Allgemeine Anforderungen an die Information (Art. 12 DSGVO)
Wie die Datenschutzerklärung aufzubereiten und bereitzustellen ist: präzise, transparent, verständlich und leicht zugängliche Form, klare und einfache Sprache, Form der Übermittlung, Bildsymbole, Zeitpunkt und Rechtsfolgen eines Verstoßes nach Art. 12 DSGVO.
Art. 13 und Art. 14 DSGVO bestimmen, was der betroffenen Person mitzuteilen ist. Art. 12 DSGVO regelt, wie das geschieht: Form, Sprache, Zugänglichkeit und Zeitpunkt der Information. Diese Vorgaben gelten für die Datenschutzerklärung unabhängig davon, ob die Daten beim Betroffenen oder aus anderen Quellen erhoben werden.
Das Wichtigste in Kürze
- Die Information muss präzise, transparent, verständlich und leicht zugänglich sowie in klarer und einfacher Sprache abgefasst sein (Art. 12 Abs. 1 S. 1 DSGVO).
- Maßstab der Verständlichkeit ist der durchschnittliche Adressat der jeweiligen Zielgruppe; richtet sich das Angebot an Kinder, gilt ein strengerer Maßstab.
- Zulässig sind Schriftform und elektronische Form; rein mündliche Information genügt nicht.
- Der Verantwortliche muss aktiv informieren: ein bloßes Bereithalten zum Abruf reicht nicht, die Person muss vor der Erhebung tatsächlich Kenntnis nehmen können.
- Ein Verstoß ist bußgeldbewehrt (Art. 83 Abs. 5 lit. b DSGVO) und kann bei willensabhängiger Erhebung die Verarbeitung rechtswidrig machen.
1. Überblick
Art. 12 Abs. 1 S. 1 DSGVO verlangt, dass der Verantwortliche alle Informationen nach Art. 13 und Art. 14 DSGVO in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" übermittelt. Diese Anforderung lässt sich in zwei Gebote zerlegen: ein Genauigkeitsgebot (die Information muss inhaltlich zutreffen und vollständig sein) und ein Verständlichkeitsgebot (sie muss ohne übermäßigen Aufwand nachvollziehbar sein). Beide stehen in einem Spannungsverhältnis: Je vollständiger und kleinteiliger die Angaben, desto schwerer der Text. Die Auflösung dieses Spannungsfelds ist die eigentliche Gestaltungsaufgabe (dazu Gestaltung und Praxis).
Die Vorgaben des Art. 12 konkretisieren den Transparenzgrundsatz (Art. 5 Abs. 1 lit. a DSGVO). Sie belassen dem Verantwortlichen einen erheblichen Gestaltungsspielraum; ein Verstoß lässt sich erst bei grob ungenauer oder unverständlicher Information feststellen.
2. Darstellung
2.1 Verständlichkeit und Zielgruppe
Verständlich ist eine Information, wenn ein typischer Angehöriger der angesprochenen Zielgruppe sie ohne übermäßigen kognitiven oder zeitlichen Aufwand erfassen kann. Der Verantwortliche darf sein Wissen über die Zielgruppe nutzen: Wer personenbezogene Daten von Fachleuten erhebt, darf ein höheres Verständnisniveau voraussetzen als wer sich an die Allgemeinheit oder an Kinder wendet.
Bei Angeboten, die sich an Kinder richten, sind hohe Anforderungen an die Verständlichkeit zu stellen; Wortwahl, Tonfall und Medium müssen kindgerecht sein (Erwägungsgrund 58 DSGVO). Gleiches gilt sinngemäß für andere schutzbedürftige Adressaten. Bei Unsicherheit über die Verständlichkeit empfiehlt sich ein Test mit Personen aus der Zielgruppe (Artikel-29-Datenschutzgruppe, WP 260 rev.01, Leitlinien für Transparenz, angenommen am 11.04.2018, Rn. 9).
2.2 Klare und einfache Sprache
Die Information soll einfach formuliert sein, komplexe Satz- und Sprachstrukturen meiden und auf abstrakte oder mehrdeutige Begriffe verzichten. Besonders die Zwecke und die Rechtsgrundlage müssen klar benannt werden. Unbestimmte Formulierungen, die alles und nichts bedeuten, verfehlen das Transparenzgebot.
| Don't (zu unbestimmt) | Do (konkret) |
|---|---|
| „Wir können Ihre Daten zur Entwicklung neuer Dienste nutzen." | „Wir speichern Ihre Einkaufshistorie und schlagen Ihnen auf dieser Grundlage weitere Produkte vor." |
| „Wir können Ihre Daten zu Forschungszwecken verwenden." | „Wir werten aus, wie Besucher unsere Website nutzen, um sie übersichtlicher zu gestalten." |
| „Wir nutzen Ihre Daten, um personalisierte Dienste anzubieten." | „Wir speichern, welche Artikel Sie angeklickt haben, und zeigen Ihnen dazu passende Werbung." |
Die Beispiele sind den Transparenzleitlinien entnommen (WP 260 rev.01, Rn. 12). Sie zeigen das Muster: Art der Daten, konkrete Verwendung und Folge für die betroffene Person benennen.
