# Inhalt bei Direkterhebung (Art. 13 DSGVO)
Welche Pflichtangaben die Datenschutzerklärung enthalten muss, wenn personenbezogene Daten beim Betroffenen erhoben werden: die Kataloge des Art. 13 Abs. 1 und Abs. 2 DSGVO mit Beispielen, Zwecke und Rechtsgrundlage, berechtigte Interessen (Mousse), Information bei Zweckänderung und die Ausnahme bereits vorhandener Informationen.
> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung
> Sprache: de
Werden personenbezogene Daten bei der betroffenen Person erhoben, gilt Art. 13 DSGVO. Die Norm enthält zwei Kataloge von Pflichtangaben (Abs. 1 und Abs. 2), die Informationspflicht bei einer späteren Zweckänderung (Abs. 3) und eine Ausnahme, wenn die Person bereits informiert ist (Abs. 4). Wie die Angaben aufzubereiten sind, steht unter [Allgemeine Anforderungen](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.1-allgemeine-anforderungen).
**Das Wichtigste in Kürze**
* Art. 13 DSGVO greift, wenn die betroffene Person selbst die **Datenquelle** ist (Formular, Registrierung, Beobachtung).
* Die Angaben aus **Abs. 1 und Abs. 2 sind gleichrangig** und grundsätzlich beide vollständig zu erteilen; es gibt keinen Vorrang.
* Zwecke und Rechtsgrundlage müssen **konkret und einander zugeordnet** sein; eine bloße Norm- oder Zwecknennung genügt oft nicht.
* Stützt sich die Verarbeitung auf **berechtigte Interessen**, muss das Interesse in den Hinweisen genannt sein, sonst ist eine Berufung darauf ausgeschlossen.
* Die einzige verordnungsunmittelbare Ausnahme ist, dass die Person **bereits über die Information verfügt** (Abs. 4); sie ist eng auszulegen.
## 1. Überblick [#1-überblick]
### 1.1 Erhebung beim Betroffenen [#11-erhebung-beim-betroffenen]
Art. 13 DSGVO setzt voraus, dass die Daten bei der betroffenen Person erhoben werden, sie also unmittelbare Quelle ist. Das ist in zwei Konstellationen der Fall:
* Die Person **übermittelt die Daten bewusst**, etwa beim Ausfüllen eines Formulars, bei der Registrierung oder im Gespräch.
* Der Verantwortliche gewinnt die Daten durch **Beobachtung** ihres Verhaltens, etwa durch Videoüberwachung, Sensoren, RFID oder das Tracking der Websitenutzung.
Auf eine aktive Mitwirkung kommt es nicht an: Auch wer beobachtet wird, ohne es zu merken, wird im Sinne von Art. 13 DSGVO als Quelle erfasst. Werden die Daten dagegen aus anderen Quellen gewonnen, gilt [Art. 14 DSGVO](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.3-inhalt-bei-dritterhebung). Erhebt der Verantwortliche mit einem Formular zugleich Daten über **dritte Personen** (etwa Angehörige), sind diese Dritten nach Art. 14 DSGVO zu informieren, die ausfüllende Person nach Art. 13 DSGVO.
Aus der Informationspflicht folgt, dass eine **verdeckte** Erhebung beim Betroffenen nur ausnahmsweise zulässig ist: Sie bedarf einer Beschränkungsregelung nach Art. 23 DSGVO. Wer etwa einen Detektiv mit einer heimlichen Observation beauftragt, kann sich nur auf eine solche gesetzliche Grundlage stützen; ohne sie ist die heimliche Erhebung unzulässig.
### 1.2 Verpflichteter und Systematik [#12-verpflichteter-und-systematik]
Verpflichtet ist der Verantwortliche, der die Daten erhebt (Art. 4 Nr. 7 DSGVO; siehe [Verantwortlicher](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.7-verantwortlicher)). Sind mehrere Stellen [gemeinsam verantwortlich](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter), legen sie in ihrer Vereinbarung fest, wer informiert (Art. 26 Abs. 1 DSGVO). Mitunter kann faktisch nur eine Stelle rechtzeitig informieren: Bindet eine Website einen Drittdienst ein, kann nur der Websitebetreiber vor der Erhebung informieren ([EuGH, Urt. v. 29.07.2019, C-40/17, Fashion ID](/docs/dsgvo-hub/rechtsprechung/1.4.13-eugh-fashion-id)).
