Zum Inhalt springen Zur Navigation springen
Informationspflichten und Transparenz: Aktuelle Anforderungen und Praxis

Informationspflichten und Transparenz: Aktuelle Anforderungen und Praxis

Artikel von Dr. Datenschutz·14. Oktober 2025

Informationspflichten und Transparenz sind zentrale Begriffe im Datenschutzrecht. Dieser Beitrag zeigt, wie Unternehmen die Informationspflichten praktisch umsetzen und welche Bedeutung Transparenz für die Einhaltung der DSGVO hat.

Informationspflichten: Warum Transparenz so wichtig ist

Haben Sie sich jemals gefragt, warum Webseiten Sie mit Cookie-Bannern begrüßen oder warum jede seriöse Plattform eine Datenschutzerklärung hat? Das mag auf den ersten Blick nervig wirken, aber dahinter steckt ein wichtiger Grund: Transparenz. Und Transparenz ist das Herzstück eines fairen Umgangs mit personenbezogenen Daten.

Informationspflichten sind gesetzliche Vorgaben und bilden die Grundlage dafür. Sie verpflichten Unternehmen und sonstige Stellen, die personenbezogene Daten verarbeiten, dazu, die von der Datenverarbeitung betroffenen Personen darüber zu informieren, welche Daten sie erheben, warum sie das tun und was mit diesen Daten passiert. Ohne diese Hinweise wüssten viele gar nicht, dass unsere Daten verarbeitet werden – geschweige denn, wie und wofür.

Transparenz ist dabei kein Selbstzweck, sondern Voraussetzung für die Kontrolle über die eigenen Daten. Nur wer weiß, was mit seinen Daten passiert, kann auch seine Rechte wahrnehmen – zum Beispiel das Recht auf Auskunft, Berichtigung oder Löschung personenbezogener Daten.

Wer muss Informationspflichten erfüllen?

Verantwortlich für die Erfüllung der Informationspflichten ist immer der oder die Verantwortliche – in der Regel das Unternehmen oder sonstige Stelle, die personenbezogene Daten für ihre Zwecke verarbeiten. Privatpersonen sind davon meist nicht betroffen.

Die Datenschutz-Grundverordnung (DSGVO) legt in den Artikeln 13 und 14 einen einheitlichen Pflichtenkatalog fest, der genau auflistet, welche Informationen den Betroffenen bereitgestellt werden müssen.

Wie umfangreich die Informationen ausfallen, hängt von der Komplexität der Datenverarbeitung ab. Unternehmen mit starker Online-Präsenz und umfangreicher Datennutzung müssen deutlich mehr Informationen bereitstellen als klassische B2B-Betriebe mit geringem Datenaufkommen.

Wann und wie Informationspflichten umgesetzt werden müssen

Transparenz wird gewährleistet, indem Informationen verständlich, zielgruppengerecht und leicht zugänglich bereitgestellt werden. Auch die Sprache, in der die Informationen bereitgestellt werden, spielt eine wichtige Rolle – besonders im internationalen Kontext, etwa wenn eine Webseite in mehreren Sprachen verfügbar ist.

Informationspflichten greifen immer dann, wenn personenbezogene Daten erhoben werden – entweder direkt bei der betroffenen Person (Art. 13 DSGVO) oder über Dritte (Art. 14 DSGVO). Grundsätzlich müssen die Informationen zum Zeitpunkt der Datenerhebung bereitgestellt werden. Erfolgt die Datenerhebung über Dritte, gilt eine Frist von maximal einem Monat oder spätestens bei der ersten Mitteilung bzw. Offenlegung.

In der Praxis empfiehlt es sich, einen Prozess zu etablieren, um die Informationspflichten ordnungsgemäß und rechtzeitig zu erfüllen.

Was muss ich denn eigentlich wissen?

Die DSGVO legt in den Artikeln 13 und 14 genau fest, welche Informationen Verantwortliche bereitstellen müssen. Die beiden Kataloge sind größtenteils ähnlich. Bei der Datenerhebung über Dritte kommen noch zusätzliche Pflichten hinzu: Unternehmen müssen angeben, aus welcher Quelle die Daten stammen und welche Kategorien von Daten verarbeitet werden.

