Was besagt Art. 13 der DSGVO (Transparenzpflicht)?
März 2026
Jedes Unternehmen, das personenbezogene Daten erhebt, steht vor einer zentralen Aufgabe: den Menschen zu erklären, was mit ihren Daten passiert. Diese Transparenzpflicht ist in Artikel 13 der DSGVO geregelt. Die Vorschrift legt fest, welche Informationen Sie Betroffenen zum Zeitpunkt der Datenerhebung mitteilen müssen.
Wann greift Artikel 13 DSGVO?
Werden personenbezogene Daten bei der betroffenen Person erhoben, muss der Verantwortliche (also Sie, wenn Sie die Daten verarbeiten) die betroffene Person zum Zeitpunkt der Erhebung dieser Daten über die Datenverarbeitung informieren.
Die Regel ist einfach: Sobald Sie Daten direkt bei einer Person erheben, müssen Sie informieren. Das betrifft praktisch jeden digitalen Touchpoint Ihres Unternehmens: Kontaktformular, Checkout, Newsletter-Opt-In, Bewerbung, Support-Chat, Telefonat, E-Mail. Aber auch analoge Situationen fallen darunter, etwa wenn Kunden ein Formular in Ihrem Geschäft ausfüllen.
Entscheidend ist der Zeitpunkt: Die Informationspflicht gilt zum Zeitpunkt der Erhebung. Das bedeutet, dass die betroffene Person bereits informiert sein muss, bevor sie ihre Daten angibt.
Die umfassende Informationsliste: Was Sie mitteilen müssen
Die DSGVO verlangt einen beachtlichen Katalog an Pflichtinformationen. Nach Art. 13 sind dies vor allem die folgenden Informationen:
Name und Kontaktdaten des Verantwortlichen (sowie gegebenenfalls seines Vertreters);
Kontaktdaten des Datenschutzbeauftragten (wenn einer bestellt ist);
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen (wozu oder warum braucht es die Daten);
die Rechtsgrundlage für die Verarbeitung;
wenn die Rechtsgrundlage das berechtigte Interesse ist, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
die Empfänger oder Kategorien von Empfängern;
gegebenenfalls die Absicht Drittlandstransfers durchzuführen (Übermittlung oder Zugriff aus einem Nicht-EWR-Land), und die konkreten Transfermechanismen (wie wird sichergestellt, dass die Daten im Drittland sicher sind);
die Speicherdauer (konkret), oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
rde;
ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Wie müssen die Informationen bereitgestellt werden?
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Das bedeutet konkret: Keine juristischen Formulierungen, die nur Fachleute verstehen. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Das ist oft gar nicht so einfach, denn es sind viele und oft auch recht technische Informationen gefragt. In der Praxis hat sich der sogenannte Layered Approach bewährt: Ein gestufter Ansatz, bei dem die wichtigsten Informationen direkt auf der ersten Ebene bereitgestellt werden, etwa in Form eines Banners oder Hinweisschilds. Auch die Datenschutzerklärung selbst kann zum Beispiel ausklappbar gestaltet oder mit einem Inhaltsverzeichnis versehen werden, sodass die betroffene Person die für sie relevanten Informationen leicht findet.
Praktische Umsetzungsformen:
Typische umsetzungsformen sind die Datenschutzerklärung auf der Webseite (mit Link), Aushang oder Aufsteller im Ladengeschäft, QR Codes bei Videoüberwachung, vertragliche Anlage bei schriftlichen Vereinbarungen, Telefonansage mit Hinweis auf Datenschutzinformationen, oder der Link in der E-Mail-Signatur.
Ein häufiger Fehler: Die Informationen nach Art. 13 DSGVO sollten separat von anderen Erklärungen erteilt werden. Man sieht immer wieder, dass die Informationen nach Art. 13 DSGVO und etwaige einzuholende Einwilligungserklärungen oder AGB vermengt werden.
Auch wichtig: Die Informationspflicht und eine Einwilligung sind zwei verschiedene Dinge. Sie müssen informieren, unabhängig davon, ob Sie eine Einwilligung benötigen. Gleichzeitig ist eine "Zustimmung zur Datenschutzerklärung" weder eine wirksame Einwilligung noch rechtlich nötig.
Der Unterschied zu Artikel 14 DSGVO
Auch Art. 14 regelt Informationspflichten und ist dabei fast gleich. Was ist also der Unterschied?
Artikel 13 gilt bei direkter Datenerhebung (also die betroffene Person selbst gibt die Daten an, z.B. durch eine Newsletteranmeldung), Artikel 14 DSGVO bei indirekter Erhebung von Dritten (z.B., bei "Freunde werben Freunde" Werbung, wenn die E-Mail-Adresse des Bekannten eingegeben wird). Der Hauptunterschied: Bei Artikel 14 DSGVO müssen Sie zusätzlich die Quelle der Daten angeben.
Der Zeitpunkt unterscheidet sich ebenfalls: Bei Art. 13 informieren Sie zum Zeitpunkt der Erhebung. Bei Art. 14 gilt: innerhalb eines Monats oder bei erster Kommunikation. Diese Unterscheidung ist wichtig, wenn Sie beispielsweise Kontaktdaten von Geschäftspartnern von einem Lead-Broker erhalten oder Daten aus öffentlichen Registern beziehen.
