Informationspflicht bei Datenerhebung Art. 13 DSGVO
Transparente Informationspflichten sind mehr als eine juristische Pflichtübung. Sie sind ein Vertrauensangebot. Wenn Menschen verstehen, wer ihre Daten verarbeitet, zu welchem Zweck und auf welcher Grundlage, sinkt die Unsicherheit. Das Ergebnis kann sich im Alltag zeigen: weniger Rückfragen, weniger Beschwerden und mehr Bereitschaft, Formulare auszufüllen oder Bestellungen abzuschließen.
Art. 13 DSGVO richtet den Blick genau auf diesen ersten Moment der Datenerhebung. Typischerweise erwarten Aufsichtsbehörden, dass Betroffene zum Zeitpunkt der Erhebung in klarer, verständlicher Sprache informiert werden. Das ist kein Selbstzweck. Transparenz schafft Planbarkeit – für Ihre Kunden ebenso wie für Ihr Unternehmen. Wer früh erklärt, vermeidet Missverständnisse später.
Zugleich ist Transparenz ein Teil guter Nutzerführung. Datenschutzhinweise, die gut auffindbar, prägnant und modular aufgebaut sind, fühlen sich nicht wie Hürden an, sondern wie Orientierung. So lassen sich rechtliche Anforderungen mit einer nutzerfreundlichen Gestaltung verbinden: kurze Einstiegstexte, vertiefende Informationen per Link, klare Überschriften und eine Sprache, die ohne Fachjargon auskommt.
Auch wirtschaftlich lohnt sich Sorgfalt. Saubere Art.-13-Informationen können interne Abläufe stabilisieren: Service-Teams erhalten weniger Standardfragen, Marketing und Vertrieb arbeiten auf einer nachvollziehbaren Rechtsgrundlage, und die Rechtsabteilung kann dokumentieren, dass die Accountability ernst genommen wird. Das reduziert in vielen Fällen Reputations- und Sanktionsrisiken.
Wichtig ist dabei eine realistische, konkrete Darstellung: Welche Daten werden erhoben? Für welche Zwecke? Welche Empfänger sind beteiligt? Gibt es Übermittlungen in Drittländer? Wie lange werden Daten gespeichert – und nach welchen Kriterien? Antworten, die greifbar sind, wirken glaubwürdig. Allgemeinplätze dagegen überzeugen selten.
Transparenz stärkt außerdem die Wahrnehmung von Betroffenenrechten. Wer weiß, wo er Auskunft erhält, wie er Widerspruch einlegt oder eine Einwilligung widerruft, fühlt sich ernst genommen. Das schützt nicht nur Rechte, sondern fördert eine Kommunikationskultur, in der Anfragen schneller und lösungsorientierter bearbeitet werden.
Kurz gesagt: Art. 13 DSGVO ist die Visitenkarte Ihrer Datenverarbeitung. Sie zeigt, wie professionell und verantwortungsvoll Sie mit Informationen umgehen. In den folgenden Abschnitten erfahren Sie, welche Inhalte erforderlich sind, wie Sie diese praxistauglich formulieren und worauf es in typischen Anwendungsszenarien ankommt.
Rechtsrahmen: Art. 13 DSGVO im Zusammenspiel mit Art. 12 (Transparenz) und Abgrenzung zu Art. 14
Anwendungsbereich: Was bedeutet „Erhebung bei der betroffenen Person“ in der Praxis?
Zeitpunkt und Form der Information: Wann und wie Sie informieren sollten
Pflichtinhalte nach Art. 13 Abs. 1 und 2 – verständlich erklärt
Datenübertragbarkeit
Besondere Konstellationen: Einwilligung, Kinderdaten, gemeinsame Verantwortlichkeit, Auftragsverarbeitung
Praxis-Szenarien mit Formulierungsansätzen
Speicherdauer pragmatisch angeben: Fristenkataloge und Kriterien statt starrer Daten
Empfänger konkret oder als Kategorien?
