Schriftzug LFD Niedersachsen Niedersachsen klar Logo

Informationspflichten

Artikel 13 und 14 DS-GVO


Jede Stelle, die personenbezogene Daten verarbeitet („Verantwortlicher“), muss den Personen, deren Daten verarbeitet werden („Betroffene“), proaktiv bestimmte Informationen zur Datenverarbeitung mitteilen. So werden die betroffenen Personen in die Lage versetzt, ihre Rechte angemessen ausüben zu können. Die nachfolgenden Erläuterungen zu den Informationspflichten gelten sowohl für öffentliche (z. B. kommunale Verwaltung), wie auch nicht-öffentliche Stellen (z. B. Vereine, Unternehmen).

1) Welche Informationen müssen Sie erteilen?

Das ergibt sich aus Artikel 13 der Datenschutz-Grundverordnung (DS-GVO), wenn die Daten direkt bei den betroffenen Personen erhoben werden (Direkterhebung), und aus Artikel 14, wenn die Daten nicht direkt, sondern bei Dritten (Dritterhebung) oder aus öffentlich zugänglichen Quellen erhoben wurden.

Beispiel Direkterhebung: Ein neues Vereinsmitglied füllt einen Mitgliedsantrag aus.
Beispiel Dritterhebung: Ein Unternehmen kauft für Werbezwecke Datensätze von einem Adresshändler.

Sie müssen nach Art. 13 DS-GVO insbesondere Folgendes mitteilen:

  • Name und Kontaktdaten des Verantwortlichen (Beispiel: Name und Adresse der Behördenleitung oder des Geschäftsführers eines Unternehmens)
  • Kontaktdaten eines/einer vom Verantwortlichen bestellten Datenschutzbeauftragten (Der Name muss nicht angegeben werden, aber die Erreichbarkeit, z.B. über eine Telefonnummer oder Funktions-E-Mail-Adresse.)
  • Verarbeitungszwecke und Rechtsgrundlage (Beispiel: Abwicklung einer Bestellung, Nutzung der Daten für Werbezwecke; ggf. Beschreibung des berechtigten Interesses, falls die Datenverarbeitung auf einem berechtigten Interesse des Verantwortlichen oder von Dritten beruht.)
  • Hinweis auf die Widerrufbarkeit der Einwilligung, falls diese zuvor erteilt wurde
  • Empfänger der Daten bzw. Empfängerkategorien, falls die Daten weitergegeben werden (zum Beispiel an Paketversender)
  • Ggf. Absicht zur Übermittlung der Daten in ein Nicht-EU-Land (Beispiel: Verarbeitung der Daten durch einen Cloud-Anbieter mit Sitz in den USA)
  • Geplante Speicherdauer bzw. Kriterien für deren Festlegung (Beispiel: Aufbewahrungsfrist für Steuerzwecke, siehe auch Hilfestellung für den öffentlichen Bereich)
  • Betroffenenrechte (Recht auf Auskunft, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit)
  • Beschwerderecht bei Aufsichtsbehörde (Nennung der konkret zuständigen Aufsichtsbehörde)
  • Ggf. Information über die Verpflichtung zur Weitergabe der Daten an Dritte (Beispiel: Verpflichtung ergibt sich aus gesetzlicher Vorschrift wie etwa bei der Gewerbeanmeldung)
  • Ggf. Informationen über automatisierte Einzelfallentscheidung bzw. Profiling (Beispiel: Information über Scoring-Verfahren bei Wirtschaftsauskunfteien)


Nach Art. 14 DS-GVO sind zusätzliche Angaben zu machen:

  • Kategorien der verarbeiteten Daten (Beispiel: Adressdaten, Kontodaten)
  • Datenquelle (Beispiel: konkret benannter Adresshändler)

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Patienten einer Arztpraxis zu, wenn sie dort mehrmals Termine wahrnehmen. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden wie z.B. zur ordnungsgemäßen Berechnung von Steuern oder Sozialversicherungsbeiträgen.

2) Wann müssen Sie die Informationen erteilen?

Werden die Daten direkt bei der betroffenen Person erhoben, müssen Sie die Informationen zum Zeitpunkt dieser Erhebung erteilen. Unter „Erhebung“ versteht man allgemein ein zielgerichtetes Beschaffen von Daten als Vorstufe einer weiteren Datenverarbeitung. Das umfasst grundsätzlich auch die Kenntnisnahme von Daten mit dem Ziel, sie weiter zu verarbeiten. Wer zum Beispiel eine Preisanfrage eines/einer Interessenten/in per E-Mail erhält und beantwortet, hat die Kontaktdaten erhoben und weiter verarbeitet. Gleiches gilt für die Eingabe eines Bürgers/einer Bürgerin bei einer Behörde.

Werden die Daten nicht bei der betroffenen Person erhoben, müssen Sie die Informationen innerhalb einer angemessenen Frist nach Erlangung, spätestens aber binnen eines Monats erteilen.


