# Datenschutzerklärung und Informationspflichten (Art. 12 bis 14 DSGVO)

Wann eine Datenschutzerklärung erforderlich ist, welche Pflichtangaben sie enthalten muss und wie sie aufgebaut wird: Überblick zu den Informationspflichten nach Art. 12, 13 und 14 DSGVO.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/transparenzpflichten
> Sprache: en



Die Datenschutzerklärung ist das zentrale Instrument, mit dem der Verantwortliche seine Informationspflichten erfüllt. Was sie enthalten muss, ergibt sich aus Art. 13 DSGVO (Erhebung beim Betroffenen) und Art. 14 DSGVO (Erhebung aus anderen Quellen); wie die Information aufzubereiten und bereitzustellen ist, regelt Art. 12 DSGVO. Treffender als „Datenschutzerklärung" ist der Begriff Datenschutzhinweise, denn es geht um eine reine Information, nicht um eine Erklärung oder Zustimmung der betroffenen Person.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Auslöser ist die **Datenerhebung**: bei Erhebung beim Betroffenen greift Art. 13 DSGVO, bei Erhebung aus anderen Quellen Art. 14 DSGVO.
  * Die Information ist grundsätzlich **zum Zeitpunkt der Erhebung** zu erteilen (Art. 13) bzw. innerhalb einer kurzen Frist nach der Erlangung (Art. 14).
  * Inhalt sind feste **Pflichtangaben** (Verantwortlicher, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer, Rechte und weitere), getrennt nach Direkt- und Dritterhebung.
  * Es handelt sich um **reine Information, nicht um eine Einwilligung**: kein Häkchen, keine Kopplung an einen Vertragsschluss.
  * Ein Verstoß ist **bußgeldbewehrt** (Art. 83 Abs. 5 lit. b DSGVO); die Information muss unentgeltlich bereitgestellt werden.
</Callout>

## 1. Wann eine Datenschutzerklärung erforderlich ist [#1-wann-eine-datenschutzerklärung-erforderlich-ist]

### 1.1 Auslöser: Direkt- oder Dritterhebung [#11-auslöser-direkt--oder-dritterhebung]

Die Informationspflicht knüpft an die Erhebung personenbezogener Daten an. Maßgeblich ist, woher die Daten stammen:

* **Erhebung beim Betroffenen** (Art. 13 DSGVO): Die betroffene Person ist selbst die Quelle, etwa beim Ausfüllen eines Formulars, bei der Registrierung oder durch Beobachtung ihres Verhaltens (Videoüberwachung, Sensoren, Tracking). Die Information ist zum Zeitpunkt der Erhebung zu erteilen.
* **Erhebung aus anderen Quellen** (Art. 14 DSGVO): Die Daten stammen von Dritten, aus öffentlich zugänglichen Quellen oder von Datenhändlern. Die Information ist innerhalb einer angemessenen Frist, spätestens binnen eines Monats, zu erteilen, unter Umständen früher.

Eine Datenschutzerklärung wird also nicht „für die Website" oder „für das Unternehmen" geschuldet, sondern für jede Verarbeitung, die personenbezogene Daten erhebt. In der Praxis bündelt man die Angaben zu vielen gleichartigen Verarbeitungen in einem Dokument.

### 1.2 Typische Anwendungsfälle [#12-typische-anwendungsfälle]

Sinnvoll ist, die Hinweise nach Zielgruppen zu ordnen und für besondere Verarbeitungssituationen eigene Hinweise vorzuhalten.

| Ebene                               | Beispiele                                                               |
| ----------------------------------- | ----------------------------------------------------------------------- |
| Allgemeine Hinweise nach Zielgruppe | Kunden und Geschäftspartner, Beschäftigte, Bewerber, Websitebesucher    |
| Besondere Dienste und Angebote      | Apps, Webanwendungen (SaaS, Cloud), Onlineshop, Newsletter, Nutzerkonto |
| Besondere Verarbeitungssituationen  | Videoüberwachung, Gäste-WLAN, Zeiterfassung, Fotos auf Veranstaltungen  |

Eine allgemeine Datenschutzerklärung deckt die Standardfälle ab; für Situationen, die der Betroffene nicht ohne Weiteres erwartet, sind gesonderte, kontextnahe Hinweise erforderlich (dazu die [Gestaltung](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.4-gestaltung-und-praxis)).