Drittlandtransfers richtig darstellen: Angemessenheitsbeschlüsse, Standardvertragsklauseln, Transfer Impact Assessment
Rechtsgrundlagen treffsicher wählen: Vertrag, rechtliche Pflicht, berechtigtes Interesse, Einwilligung
Betroffenenrechte verständlich kommunizieren: Widerspruch bei berechtigten Interessen, Widerruf bei Einwilligung, Portabilität
Häufige Fehler und Risiken aus der Praxis – und wie Sie diese vermeiden
Fazit und nächste Schritte: Datenschutz-Quick-Audit und Unterstützung durch unsere Kanzlei
Rechtsrahmen: Art. 13 DSGVO im Zusammenspiel mit Art. 12 (Transparenz) und Abgrenzung zu Art. 14
Art. 13 DSGVO steht nicht isoliert. Die Norm entfaltet ihre Wirkung im Zusammenspiel mit Art. 12 DSGVO (Transparenz) und in Abgrenzung zu Art. 14 DSGVO (Information, wenn Daten nicht bei der betroffenen Person erhoben wurden). Wer diese drei Bausteine zusammendenkt, gestaltet Hinweise, die rechtssicher und nutzerfreundlich sind.
Transparenz als Leitbild (Art. 12 DSGVO)
Art. 12 gibt den Ton vor: Informationen nach Art. 13 und 14 sollen prägnant, transparent, verständlich und leicht zugänglich bereitgestellt werden – unentgeltlich und in klarer, einfacher Sprache. Das spricht für aussagekräftige Überschriften, kurze Einstiegstexte und vertiefende Details per Link. Je nach Zielgruppe kann eine adressatengerechte Sprache entscheidend sein, etwa im Bewerbungsprozess, im Kundenportal oder bei Online-Formularen. Wichtig ist außerdem die Nachweisbarkeit: Als Verantwortlicher sollten Sie belegen können, wann und wie Sie informiert haben (z. B. Versionsstand, Einblendungslogik im Formular, Archiv der Datenschutzhinweise).
Art. 13 oder Art. 14 – die praxistaugliche Abgrenzung
Art. 13 greift, wenn Sie Daten unmittelbar bei der betroffenen Person erheben, etwa im Kontaktformular, beim Newsletter-Opt-In, beim Online-Kauf, in der Bewerbung oder am Telefon. Die Information erfolgt zum Zeitpunkt der Erhebung; sie kann im Formular selbst, per deutlich verlinktem Hinweis oder mündlich mit begleitendem Text erfolgen. Ein erneutes Informieren ist nicht erforderlich, wenn die Person die Information bereits hat.
Art. 14 ist einschlägig, wenn Sie Daten aus anderen Quellen beziehen – zum Beispiel aus einem öffentlichen Register, von einem Dienstleister, aus einer Referenzliste oder aus öffentlich zugänglichen Quellen. Hier unterscheidet sich der Rahmen in drei Punkten ganz wesentlich:
• Zeitpunkt: Die Information erfolgt innerhalb einer angemessenen Frist, in der Regel spätestens innerhalb eines Monats, oder bei erster Kommunikation bzw. vor erster Offenlegung an Empfänger – je nachdem, was früher eintritt.
• Zusatzinhalte: Neben den Parallelangaben zu Art. 13 müssen Sie die Kategorien der verarbeiteten Daten und die Quelle nennen, einschließlich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen.
• Ausnahmen: Es gibt eng auszulegende Erleichterungen, etwa wenn sich die Information als unmöglich erweist, unverhältnismäßigen Aufwand bedeutet, eine gesetzliche Geheimhaltungspflicht besteht oder die Erhebung ausdrücklich gesetzlich geregelt ist. In solchen Konstellationen ist regelmäßig Ersatztransparenz gefragt (z. B. öffentliche Bekanntmachung zentraler Informationen).
Parallelen in den Pflichtinhalten – kleine, aber wichtige Unterschiede
Beide Vorschriften verlangen Angaben zu Verantwortlichem, Zwecken, Rechtsgrundlagen, Empfängern, Drittlandübermittlungen, Speicherdauer, Betroffenenrechten, Beschwerderecht, Pflicht zur Bereitstellung (und mögliche Folgen) sowie zu automatisierten Entscheidungen/Profiling.
Der Unterschied liegt im Detail: Art. 13 verlangt bei berechtigten Interessen die Angabe der verfolgten Interessen; Art. 14 ergänzt – wie erwähnt – Datenkategorien und Quelle. Bei Weiterverarbeitung für neue Zwecke ist in beiden Fällen vorab gesondert zu informieren.
Was heißt das praktisch?