Zwei Linien zum Modalverben-Verzicht. Die Aufsichtsbehörden empfehlen, Modalwörter wie „kann", „könnte", „manche", „oft" oder „möglich" ganz zu vermeiden (WP 260 rev.01, Rn. 13). Als Pauschalverbot geht das über die Rechtslage hinaus: Art. 12 Abs. 1 DSGVO verlangt Präzision, nicht den Verzicht auf jedes Modalverb. Wo eine Verarbeitung tatsächlich nur unter Bedingungen stattfindet, ist „kann" sogar zutreffender als eine Behauptung im Indikativ. Die behördliche Linie zielt auf das eigentliche Problem: ein „kann" darf nicht dazu dienen, eine in Wahrheit feststehende Verarbeitung zu verschleiern. Praktisch empfiehlt sich daher: Modalverben dort vermeiden, wo sie Unklarheit erzeugen; dort belassen, wo sie eine echte Bedingung abbilden.
Zur Verständlichkeit trägt auch bei, wiederkehrende Begriffe einmal zu definieren und danach einheitlich zu verwenden, statt dieselbe Datenart oder denselben Zweck in jedem Abschnitt neu zu umschreiben. Wer etwa die bei jedem Seitenaufruf automatisch anfallenden Daten (IP-Adresse, Zeitpunkt, abgerufene Seite, Angaben zu Browser und Gerät) einmal als „Zugriffsdaten" definiert, kann in den einzelnen Abschnitten knapp darauf verweisen. Das vermeidet Wiederholungen, hält den Text kurz und dient damit zugleich der von Art. 12 Abs. 1 DSGVO geforderten Präzision. Die Technik stößt an eine Grenze, wo ein Sammelbegriff so weit gefasst wird, dass die konkrete Verarbeitung nicht mehr erkennbar ist; dann ist im jeweiligen Abschnitt aufzuschlüsseln, welche Daten tatsächlich gemeint sind.
2.3 Leichte Zugänglichkeit
Leicht zugänglich ist die Information, wenn die betroffene Person nicht erst nach ihr suchen muss, sondern sofort erkennt, wo und wie sie darauf zugreift. Bewährte Umsetzung:
- Auf jeder Seite einer Website ein klar erkennbarer Link unter einem geläufigen Begriff („Datenschutz", „Datenschutzhinweise"). Eine Platzierung oder Farbgebung, die keine Aufmerksamkeit auf den Link lenkt, genügt nicht (WP 260 rev.01, Rn. 11).
- Bei Apps die Information bereits vor dem Download im Store und nach der Installation jederzeit mit wenigen Schritten erreichbar; die Hinweise müssen sich konkret auf die App beziehen, nicht nur die allgemeinen Unternehmensbestimmungen wiedergeben.
- Wo Daten online erhoben werden, bietet sich ein Link an der Erhebungsstelle an oder die Information auf derselben Seite.
Datenschutzhinweise und Cookie-Banner werden oft zusammen ausgespielt, sind aber rechtlich zu trennen: Die Informationspflicht folgt aus Art. 13 und Art. 14 DSGVO, die Einwilligung in das Speichern von oder den Zugriff auf Informationen im Endgerät aus § 25 Abs. 1 TDDDG. Für die Zugänglichkeit folgt daraus, dass im Cookie-Banner ein klar bezeichneter Link zu den Datenschutzhinweisen gehört, getrennt vom Link zu den Cookie-Informationen. Die Pflichtangaben dürfen nicht in das Banner ausgelagert und dort hinter mehreren Klicks verborgen werden.
3. Form der Information
3.1 Schriftlich, elektronisch oder mündlich
Die Übermittlung erfolgt schriftlich oder in anderer Form, gegebenenfalls elektronisch (Art. 12 Abs. 1 S. 2 DSGVO). Eine rein mündliche Information genügt nicht; das folgt im Umkehrschluss aus Art. 12 Abs. 1 S. 3 DSGVO, der die mündliche Information nur auf Verlangen der betroffenen Person vorsieht. Zulässig und oft praktikabel ist dagegen ein mündlicher Hinweis auf Informationen, die in anderer Form vorliegen, etwa bei telefonischer Erhebung der Verweis auf die online abrufbaren Hinweise.
Die in Art. 12 Abs. 1 S. 3 DSGVO geregelte Pflicht, vor mündlicher Information die Identität zu prüfen, betrifft die individuelle Ausübung von Betroffenenrechten, nicht die allgemeinen Datenschutzhinweise nach Art. 13 und Art. 14 DSGVO. Letztere müssen auch künftigen Nutzern zugänglich sein, deren Identität der Verantwortliche gar nicht prüfen kann (WP 260 rev.01, Rn. 20).