Die Aufteilung der Pflichtangaben auf Abs. 1 und Abs. 2 hat keine Rangfolge zur Folge. Beide Kataloge sind gleichermaßen vollständig zu erfüllen. Erwägungsgrund 60 DSGVO klingt zwar nach einem risikobasierten Ansatz, nach dem manche Angaben nur bei besonderem Bedarf zu machen wären; der Wortlaut der Norm trägt das nicht. Praktisch ist stets der gesamte Katalog abzuarbeiten, schon wegen des Bußgeldrisikos.
## 2. Pflichtangaben nach Abs. 1 [#2-pflichtangaben-nach-abs-1]
### 2.1 Verantwortlicher und Vertreter (lit. a) [#21-verantwortlicher-und-vertreter-lit-a]
Anzugeben sind Name und Kontaktdaten des Verantwortlichen, so dass eine Kontaktaufnahme ohne Schwierigkeiten möglich ist. Erforderlich sind zumindest die vollständige Bezeichnung (Name oder Firma) und eine zustellungsfähige Anschrift. Bei einer Erhebung über das Internet gehört eine netzbasierte Kontaktmöglichkeit dazu, damit die Person den Verantwortlichen ohne Medienbruch erreicht (E-Mail-Adresse oder Webformular). Muss der Verantwortliche einen Vertreter in der Union bestellen (Art. 27 DSGVO), sind auch dessen Daten zu nennen.
### 2.2 Datenschutzbeauftragter (lit. b) [#22-datenschutzbeauftragter-lit-b]
Hat der Verantwortliche einen [Datenschutzbeauftragten](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter) benannt, sind dessen Kontaktdaten anzugeben, gleich ob die Benennung verpflichtend oder freiwillig war. Der Name muss nicht genannt werden; aus Sicht der betroffenen Person kommt es auf die erreichbare Funktion an, nicht auf die Person.
### 2.3 Zwecke und Rechtsgrundlage (lit. c) [#23-zwecke-und-rechtsgrundlage-lit-c]
Diese Angabe ist das Kernstück. Sie verlangt zweierlei: den oder die Zwecke und die jeweilige Rechtsgrundlage.
**Zwecke.** Mitzuteilen ist, wozu die Daten verarbeitet werden, und zwar so konkret, dass die Person sich ein Bild davon machen kann, womit sie zu rechnen hat. „Konkret" meint: Art der Daten, konkrete Verwendung und Folge für die Person müssen erkennbar werden. Werden mehrere Zwecke verfolgt, ist jeder einzeln zu benennen. Mit der Angabe legt der Verantwortliche den Zweck gegenüber der betroffenen Person zugleich **verbindlich fest**; daran knüpft die [Zweckbindung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung) an. Eine zu allgemeine Angabe verfehlt das Transparenzgebot: „zur Geschäftsabwicklung" sagt nichts, „zur Lieferung der Bestellung, zur Rechnungsstellung und zur Bonitätsprüfung vor Rechnungskauf" trägt.
Wie man zu einer konkreten Zweckangabe kommt, zeigt der Blick auf die Verarbeitung selbst. Beim Betrieb einer Website etwa fallen bei jedem Aufruf automatisch Zugriffsdaten an; ihr Zweck lässt sich in zwei Schritten fassen: die angeforderten Inhalte auszuliefern (Funktionsbereitstellung) und Angriffe sowie sonstige missbräuchliche Zugriffe abzuwehren (Sicherheit und Missbrauchsschutz). Bei einem Kontaktformular ist der Zweck die Bearbeitung der Anfrage und die Kommunikation mit der anfragenden Person; betrifft die Anfrage einen Vertrag mit dem Verantwortlichen, tritt die Vertragsdurchführung als weiterer Zweck hinzu. In beiden Fällen wird erkennbar, welche Daten wozu verwendet werden, statt bloß einen Oberbegriff zu nennen.