Wenn Sie in einem Projekt Daten teils direkt, teils indirekt erhalten, sollte Ihr Hinweis so gestaltet sein, dass beide Lagen abgedeckt werden. In der Praxis bewährt sich ein modularer Aufbau: Basismodule (Verantwortlicher, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Rechte) und optionale Module für Quellenangaben und Datenkategorien, die automatisch eingeblendet werden, sobald Daten nicht bei der Person selbst erhoben werden. So bleiben Ihre Informationen konsistent, aktuell und sachgerecht.
Accountability im Blick behalten
Art. 5 Abs. 2 DSGVO verpflichtet zum Nachweis ordnungsgemäßer Information. Deshalb empfiehlt sich ein Versionsmanagement mit Datum, Geltungsbereich und Änderungsnotizen sowie eine Dokumentation, welche Touchpoints welche Module anzeigen. So können Sie gegenüber Aufsichtsbehörden und Betroffenen nachvollziehbar darlegen, dass Ihre Informationspflichten ernst genommen und systematisch umgesetzt werden.
Kurz gefasst: Art. 12 bestimmt wie informiert wird, Art. 13 und 14 wann und worüber – mit Art. 14 als Pendant für indirekte Datenerhebungen. Wer diese Struktur sauber umsetzt, schafft Rechtssicherheit und Vertrauen zugleich.
Anwendungsbereich: Was bedeutet „Erhebung bei der betroffenen Person“ in der Praxis?
„Erhebung bei der betroffenen Person“ liegt vor, wenn Sie Daten direkt vom Betroffenen oder dessen Endgerät erhalten – sei es durch aktive Eingabe, durch Beobachtung oder durch automatisierte Erfassung am Touchpoint. Maßgeblich ist, dass der Erstkontakt mit den Daten im Einflussbereich der betroffenen Person stattfindet. Das kann online, telefonisch oder vor Ort geschehen und umfasst mehr als nur Formularfelder.
Typische Konstellationen in der Praxis
• Aktive Mitteilung: Kontaktformular, Checkout, Newsletter-Opt-In, Bewerbung, Support-Chat, Telefonat, E-Mail.
• Passives Erfassen/Beobachten: Server-Logs, Cookie- und Tracking-Technologien, App-Telemetrie, WLAN-/Beacon-Tracking, Zutrittssysteme, Videoüberwachung im Eingangsbereich. Die Informationen stammen regelmäßig aus dem Verhalten oder den Geräten der betroffenen Person.
• Erhebung „im Auftrag“: Sammelt ein Auftragsverarbeiter die Daten über Ihre Website oder Ihr Formular, bleibt es Art. 13, weil die Erhebung in Ihrer Sphäre und am Betroffenen erfolgt.
• Vertreterfälle: Tritt ein gesetzlicher Vertreter (z. B. Elternteil) für die Person auf, wird die Information typischerweise wie eine Erhebung bei der Person selbst behandelt.
Abgrenzung zu Fällen von Art. 14 DSGVO
Sobald die Daten ohne Mitwirkung der betroffenen Person aus anderen Quellen kommen, sind Sie in der Regel bei Art. 14: z. B. öffentliche Register, Branchenverzeichnisse, Empfehlungen von Dritten, Ankauflisten, Social-Media-Scraping. Ein praktischer Merksatz lautet: Gibt die Person die Daten selbst oder entstehen sie in Ihrer Interaktion mit ihr, spricht viel für Art. 13; kommt die Information von außen, eher Art. 14.
Graubereiche, die Sie im Blick behalten sollten
• B2B-Kontakte: Überreicht Ihnen eine Person die eigene Visitenkarte, ist das regelmäßig Art. 13. Erhalten Sie die Kontaktdaten von einem Kollegen oder Lead-Broker, deutet vieles auf Art. 14.
• Plattform-Szenarien: Schreibt Ihnen jemand per Direktnachricht, spricht das für Art. 13. Ziehen Sie Profil-Daten ohne Interaktion in Ihr CRM, ist typischerweise Art. 14 betroffen.
• Weiterverarbeitung für neue Zwecke: Nutzen Sie bereits erhobene Daten später für zusätzliche Zwecke (z. B. Direktwerbung), verlangt Art. 13 Abs. 3 eine ergänzende Information vor dieser neuen Nutzung.
• Gemeinsame Verantwortlichkeit: Bei eingebundenen Dritt-Tools (z. B. Tracking oder Social Plugins) kann je nach Gestaltung eine gemeinsame Verantwortlichkeit in Betracht kommen. Dann sollten die Informationspflichten koordiniert dargestellt werden.
