Cortina Consult Logo
Cortina Consult
Artikel 13 DSGVO

Artikel 13 DSGVO einfach erklärt

Die Informationspflichten nach Art. 13 DSGVO legen die Spielregeln im Umgang mit personenbezogenen Daten fest. Ziel der Datenschutzberatung ist es, hier für eine reibungslose Kommunikation zu sorgen, der externe Datenschutzbeauftragte hilft.

Pauschalpakete
Datenschutz
Inhalt dieser Seite

Was ist Artikel 13 DSGVO?

Betreiber von Webseiten wie auch alle anderen Geschäftsbetriebe, die personenbezogene Daten verarbeiten, müssen den Nutzern ihrer Angebote über die Verarbeitung personenbezogener Daten in den eigenen Systemen und ggf. auch darüber hinaus zur Verfügung stellen.

Denn die Datengeber haben das Recht zu erfahren, was mit den von ihnen bewusst oder unbeabsichtigt preisgegebenen Daten passiert.

Sie als Unternehmen müssen also bestimmte Informationspflichten zum Umgang mit den Daten erfüllen. Diese Pflichten sind in den Artikeln 13 und 14 DSGVO festgelegt.


Was sind personenbezogene Daten?

Der erste Satz des Artikel 13 DSGVO besagt, dass er immer dann gilt, wenn personenbezogene Daten von der betroffenen Person erhoben werden. Aber was genau sind personenbezogene Daten überhaupt? Personenbezogene Daten sind alle Informationen, die sich auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer betroffenen Person beziehen. Da diese Definition sehr weit gefasst ist, werden einige Beispiele angeführt, darunter demografische Daten, Identifikationsnummern, Gesundheitsdaten, Informationen über den Lebensstil, religiöse Überzeugungen, politische Ansichten, ethnische Zugehörigkeit, Standortdaten, E-Mail-Adressen und Bankdaten.

Welchen Zweck erfüllen die Informationspflichten nach Artikel 13 DSGVO?

Der Sinn der Informationspflichten ist, Transparenz zu schaffen und dem Nutzer Möglichkeiten zu bieten, seine personenbezogenen Daten zu schützen und selbst darüber zu entscheiden, ob und wem er diese Informationen liefern möchte. Das gilt sowohl für die direkte Erhebung beim Nutzer durch Formulare etc. als auch durch indirekte Erhebung bei einem Dritten.

Hierzu sind beispielsweise bei Webseiten verschiedene Elemente vorgeschrieben:

  • Eine individuelle Datenschutzerklärung
  • Die Pflicht zum Einsatz eines Cookie Banners
  • Informationen zu Datenerhebung und -verwendung im Bestellprozess

Wer muss nach Artikel 13 DSGVO über die Erhebung und Verarbeitung der Daten informiert werden?

Ihre Informationspflichten bestehen gegenüber allen Personen, deren Daten Sie erheben/verarbeiten oder erheben/verarbeiten lassen. Typische Personengruppen im Geschäftsbetrieb sind beispielsweise

  • Besucherinnen und Besucher des Unternehmens
  • Lieferanten und Dienstleister
  • Kundinnen/Kunden
  • Interessentinnen/Interessenten
  • Bewerberinnen/Bewerber (z.B. direkt auf der Karriere-Website)
  • Mitarbeitende
  • Websitebesucherinnen und -besucher

Wichtig ist, die Datenschutzinformationen für die jeweiligen Prozesse einzeln zu erstellen. Insbesondere in Hinblick auf die Speicherdauer, die Erhebungszwecke und die Übermittlung an Dritte dürften sich bedeutende Unterschiede beispielsweise zwischen Kunden und Bewerbern ergeben. Es lohnt sich, hier unterschiedliche Informationsinhalte aufzusetzen. Stellen Sie immer nur die erforderliche Information zur Verfügung, um die Angriffsfläche für Abmahnungen möglichst klein zu halten, beispielsweise durch „Deep-Links“ in den nicht per Navigation erreichbaren Bereich Ihrer Webseite (dieser darf jedoch nicht durch ein Login geschützt sein).

Was sind die Pflichtinformationen gemäß Artikel 13 DSGVO?