### 1.3 Reine Information, keine Zustimmung [#13-reine-information-keine-zustimmung]

Die Datenschutzerklärung informiert; sie verlangt keine Zustimmung. Daraus folgt für die Praxis:

* **Kein Häkchen** zur Datenschutzerklärung bei der Registrierung. Wer ein Bestätigungskästchen verlangt, suggeriert eine Einwilligung, die hier weder nötig noch gewollt ist (zur [Einwilligung als Rechtsgrundlage](/docs/dsgvo-hub/einzelthemen/rechtsgrundlagen-der-verarbeitung/1.3.2.1-einwilligung)).
* **Kein Vertragsbestandteil.** In AGB gehört allenfalls ein Verweis auf die Datenschutzhinweise, nicht deren Inhalt.
* **Unentgeltlich.** Die Information darf nicht von einer Zahlung oder vom Kauf einer Leistung abhängig gemacht werden (Art. 12 Abs. 5 S. 1 DSGVO).

## 2. Wozu sie dient [#2-wozu-sie-dient]

Die Datenschutzerklärung erfüllt zugleich mehrere Funktionen, die man bei der Gestaltung im Blick behalten sollte:

* **Gegenüber Betroffenen:** Information und Außendarstellung; sie ist Voraussetzung dafür, dass Betroffene ihre Rechte überhaupt ausüben können.
* **Gegenüber Aufsichtsbehörden:** Absicherung und Vermeidung von Bußgeldern; eine fehlende oder unvollständige Information ist eigenständig bußgeldbewehrt (Art. 83 Abs. 5 lit. b DSGVO).
* **Gegenüber Wettbewerbern und Anwälten:** Verringerung des Abmahn- und Schadensersatzrisikos.
* **Für das eigene Unternehmen:** Wer die Datenschutzerklärung sorgfältig erstellt, muss die eigenen Verarbeitungen, ihre Zwecke und Rechtsgrundlagen durchdenken. Das Dokument ist damit auch ein internes Prüf- und Strukturierungswerkzeug.

## 3. Welche Angaben hineingehören [#3-welche-angaben-hineingehören]

Die folgende Übersicht ordnet jede Pflichtangabe ihrer Rechtsgrundlage zu und zeigt, ob sie bei Direkt- oder Dritterhebung geschuldet ist. Die letzte Spalte nennt, wann die Angabe ausnahmsweise entfallen kann. Die Details, Beispiele sowie die Do's und Don'ts stehen auf den verlinkten Unterseiten.