Werden die Daten zur Kommunikation verwendet, müssen die Informationen spätestens zum Zeitpunkt dieser Kommunikation erfolgen. Kauft zum Beispiel ein Unternehmen für Werbezwecke Adressdaten ein, muss es die jeweils Betroffenen entweder spätestens nach vier Wochen informieren oder bereits früher, sobald es die Adressen für Werbesendungen verwendet.

3) Wie müssen Sie die Informationen erteilen?

Die Informationen können schriftlich oder in anderer Form (Beispiele: Informationsblatt, Flyer, Aushang, Schild, Bildsymbole, Fax), ggf. auch elektronisch erteilt werden. Falls es die betroffene Person verlangt, können Sie auch mündlich übermittelt werden.

Für eine praxistaugliche Umsetzung können Sie die Informationen auch in mehreren Stufen und mithilfe verschiedener Medien erteilen. So können Sie sich beim ersten Kontakt auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen, die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte beschränken und die weiteren Informationen später ergänzen.


Ist die betroffene Person persönlich anwesend (zum Beispiel in der Arztpraxis oder im Bürgerbüro) kann die Informationspflicht dadurch erfüllt werden, dass aktiv auf einen Aushang oder einen ausliegenden Flyer mit einer Zusammenfassung der Basisinformationen hingewiesen wird. Für die weitergehenden Informationen kann dann auf eine Webseite verwiesen werden.


Bei der Kontaktaufnahme am Telefon können Sie sich auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft, sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen. So soll verhindert werden, dass die betroffene Person am Telefon mit den Informationen „überfrachtet“ wird.


Eine Information am Telefon könnte zum Beispiel so lauten:

„Sehr geehrter Kunde, sehr geehrte Kundin,
wir [ Name der oder des Verantwortlichen ] verarbeiten Ihre personenbezogenen Daten zur [Erfüllung des mit Ihnen geschlossenen Kaufvertrages], [im Rahmen einer Auftragsverarbeitung], [für Werbezwecke]. Sie haben unter anderem das Recht, Auskunft über Ihre durch uns verarbeiteten Daten zu erhalten, sowie das Recht, dass diese Daten gelöscht werden, sofern sie zum Erreichen des genannten Zweckes nicht länger erforderlich sind. Weitere Informationen finden Sie auf unserer Homepage unter www.abcde.de.“


Sonderfall Terminvereinbarung am Telefon:
Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen zu erteilen (siehe Frage 3).


Bei einer Kommunikation per Brief kann ein Informationsblatt im ersten Schreiben an die betroffene Person mit versandt werden (z.B. als Anlage zur Empfangsbestätigung).


Bei einer Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweist. Alternativ kann ein Informationsblatt als Anlage beigefügt werden.


In jedem Fall müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

4) Kann man die Informationspflicht auch durch einen einfachen Verweis auf die Webseite erfüllen?


Nein. Je nach Art der Kommunikation mit der betroffenen Person ist eine Mitteilung der Basisinformationen erforderlich. Für die weitergehenden Informationen kann dann auf die Webseite verwiesen werden (siehe Frage 3).

5) Wie müssen Sie bei einem Austausch von Visitenkarten informieren?


Beim Austausch von Visitenkarten müssen Sie zunächst unterscheiden, für welchen Zweck diese genutzt werden:

  • Werden Visitenkarten zu rein privaten Zwecken ausgetauscht, fällt das unter die sogenannte Haushaltsausnahme. Damit ist die DS-GVO nicht anwendbar und es bestehen keine Informationspflichten gegenüber der betroffenen Person.
  • Die zweite – wahrscheinlich deutlich häufigere – Konstellation ist der Austausch im geschäftlichen Umfeld.
    Allerdings kann man auch hier nicht zwingend davon ausgehen, dass die Daten der Visitenkarte in ein Dateisystem überführt werden sollen. Das oder zumindest der Plan dazu wären aber die Voraussetzung für die Anwendbarkeit der DS-GVO. Wenn also jemand eine Visitenkarte erhält, aber nicht vorhat, deren Daten in einem Adressbuch, einem Karteikasten, einer elektronischen Kontaktdatei oder Datenbank zu speichern, bestehen keine Informationspflichten.
    Etwas anderes gilt zum Beispiel auf Messen, wenn Visitenkarten übergeben werden, um Angebote/Informationen zu erhalten (sog. Messeleads). In diesen Fällen entsteht die Informationspflicht bereits bei Übergabe der Visitenkarte. Die Pflicht kann dann z.B. durch Informationsschilder und -flyer auf dem Messestand erfüllt werden. Ein Schild sollte einen Link oder QR-Code enthalten, um die Informationen dauerhaft zur Verfügung zu stellen.
    Erhalten Sie außerhalb einer Messe eine Visitenkarte im geschäftlichen Umfeld, entsteht die Informationspflicht, sobald Sie die Kartendaten automatisiert verarbeiten oder in ein Dateisystem überführen.
6) Müssen Sie auch „Bestandskunden“/“Bestandsmitglieder“ informieren?


