Artikel 13 DSGVO

Datenschutz

Artikel 13 DSGVO einfach erklärt

Die Informationspflichten nach Art. 13 DSGVO legen fest, welche Informationen Sie Betroffenen bei der Datenerhebung transparent und rechtskonform bereitstellen müssen – ein Bereich, in dem eine qualifizierte Datenschutzberatung häufig für Rechtssicherheit sorgt.

Was ist Artikel 13 DSGVO?

Artikel 13 DSGVO regelt die Informationspflicht bei direkter Erhebung personenbezogener Daten. Unternehmen müssen Betroffenen zum Zeitpunkt der Datenerhebung mitteilen, was mit ihren Daten geschieht, wer sie verarbeitet und welche Rechte sie haben.

Wenn Sie personenbezogene Daten direkt bei einer Person erheben – etwa durch ein Kontaktformular, eine Bestellung oder eine Bewerbung –, greift Art. 13 DSGVO. Die Vorschrift verpflichtet Sie, die betroffene Person transparent zu informieren, bevor die Daten erfasst werden.

Ziel ist Transparenz: Nutzer sollen selbst entscheiden können, ob und wem sie ihre Daten anvertrauen. Dies schafft Vertrauen und schützt die Rechte der Betroffenen. Die Informationspflichten nach DSGVO sind von der Bundesbeauftragten für Datenschutz (BfDI) klar definiert.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Welche Pflichtinformationen müssen nach Artikel 13 DSGVO bereitgestellt werden?

Sie müssen folgende Informationen bereitstellen: Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten, Verarbeitungszweck und Rechtsgrundlage, Empfänger der Daten, Speicherdauer, Betroffenenrechte sowie Informationen zu automatisierter Entscheidungsfindung.

Die DSGVO verlangt eine umfassende Information der Betroffenen. Folgende Pflichtangaben müssen vor der Datenerhebung verfügbar sein:

Verantwortlicher: Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des externen Datenschutzbeauftragten
Zweck und Rechtsgrundlage: Wofür werden die Daten verarbeitet? Auf welcher Rechtsgrundlage nach Art. 6 DSGVO? Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert diese Informationen systematisch.
Berechtigte Interessen: Falls Art. 6 Abs. 1 lit. f DSGVO greift: Welche Interessen verfolgen Sie?
Empfänger: Wer erhält die Daten? Werden Daten in Drittstaaten übermittelt? Der Auftragsverarbeitungsvertrag regelt die Weitergabe an Dienstleister.
Speicherdauer: Wie lange werden die Daten gespeichert? Welche Löschkriterien gelten? Ein Löschkonzept definiert die Fristen.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch – umfassende Informationen zu Betroffenenrechten finden Sie hier.
Widerrufsrecht: Kann eine Einwilligung widerrufen werden?
Beschwerderecht: Recht auf Beschwerde bei einer Aufsichtsbehörde
Erforderlichkeit: Ist die Datenangabe gesetzlich/vertraglich vorgeschrieben? Welche Folgen hat die Nichtbereitstellung?
Automatisierte Entscheidungen: Gibt es Profiling oder automatisierte Einzelentscheidungen? Eine Datenschutz-Folgenabschätzung prüft die Risiken.

Artikel 13 DSGVO – Original-Gesetzestext

Absatz 1: Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Zwecke der Verarbeitung, Rechtsgrundlage, berechtigte Interessen, Empfänger der Daten, Absicht zur Drittlandübermittlung.

Absatz 2: Zusätzlich: Speicherdauer, Betroffenenrechte, Widerrufsrecht, Beschwerderecht, Erforderlichkeit der Bereitstellung, automatisierte Entscheidungsfindung.

Absatz 3: Bei Weiterverarbeitung für anderen Zweck: Vorabinformation erforderlich.

Absatz 4: Keine Informationspflicht, wenn betroffene Person bereits über die Informationen verfügt.

Wie muss Artikel 13 DSGVO umgesetzt werden?

Die Informationen müssen vor der Datenerhebung bereitgestellt werden – etwa per Datenschutzerklärung auf der Webseite, durch Aushang im Geschäft oder als Vertragsanlage. Ein Direktlink zur Datenschutzerklärung ist zulässig, wenn dieser zum Zeitpunkt der Erhebung verfügbar ist.

Wichtig: Die Informationspflicht gilt zum Zeitpunkt der Erhebung. Das bedeutet, dass die betroffene Person bereits informiert sein muss, bevor sie ihre Daten angibt.

Mögliche Umsetzungsformen:

Datenschutzerklärung auf der Webseite (mit Link im Formular)
Aushang oder Aufsteller im Ladengeschäft
Vertragliche Anlage bei schriftlichen Vereinbarungen
Telefonansage mit Hinweis auf Datenschutzinformationen
Link in E-Mail-Signatur

Bei überraschenden Datenerhebungen oder fehlender Internetverfügbarkeit sollten Sie einen Medienwechsel vermeiden: Legen Sie Papierformularen eine gedruckte Datenschutzerklärung bei oder versenden Sie bei wichtigen E-Mails ein PDF mit den Informationen. Datenschutzschulungen vermitteln Ihren Mitarbeitern die richtige Umsetzung. Zudem sichern technisch-organisatorische Maßnahmen die Compliance ab.

Muster-Informationspflicht nach Art. 13 DSGVO

Vermeiden Sie Bußgelder bis 20 Millionen Euro – mit der ausfüllbaren Vorlage für Ihre Datenschutzerklärung nach Art. 13 DSGVO. Alle Pflichtangaben, Formulierungshilfen und Umsetzungs-Checkliste, kostenlos als Download.

Wer muss nach Artikel 13 DSGVO informiert werden?

Alle Personen, deren Daten Sie erheben: Websitebesucher, Kunden, Interessenten, Bewerber, Mitarbeitende, Lieferanten und Dienstleister. Jede Personengruppe sollte eine spezifische Datenschutzerklärung erhalten.

Da sich Speicherdauer, Zwecke und Empfänger je nach Verarbeitungszweck unterscheiden, empfiehlt es sich, für jeden Prozess eine eigene Datenschutzerklärung zu erstellen – etwa für:

Bewerbermanagement
Kundenbestellungen
Newsletter-Anmeldungen
Kontaktformulare
Mitarbeiterdaten
Videoüberwachung nach DSGVO

Welche Ausnahmen gibt es von der Informationspflicht?

Sie müssen nicht informieren, wenn die betroffene Person bereits über die Informationen verfügt, die Information unmöglich oder unverhältnismäßig ist, eine gesetzliche Geheimhaltungspflicht besteht oder die Information den Verarbeitungszweck vereiteln würde.

Nach Art. 13 Abs. 4 DSGVO entfällt die Informationspflicht in folgenden Fällen:

Vorhandene Information: Die betroffene Person kennt die Informationen bereits
Unmöglichkeit: Die Information ist nicht möglich (z.B. keine Kontaktdaten vorhanden)
Unverhältnismäßiger Aufwand: Information würde unverhältnismäßigen Aufwand bedeuten
Zweckvereitelung: Information würde den Verarbeitungszweck unmöglich machen oder ernsthaft beeinträchtigen
Gesetzliche Verpflichtung: Datenweitergabe ist gesetzlich vorgeschrieben
Berufsgeheimnis: Behördliche oder berufliche Geheimhaltungspflicht besteht

Was ist der Unterschied zwischen Artikel 13 und Artikel 14 DSGVO?

Artikel 13 gilt bei direkter Datenerhebung (z.B. durch Formulare), Artikel 14 DSGVO bei indirekter Erhebung von Dritten. Der Hauptunterschied: Bei Artikel 14 DSGVO müssen Sie zusätzlich die Quelle der Daten angeben.

Beide Artikel regeln Informationspflichten, unterscheiden sich aber im Anwendungsbereich:

Kriterium	Artikel 13 DSGVO	Artikel 14 DSGVO
Anwendungsbereich	Direkte Erhebung bei der betroffenen Person	Erhebung bei Dritten (indirekt)
Zeitpunkt	Zum Zeitpunkt der Erhebung	Innerhalb eines Monats / bei erster Kommunikation
Datenquelle	Nicht erforderlich (offensichtlich)	Muss angegeben werden
Pflichtangaben	Verantwortlicher, Zweck, Rechtsgrundlage, Empfänger, Speicherdauer, Betroffenenrechte	Wie Art. 13 + Datenquelle

Was droht bei Verstößen gegen Artikel 13 DSGVO?