**Rechtsgrundlage.** Anzugeben ist, worauf die Verarbeitung beruht (Art. 6 Abs. 1 DSGVO, bei sensiblen Daten zusätzlich Art. 9 Abs. 2 DSGVO). Das bloße Zitat des Erlaubnistatbestands genügt nicht immer: Die Erlaubnistatbestände sind offen formuliert, und bei einer rechtlichen Verpflichtung oder einer öffentlichen Aufgabe (Art. 6 Abs. 1 lit. c und e DSGVO) kommt es zusätzlich auf das **dahinterstehende mitgliedstaatliche oder Unionsrecht** an. Wo die Rechtslage komplex ist oder die Person sie sonst nicht einordnen kann, ist sie einzelfallbezogen darzulegen. Erhebt eine Behörde Daten, muss sie die konkrete Rechtsgrundlage und den konkreten Zweck der Erhebung nennen; es genügt nicht, dass ein Gesetz die Erhebung allgemein erlaubt ([EuGH, Urt. v. 01.10.2015, C-201/14, Bara](/docs/dsgvo-hub/rechtsprechung/1.4.7-eugh-bara)).
| Verarbeitung | Zweck | Rechtsgrundlage |
| ------------------------- | ----------------------------- | -------------------------------------------------- |
| Onlinebestellung | Vertragsabwicklung, Lieferung | Art. 6 Abs. 1 lit. b DSGVO |
| Aufbewahrung der Rechnung | gesetzliche Aufbewahrung | Art. 6 Abs. 1 lit. c DSGVO iVm § 147 AO, § 257 HGB |
| Newsletter | Direktwerbung mit Zustimmung | Art. 6 Abs. 1 lit. a DSGVO |
| Betrugsprävention im Shop | Schutz vor Zahlungsausfall | Art. 6 Abs. 1 lit. f DSGVO |
Ein häufiger Fehler ist, die **Zuordnung** von Datenart, Zweck und Rechtsgrundlage zu verlieren. Wer Zwecke und Rechtsgrundlagen nur in getrennten Listen aufzählt, lässt offen, welche Daten zu welchem Zweck auf welcher Grundlage verarbeitet werden. Die Verarbeitung wird intransparent und im Streit schwer zu verteidigen. Hilfreich ist, je Verarbeitung Datenart, Zweck, Rechtsgrundlage und Speicherdauer zusammen darzustellen.
### 2.4 Berechtigte Interessen (lit. d) [#24-berechtigte-interessen-lit-d]
Stützt sich die Verarbeitung auf [berechtigte Interessen](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.6-berechtigte-interessen) (Art. 6 Abs. 1 lit. f DSGVO), ist das konkrete Interesse zu benennen. Die Angabe geht über lit. c hinaus: Sie soll die Person in die Lage versetzen, die Interessenabwägung nachzuvollziehen und substantiierte Einwände vorzubringen. Allgemeine Floskeln genügen nicht; das Interesse ist greifbar zu fassen, etwa „Schutz vor Diebstahl" bei einer Videoüberwachung im Ladengeschäft oder „Eigenwerbung gegenüber Bestandskunden".
Welche Interessen in Betracht kommen, lässt sich an wiederkehrenden Fallgruppen festmachen. Häufig sind der Schutz vor Betrug und sonstigem Missbrauch (Missbrauchsschutz), die Gewährleistung der IT-Sicherheit (Sicherheit), die Bewerbung eigener ähnlicher Produkte gegenüber Bestandskunden (Direktwerbung), die wirtschaftliche Erbringung der eigenen Leistungen, etwa durch den Einsatz spezialisierter Dienstleister (Effizienz), die bedarfsgerechte Verbesserung des eigenen Angebots (Verbesserung) sowie die Geltendmachung und Verteidigung von Rechtsansprüchen (Rechtsausübung). Entscheidend ist, das im konkreten Fall verfolgte Interesse so zu benennen, dass die betroffene Person die Abwägung nachvollziehen kann: nicht „berechtigte Interessen", sondern etwa „Schutz unseres Ladengeschäfts vor Diebstahl" oder „Direktwerbung gegenüber bestehenden Kunden".
**Das Interesse muss in den Hinweisen stehen, sonst keine Berufung darauf.** Die Angabe nach Art. 13 Abs. 1 lit. d DSGVO ist nicht bloß eine Förmlichkeit, sondern Rechtmäßigkeitsvoraussetzung: Wird der betroffenen Person das verfolgte berechtigte Interesse bei der Erhebung nicht unmittelbar mitgeteilt, kann die Verarbeitung nicht mehr auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden ([EuGH, Urt. v. 09.01.2025, C-394/23, Mousse](/docs/dsgvo-hub/rechtsprechung/1.4.29-eugh-mousse), Rn. 46, 52 und Tenor). Praktische Folge: Wer eine Verarbeitung auf lit. f stützen will, muss das konkrete Interesse von Anfang an in die Datenschutzhinweise aufnehmen; ein Nachschieben der Rechtsgrundlage kommt nicht in Betracht.
### 2.5 Empfänger oder Kategorien von Empfängern (lit. e) [#25-empfänger-oder-kategorien-von-empfängern-lit-e]
Anzugeben sind die [Empfänger](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.9-empfaenger) oder Kategorien von Empfängern, soweit eine Weitergabe bei der Erhebung absehbar ist. Empfänger ist jede Stelle, der Daten offengelegt werden, auch ein Auftragsverarbeiter und auch eine organisatorisch getrennte Untereinheit desselben Verantwortlichen. Kein Empfänger ist der einzelne Beschäftigte, der im Rahmen seiner Aufgaben Daten einsieht; seine Handlung wird dem Verantwortlichen zugerechnet. Auch eine Veröffentlichung ist eine Offenlegung und damit anzugeben.
Die Pflicht besteht nur, soweit die Weitergabe bei der Erhebung **absehbar** ist. Stehen konkrete Empfänger fest, sind sie zu nennen; sind nur Empfängergruppen absehbar, genügen aussagekräftige Kategorien (Art, Branche, Standort). Beispiel: Holt ein Händler vor einem Rechnungskauf einen Bonitätswert ein, sollte er den konkreten Dienstleister nennen, wenn dieser feststeht; sonst genügt der Hinweis, dass Antragsdaten zur Bonitätsprüfung an eine Auskunftei weitergegeben werden.
In der Praxis hat sich ein hybrides Vorgehen bewährt: In den einzelnen Abschnitten werden die Empfänger nach aussagekräftigen Kategorien benannt (etwa technische Dienstleister für Betrieb und Wartung, Anbieter eingebundener Inhalte, Zahlungs- und Transportdienstleister sowie öffentliche Stellen bei gesetzlicher Verpflichtung), während eine gesonderte, leichter pflegbare Liste die konkret eingesetzten Dienstleister aufführt. So bleibt der Fließtext stabil, auch wenn ein einzelner Anbieter wechselt, und die konkrete Information ist dennoch verfügbar. Das entspricht dem Wortlaut des Art. 13 Abs. 1 lit. e DSGVO, der „Empfänger oder Kategorien von Empfängern" nebeneinanderstellt.
**Zwei Linien zur Empfängerangabe.** Die Aufsichtsbehörden verlangen, in der Regel die **konkreten** Empfänger zu benennen. In dieselbe Richtung weist der EuGH für das Auskunftsrecht: Der Verantwortliche muss grundsätzlich die konkreten Empfänger nennen, Kategorien genügen nur als eng umgrenzte Ausnahme ([EuGH, Urt. v. 12.01.2023, C-154/21, Österreichische Post](/docs/dsgvo-hub/rechtsprechung/1.4.40-eugh-c-154-21-oesterreichische-post)). Diese Linie lässt sich aber nicht ohne Weiteres auf Art. 13 übertragen: Die Auskunft betrifft eine laufende Verarbeitung mit feststehenden Empfängern; die Information nach Art. 13 ergeht bei der Erhebung, zu der konkrete Empfänger oft noch nicht absehbar sind. Praktische Linie: Stehen konkrete Empfänger bei der Erhebung fest, nennen; sonst aussagekräftige Kategorien.
### 2.6 Übermittlung in Drittländer (lit. f) [#26-übermittlung-in-drittländer-lit-f]
Plant der Verantwortliche eine Übermittlung in ein Drittland oder an eine internationale Organisation, ist darüber **ausdrücklich** zu informieren. Anzugeben ist außerdem, worauf die Übermittlung gestützt wird: das Vorliegen oder Fehlen eines Angemessenheitsbeschlusses oder, bei geeigneten Garantien wie Standardvertragsklauseln, ein Hinweis darauf, wo die betroffene Person sie einsehen oder eine Kopie erhalten kann (Einzelheiten unter [Drittlandsübermittlung](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung)). Beispiel: Beim Einsatz eines US-Dienstes ist anzugeben, ob der Anbieter unter einen Angemessenheitsbeschluss fällt oder ob die Übermittlung auf Standardvertragsklauseln beruht. Stützt sich eine Übermittlung ausnahmsweise auf zwingende berechtigte Interessen (Art. 49 Abs. 1 S. 2 DSGVO), besteht eine gesonderte Informationspflicht nach Art. 49 Abs. 1 S. 4 DSGVO.
## 3. Pflichtangaben nach Abs. 2 [#3-pflichtangaben-nach-abs-2]
### 3.1 Speicherdauer (lit. a) [#31-speicherdauer-lit-a]
Anzugeben ist die Dauer der Speicherung oder, falls eine feste Frist nicht möglich ist, die Kriterien für ihre Festlegung. Die Angabe muss so präzise sein, dass die Person die Dauer wenigstens annähernd selbst bestimmen kann; das setzt ein Löschkonzept voraus. Empfehlenswert sind allgemeine Kriterien plus konkrete Fristen, wo sie feststehen, etwa zehn Jahre für Buchungsbelege (§ 257 HGB) oder sechs Monate für Bewerbungsunterlagen nach einer Absage. Die Angabe ist verbindlich: Ist die genannte Dauer abgelaufen, sind die Daten grundsätzlich zu löschen (Art. 17 Abs. 1 lit. a DSGVO).
Praktisch lässt sich die Angabe wie bei den Datenarten über einen einmal definierten Begriff lösen: Man legt etwa eine „Speicherfrist für Zugriffsdaten" von \[7 Tagen] fest und verweist im Dokument darauf. Sinnvoll ist, drei Ebenen zu trennen: die Regelfrist, nach der Daten bei Zweckfortfall gelöscht werden; die gesetzliche Aufbewahrung, die eine frühere Löschung sperrt (etwa zehn Jahre für Buchungsbelege nach § 257 HGB und § 147 AO); und die Verjährung möglicher Ansprüche, für deren Dauer eine Aufbewahrung zu Beweiszwecken in Betracht kommt. Wo eine feste Frist nicht möglich ist, sind die Kriterien zu nennen, etwa „bis zum Ende der Geschäftsbeziehung zuzüglich der gesetzlichen Aufbewahrungsfristen".
Nicht ausreichend ist die pauschale Aussage, die Daten würden „so lange gespeichert, wie es für den jeweiligen Zweck erforderlich ist". Das wiederholt nur den Grundsatz der [Speicherbegrenzung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung) und sagt der Person nichts.
### 3.2 Betroffenenrechte (lit. b) [#32-betroffenenrechte-lit-b]
Zu informieren ist über die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Hier genügt eine allgemeine Darstellung, weil bei der Erhebung noch nicht feststeht, welche Ansprüche wann entstehen. Rechte, die im konkreten Fall von vornherein ausgeschlossen sind, dürfen nicht benannt werden (etwa die Datenübertragbarkeit, wenn die Verarbeitung weder auf Einwilligung noch auf Vertrag beruht und nicht automatisiert erfolgt). Das **Widerspruchsrecht** ist hervorzuheben und getrennt von den übrigen Informationen darzustellen, spätestens bei der ersten Kommunikation (Art. 21 Abs. 4 DSGVO).
### 3.3 Widerruf der Einwilligung (lit. c) [#33-widerruf-der-einwilligung-lit-c]
Beruht die Verarbeitung auf einer [Einwilligung](/docs/dsgvo-hub/begriffe-und-definitionen/1.2.11-einwilligung), ist über das Recht zu informieren, sie jederzeit mit Wirkung für die Zukunft zu widerrufen, ohne dass die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt wird. Der Widerruf muss so einfach möglich sein wie die Erteilung.