Über folgende Aspekte muss vorab klar informiert werden, bevor die entsprechenden personenbezogenen Daten erhoben werden:

In diesem Fall müssen Sie mitteilen, wohin die Daten übertragen werden und welche Bedingungen für die Übermittlung gelten. Zudem muss er darstellen, durch welche Maßnahmen beim Datenempfänger ein angemessenes Datenschutzniveau hergestellt wurde (Art. 44 ff. DSGVO).

Wer ist in unserem Unternehmen für die Datenerhebung verantwortlich?

Sie müssen den Namen und die Kontaktdaten des oder der für die Datenerhebung Verantwortlichen und dessen Vertretung offen legen (Art.27 DSGVO). Außerdem müssen die Kontaktdaten des oder der zuständigen Datenschutzbeauftragten angegeben werden.

Hierbei müssen Sie über den Zweck der Datenverarbeitung sowie über deren Rechtsgrundlage (nach Art.6 DSGVO) sowie eventuelle berechtigte Interessen nach Art.6 Abs.1 lit.f DSGVO informieren. Hier kann auch auf die Verpflichtung zur Datenangabe (z. B. aufgrund vertraglicher oder gesetzlicher Verpflichtungen) sowie auf die Folgen einer Nichtangabe hingewiesen werden. Sollten die Daten (später) zu einem anderen Zweck genutzt werden als den, für den sie erhoben wurden, muss hierüber erneut informiert werden.

Sobald personenbezogene Daten übermittelt werden sollen, muss der/die Betroffene über die konkreten Empfänger, mindestens aber über die Kategorie der Empfänger informiert werden.

In diesem Fall müssen Sie mitteilen, wohin die Daten übertragen werden und welche Bedingungen für die Übermittlung gelten. Zudem muss er darstellen, durch welche Maßnahmen beim Datenempfänger ein angemessenes Datenschutzniveau hergestellt wurde (Art. 44 ff. DSGVO).

Sie können entweder eine konkrete Speicherzeit oder Kriterien für das Ende der Speicherung nennen, etwa nach Ablauf des Garantiezeitraums für die gelieferten Waren.

Sie müssen über die Rechte zu Auskunft, Berichtigung und Löschung der erhobenen Daten sowie zu Einspruchs- und Widerspruchsmöglichkeiten der Datennutzung informieren. Auch über das Beschwerderecht bei einer vermuteten missbräuchlichen Datennutzung muss informiert werden – und zwar unter Angabe der Wege, auf denen die Beschwerde erfolgen kann.

Sollen die erhobenen personenbezogenen Daten mit anderen Daten zur Erstellung eines Nutzerprofils zusammengeführt oder in einen automatisierten Entscheidungsprozess (KI) aufgenommen werden, müssen Sie den Datengeber hierüber ebenfalls informieren.

Wenn die personenbezogenen Daten nicht direkt beim Nutzer erhoben wurden, muss er nach Art. 14 Abs.2 lit. f DSGVO darüber informiert werden, aus welcher Quelle seine personenbezogenen Daten stammen und ob diese öffentlich zugänglich ist.

Wie muss Artikel 13 DSGVO umgesetzt werden?

Alle genannten Informationen müssen der Nutzerin bzw. dem Nutzer Ihrer Angebote zugänglich gemacht werden, bevor die entsprechenden Daten erfasst und verarbeitet werden. Dass Sie diese Informationen zum richtigen Zeitpunkt richtig und vollständig bekannt gemacht haben, müssen Sie dokumentieren und im Zweifelsfall nachweisen können.

Hierzu dient zum Beispiel eine Prozessdarstellung, wann und in welcher Form den Betroffenen die Information zur Verfügung gestellt wird. Sie müssen nur Zugang zu den entsprechenden Informationen gehabt haben, brauchen die Kenntnisnahme aber nicht zu quittieren. Eine Bekanntgabe der Regelungen für eine erwartbare, nicht überraschende Datenverarbeitung ist also auch möglich in Form

  • eines Aushangs, Aufstellers oder einer Auslage im Geschäft (im Präsenz-Kundenverkehr),
  • als verpflichtenden Vertragsanlage,
  • als Link in Webseiten-Elementen,
  • Eine Ansage mit Linkhinweis in Telefonaten oder Telefonwarteschleifen
  • als Link in jeder E-Mail-Signatur

Die Link-Lösung für Artikel 13

Experten halten es für annehmbar, wenn die Informationen zu einer erwartbaren Datenverarbeitung auf der Webseite hinterlegt und per Direktlink zugänglich gemacht werden („Link-Lösung“), so dass sie bereits zum Zeitpunkt der Datenerhebung zur Verfügung stehen.

Denkbar ist dieser Hinweis auch als Aufsteller oder Aushang im Eingangsbereich der Geschäftsräume. Dabei darf davon ausgegangen werden, dass die betreffenden Personen jederzeit Zugang zum Internet haben. Eine denkbare Formulierung ist beispielsweise „Informationen dazu, wie wir mit Ihren Daten umgehen, finden Sie unter www.xyz.de/DS“.

Hinweis zur Umsetzung von Artikel 13

Bei für den Nutzer überraschenden Datenerhebungen oder wenn die zu informierenden Personen keinen Internetzugang haben, sollte ein Medienbruch hingegen vermieden werden. Werden die Daten also per Papierformular erhoben, sollte auch die Informationen zur Datennutzung in gedruckter Form beigelegt werden. Ihr Unternehmen sollte daher die Nutzerinformationen zusätzlich zur Internetfassung in gedruckter Form vorhalten, die bei Bedarf ausgegeben werden können. In E-Mails werden die Informationen als Link in der Signatur hinterlegt – und im Falle besonderer Wichtigkeit zusätzlich als PDF beigelegt.

Ausnahmen von der Informationspflicht gemäß Artikel 13 DSGVO

Die DSGVO lässt in den folgenden Fällen Ausnahmen von der Benachrichtigung der betroffenen Personen zu:

  • Wenn die personenbezogenen Daten direkt beim Betroffenen erhoben werden, ist eine Information nicht erforderlich, sofern bereits offensichtlich ist, dass er von den Informationen Kenntnis hat. In Zweifelsfällen sollten Sie den Betroffenen jedoch informieren.
  • Wenn die personenbezogenen Daten an anderer Quelle erhoben wurden, müssen Sie die Betroffenen nicht informieren, sofern sicher ist, dass diese bereits informiert wurden. Auch hier sollten Sie bei Unklarheiten Informationen bereitstellen.
  • Wenn es nicht möglich ist, Informationen von der Person zu erhalten, müssen alternative Maßnahmen zum Schutz ihrer Rechte ergriffen werden. Dazu können die Bereitstellung öffentlich zugänglicher Datenschutzinformationen und die Durchführung einer Datenschutz-Folgenabschätzung gehören.
  • Wenn Sie einen unangemessenen Aufwand erbringen müssen, um die Betroffenen zu informieren.

Es gibt folgende Ausnahmen von der Pflicht, Einzelpersonen über die Verarbeitung ihrer personenbezogenen Daten zu informieren:

  • Wenn die Bereitstellung der Informationen den Zweck der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde und dies gerechtfertigt werden kann.
  • Wenn es eine gesetzliche Verpflichtung gibt, personenbezogene Daten zu sammeln oder weiterzugeben.
  • Wenn die personenbezogenen Daten einer beruflichen oder behördlichen Geheimhaltungspflicht unterliegen.
  • Wenn Sie personenbezogene Daten für Archivierungs- oder Forschungszwecke verwenden, sollten Sie die Anzahl der beteiligten Personen, das Alter der personenbezogenen Daten und die getroffenen angemessenen Garantien berücksichtigen. Sie müssen zudem andere geeignete Maßnahmen ergreifen, um die Rechte der betroffenen Personen zu schützen.

Was ist der Unterschied zwischen Artikel 13 und Artikel 14 DSGVO?

Die Informationspflichten bei der direkten Erhebung personenbezogener Daten ist in Art. 13 DSGVO geregelt, jene bei der Erhebung durch Dritte in Artikel 14 DSGVO. Die Informationspflichten sind in beiden Fällen größtenteils gleich.

Anforderungen des Artikel 13 DSGVO

  • Name und Kontaktdaten Ihrer Organisation
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlagen der Verarbeitung
  • berechtigte Interessen (im Fall der Anwendung des Artikel 6 Abs. 1 lit. f DSGVO)
  • Kategorien der erhobenen personenbezogenen Daten (dies ist hier nicht verpflichtend, wird jedoch empfohlen)
  • Empfänger der Daten im Fall von Weitergabe
  • detaillierte Angaben bei Weitergabe in ein Drittland oder eine internationale Organisation
  • Angaben zur Dauer der Verarbeitung bzw. Zeitpunkt der Löschung der Daten
  • Rechte der Betroffenen
  • bei Einwilligung: Möglichkeit des jederzeitigen Widerspruchs
  • Recht auf Beschwerde bei der Datenschutzaufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist
  • ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen
  • welche mögliche Folgen hätte die Nichtbereitstellung
  • Bestehen einer automatisierten Entscheidungsfindung einschl. Profiling

Anforderungen des Artikel 14 DSGVO

  • Name und Kontaktdaten Ihrer Organisation
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlagen der Verarbeitung
  • berechtigte Interessen (im Fall der Anwendung des Artikel 6 Abs. 1 lit. f DSGVO)
  • Kategorien der erhobenen personenbezogenen Daten (dies ist hier nicht verpflichtend, wird jedoch empfohlen)
  • Empfänger der Daten im Fall von Weitergabe
  • detaillierte Angaben bei Weitergabe in ein Drittland oder eine internationale Organisation
  • Angaben zur Dauer der Verarbeitung bzw. Zeitpunkt der Löschung der Daten
  • Rechte der Betroffenen
  • bei Einwilligung: Möglichkeit des jederzeitigen Widerspruchs
  • Recht auf Beschwerde bei der Datenschutzaufsichtsbehörde
  • Quelle, aus der die Daten stammen, die nicht direkt bei der betroffenen Person erhoben werden
  • Bestehen einer automatisierten Entscheidungsfindung einschl. Profiling

Verstöße gegen Artikel 13 DSGVO

Möglichkeit 1: Beschwerde bei der zuständigen Behörde einreichen

Nach Artikel 77 DSGVO ist jede betroffene Person dazu berechtigt, Beschwerde bei einer zuständigen Aufsichtsbehörde einzureichen. Gemäß Artikel 83 DSGVO können diese Behörden Geldbußen verhängen, die von Fall zu Fall festgelegt werden und von verschiedenen Faktoren abhängen: Art, Schwere und Dauer des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, relevante frühere Verstöße und viele weitere Aspekte (Artikel 83 Absatz 2 DSGVO). Die Verordnung legt außerdem fest, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen.

Bei Verstößen gegen Artikel 13 der DSGVO können gemäß Artikel 83 Absatz 2 Buchstabe b Bußgelder in Höhe von bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr verhängt werden.

Möglichkeit 2: Schadensersatzanspruch

Die zweite Möglichkeit ist ein einfacher Schadensersatzanspruch nach Artikel 82 DSGVO, der entsteht, sobald eine Person aufgrund eines Verstoßes einen materiellen oder immateriellen Schaden erleidet. Weitere Regelungen zu Art und Umfang des Schadensersatzes finden sich in den §§ 249 ff. des Bürgerlichen Gesetzbuches (BGB).

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Die Link Lösung für Artikel 13

Mit dem Privacy Hub können Sie binnen Minuten eine allgemeine Datenschutzerklärung erstellen und via Link in Ihre E-Mail Signatur einbauen.

Mehr über die Link-Lösung

Die externen Datenschutzbeauftragter der Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
Pauschalpakete
ISMS
Kontakt
Cortina Consult
Hafenweg 24
48155 Münster
+49 251 95 20 37 - 40
post@cortina-consult.de
Über uns
Über Cortina
Karriere
Projekte & Referenzen
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB und AVV
Service
Bußgeldrechner
Meldung Datenschutzvorfall
DSGVO-Beschwerde Generator
Datenschutzerklärung Generator
Kostenloser Website-Check
DSGVO Gesetzestext
Newsletter
Unternehmensgruppe
Cookiebox Logo
Parlabox Logo
Privacy Hub Logo
©2024 Cortina Consult GmbH
Cortina Consult Symbol Weiss
Cortina Datenschutz Siegel
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
+49 251 95 20 37 - 40
jtb@cortina-consult.de
Unsere Lösungen
Cortina Consult Logo

Impressum | Datenschutz