Artikel 13 DSGVO einfach erklärt

Informationspflichten der Verantwortlichen Stelle gemäß Art. 13 DSGVO – einfach erklärt, umfänglich präsentiert.

Artikel 13 DSGVO Icon
Inhalt dieser Seite

Was ist Artikel 13 DSGVO?

Betreiber von Webseiten wie auch alle anderen Geschäftsbetriebe, die personenbezogene Daten verarbeiten, müssen den Nutzern ihrer Angebote über die Verarbeitung personenbezogener Daten in den eigenen Systemen und ggf. auch darüber hinaus zur Verfügung stellen.

Denn die Datengeber haben das Recht zu erfahren, was mit den von ihnen bewusst oder unbeabsichtigt preisgegebenen Daten passiert.

Sie als Unternehmen müssen also bestimmte Informationspflichten zum Umgang mit den Daten erfüllen. Diese Pflichten sind in den Artikeln 13 und 14 DSGVO festgelegt.

Das könnte Sie auch interessieren...

Die Rechte der Betroffenen stehen im besonderen Fokus der DSGVO. Demnach ist es wichtig, dass Sie diesen gerecht werden.

Unsere TÜV-zertifizierten Datenschutzbeauftragten unterstützen Sie bei der Umsetzung eines praxistauglichen Datenschutzkonzepts.

In Verbindung mit den Betroffenenrechten ist die Erstellung eines Löschkonzepts von großer Bedeutung.

Play Video about Cortina DSI Thumbnail

Was sind personenbezogene Daten?

Der erste Satz des Artikel 13 DSGVO besagt, dass er immer dann gilt, wenn personenbezogene Daten von der betroffenen Person erhoben werden. Aber was genau sind personenbezogene Daten überhaupt? Personenbezogene Daten sind alle Informationen, die sich auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer betroffenen Person beziehen. Da diese Definition sehr weit gefasst ist, werden einige Beispiele angeführt, darunter demografische Daten, Identifikationsnummern, Gesundheitsdaten, Informationen über den Lebensstil, religiöse Überzeugungen, politische Ansichten, ethnische Zugehörigkeit, Standortdaten, E-Mail-Adressen und Bankdaten.

Welchen Zweck erfüllen die Informationspflichten nach Artikel 13 DSGVO?

Der Sinn der Informationspflichten ist, Transparenz zu schaffen und dem Nutzer Möglichkeiten zu bieten, seine personenbezogenen Daten zu schützen und selbst darüber zu entscheiden, ob und wem er diese Informationen liefern möchte. Das gilt sowohl für die direkte Erhebung beim Nutzer durch Formulare etc. als auch durch indirekte Erhebung bei einem Dritten.

Hierzu sind beispielsweise bei Webseiten verschiedene Elemente vorgeschrieben:

Wer muss nach Artikel 13 DSGVO über die Erhebung und Verarbeitung der Daten informiert werden?

Ihre Informationspflichten bestehen gegenüber allen Personen, deren Daten Sie erheben/verarbeiten oder erheben/verarbeiten lassen. Typische Personengruppen im Geschäftsbetrieb sind beispielsweise

Wichtig ist, die Datenschutzinformationen für die jeweiligen Prozesse einzeln zu erstellen. Insbesondere in Hinblick auf die Speicherdauer, die Erhebungszwecke und die Übermittlung an Dritte dürften sich bedeutende Unterschiede beispielsweise zwischen Kunden und Bewerbern ergeben. Es lohnt sich, hier unterschiedliche Informationsinhalte aufzusetzen. Stellen Sie immer nur die erforderliche Information zur Verfügung, um die Angriffsfläche für Abmahnungen möglichst klein zu halten, beispielsweise durch „Deep-Links“ in den nicht per Navigation erreichbaren Bereich Ihrer Webseite (dieser darf jedoch nicht durch ein Login geschützt sein).

Was sind die Pflichtinformationen gemäß Artikel 13 DSGVO?