Praktische Quintessenz
Richten Sie Ihre Prozesse so ein, dass am Punkt der Datenerhebung eine klare, leicht zugängliche Art-13-Information bereitsteht: im Formular, per gut sichtbarer Verlinkung, als kurzer Telefon-Hinweis mit nachgeliefertem Text oder durch Hinweisschilder bei Videoüberwachung. So lassen sich Transparenz, Nutzerfreundlichkeit und Rechtssicherheit auf einen Nenner bringen.
Zeitpunkt und Form der Information: Wann und wie Sie informieren sollten
Der richtige Zeitpunkt und die passende Form entscheiden darüber, ob Ihre Art.-13-Informationen verstanden und akzeptiert werden. Ziel ist eine klare, leicht zugängliche Information zum Zeitpunkt der Erhebung – ohne Hürden, in einer Sprache, die Ihre Zielgruppe versteht.
Zeitpunkt: so früh wie möglich – idealerweise beim Erheben
In der Praxis bewährt sich, die Hinweise zeitgleich mit der Datenerhebung bereitzustellen. Bei Online-Formularen sollte der Link vor dem Absenden sichtbar sein, bei telefonischen Kontakten ein kurzer Hinweis zu Beginn mit nachgereichtem Text, bei Vor-Ort-Situationen (z. B. Videoüberwachung) durch ein Hinweisschild mit weiterführenden Details per QR-Code oder URL.
Wenn Daten später für einen neuen Zweck genutzt werden, ist vor Beginn der neuen Nutzung ergänzend zu informieren. Liegen die Informationen bereits vor, reicht in vielen Fällen ein Verweis auf die bestehende Fassung.
Form: prägnant, gestuft und adressatengerecht
Ein Layered-Notice-Ansatz verbindet Rechtssicherheit mit guter Nutzerführung:
• Erste Ebene (Kurzinfo): Wer verarbeitet? Wofür? Auf welcher Rechtsgrundlage? Wo gibt es Details?
• Zweite Ebene (Volltext): Alle Pflichtangaben nach Art. 13 Abs. 1 und 2, strukturiert und gut verlinkt.
• Dritte Ebene (Detailmodule): Vertiefungen zu Empfängern, Drittlandtransfers, Speicherdauern, Rechtsgrundlagen, Profiling.
Platzierung: sichtbar statt versteckt
Hinweise wirken, wenn sie am Ort der Datenerhebung stehen:
• Web & App: Direkt am Formularfeld, oberhalb des Absende-Buttons; im App-Onboarding als eigener Schritt.
• Newsletter: Beim Double-Opt-In in beiden E-Mails verlinken; im Anmeldeformular einen kurzen Teaser mit Link setzen.
• Telefon & Vor-Ort: Kurzer Standardhinweis mit schriftlicher Nachreichung (z. B. E-Mail, Aushang, Flyer).
• Videoüberwachung: Hinweisschild mit Kamera-Piktogramm und Kerninfos (Zweck, Verantwortlicher, Kontakt); ausführliche Fassung per QR-Code/URL.
• Social Media & Chat: In Profil-Infos und unterhalb von Kontakt- oder DM-Einstiegen verlinken.
Sprache und Verständlichkeit
Die Information sollte klar, knapp und ohne Fachjargon formuliert sein. Überschriften wie „Wer verarbeitet Ihre Daten?“ oder „Wofür nutzen wir Ihre Angaben?“ erleichtern die Orientierung. Wenn sich Ihre Angebote auch an Kinder oder nicht deutschsprachige Personen richten, sind alters- bzw. sprachangepasste Fassungen hilfreich.
Barrierefreiheit und Zugänglichkeit
Achten Sie auf gute Lesbarkeit (Kontrast, Schriftgröße), semantische Überschriften, Tastaturbedienbarkeit und Screenreader-Kompatibilität. PDFs sollten durchsuchbar und getaggt sein; wo möglich, empfiehlt sich HTML statt PDF.
Beweisbarkeit und Aktualität
Für die Accountability zahlt es sich aus, Versionsstände, Geltungsbereich und Änderungsdatum anzugeben und die Einblendungslogik (z. B. im Formular) zu dokumentieren. Ein kurzer Vermerk wie „Datenschutzhinweise, Stand: 02. November 2025“ schafft Klarheit.