Die WhatsApp-Entscheidung: Wenn Datenschutzerklärungen zur Wissenschaft werden
Die Komplexität, die Art. 13 DSGVO in der Praxis erreichen kann, zeigt sich eindrucksvoll in der WhatsApp-Entscheidung der irischen Datenschutzbehörde. Im September 2021 verhängte die irische Datenschutzbehörde gegen WhatsApp Ireland ein Bußgeld von 225 Millionen Euro wegen Verstößen gegen die Transparenzpflichten der Artikel 12, 13 und 14 DSGVO.
Die Untersuchung begann im Dezember 2018 und dauerte fast drei Jahre. Der Vorwurf: WhatsApp habe seinen Nutzern nicht transparent genug erklärt, wie personenbezogene Daten verarbeitet werden und wie Informationen zwischen WhatsApp und anderen Unternehmen der Facebook-Gruppe ausgetauscht werden.
Die Entscheidung selbst ist sehr lang und stelle extrem hohe Anforderungen an das, was Datenschutzerklärungen leisten müssen. Hier zwei Beispiele:
Das „Häppchenweise"-Problem:
Die irische Datenschutzbeauftragte kritisierte, dass WhatsApp Informationen „piecemeal fashion" bereitstellte, also scheibchenweise. Nutzer mussten sich durch verschiedene verlinkte Dokumente klicken, wobei die Informationen teilweise widersprüchlich waren und sich überschnitten.
Die Entscheidung stellte klar: Nutzer sollten nicht hart arbeiten müssen, um die vorgeschriebenen Informationen zu erhalten. Sie sollten auch nicht im Unklaren darüber sein, ob sie alle verfügbaren Informationsquellen ausgeschöpft haben, und sie sollten nicht versuchen müssen, Widersprüche zwischen verschiedenen Informationen an unterschiedlichen Stellen zu klären.
Das Problem der berechtigten Interessen:
Ein zentraler Kritikpunkt betraf die Beschreibung der berechtigten Interessen nach Art. 13 Abs. 1 lit. d DSGVO. WhatsApp hatte als Interesse beispielsweise angegeben: „Bereitstellung genauer und zuverlässiger Berichte für Unternehmen und andere Partner". Der Europäische Datenschutzausschuss kritisierte, dass hier nicht klar sei, wer diese „anderen Partner" sind und dass die Beschreibung des Interesses zu vage sei. 16
Der Europäische Datenschutzausschuss stellte klar: Für die wirksame Ausübung der Betroffenenrechte müssen im Rahmen des Art. 13 Abs. 1 lit. d DSGVO spezifische Informationen darüber bereitgestellt werden, welche berechtigten Interessen mit den einzelnen Verarbeitungen verbunden sind und welche Stelle die einzelnen berechtigten Interessen verfolgt.
Die politische Dimension:
Die WhatsApp-Entscheidung zeigt auch die Komplexität des europäischen Datenschutz-Durchsetzungssystems. Ursprünglich hatte die irische Behörde ein Bußgeld zwischen 30 und 50 Millionen Euro vorgeschlagen. Acht andere europäische Aufsichtsbehörden, darunter Deutschland, Frankreich und Italien, legten Einspruch ein. Der Europäische Datenschutzausschuss musste die Streitigkeit beilegen und erhöhte das Bußgeld auf 225 Millionen Euro.
Was passiert bei Verstößen gegen Art. 13 DSGVO?
Die Aufsichtsbehörden nehmen Verstöße gegen die Informationspflicht ernst.
Die Aufsichtsbehörden können bei Verstößen gegen die Informationspflicht nach Art. 83 Abs. 5 lit. b DSGVO Geldbußen verhängen. Die Höhe richtet sich nach verschiedenen Faktoren: Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit, Zahl der betroffenen Personen, frühere Verstöße und die Kooperationsbereitschaft mit der Aufsichtsbehörde. Verstöße gegen Art. 13 DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. In der Praxis liegen die Beträge natürlich ereheblich darunter. Aber: Die Datenschutzerklärung ist ihr Aushängeschild und bildet oft den ersten Eindruck, den die Behörde von Ihnen bekommt.
Und Verfahren wegen Verstößen gegen Informationspflichten sind keine Seltenheit. Im Mai 2025 verhängte die irische Datenschutzbehörde gegen TikTok Technology Limited ein Bußgeld, das unter anderem 45 Millionen Euro wegen Verstoßes gegen Art. 13 Abs. 1 lit. f DSGVO umfasste. TikTok hatte seine Nutzer nicht ausreichend transparent über die geplante Datenverarbeitung informiert. So fehlten Angaben darüber, in welche Drittländer personenbezogene Daten übermittelt wurden und zu welchen Zwecken.
Wegen Verstößen gegen die Transparenz- und Informationspflichten nach DSGVO musste Netflix 4,75 Millionen Euro zahlen. Die Behörde stellte fest, dass Netflix insbesondere klare Angaben zu Zwecken, Rechtsgrundlagen, Empfängern und Aufbewahrungsfristen versäumt hatte.