| Pflichtangabe                                     | Direkterhebung (Art. 13) | Dritterhebung (Art. 14) | Kann entfallen, wenn               |
| ------------------------------------------------- | ------------------------ | ----------------------- | ---------------------------------- |
| Verantwortlicher (Name, Kontakt, ggf. Vertreter)  | Abs. 1 lit. a            | Abs. 1 lit. a           | bereits bekannt                    |
| Datenschutzbeauftragter (Kontakt)                 | Abs. 1 lit. b            | Abs. 1 lit. b           | kein DSB / bereits bekannt         |
| Zwecke und Rechtsgrundlage                        | Abs. 1 lit. c            | Abs. 1 lit. c           | bereits bekannt                    |
| Berechtigte Interessen (bei Art. 6 Abs. 1 lit. f) | Abs. 1 lit. d            | Abs. 2 lit. b           | keine Stützung auf lit. f          |
| Empfänger oder Kategorien von Empfängern          | Abs. 1 lit. e            | Abs. 1 lit. e           | keine Weitergabe / bereits bekannt |
| Drittlandübermittlung und Garantien               | Abs. 1 lit. f            | Abs. 1 lit. f           | kein Drittlandbezug                |
| Speicherdauer oder Kriterien                      | Abs. 2 lit. a            | Abs. 2 lit. a           | (eng) entbehrlich                  |
| Betroffenenrechte und Beschwerderecht             | Abs. 2 lit. b, d         | Abs. 2 lit. c, e        | bereits bekannt                    |
| Widerruf der Einwilligung                         | Abs. 2 lit. c            | Abs. 2 lit. d           | keine Einwilligung                 |
| Bereitstellungspflicht und Folgen                 | Abs. 2 lit. e            | entfällt                | nur Direkterhebung                 |
| Automatisierte Entscheidung und involvierte Logik | Abs. 2 lit. f            | Abs. 2 lit. g           | keine solche Verarbeitung          |
| Kategorien der verarbeiteten Daten                | entfällt                 | Abs. 1 lit. d           | nur Dritterhebung                  |
| Quelle der Daten                                  | entfällt                 | Abs. 2 lit. f           | nur Dritterhebung                  |

<Callout type="info">
  Für jede Pflichtangabe lohnt sich die Prüfung anhand von vier Zuständen: **Hinweis erteilt** (die Angabe steht in den Hinweisen), **bereits bekannt** (die Person verfügt schon darüber, Art. 13 Abs. 4 bzw. Art. 14 Abs. 5 lit. a), **entbehrlich** (nur bei einzelnen Angaben aus Abs. 2 denkbar) oder **Ausnahme** (nur bei Dritterhebung, Art. 14 Abs. 5). So lässt sich für jede Verarbeitung sauber dokumentieren, warum eine Angabe gemacht wurde oder fehlen darf.
</Callout>

## 4. Aufbau dieses Kapitels [#4-aufbau-dieses-kapitels]

<Cards>
  <Card title="Allgemeine Anforderungen (Art. 12)" href="/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.1-allgemeine-anforderungen" description="Wie die Information aufbereitet und bereitgestellt wird: präzise, transparent, verständlich, leicht zugänglich; Form, Bildsymbole, Zeitpunkt, Rechtsfolgen." />

  <Card title="Inhalt bei Direkterhebung (Art. 13)" href="/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung" description="Pflichtangaben bei Erhebung beim Betroffenen, Information bei Zweckänderung und die Ausnahme bereits vorhandener Informationen." />

  <Card title="Inhalt bei Dritterhebung (Art. 14)" href="/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.3-inhalt-bei-dritterhebung" description="Zusätzliche Angaben (Datenkategorien, Quelle), Zeitpunkt der Information und die vier Ausnahmen des Abs. 5." />

  <Card title="Gestaltung und Praxis" href="/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.4-gestaltung-und-praxis" description="Aufbau, Schichtenmodell, Detailtiefe, Bereitstellungswege, typische Fehler, Aktualisierung und Checkliste." />
</Cards>

## 5. Primärquellen [#5-primärquellen]

<Cards>
  <Card title="Art. 12 DSGVO" href="https://dsgvo-gesetz.de/art-12-dsgvo/" description="Transparente Information, Kommunikation und Modalitäten." />

  <Card title="Art. 13 DSGVO" href="https://dsgvo-gesetz.de/art-13-dsgvo/" description="Informationspflicht bei Erhebung beim Betroffenen." />

  <Card title="Art. 14 DSGVO" href="https://dsgvo-gesetz.de/art-14-dsgvo/" description="Informationspflicht bei Erhebung aus anderen Quellen." />

  <Card title="WP 260 rev.01" href="https://www.edpb.europa.eu/our-work-tools/our-documents/article-29-working-party-guidelines-transparency-under-regulation_en" description="Leitlinien der Artikel-29-Datenschutzgruppe für Transparenz (vom Europäischen Datenschutzausschuss bestätigt)." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.