Über folgende Aspekte muss vorab klar informiert werden, bevor die entsprechenden personenbezogenen Daten erhoben werden:

In diesem Fall müssen Sie mitteilen, wohin die Daten übertragen werden und welche Bedingungen für die Übermittlung gelten. Zudem muss er darstellen, durch welche Maßnahmen beim Datenempfänger ein angemessenes Datenschutzniveau hergestellt wurde (Art. 44 ff. DSGVO).

Wer ist in unserem Unternehmen für die Datenerhebung verantwortlich?

Sie müssen den Namen und die Kontaktdaten des oder der für die Datenerhebung Verantwortlichen und dessen Vertretung offen legen (Art.27 DSGVO). Außerdem müssen die Kontaktdaten des oder der zuständigen Datenschutzbeauftragten angegeben werden.

Hierbei müssen Sie über den Zweck der Datenverarbeitung sowie über deren Rechtsgrundlage (nach Art.6 DSGVO) sowie eventuelle berechtigte Interessen nach Art.6 Abs.1 lit.f DSGVO informieren. Hier kann auch auf die Verpflichtung zur Datenangabe (z. B. aufgrund vertraglicher oder gesetzlicher Verpflichtungen) sowie auf die Folgen einer Nichtangabe hingewiesen werden. Sollten die Daten (später) zu einem anderen Zweck genutzt werden als den, für den sie erhoben wurden, muss hierüber erneut informiert werden.

Sobald personenbezogene Daten übermittelt werden sollen, muss der/die Betroffene über die konkreten Empfänger, mindestens aber über die Kategorie der Empfänger informiert werden.

In diesem Fall müssen Sie mitteilen, wohin die Daten übertragen werden und welche Bedingungen für die Übermittlung gelten. Zudem muss er darstellen, durch welche Maßnahmen beim Datenempfänger ein angemessenes Datenschutzniveau hergestellt wurde (Art. 44 ff. DSGVO).

Sie können entweder eine konkrete Speicherzeit oder Kriterien für das Ende der Speicherung nennen, etwa nach Ablauf des Garantiezeitraums für die gelieferten Waren.

Sie müssen über die Rechte zu Auskunft, Berichtigung und Löschung der erhobenen Daten sowie zu Einspruchs- und Widerspruchsmöglichkeiten der Datennutzung informieren. Auch über das Beschwerderecht bei einer vermuteten missbräuchlichen Datennutzung muss informiert werden – und zwar unter Angabe der Wege, auf denen die Beschwerde erfolgen kann.

Sollen die erhobenen personenbezogenen Daten mit anderen Daten zur Erstellung eines Nutzerprofils zusammengeführt oder in einen automatisierten Entscheidungsprozess (KI) aufgenommen werden, müssen Sie den Datengeber hierüber ebenfalls informieren.

Wenn die personenbezogenen Daten nicht direkt beim Nutzer erhoben wurden, muss er nach Art. 14 Abs.2 lit. f DSGVO darüber informiert werden, aus welcher Quelle seine personenbezogenen Daten stammen und ob diese öffentlich zugänglich ist.

Wie muss Artikel 13 DSGVO umgesetzt werden?

Alle genannten Informationen müssen der Nutzerin bzw. dem Nutzer Ihrer Angebote zugänglich gemacht werden, bevor die entsprechenden Daten erfasst und verarbeitet werden. Dass Sie diese Informationen zum richtigen Zeitpunkt richtig und vollständig bekannt gemacht haben, müssen Sie dokumentieren und im Zweifelsfall nachweisen können.

Hierzu dient zum Beispiel eine Prozessdarstellung, wann und in welcher Form den Betroffenen die Information zur Verfügung gestellt wird. Sie müssen nur Zugang zu den entsprechenden Informationen gehabt haben, brauchen die Kenntnisnahme aber nicht zu quittieren. Eine Bekanntgabe der Regelungen für eine erwartbare, nicht überraschende Datenverarbeitung ist also auch möglich in Form

Die Link-Lösung für Artikel 13

Experten halten es für annehmbar, wenn die Informationen zu einer erwartbaren Datenverarbeitung auf der Webseite hinterlegt und per Direktlink zugänglich gemacht werden („Link-Lösung“), so dass sie bereits zum Zeitpunkt der Datenerhebung zur Verfügung stehen.