Praxisnahe Formulierungsansätze (Kurzebene)
• Kontaktformular: „Wir verarbeiten Ihre Angaben zur Bearbeitung Ihrer Anfrage auf Grundlage von Art. 6 Abs. 1 lit. b oder f DSGVO. Details, Speicherdauer und Ihre Rechte finden Sie in unseren Datenschutzhinweisen.“
• Bewerbungen: „Ihre Bewerbungsdaten nutzen wir zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Näheres, inklusive Speicherdauer und Empfänger, lesen Sie in unseren Datenschutzhinweisen.“
• Newsletter: „Ihre E-Mail-Adresse verwenden wir, um Ihnen unseren Newsletter zuzusenden. Informationen zu Widerruf und Tracking finden Sie in den Datenschutzhinweisen.“
Typische Stolpersteine vermeiden
• Hinweise nicht erst nach dem Absenden anzeigen
• Nur auf Startseiten verlinken, ohne Bezug zum konkreten Touchpoint
• Speicherdauern ohne Kriterien angeben („wir speichern solange, wie nötig“)
• Empfänger zu vage beschreiben
Besser: konkrete, modulare Angaben mit Kriterien („bis Ablauf gesetzlicher Aufbewahrungsfristen“), klare Empfängerkategorien und sichtbare Platzierung.
Kurzfazit
Je früher und klarer Sie informieren, desto geringer fallen Rückfragen und Missverständnisse aus. Eine gestufte, gut platzierte Information verbindet Nutzerfreundlichkeit mit den Anforderungen von Art. 13 DSGVO – und zeigt, dass Sie Datenschutz ernst nehmen.
Pflichtinhalte nach Art. 13 Abs. 1 und 2 – verständlich erklärt
Im Kern verlangt Art. 13 Abs. 1 und 2 DSGVO, dass Sie Betroffene früh, klar und konkret über zentrale Punkte Ihrer Verarbeitung informieren. Die folgenden Pflichtinhalte werden praxisnah erläutert – mit kurzen Formulierungsansätzen, die Sie modular einsetzen können.
Identität und Kontaktdaten des Verantwortlichen
Nennen Sie vollständigen Namen/Firma, Rechtsform, Postanschrift und Kontaktmöglichkeiten (E-Mail, optional Telefon). Bei Unternehmensgruppen oder mehreren Niederlassungen sollte klar ersichtlich sein, wer für den jeweiligen Verarbeitungsvorgang verantwortlich ist. Bei gemeinsamer Verantwortlichkeit gehört ein verständlicher Hinweis auf die wesentlichen Absprachen dazu. Sitzt der Verantwortliche außerhalb der EU/des EWR, ist der EU-Vertreter anzugeben.
Formulierungsansatz: „Verantwortlich ist die [Firma, Rechtsform], [Adresse], E-Mail: [..]. Für einzelne Angebote handeln wir gemeinsam mit [Partner] verantwortlich; die wesentlichen Absprachen stellen wir hier dar.“
Kontaktdaten des Datenschutzbeauftragten
Sofern ein Datenschutzbeauftragter bestellt ist, teilen Sie direkt erreichbare Kontaktdaten mit (z. B. eigene E-Mail). Vermeiden Sie Umwege über allgemeine Postfächer. Wenn kein DSB bestellt ist, lassen Sie das Feld weg; ein Hinweis „kein Datenschutzbeauftragter bestellt“ kann in Einzelfällen sinnvoll sein, wirkt aber nur dann hilfreich, wenn Anlaufstellen für Datenschutzanfragen klar genannt sind.
Formulierungsansatz: „Sie erreichen unseren Datenschutzbeauftragten unter: [Name, sofern gewünscht], E-Mail: [..], Postanschrift: [..].“
Zwecke der Verarbeitung und Rechtsgrundlagen
Beschreiben Sie konkret, wofür die Daten genutzt werden – nicht nur abstrakt („Vertragsabwicklung“), sondern am Touchpoint orientiert. Ordnen Sie jedem Zweck die Rechtsgrundlage zu. Bei besonderen Kategorien von Daten (z. B. Gesundheitsdaten) ist zusätzlich die einschlägige Ausnahme zu nennen. Planen Sie eine Weiterverarbeitung für neue Zwecke, informieren Sie vorab ergänzend.