Warum Datenschutzerklärungen so komplex sind
Die WhatsApp-Entscheidung zeigt: Vollständige Transparenz ist eine Herausforderung, selbst für "Big-Tech" Unternehmen mit erheblichen Ressourcen.
Das Dilemma der Komplexität:
Moderne digitale Dienste verarbeiten Daten auf vielfältige Weise: Für den Kernservice, für Sicherheit, für Verbesserungen, für Analysen, für Werbung, für die Weitergabe an Konzerngesellschaften. Informationspflichten sind dabei das Fundament, auf dem alle anderen Betroffenenrechte ruhen. Nur wenn Betroffene verstehen, ob und wie ihre Daten verarbeitet wurden oder werden sollen, können sie ihre Rechte ausüben.
Gleichzeitig verlangt Art. 12 DSGVO, dass Informationen „präzise, transparent, verständlich und leicht zugänglich" sein müssen. Die irische Behörde kritisierte WhatsApp dafür, dass es einen kontinuierlichen Scroll von Informationen gab, ohne dass Nutzer nach der Startseite Abkürzungsoptionen sehen konnten. Auch wurde kritisiert, dass die Datenschutzhinweise in die rechtlichen Bedingungen eingebettet waren, was Leser abschrecken könne.
Es gibt also einen ziemlichen Zielkonflikt: Einerseits soll über viele Verarbeitungen umfassend aufgeklärt werden, andererseits dürfen Menge und Komplexität der Informationen die betroffene Person nicht überfordern. In anderen Worten, die Datenschutzerklärung muss vollständig und detailliert sein, darf aber nicht so lang werden, dass niemand sie mehr liest.
Praktische Tipps für die rechtssichere Umsetzung
Schritt 1: Erstellen Sie für jede Kategorie von Betroffenen eigene Datenschutzhinweise. Da sich Speicherdauer, Zwecke und Empfänger je nach Verarbeitungszweck unterscheiden, empfiehlt es sich, für jeden Prozess eine eigene Datenschutzerklärung zu erstellen: Website, Kunden und Lieferanten, Bewerber, Mitarbeiter.
Schritt 2: Binden Sie die Datenschutzhinweise direkt in Ihre Prozesse ein. Haben Sie ein Ladenlokal oder eine Arztpraxis, hängen Sie die Datenschutzhinweise aus und halten Sie sie zur Mitnahme bereit. Kommunizieren Sie vor allem per E-Mail mit Ihren Kunden, verlinken Sie die Datenschutzhinweise in Ihrer E-Mail-Signatur.
Schritt 3: Achten Sie auf Verständlichkeit. Die Informationen sollten in einer einfachen, klaren und verständlichen Sprache bereitgestellt werden. Juristische oder technische Begriffe nur einsetzen, wenn sie sofort erklärt werden.
Schritt 4: Vermeiden Sie das „Häppchenweise"-Problem. Wenn Sie mehrere verlinkte Dokumente verwenden, stellen Sie sicher, dass Nutzer einen einfachen Weg haben, zu erkennen, dass sie alle relevanten Informationen gesehen haben. Vermeiden Sie Widersprüche zwischen den Dokumenten.
Schritt 5: Seien Sie konkret. Wenn Sie sich zum Beispiel auf berechtigte Interessen als Rechtsgrundlage stützen, beschreiben Sie diese präzise und ordnen Sie jedes Interesse einer konkreten Verarbeitungstätigkeit zu. Formulierungen wie „zur Verbesserung unserer Dienstleistungen" reichen nicht aus.
Schritt 6: Dokumentieren Sie, wie Sie Ihre Informationspflichten umgesetzt haben. Als Verantwortlicher sollten Sie belegen können, wann und wie Sie informiert haben (zum Beispiel Versionsstand, Einblendungslogik im Formular, Archiv der Datenschutzhinweise). Diese Dokumentation ist Teil Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Warum rechtssichere Informationen Ihr Unternehmen nach Vorne bringen
Wer frühzeitig und verständlich erklärt wie er personenbezogene Daten verarbeitet, vermeidet Missverständnisse, reduziert Rückfragen und stärkt das Vertrauen seiner Kunden. In einer Zeit, in der Datenschutzskandale regelmäßig Schlagzeilen machen, kann eine professionelle Datenschutzkommunikation ein Alleinstellungsmerkmal sein.
Die WhatsApp-Entscheidung zeigt aber auch: Selbst mit unbegrenzten Ressourcen ist es eine Herausforderung, die Balance zwischen Vollständigkeit, Verständlichkeit und Nutzerfreundlichkeit zu finden. Für mittelständische Unternehmen gilt: Lieber eine etwas längere, aber vollständige und klare Datenschutzerklärung als eine zu kurze, die wichtige Informationen auslässt.
Sie möchten Ihre Informationspflichten rechtssicher und nutzerfreundlich umsetzen?
MAINLY unterstützt mittelständische Unternehmen und Startups dabei, Datenschutzerklärungen zu erstellen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch Ihre Prozesse optimal in die Datenschutz-Compliance integrieren.