Denkbar ist dieser Hinweis auch als Aufsteller oder Aushang im Eingangsbereich der Geschäftsräume. Dabei darf davon ausgegangen werden, dass die betreffenden Personen jederzeit Zugang zum Internet haben. Eine denkbare Formulierung ist beispielsweise „Informationen dazu, wie wir mit Ihren Daten umgehen, finden Sie unter www.xyz.de/DS“.

Hinweis zur Umsetzung von Artikel 13

Bei für den Nutzer überraschenden Datenerhebungen oder wenn die zu informierenden Personen keinen Internetzugang haben, sollte ein Medienbruch hingegen vermieden werden. Werden die Daten also per Papierformular erhoben, sollte auch die Informationen zur Datennutzung in gedruckter Form beigelegt werden. Ihr Unternehmen sollte daher die Nutzerinformationen zusätzlich zur Internetfassung in gedruckter Form vorhalten, die bei Bedarf ausgegeben werden können. In E-Mails werden die Informationen als Link in der Signatur hinterlegt – und im Falle besonderer Wichtigkeit zusätzlich als PDF beigelegt.

Ausnahmen von der Informationspflicht gemäß Artikel 13 DSGVO

Die DSGVO lässt in den folgenden Fällen Ausnahmen von der Benachrichtigung der betroffenen Personen zu:

Es gibt folgende Ausnahmen von der Pflicht, Einzelpersonen über die Verarbeitung ihrer personenbezogenen Daten zu informieren:

Was ist der Unterschied zwischen Artikel 13 und Artikel 14 DSGVO?

Die Informationspflichten bei der direkten Erhebung personenbezogener Daten ist in Art. 13 DSGVO geregelt, jene bei der Erhebung durch Dritte in Artikel 14 DSGVO. Die Informationspflichten sind in beiden Fällen größtenteils gleich.

Anforderungen des Artikel 13 DSGVO

Anforderungen des Artikel 14 DSGVO

Verstöße gegen Artikel 13 DSGVO

Möglichkeit 1: Beschwerde bei der zuständigen Behörde einreichen

Nach Artikel 77 DSGVO ist jede betroffene Person dazu berechtigt, Beschwerde bei einer zuständigen Aufsichtsbehörde einzureichen. Gemäß Artikel 83 DSGVO können diese Behörden Geldbußen verhängen, die von Fall zu Fall festgelegt werden und von verschiedenen Faktoren abhängen: Art, Schwere und Dauer des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, relevante frühere Verstöße und viele weitere Aspekte (Artikel 83 Absatz 2 DSGVO). Die Verordnung legt außerdem fest, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen.

Bei Verstößen gegen Artikel 13 der DSGVO können gemäß Artikel 83 Absatz 2 Buchstabe b Bußgelder in Höhe von bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes des Unternehmens aus dem vorangegangenen Geschäftsjahr verhängt werden.

Möglichkeit 2: Schadensersatzanspruch

Die zweite Möglichkeit ist ein einfacher Schadensersatzanspruch nach Artikel 82 DSGVO, der entsteht, sobald eine Person aufgrund eines Verstoßes einen materiellen oder immateriellen Schaden erleidet. Weitere Regelungen zu Art und Umfang des Schadensersatzes finden sich in den §§ 249 ff. des Bürgerlichen Gesetzbuches (BGB).

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Die Link Lösung für Artikel 13

Mit dem Privacy Hub können Sie binnen Minuten eine allgemeine Datenschutzerklärung erstellen und via Link in Ihre E-Mail Signatur einbauen.

Die Link-Lösung zur Erfüllung der Informationspflichten nach Artikel 13 DSGVO

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Mit unserer All-in-One Datenschutzplattform, dem Privacy Hub können Sie innerhalb von wenigen Minuten die verpflichtenden Datenschutinformationen zur Erfüllung der Informationspflichten erstellen. Die dynamischen Rechtstexte lassen sich anschließend simpel über einen Link Ihrer E-Mail Signatur aufrufen.  

Artikel 13 DSGVO Grafik
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo