# Inhalt bei Dritterhebung (Art. 14 DSGVO)
Welche Angaben die Datenschutzerklärung enthalten muss, wenn personenbezogene Daten nicht beim Betroffenen erhoben werden: zusätzliche Angaben zu Datenkategorien und Quelle, der Zeitpunkt der Information und die vier Ausnahmen des Art. 14 Abs. 5 DSGVO, mit Beispielen.
> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.3-inhalt-bei-dritterhebung
> Sprache: de
Werden personenbezogene Daten nicht bei der betroffenen Person, sondern aus anderen Quellen erlangt, gilt Art. 14 DSGVO. Die Pflichtangaben entsprechen weitgehend denen bei der [Direkterhebung](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung), kommen aber um zwei Angaben hinzu (Datenkategorien und Quelle). Anders geregelt sind vor allem der Zeitpunkt der Information und die Ausnahmen.
**Das Wichtigste in Kürze**
* Art. 14 DSGVO greift bei Erhebung aus **anderen Quellen**: von Dritten, aus öffentlich zugänglichen Quellen, von Datenhändlern.
* Zusätzlich zu den Angaben des Art. 13 sind die **Kategorien der Daten** (Abs. 1 lit. d) und die **Quelle** der Daten (Abs. 2 lit. f) mitzuteilen.
* Die Information ist innerhalb einer **angemessenen Frist, spätestens binnen eines Monats** zu erteilen, bei Kommunikation oder Offenlegung früher (Abs. 3).
* Art. 14 enthält **vier Ausnahmen** (Abs. 5): bereits bekannt, Unmöglichkeit oder unverhältnismäßiger Aufwand, gesetzliche Regelung, Berufsgeheimnis.
* Die Ausnahmen sind **eng auszulegen**; wer sich darauf beruft, muss die Voraussetzungen darlegen und dokumentieren.
## 1. Überblick [#1-überblick]
### 1.1 Erhebung aus anderen Quellen [#11-erhebung-aus-anderen-quellen]
Art. 14 DSGVO setzt voraus, dass die betroffene Person nicht selbst die Quelle ist. Erfasst sind insbesondere:
* Erhebungen **bei Dritten** (eine andere Stelle übermittelt Daten);
* Erhebungen aus **öffentlich zugänglichen Quellen** (Register, Verzeichnisse, soziale Netzwerke, auch wenn die Person die Daten selbst veröffentlicht hat);
* Erhebungen bei **Datenhändlern und Auskunfteien**.
Maßgeblich ist die Perspektive des erhebenden Verantwortlichen: Auch wenn eine andere Stelle die Person schon einmal informiert hat, erhebt der Empfänger die Daten neu und ist seinerseits informationspflichtig. Das gilt auch für eine unaufgeforderte (spontane) Übermittlung, sobald der Empfänger die übermittelten Daten zielgerichtet weiterverarbeitet: In der ersten zielgerichteten Verarbeitungshandlung liegt dann die Erhebung. Verpflichtet ist stets der Verantwortliche, der die Daten erhebt.
### 1.2 Verhältnis zu Art. 13 [#12-verhältnis-zu-art-13]
Die Vorgaben des [Art. 12 DSGVO](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.1-allgemeine-anforderungen) zu Form, Sprache und aktiver Unterrichtung gelten gleichermaßen. Auch hier sind die Kataloge des Abs. 1 und Abs. 2 grundsätzlich vollständig zu erfüllen.
## 2. Pflichtangaben [#2-pflichtangaben]
### 2.1 Gemeinsame Angaben mit Art. 13 [#21-gemeinsame-angaben-mit-art-13]
Inhaltlich gleichlaufend mit der Direkterhebung sind anzugeben: Verantwortlicher und Vertreter (Abs. 1 lit. a), Datenschutzbeauftragter (Abs. 1 lit. b), Zwecke und Rechtsgrundlage (Abs. 1 lit. c), berechtigte Interessen (Abs. 2 lit. b), Empfänger oder Kategorien (Abs. 1 lit. e), Drittlandübermittlung und Garantien (Abs. 1 lit. f), Speicherdauer (Abs. 2 lit. a), Betroffenenrechte und Beschwerderecht (Abs. 2 lit. c und e), Widerruf der Einwilligung (Abs. 2 lit. d) sowie automatisierte Entscheidung und involvierte Logik (Abs. 2 lit. g). Für Inhalt und Beispiele gilt das zur [Direkterhebung](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung) Gesagte. Auch hier gilt: Stützt sich die Verarbeitung auf berechtigte Interessen, muss das verfolgte Interesse genannt sein, sonst ist eine Berufung auf Art. 6 Abs. 1 lit. f DSGVO ausgeschlossen ([EuGH, Urt. v. 09.01.2025, C-394/23, Mousse](/docs/dsgvo-hub/rechtsprechung/1.4.29-eugh-mousse)).
### 2.2 Kategorien der Daten (Abs. 1 lit. d) [#22-kategorien-der-daten-abs-1-lit-d]
Neu gegenüber Art. 13 ist die Pflicht, die Kategorien der verarbeiteten Daten zu nennen. Sie ist nötig, weil die Person nicht weiß, welche Daten der Verantwortliche über sie erlangt hat. Die Angabe muss präzise genug sein, dass die Person die Risiken einschätzen kann. Beispiel: Holt ein Arbeitgeber über einen Bewerber Auskünfte ein, genügt nicht die pauschale Mitteilung, man habe „Informationen eingeholt". Hinreichend konkret ist, über welche Eigenschaften, Fähigkeiten oder Angaben sich der Arbeitgeber informieren wollte oder welche Angaben er überprüft hat.
Bei laufenden Geschäftsbeziehungen bietet es sich an, die Daten zu aussagekräftigen Kategorien zu bündeln, etwa Stammdaten (Name, Anschrift), Kontaktdaten (E-Mail, Telefon), Vertrags- und Durchführungsdaten oder Korrespondenzdaten. Die Kategorie muss konkret genug sein, dass die Person Art und Risiko der Verarbeitung einschätzen kann; eine Sammelbezeichnung wie „Geschäftsdaten" leistet das nicht. Je sensibler die Daten, desto genauer ist die Kategorie zu fassen.
### 2.3 Quelle der Daten (Abs. 2 lit. f) [#23-quelle-der-daten-abs-2-lit-f]
Anzugeben ist, aus welcher Quelle die Daten stammen, und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen. Die Angabe ermöglicht der Person, die Rechtmäßigkeit der Erhebung zu prüfen und unrichtige Daten an der Wurzel anzugehen. Sie umfasst zwei Aspekte:
* **Gegenstand der Erhebung:** die Person oder Stelle, die Daten übermittelt hat, eine Veröffentlichung oder eine Spur. Wo möglich, ist die konkrete Quelle zu benennen (Name und Kontaktdaten der übermittelnden Stelle, Fundstelle einer Veröffentlichung).
* **Mittel der Erhebung:** Eine zusätzliche Angabe ist geboten, wenn sich das Mittel nicht aus dem Gegenstand ergibt und besondere Risiken begründet, etwa eine verdeckte Überwachung oder eine komplexe statistische Auswertung öffentlicher Beiträge.
Stammen die Daten aus **öffentlich zugänglichen Quellen**, ist das ausdrücklich mitzuteilen (etwa bei einer Erhebung aus einem öffentlichen Register oder durch Auslesen einer Website). Bei **mehreren Quellen** sind grundsätzlich alle zu nennen; nur wenn sich einzelne Daten nicht mehr einer bestimmten Quelle zuordnen lassen, etwa weil sie erst aus der Verknüpfung mehrerer Bestände entstanden sind, darf die Angabe allgemein gehalten werden. Die bloße Tatsache, dass mehrere Quellen genutzt wurden, befreit nicht; lässt sich die Herkunft mit vertretbarem Aufwand zurückverfolgen, ist sie zu nennen.