3.2 Aktive Unterrichtung statt bloßem Bereithalten
Art. 13 und Art. 14 DSGVO verlangen, der betroffenen Person die Informationen „mitzuteilen" beziehungsweise „zur Verfügung zu stellen". Der Verantwortliche muss daher aktiv werden: die Information bereitstellen oder die Person eindeutig dorthin leiten, wo sie verfügbar ist (Link, QR-Code). Ein bloßes Bereithalten zum Abruf reicht nur, wenn der Verantwortliche aktiv darauf hinweist und die Person tatsächlich die Möglichkeit hat, vor der Erhebung Kenntnis zu nehmen (Erwägungsgrund 58 DSGVO; WP 260 rev.01, Rn. 33).
Ein Medienbruch ist je nach Erhebungssituation zulässig, solange die Wahrnehmung nicht erheblich erschwert wird. Werden Daten über ein elektronisches Formular erhoben, müssen die Informationen in aller Regel ebenfalls elektronisch erreichbar sein; zumindest gehört ein Verweis auf das Formular selbst.
4. Bildsymbole
Der Verantwortliche darf die Information mit standardisierten Bildsymbolen ergänzen, um einen schnellen Überblick zu vermitteln; werden sie elektronisch dargestellt, müssen sie maschinenlesbar sein (Art. 12 Abs. 7 DSGVO). Bildsymbole ergänzen die Information, ersetzen sie aber nicht: Alle Pflichtangaben sind weiterhin in Textform zu erteilen. Ein delegierter Rechtsakt der Kommission könnte bestimmte Symbole verbindlich vorgeben (Art. 12 Abs. 8 DSGVO); bislang hat sich kein Symbolsatz durchgesetzt. Praktisch sind Bildsymbole eine zusätzliche Fehlerquelle, wenn Symbol und Text auseinanderfallen.
5. Zeitpunkt der Information
Der Zeitpunkt ist Teil der ordnungsgemäßen Information und wirkt auf den Inhalt zurück: Mitzuteilen sind die bei der Erhebung bekannten, aktuellen Angaben.
- Bei Direkterhebung ist die Information zum Zeitpunkt der Erhebung, praktisch vor Beginn der Verarbeitung zu erteilen, damit die Person noch entscheiden oder widersprechen kann (Einzelheiten unter Inhalt bei Direkterhebung).
- Bei Dritterhebung gilt eine angemessene Frist, spätestens ein Monat, unter Umständen früher (Einzelheiten unter Inhalt bei Dritterhebung).
6. Unentgeltlichkeit
Die Information nach Art. 13 und Art. 14 DSGVO wird unentgeltlich zur Verfügung gestellt (Art. 12 Abs. 5 S. 1 DSGVO). Sie darf nicht an eine Zahlung oder an den Kauf einer Leistung gekoppelt werden. Erhebt der Verantwortliche Daten im Zusammenhang mit einem Kauf, ist die Information vor Abschluss des Vorgangs und an der Erhebungsstelle zu erteilen, nicht erst danach.
7. Rechtsfolgen eines Verstoßes
Eine fehlende, unvollständige oder unrichtige Information ist nach Art. 83 Abs. 5 lit. b DSGVO bußgeldbewehrt. Daneben kommt ein Anspruch auf Schadensersatz nach Art. 82 DSGVO in Betracht. Ob die Verarbeitung selbst rechtswidrig wird, hängt davon ab, ob die Erhebung vom Willen der betroffenen Person abhängt: Bei einer auf Einwilligung gestützten oder faktisch vermeidbaren Erhebung (etwa Videoüberwachung im öffentlichen Raum) kann der Informationsmangel die Verarbeitung rechtswidrig machen; bei einer Erhebung, die die Person ohnehin dulden muss, bleibt sie rechtmäßig, die Information ist aber nachzuholen.
8. Abgrenzung zu den Betroffenenrechten
Art. 12 DSGVO enthält neben den Darstellungs- und Formvorgaben auch Verfahrensregeln für die Bearbeitung von Anträgen einzelner Betroffener: die Antwortfrist von einem Monat, die Identitätsprüfung, die Unentgeltlichkeit der Bearbeitung und den Umgang mit offenkundig unbegründeten oder exzessiven Anträgen (Art. 12 Abs. 2 bis 6 DSGVO). Diese Regeln gehören thematisch zu den Betroffenenrechten (Auskunft, Berichtigung, Löschung und weitere) und werden dort behandelt. Für die Datenschutzerklärung sind allein die hier dargestellten Vorgaben des Art. 12 Abs. 1, 5 und 7 DSGVO maßgeblich.
9. Primärquellen
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Datenschutzerklärung und Informationspflichten (Art. 12 bis 14 DSGVO)
Wann eine Datenschutzerklärung erforderlich ist, welche Pflichtangaben sie enthalten muss und wie sie aufgebaut wird: Überblick zu den Informationspflichten nach Art. 12, 13 und 14 DSGVO.
Inhalt bei Direkterhebung (Art. 13 DSGVO)
Welche Pflichtangaben die Datenschutzerklärung enthalten muss, wenn personenbezogene Daten beim Betroffenen erhoben werden: die Kataloge des Art. 13 Abs. 1 und Abs. 2 DSGVO mit Beispielen, Zwecke und Rechtsgrundlage, berechtigte Interessen (Mousse), Information bei Zweckänderung und die Ausnahme bereits vorhandener Informationen.