Verstöße gegen Art. 13 DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Zudem können Betroffene Schadensersatz nach Art. 82 DSGVO geltend machen.

Die Aufsichtsbehörden können bei Verstößen gegen die Informationspflicht nach Art. 83 Abs. 5 lit. b DSGVO Geldbußen verhängen. Die Höhe richtet sich nach mehreren Faktoren:

Art, Schwere und Dauer des Verstoßes
Vorsätzlichkeit oder Fahrlässigkeit
Zahl der betroffenen Personen
Frühere Verstöße
Kooperationsbereitschaft mit der Aufsichtsbehörde

Zusätzlich können Betroffene nach Art. 82 DSGVO Schadensersatzansprüche geltend machen – sowohl für materielle als auch für immaterielle Schäden. Bei Fragen zur Rechtslage können Sie sich an die Datenschutzbehörde NRW oder andere zuständige Aufsichtsbehörden wenden.

Häufig gestellte Fragen zu Artikel 13 DSGVO

Wann muss ich Artikel 13 DSGVO anwenden?

Artikel 13 DSGVO gilt immer dann, wenn Sie personenbezogene Daten direkt bei der betroffenen Person erheben – etwa durch Kontaktformulare, Bestellprozesse, Bewerbungen oder Newsletter-Anmeldungen. Die Informationspflicht greift zum Zeitpunkt der Datenerhebung, nicht erst danach.

Reicht ein Link zur Datenschutzerklärung aus?

Ja, ein Direktlink zur Datenschutzerklärung ist zulässig, wenn dieser zum Zeitpunkt der Datenerhebung verfügbar und leicht erreichbar ist. Der Link sollte klar erkennbar sein und nicht durch mehrere Klicks versteckt werden. Bei überraschenden Datenerhebungen (z.B. ohne Internetverbindung) sollten Sie jedoch eine gedruckte Version beilegen.

Muss ich bei jedem Formular auf meiner Website informieren?

Grundsätzlich ja. Bei jedem Formular, das personenbezogene Daten erhebt, muss die Informationspflicht erfüllt werden. Sie können jedoch eine zentrale Datenschutzerklärung erstellen und bei jedem Formular darauf verlinken. Wichtig: Die Information muss vor dem Absenden des Formulars verfügbar sein.

Gilt Artikel 13 DSGVO auch für B2B-Kontakte?

Ja, Artikel 13 DSGVO gilt auch im B2B-Bereich. Sobald Sie personenbezogene Daten einer natürlichen Person erheben – etwa Name, E-Mail-Adresse oder Telefonnummer eines Ansprechpartners –, greift die Informationspflicht. Firmendaten allein (ohne Personenbezug) fallen nicht unter die DSGVO.

Was passiert, wenn ich Art. 13 DSGVO nicht umsetze?

Verstöße gegen Artikel 13 DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Zusätzlich können Betroffene Schadensersatzansprüche nach Art. 82 DSGVO geltend machen. Zudem riskieren Sie Abmahnungen von Wettbewerbern und einen Vertrauensverlust bei Kunden.

Wie lange muss die Datenschutzerklärung verfügbar sein?

Die Datenschutzerklärung muss dauerhaft verfügbar sein – nicht nur zum Zeitpunkt der Datenerhebung. Betroffene Personen haben jederzeit das Recht, die Informationen erneut einzusehen. Stellen Sie sicher, dass Ihre Datenschutzerklärung über einen permanenten Link (z.B. im Footer Ihrer Website) abrufbar ist.

Brauche ich für jede Datenverarbeitung eine eigene Datenschutzerklärung?

Nicht zwingend eine separate Erklärung, aber Sie sollten jeden Verarbeitungsprozess individuell dokumentieren. Eine zentrale Datenschutzerklärung kann mehrere Verarbeitungen abdecken, sofern diese klar voneinander getrennt und spezifisch beschrieben sind – etwa „Datenschutz bei Bewerbungen“, „Datenschutz im Newsletter“ etc.

Beitrag aktualisiert am 13. Februar 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek

Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat

Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Autor dieses Artikels:

Jörg ter Beek

CEO & Datenschutzbeauftragter bei Cortina Consult