Nein, es entstehen keine rückwirkenden Informationspflichten für Personen, die bereits vor dem Wirksamwerden der DS-GVO am 25.05.2018 Kunden/Beschäftigte/Mitglieder waren, da die Datenerhebung zum Zeitpunkt des Inkrafttretens der rechtlichen Verpflichtung bereits abgeschlossen war. Es ist allerdings empfehlenswert, auch den „Bestandskunden“/“Bestandsmitgliedern“ die Informationen nach Art. 13 und 14 zukommen zu lassen. So haben alle betroffenen Personen denselben Informationsstand und Sie verringern die Wahrscheinlichkeit von Fehlern.

7) Muss die betroffene Person unterschreiben, dass sie die Informationen zur Kenntnis genommen hat?


Nein, der betroffenen Person muss lediglich die Gelegenheit gegeben werden, die Informationen zu erhalten. Sie muss die Informationen jedoch nicht zur Kenntnis nehmen, wenn sie dies nicht möchte.

8) Müssen auch Kinder informiert werden?


Ja, die Informationspflicht besteht auch gegenüber Kindern. Dabei sollten Wortwahl, Tonalität und Sprachstil an die kindliche Zielgruppe angepasst werden. Bei sehr jungen Kindern, welche den Inhalt noch nicht verstehen, können die Informationen an die Eltern gerichtet werden.

9) Wie sind fremdsprachige Personen zu informieren?


Grundsätzlich müssen Sie die Informationen in deutscher Sprache erteilen. Bei einem erkennbar fremdsprachigen Adressatenkreis empfiehlt es sich aber, die Informationen auch in anderen Sprachen vorzuhalten. Eine Verpflichtung dazu besteht jedoch nicht.

Ausnahme: Bei einem Online-Shop, welcher sich auch an Personen in anderen europäischen Ländern richtet und dabei in verschiedenen Sprachen kommuniziert, hat eine Übersetzung in die entsprechenden Sprachen zu erfolgen.

10) Wie müssen Sie informieren, wenn Fotos von betroffenen Personen auf Festen, in Vereinen etc. gemacht werden?


Bevor Fotos gemacht und veröffentlicht werden, müssen die betroffenen Personen gemäß Art. 13 informiert werden. Das kann zum Beispiel geschehen, indem die wichtigsten Basis-Informationen vorher mitgeteilt werden: Namen und Kontaktdaten des Fotografen bzw. des sonstigen Verantwortlichen, Zwecke der Fotos und der Veröffentlichung (wie z. B. ein Bericht von der Veranstaltung in der Vereinszeitung oder auf dessen Webseite), Rechtsgrundlage der Verarbeitung, bestimmte Rechte der betroffenen Person. Informiert werden kann z. B. durch Aufsteller oder Aushänge an allen offiziellen Eingängen zum Veranstaltungsort (Sportplatz, Festhalle, etc.). Die weitergehenden Informationen können dann auf einer Webseite oder in einem Informationsblatt zur Verfügung gestellt werden.

11) Wie müssen Sie informieren, wenn eine betroffene Person einen videoüberwachten Bereich betritt?

Bei einer Videoüberwachung hat die Information durch einen Aushang zu erfolgen. Hierzu können Sie dieses Muster verwenden.

12) Wer muss bei gemeinsamer Verantwortlichkeit mehrerer Verantwortlicher die Informationspflicht erfüllen?


Sind mehrere Verantwortliche für eine Datenverarbeitung gemeinsam verantwortlich, müssen sie in einer Vereinbarung festlegen, wer von ihnen welche Pflichten aus der DS-GVO erfüllt. Das betrifft auch die Informationspflicht, so dass diese nur von einem der Verantwortlichen erfüllt werden muss.

13) Wie können Sie die Einhaltung der Informationspflichten nachweisen?


Das kommt auf die Art der Kommunikation an. Die Einhaltung der Informationspflichten kann z.B. durch eine Kopie des gesendeten Schreibens, durch einen entsprechenden Vermerk nach einem Telefongespräch oder durch eine allgemeine Handlungsanweisung an die eigenen Beschäftigten zur Durchführung der Informationserteilung nachgewiesen werden.

14) Welchen Inhalt muss eine Datenschutzerklärung auf einer Webseite haben?

Zusätzlich zu den unter Frage 1 aufgeführten Informationen muss die Datenschutzerklärung einer Webseite zusätzlich Angaben zu den speziell durch die Nutzung der Seite erhobenen personenbezogenen Daten (z. B. IP-Adresse) und ggf. zu gesetzten Cookies enthalten. Werden Analyse-Tools eingesetzt (etwa zur Reichweitenmessung), müssen Sie auch darüber informieren. Bei der Verwendung von Tracking-Mechanismen (z. B. zur Erstellung von Nutzungsprofilen für Werbezwecken) ist auch hierzu die einschlägige Rechtsgrundlage mitzuteilen.

15) Wie muss die Datenschutzerklärung auf einer Webseite gestaltet sein?

Von jeder Seite der Webseite sollte ein direkter Link zur Datenschutzerklärung führen. Dabei sollte ein allgemein geläufiger Begriff wie „Datenschutzbestimmungen“ oder „Datenschutzhinweise“ benutzt werden.

zum Seitenanfang
zur mobilen Ansicht wechseln