### 3.4 Beschwerderecht (lit. d) [#34-beschwerderecht-lit-d]
Anzugeben ist das Recht, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Damit die Person dieses Recht ohne Schwierigkeiten wahrnehmen kann, empfiehlt es sich, eine zuständige Aufsichtsbehörde konkret zu benennen, etwa die des Sitzes des Verantwortlichen.
### 3.5 Pflicht zur Bereitstellung und Folgen (lit. e) [#35-pflicht-zur-bereitstellung-und-folgen-lit-e]
Zu informieren ist darüber, ob die Bereitstellung der Daten vorgeschrieben oder erforderlich ist, ob eine Pflicht zur Bereitstellung besteht und welche Folgen eine Nichtbereitstellung hätte. Die Angabe ist von zentraler Bedeutung, weil die Person nur so ihre Lage einschätzen kann. Praktisch lassen sich drei Fallgruppen unterscheiden:
| Fallgruppe | Was zu sagen ist | Beispiel |
| -------------------------------------------------------- | ------------------------------------------------------------------------------------------------- | -------------------------------------------------------------------------- |
| Pflicht zur Bereitstellung (gesetzlich oder vertraglich) | dass, wie und ggf. inwieweit mitgewirkt werden muss, plus besondere Sanktionen | Angaben gegenüber Finanz- oder Sozialbehörden |
| Obliegenheit oder Voraussetzung eines Vertragsschlusses | welche Angaben erforderlich sind, klare Trennung von freiwilligen Feldern, Folge der Verweigerung | Versicherungsfall: Unterlagen einreichen; Pflichtfelder im Anmeldeformular |
| Freiwillige Angabe | Hinweis auf die Freiwilligkeit | zusätzliche, nicht erforderliche Profilangaben |
Bei dauerhaften Geschäftsbeziehungen wird die Angabe oft als allgemeiner Hinweis gefasst: Bereitzustellen sind nur die Daten, die für die Begründung, Durchführung und Beendigung der Beziehung erforderlich sind oder zu deren Erhebung eine gesetzliche Pflicht besteht; ohne sie lässt sich der Vertrag nicht schließen oder nicht fortführen. Im Beschäftigungsverhältnis tritt hinzu, dass ohne die erforderlichen Angaben das Arbeitsverhältnis nicht durchgeführt werden kann.
Bei Behörden, die in Rechte eingreifen, ist ausdrücklich klarzustellen, dass keine Pflicht besteht und eine Verweigerung keine nachteiligen Folgen hat. Bei privaten Stellen ist ein Hinweis auf die Freiwilligkeit entbehrlich, wenn sie offensichtlich ist: Wer ein videoüberwachtes Geschäft betritt, muss nicht eigens darauf hingewiesen werden, dass er es meiden könnte.
**Praxistipp.** Bei Online-Formularen sollte klar erkennbar sein, welche Felder Pflicht- und welche freiwillige Angaben sind, etwa durch Kennzeichnung der Pflichtfelder. Werden neben den erforderlichen auch freiwillige Angaben erbeten, ist ausdrücklich klarzustellen, welche das sind.
### 3.6 Automatisierte Entscheidung und Profiling (lit. f) [#36-automatisierte-entscheidung-und-profiling-lit-f]
Findet eine [automatisierte Einzelentscheidung](/docs/dsgvo-hub/einzelthemen/1.3.14-automatisierte-einzelentscheidung) einschließlich Profiling nach Art. 22 Abs. 1 und 4 DSGVO statt, ist darüber zu informieren und zumindest in diesen Fällen die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen darzustellen. Die **involvierte Logik** meint die Methoden und Kriterien der Verarbeitung, etwa die Funktionsweise eines Scoreverfahrens, nicht die Offenlegung des Quellcodes; die Erläuterung muss der Person den Mechanismus nachvollziehbar machen ([EuGH, Urt. v. 07.12.2023, C-634/21, SCHUFA Holding](/docs/dsgvo-hub/rechtsprechung/1.4.32-eugh-schufa-scoring); zur Reichweite im Auskunftsrecht [EuGH, Urt. v. 27.02.2025, C-203/22, Dun & Bradstreet](/docs/dsgvo-hub/rechtsprechung/1.4.52-eugh-dun-bradstreet)). **Tragweite und Auswirkungen** beziehen sich auf die vorbereitete Entscheidung: worüber entschieden wird und welche Folgen die Verarbeitung für die Person haben kann. Bringt ein Profiling ohne automatisierte Einzelentscheidung vergleichbar gewichtige Risiken mit sich, empfiehlt es sich, im Zweifel ebenfalls über die Logik zu informieren. Stehen Geschäftsgeheimnisse entgegen, lassen sie sich nicht gegen die Informationspflicht ausspielen, sondern allenfalls über eine gesetzliche Beschränkung (Art. 23 DSGVO) auflösen.