Praktischer Hauptfall sind Erhebungen aus allgemein zugänglichen Quellen wie öffentlichen Registern (etwa Handels-, Vereins- oder Grundbuchregister), Verzeichnissen, Presse und sonstigen Veröffentlichungen im Internet sowie Auskünfte von Auskunfteien und Wirtschaftsinformationsdiensten. In diesen Fällen ist die konkrete Quelle zu benennen, soweit sie sich mit vertretbarem Aufwand bestimmen lässt, und ausdrücklich anzugeben, dass die Daten aus öffentlich zugänglichen Quellen stammen. Bei einer Auskunftei gehört dazu, welche Stelle die Auskunft erteilt hat, damit die Person unrichtige Daten auch dort berichtigen lassen kann.
### 2.4 Keine Angabe zur Bereitstellungspflicht [#24-keine-angabe-zur-bereitstellungspflicht]
Die Pflicht zur Information über eine Bereitstellungspflicht und ihre Folgen (Art. 13 Abs. 2 lit. e DSGVO) fehlt in Art. 14, weil die Person an der Erhebung typischerweise nicht mitwirkt. Hängt die Erhebung ausnahmsweise doch vom Willen der Person ab, ergibt sich der nötige Hinweis bei einer auf [Einwilligung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.1-einwilligung) gestützten Erhebung bereits aus deren Wirksamkeitsvoraussetzungen; bei einer vertragsbezogenen Erhebung ist Art. 13 Abs. 2 lit. e DSGVO entsprechend anzuwenden.
## 3. Zeitpunkt der Information (Abs. 3) [#3-zeitpunkt-der-information-abs-3]
Art. 14 Abs. 3 DSGVO staffelt den spätesten Zeitpunkt:
* **Allgemeine Frist** (lit. a): innerhalb einer angemessenen Frist nach Erlangung der Daten, unter Berücksichtigung der Umstände, längstens jedoch **ein Monat**. Erhebt der Verantwortliche etwa über das Internet in großem Umfang Datenbestände, die gezielt auch Kontaktdaten enthalten, ist die Verarbeitung so einzurichten, dass die Betroffenen unmittelbar nach der Erhebung informiert werden.
* **Kommunikation mit der Person** (lit. b): Sollen die Daten zur Kommunikation mit der betroffenen Person verwendet werden, spätestens zum Zeitpunkt der ersten Kommunikation. Bereitet der Verantwortliche etwa mit eingeholten Daten eine Entscheidung über einen Antrag vor, ist spätestens bei der ersten Kontaktaufnahme zu informieren.
* **Offenlegung an Dritte** (lit. c): Ist eine Offenlegung an einen anderen Empfänger beabsichtigt, spätestens zum Zeitpunkt der ersten Offenlegung. Will der Verantwortliche die Daten veröffentlichen, ist die Person vorher zu informieren und ihr eine Reaktionszeit einzuräumen.
Die lit. b und lit. c verkürzen die Monatsfrist, ersetzen sie aber nicht; die Höchstgrenze von einem Monat bleibt in jedem Fall.
**Zwei Linien zum Zeitpunkt.** Die Aufsichtsbehörden verlangen, soweit möglich **frühzeitig vor Ablauf der Fristen** und vor dem Wirksamwerden der Verarbeitung zu informieren ([Artikel-29-Datenschutzgruppe, WP 260 rev.01, Leitlinien für Transparenz, angenommen am 11.04.2018](https://www.edpb.europa.eu/our-work-tools/our-documents/article-29-working-party-guidelines-transparency-under-regulation_en), Rn. 28). Die Rechtslage ist offener: Art. 14 Abs. 3 lit. a DSGVO erlaubt die Information grundsätzlich **nach** der Erhebung, innerhalb der angemessenen Frist. Eine Information schon vor Beginn der Verarbeitung ist nur dort geboten, wo die Erhebung vom Willen der Person abhängt (Einwilligung oder vertragsbezogene Erhebung). Praktische Linie: Wo die Verarbeitung in Rechte der Person eingreift oder für sie überraschend ist, früh informieren; ein genereller Zwang, stets vor der Verarbeitung zu informieren, lässt sich Art. 14 aber nicht entnehmen.
