für das eigene Unternehmen: Wer die Datenschutzerklärung sorgfältig erstellt, muss die eigenen Verarbeitungen, ihre Zwecke und Rechtsgrundlagen durchdenken. Das Dokument ist damit auch ein internes Prüf- und Strukturierungswerkzeug.
3. Welche Angaben hineingehören
Die folgende Übersicht ordnet jede Pflichtangabe ihrer Rechtsgrundlage zu und zeigt, ob sie bei Direkt- oder Dritterhebung geschuldet ist. Die letzte Spalte nennt, wann die Angabe ausnahmsweise entfallen kann. Die Details, Beispiele sowie die Do's und Don'ts stehen auf den verlinkten Unterseiten.
| Pflichtangabe | Direkterhebung (Art. 13) | Dritterhebung (Art. 14) | Kann entfallen, wenn |
|---|---|---|---|
| Verantwortlicher (Name, Kontakt, ggf. Vertreter) | Abs. 1 lit. a | Abs. 1 lit. a | bereits bekannt |
| Datenschutzbeauftragter (Kontakt) | Abs. 1 lit. b | Abs. 1 lit. b | kein DSB / bereits bekannt |
| Zwecke und Rechtsgrundlage | Abs. 1 lit. c | Abs. 1 lit. c | bereits bekannt |
| Berechtigte Interessen (bei Art. 6 Abs. 1 lit. f) | Abs. 1 lit. d | Abs. 2 lit. b | keine Stützung auf lit. f |
| Empfänger oder Kategorien von Empfängern | Abs. 1 lit. e | Abs. 1 lit. e | keine Weitergabe / bereits bekannt |
| Drittlandübermittlung und Garantien | Abs. 1 lit. f | Abs. 1 lit. f | kein Drittlandbezug |
| Speicherdauer oder Kriterien | Abs. 2 lit. a | Abs. 2 lit. a | (eng) entbehrlich |
| Betroffenenrechte und Beschwerderecht | Abs. 2 lit. b, d | Abs. 2 lit. c, e | bereits bekannt |
| Widerruf der Einwilligung | Abs. 2 lit. c | Abs. 2 lit. d | keine Einwilligung |
| Bereitstellungspflicht und Folgen | Abs. 2 lit. e | entfällt | nur Direkterhebung |
| Automatisierte Entscheidung und involvierte Logik | Abs. 2 lit. f | Abs. 2 lit. g | keine solche Verarbeitung |
| Kategorien der verarbeiteten Daten | entfällt | Abs. 1 lit. d | nur Dritterhebung |
| Quelle der Daten | entfällt | Abs. 2 lit. f | nur Dritterhebung |
Für jede Pflichtangabe lohnt sich die Prüfung anhand von vier Zuständen: Hinweis erteilt (die Angabe steht in den Hinweisen), bereits bekannt (die Person verfügt schon darüber, Art. 13 Abs. 4 bzw. Art. 14 Abs. 5 lit. a), entbehrlich (nur bei einzelnen Angaben aus Abs. 2 denkbar) oder Ausnahme (nur bei Dritterhebung, Art. 14 Abs. 5). So lässt sich für jede Verarbeitung sauber dokumentieren, warum eine Angabe gemacht wurde oder fehlen darf.
4. Aufbau dieses Kapitels
Allgemeine Anforderungen (Art. 12)
Wie die Information aufbereitet und bereitgestellt wird: präzise, transparent, verständlich, leicht zugänglich; Form, Bildsymbole, Zeitpunkt, Rechtsfolgen.
Inhalt bei Direkterhebung (Art. 13)
Pflichtangaben bei Erhebung beim Betroffenen, Information bei Zweckänderung und die Ausnahme bereits vorhandener Informationen.
Inhalt bei Dritterhebung (Art. 14)
Zusätzliche Angaben (Datenkategorien, Quelle), Zeitpunkt der Information und die vier Ausnahmen des Abs. 5.
Gestaltung und Praxis
Aufbau, Schichtenmodell, Detailtiefe, Bereitstellungswege, typische Fehler, Aktualisierung und Checkliste.
5. Primärquellen
Art. 12 DSGVO
Transparente Information, Kommunikation und Modalitäten.
Art. 13 DSGVO
Informationspflicht bei Erhebung beim Betroffenen.
Art. 14 DSGVO
Informationspflicht bei Erhebung aus anderen Quellen.
WP 260 rev.01
Leitlinien der Artikel-29-Datenschutzgruppe für Transparenz (vom Europäischen Datenschutzausschuss bestätigt).
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Accountability als Grundsatz der DSGVO: Einhaltung und Nachweis der Grundsätze, Dokumentationspflichten, Aufbewahrungsfrist, Beweislast des Verantwortlichen.
Allgemeine Anforderungen an die Information (Art. 12 DSGVO)
Wie die Datenschutzerklärung aufzubereiten und bereitzustellen ist: präzise, transparent, verständlich und leicht zugängliche Form, klare und einfache Sprache, Form der Übermittlung, Bildsymbole, Zeitpunkt und Rechtsfolgen eines Verstoßes nach Art. 12 DSGVO.