## 4. Information bei Zweckänderung (Abs. 3) [#4-information-bei-zweckänderung-abs-3]
Will der Verantwortliche die Daten zu einem anderen Zweck als dem Erhebungszweck weiterverarbeiten, hat er die betroffene Person **vor** dieser Weiterverarbeitung über den neuen Zweck und die weiteren maßgeblichen Angaben aus Abs. 2 zu informieren (zur materiellen Zulässigkeit die [Zweckänderung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.7-zweckaenderung) nach Art. 6 Abs. 4 DSGVO). Erfasst ist auch die Rechtsgrundlage der Weiterverarbeitung und, falls die Änderung in einer Übermittlung liegt, der Empfänger. Über die abstrakten Rechte muss nicht erneut informiert werden; geboten sind die Angaben, die sich durch die Zweckänderung ändern, etwa zur Speicherdauer. Beispiel: Sollen für die Vertragsabwicklung erhobene Kundendaten später für Eigenwerbung genutzt werden, ist vorher über diesen neuen Zweck und das Widerspruchsrecht zu informieren.
## 5. Ausnahme: bereits vorhandene Informationen (Abs. 4) [#5-ausnahme-bereits-vorhandene-informationen-abs-4]
Die Informationspflicht entfällt, soweit die betroffene Person bereits über die Information verfügt (Art. 13 Abs. 4 DSGVO). Das ist die einzige verordnungsunmittelbare Ausnahme bei der Direkterhebung. Sie ist eng zu verstehen:
* Erforderlich ist, dass die Person in Ausmaß, Genauigkeit und Klarheit über genau die mitzuteilenden Informationen verfügt. Es genügt nicht, dass sie aus allgemeinem Wissen darauf schließen könnte.
* Die Ausnahme wirkt nur „soweit". Verfügt die Person über einen Teil der Angaben, sind die übrigen weiterhin zu erteilen. Bei wiederkehrendem Geschäftskontakt kennt die Person zwar regelmäßig die Basisangaben (Verantwortlicher, Rechte), die einzelfallbezogenen Angaben sind aber erneut zu erteilen.
* Den Nachweis trägt der Verantwortliche (Rechenschaftspflicht). Er sollte dokumentieren, worüber die Person bereits informiert war und woher.
## 6. Auswirkungen eines Verstoßes [#6-auswirkungen-eines-verstoßes]
Wird die Information nicht, nicht vollständig oder unrichtig erteilt, ist das nach Art. 83 Abs. 5 lit. b DSGVO bußgeldbewehrt; daneben kommt Schadensersatz nach Art. 82 DSGVO in Betracht. Ob die **Erhebung selbst rechtswidrig** wird, hängt davon ab, ob sie vom Willen der Person abhängt:
* Hing die Erhebung **nicht** vom Willen ab, weil die Person sie dulden oder an ihr mitwirken musste, bleibt sie rechtmäßig; die Information ist nachzuholen.
* Hing die Erhebung **vom Willen** ab (Einwilligung oder faktisch vermeidbare Erhebung wie eine Videoüberwachung im öffentlichen Raum), kann der Informationsmangel die Erhebung rechtswidrig machen. Die Person kann sie nach vollständiger Information aber genehmigen. Rechtswidrig erhobene Daten dürfen grundsätzlich nicht weiterverarbeitet werden (Art. 17 Abs. 1 lit. d DSGVO).
## 7. Primärquellen [#7-primärquellen]
---
## Über den Autor
Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.