Egal ob direkt oder über Dritte – grundsätzlich besteht ein Anspruch darauf, informiert zu werden.
Dabei sind folgende Informationen zu erteilen:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Berechtigtes Interesse im Falle von Art. 6 Abs. 1 S. 1 lit. f DSGVO
  • Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten
  • Datenübermittlung in ein Drittland bzw. an eine internationale Organisation und Verweis auf eventuelle Angemessenheitsbeschlüsse oder sonstige Garantien
  • Speicherdauer der Daten
  • Betroffenenrechte
  • ob eine Bereitstellungspflicht besteht
  • ob eine automatisierte Entscheidungsfindung/Profiling stattfindet.
  • Kategorien der Daten (nur bei Erhebung über einen Dritten)
  • Quellen, aus der die Daten stammen (nur bei Erhebung über einen Dritten)

Und wie setzt man Transparenz nun praktisch um?

Die Herausforderung liegt darin, alle relevanten Angaben zu vermitteln, ohne die Betroffenen mit Informationen zu überfordern.

Angesichts der Vielzahl an Informationen, die betroffenen Personen bereitgestellt werden müssen, bietet sich häufig ein gestufter Ansatz an. So erfolgt die praktische Umsetzung von Informationspflichten häufig nach dem sogenannten „Layered Approach“ bzw. „Mehrebenen-Ansatz“. Dabei werden die wichtigsten Informationen direkt auf der ersten Ebene bereitgestellt, etwa in Form eines Banners oder Hinweisschilds. Weiterführende Details können dann beispielsweise über Links oder QR-Codes abgerufen werden.

Dieses Vorgehen wird von den Aufsichtsbehörden akzeptiert, allerdings mit der klaren Vorgabe, dass die erste Informationsebene bereits wesentliche Angaben enthalten muss, damit sich die betroffene Person ein Bild von der Datenverarbeitung machen kann. Hierzu gehören regelmäßig Informationen zu den Verarbeitungszwecken, der Identität des Verantwortlichen sowie eine Beschreibung der Rechte der betroffenen Person.

Beispiele:

  • Websites: Datenschutzerklärungen werden modular und mit klaren Überschriften und aufgebaut. Cookie-Banner informieren über die wichtigsten Aspekte und verlinken auf detaillierte Hinweise.
  • Videoüberwachung: Hinweisschilder enthalten die Kerninformationen, weiterführende Details sind per QR-Code oder Link abrufbar.
  • Mitarbeiterinformationen: Informationsblätter werden bei Arbeitsbeginn ausgehändigt und stehen im Intranet zur Verfügung. Im Rahmen neuer Datenverarbeitungen kann hinsichtlich der allgemeinen Informationen zur Datenverarbeitung auf diese verweisen.

Die Informationen sollten regelmäßig überprüft und bei Bedarf aktualisiert werden.

Transparenz sicherstellen – Typische Fehler bei Informationspflichten

Viele Unternehmen tun sich schwer, die Informationspflichten der DSGVO ordnungsgemäß umzusetzen. Häufige Fehler sind unvollständige oder zu allgemein gehaltene Informationen. Aufsichtsbehörden beanstanden regelmäßig u. a.:

  • Fehlende Angaben zu Zwecken oder Rechtsgrundlagen
  • Unklare Empfängerangaben
  • Unzureichende Hinweise zu den Aufbewahrungsfristen

Nicht selten ziehen Verstöße gegen die Informationspflichten empfindliche Bußgelder nach sich. Ein Beispiel ist das den Niederlanden: Wegen Verstößen gegen die Transparenz- und Informationspflichten nach DSGVO musste das Unternehmen 4,75 Mio. Euro zahlen. Auslöser war eine Beschwerde von NOYB. Die Behörde stellte fest, dass Netflix insbesondere klare Angaben zu Zwecken, Rechtsgrundlagen, Empfängern und Aufbewahrungsfristen versäumt hatte.

Wie lässt sich Transparenz durch Informationspflichten nachhaltig sichern?

Um Transparenz nach der DSGVO dauerhaft sicherzustellen, braucht es mehr als einmalige Maßnahmen. Entscheidend sind klare Prozesse, eine regelmäßige Überprüfung der Aktualität sowie die Anpassung an neue rechtliche Vorgaben.

Wichtig ist, dass Informationen für Betroffene verständlich, präzise und leicht zugänglich aufbereitet werden. Unternehmen sollten sich dabei an den Empfehlungen der Aufsichtsbehörden orientieren. Zwar können technische Hilfsmittel und ein gestufter Informationsaufbau die Umsetzung erleichtern – die Inhalte müssen dabei dennoch sorgfältig auf Verständlichkeit und Qualität geprüft werden.

Unternehmen, die ihre Informationspflichten konsequent transparent umsetzen, schaffen nicht nur Rechtssicherheit, sondern gleichzeitig auch Vertrauen und punkten so mit einem positiven Image.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Hallo, Datenschutz ist tatsächlich ein Thema, das gefühlt jede Woche anders ist und wo es immer Neuigkeiten gibt. Wie oben erwähnt „Oh lord please help me“. Es gibt immer Kleinigkeiten, worauf man achten muss und als Person mit wenig Erfahrung sollte man sich immer jemanden holen, der uns unterstützen und beraten kann. Ich habe für meine Website consentmanager.de benutzt, da die mich tatsächlich helfen und immer auf meine Fragen geantwortet haben.
    Danke für die Tipps :)

  • Worin liegt eigentlich der Unterschied zwischen Absatz 1 und Absatz 2 der Artikel 13 und 14? Wann muss man die Informationen des Absatzes 2 erklären? Nur auf Nachfrage?

    • Es ist zwar durchaus umstritten, ob zwischen den Informationen aus Absatz 1 und Absatz 2 ein qualitativer Unterschied besteht und die Informationen aus Absatz 2 ggf. erst später (auf zweiter Stufe) zu erteilen sind. Genau das war wohl bei Konzeption der DSGVO auch mal geplant, wurde aber im Prozess irgendwann aufgegeben. Geblieben ist trotz allem die Aufteilung in zwei Absätze. Es hat sich mittlerweile die Rechtsansicht (zumindest vorläufig) durchgesetzt, dass zwischen den zu erteilenden Informationen der verschiedenen Absätze nicht unterschieden werden sollte. Es besteht also kein qualitativer Unterschied zwischen den Absätzen. Alle Informationen sind grundsätzlich zusammen zu erteilen. Von diesem Grundsatz kann in vielen Fällen abgewichen werden und eine abgestufte Informationserteilung erfolgen (siehe Artikel). Für die Entscheidung welche Infos auf einer ersten Stufe und welche erst auf der zweiten Stufe erteilt werden, sollte dann die Einteilung in Absatz 1 und Absatz 2 jedoch keine Rolle spielen.

  • Hallo ich hätte eine Frage zu Art. 14 DSGVO, muss auch informiert werden wenn ich die durch einen dritten erhaltenen Daten ein Tag später wieder löschte? Oder muss ich selbst dann nach spätestens einem Monat den Betroffenen informieren? Vielen Dank
    Mit freundlichen Grüßen
    Bastian

    • Ganz grundsätzlich müsste auch in einem solchen Fall informiert werden, denn die Daten wurden ja verarbeitet. Es erscheint aber durchaus möglich, dass ein Ausnahmetatbestand greifen könnte (z.B. Art. 14 Abs. 5 lit. b DSGVO), der die Notwendigkeit einer Information entfallen lassen würde. Das ist letzten Endes von den Besonderheiten des Einzelfalls abhängig, die wir im Rahmen dieses Blogs jedoch nicht bewerten können, da wir hier keine Rechtsberatung anbieten.

  • Guten Morgen, ich habe kürzlich im Zuge der Umstellung: Abrechnung Kabel-TV von Vermieter zu Mieter, einen Werbebrief [TV-Anbieter] an mich persönlich adressiert erhalten, in dessen Kleingedruktem stand auch woher der TV-Anbieter meine Daten hat [Direktvermarkter] und ich dort Widerspruch einlegen kann.
    Frage: ist es für den Direktvermarkter ausreichend wenn der TV-Anbieter darüber informiert, daß der Direkvermarkter bei dem ich widersprechen kann, meine Daten verarbeitet, oder hätte der Direkvermarkter mich selbst informieren müssen?

    Viele Grüße und ein angenehmes Wochenende.
    Alexander

    • Bitte haben Sie Verständnis dafür, dass wir im Rahmen dieses Blogs keine Rechtsberatung im Einzelfall leisten dürfen. Privatpersonen, die eine Frage zum Datenschutzrecht haben, können sich bei dem/r für Sie zuständigen Landesdatenschutzbeauftragten / Aufsichtsbehörde kostenlos beraten lassen. Eine Übersicht inklusive Telefonnummern finden Sie hier.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.