## 4. Zweckänderung (Abs. 4) [#4-zweckänderung-abs-4]
Will der Verantwortliche die Daten zu einem anderen Zweck als dem Erhebungszweck weiterverarbeiten, hat er die Person vor der Weiterverarbeitung über den neuen Zweck und die weiteren maßgeblichen Angaben aus Abs. 2 zu informieren (Art. 14 Abs. 4 DSGVO). Die Regel entspricht Art. 13 Abs. 3 DSGVO (siehe [Zweckänderung](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.7-zweckaenderung)).
## 5. Ausnahmen (Abs. 5) [#5-ausnahmen-abs-5]
Art. 14 Abs. 5 DSGVO enthält vier Ausnahmen. Sie sind eng auszulegen; den Nachweis trägt der Verantwortliche.
### 5.1 Bereits vorhandene Informationen (lit. a) [#51-bereits-vorhandene-informationen-lit-a]
Wie bei der Direkterhebung entfällt die Pflicht, soweit die Person bereits über die Information verfügt. Praktisch relevant ist das vor allem bei Übermittlungen, bei denen die übermittelnde Stelle die Person schon informiert hat. Da aber meist nur ein Teil der Angaben bekannt ist, bleibt die Pflicht für die übrigen bestehen.
### 5.2 Unmöglichkeit oder unverhältnismäßiger Aufwand (lit. b) [#52-unmöglichkeit-oder-unverhältnismäßiger-aufwand-lit-b]
Die Pflicht entfällt, wenn die Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; daneben, wenn sie die Ziele der Verarbeitung ernsthaft beeinträchtigen würde.
**Unmöglichkeit** verlangt ein klares Ja oder Nein; der Verantwortliche muss die Faktoren darlegen, die die Information tatsächlich verhindern. Sie liegt selten vor: Erhebt der Verantwortliche etwa Bonitätsdaten über einen Neukunden, dessen Anschrift und E-Mail er nicht kennt, ist die Information nicht unmöglich, wenn er auf seiner Website vor der Anmeldung über die Erhebung von Auskunftsdaten hinweisen kann (WP 260 rev.01, Rn. 59).
**Unverhältnismäßiger Aufwand** verlangt eine Abwägung zwischen dem Aufwand der Information und dem Interesse der Person; je größer die Risiken der Verarbeitung, desto höher der zumutbare Aufwand. Anhaltspunkte sind die Zahl der Betroffenen, das Alter der Daten und vorhandene Garantien (Erwägungsgrund 62 DSGVO). Beispiele: Verlangt ein Krankenhaus von jedem Patienten Angaben zu zwei Angehörigen, wäre es bei hohem Patientenaufkommen unverhältnismäßig, täglich alle genannten Angehörigen zu informieren (WP 260 rev.01, Rn. 62). Erhalten historische Forscher einen 50 Jahre alten Datensatz ohne Kontaktangaben über 20.000 Personen, wäre der Versuch, alle einzeln aufzufinden, unverhältnismäßig (WP 260 rev.01, Rn. 63). Besonders genannt sind Archiv-, Forschungs- und Statistikzwecke nach Art. 89 Abs. 1 DSGVO; hier besteht eine Vermutung für die Unverhältnismäßigkeit, die im Einzelfall widerlegt sein kann.
**Ernsthafte Beeinträchtigung der Ziele** liegt vor, wenn schon die Information das Verarbeitungsziel vereiteln würde. Beispiel: Meldet eine Bank einen Geldwäscheverdacht an die Behörden, würde ein Hinweis an den Kunden die Ziele der Geldwäschebekämpfung beeinträchtigen, weil das Gesetz eine solche Vorwarnung untersagt (WP 260 rev.01, Rn. 65). Ebenso darf ein Detektiv, der ein Fehlverhalten verdeckt aufklärt, die Information bis zum Abschluss der Ermittlungen zurückhalten, muss sie aber spätestens nachholen, wenn er die Person mit dem Ergebnis konfrontiert.
**Zwei Linien zum unverhältnismäßigen Aufwand.** Die Aufsichtsbehörden legen die Ausnahme sehr eng aus; eine Behörde verlangte etwa Fernsehspots, um Millionen Betroffene über eine aus öffentlichen Quellen aufgebaute Datenbank zu informieren (WP 260 rev.01, Rn. 61). Die Rechtslage ist differenzierter: Bei massenhafter Erhebung aus öffentlich zugänglichen Quellen ohne risikoträchtige Auswertung kann der Aufwand einer individuellen Benachrichtigung unverhältnismäßig sein, sofern die Zahl der Betroffenen hoch und die Beeinträchtigung gering ist.
In allen Fällen des lit. b muss der Verantwortliche **geeignete Schutzmaßnahmen** ergreifen, insbesondere die Information **öffentlich** bereitstellen (etwa auf der Website), und seine Entscheidung dokumentieren (Art. 14 Abs. 5 lit. b S. 2 DSGVO).
### 5.3 Ausdrückliche gesetzliche Regelung (lit. c) [#53-ausdrückliche-gesetzliche-regelung-lit-c]
Die Pflicht entfällt, soweit die Erlangung oder Offenlegung durch Unions- oder mitgliedstaatliches Recht ausdrücklich geregelt ist und dieses Recht geeignete Schutzmaßnahmen vorsieht. Erforderlich ist eine hinreichend bestimmte Regelung, die Art der Daten, Voraussetzungen und Zweck vorgibt; eine generalklauselartige Erlaubnis genügt nicht ([EuGH, Urt. v. 01.10.2015, C-201/14, Bara](/docs/dsgvo-hub/rechtsprechung/1.4.7-eugh-bara)). Hauptanwendungsfall sind gesetzliche Meldepflichten an Behörden. Beispiel: Ist eine Steuerbehörde gesetzlich verpflichtet, von Arbeitgebern Angaben zu den Gehältern der Beschäftigten zu erlangen, entfällt insoweit ihre Informationspflicht (WP 260 rev.01, Rn. 66).
### 5.4 Berufsgeheimnis (lit. d) [#54-berufsgeheimnis-lit-d]
Die Pflicht entfällt, soweit die Daten einem Berufsgeheimnis unterliegen und deshalb vertraulich behandelt werden müssen. Die Ausnahme betrifft Dreieckskonstellationen: Sie schützt das Vertrauensverhältnis gegenüber Dritten, deren Daten der Geheimnisträger verarbeitet. Beispiel: Ein Arzt erhält von einer Patientin Gesundheitsdaten über erkrankte Angehörige. Würde er diese Angehörigen nach Art. 14 informieren, verletzte er das Berufsgeheimnis; die Ausnahme befreit ihn deshalb von der Information ihnen gegenüber (WP 260 rev.01, Rn. 67). Gegenüber dem Begünstigten des Berufsgeheimnisses selbst gilt die Ausnahme nicht.
## 6. Auswirkungen eines Verstoßes [#6-auswirkungen-eines-verstoßes]
Wird die Information nicht, nicht vollständig oder unrichtig erteilt, ist das nach Art. 83 Abs. 5 lit. b DSGVO bußgeldbewehrt; daneben kommt Schadensersatz nach Art. 82 DSGVO in Betracht. Anders als bei der Direkterhebung macht ein Verstoß die **Erhebung in der Regel nicht rechtswidrig**, weil die Information ohnehin erst nach der Erhebung zu erteilen ist; die Information ist dann nachzuholen. Etwas anderes gilt nur, wenn die Erhebung ausnahmsweise vom Willen der Person abhängt (Einwilligung oder vertragsbezogene Erhebung); dann kann der Informationsmangel die Verarbeitung rechtswidrig machen.
## 7. Primärquellen [#7-primärquellen]
---
## Über den Autor
Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.