Beispiele:
• Kontaktanfrage → Bearbeitung und Rückmeldung (Art. 6 Abs. 1 lit. b oder f)
• Newsletter → Versand nach Einwilligung (Art. 6 Abs. 1 lit. a), Nachweis Double-Opt-In
• Kauf im Shop → Vertragserfüllung, Zahlungsabwicklung, Versand (Art. 6 Abs. 1 lit. b)
• Gesetzliche Pflichten → Aufbewahrung, Steuern, Compliance (Art. 6 Abs. 1 lit. c)
• IT-Sicherheit/Logs → Sicherstellung des Betriebs, Abwehr von Angriffen (Art. 6 Abs. 1 lit. f)
Formulierungsansatz: „Wir verarbeiten Ihre Daten zur [Zweckbeschreibung]; Rechtsgrundlage ist [konkrete Norm]. Weitere Informationen zum jeweiligen Zweck finden Sie in den nachfolgenden Abschnitten.“
Berechtigte Interessen (falls einschlägig)
Wenn Sie sich auf Art. 6 Abs. 1 lit. f stützen, benennen Sie das konkrete Interesse – nicht nur „Optimierung“. Dokumentieren Sie intern die Interessenabwägung und weisen Sie auf das Widerspruchsrecht hin.
Beispiele für Interessen: IT-Sicherheit, Betrugsprävention, Direktwerbung für eigene ähnliche Produkte, Reichweitenmessung mit zurückhaltender Konfiguration.
Formulierungsansatz: „Unsere berechtigten Interessen bestehen in [z. B. Gewährleistung von IT-Sicherheit und Stabilität]. Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen.“
Empfänger oder Kategorien von Empfängern
Machen Sie transparent, wer Daten erhält – intern (z. B. Fachabteilungen) und extern. Auftragsverarbeiter (z. B. Hosting, Versanddienstleister, IT-Support, Newsletter-Tool) sollen erkennbar sein. Wenn konkrete Namen wechseln, sind Empfängerkategorien praxistauglich; wo dauerhaft eingebunden, sind konkrete Empfänger hilfreich. Bei gemeinsamer Verantwortlichkeit oder eigenständigen Dritten (z. B. Zahlungsdienste) erklären Sie die Rollen.
Formulierungsansatz: „Empfänger können insbesondere IT-Dienstleister, Hosting-Provider, Zahlungs- und Versanddienstleister sowie beratende Dienstleister sein. Details zu dauerhaft eingebundenen Anbietern finden Sie in den jeweiligen Modulen.“
Drittland-Übermittlungen und geeignete Garantien
Weisen Sie darauf hin, ob Daten in Drittländer außerhalb von EU/EWR übermittelt werden. Beschreiben Sie die Rechtsbasis (z. B. Angemessenheitsbeschluss) oder die Garantien (typischerweise Standardvertragsklauseln mit ergänzenden technischen und organisatorischen Maßnahmen). Ein kurzer Verweis, wo weitere Informationen erhältlich sind (z. B. Kopie wesentlicher Klauseln, Kernaussagen des Transfer-Assessments), erhöht Transparenz.
Formulierungsansatz: „Eine Übermittlung in Staaten außerhalb der EU/des EWR erfolgt nur, wenn ein Angemessenheitsbeschluss besteht oder geeignete Garantien (z. B. Standardvertragsklauseln) vorliegen. Informationen hierzu und Kopien der wesentlichen Regelungen stellen wir auf Anfrage zur Verfügung.“
Speicherdauer bzw. Kriterien für die Festlegung
Nennen Sie konkrete Fristen oder nachvollziehbare Kriterien. Vermeiden Sie Pauschalen ohne Substanz. Orientieren Sie sich an Zwecken, Verjährungsfristen und gesetzlichen Aufbewahrungspflichten. Wo sich exakte Fristen unterscheiden, hilft eine Matrix je Zweck/Datenkategorie.
Praxisbeispiele:
• Vertrags- und Abrechnungsdaten → regelmäßig bis zum Ablauf handels-/steuerrechtlicher Fristen
• Kontaktanfragen → bis Abschluss der Bearbeitung, ggf. Follow-Up-Zeitraum
• Bewerbungen → in vielen Fällen ca. 6 Monate nach Abschluss des Verfahrens, sofern keine Aufnahme in einen Talent-Pool mit Einwilligung
• Server-Logs/Sicherheitsereignisse → kurze Rotationszyklen, sofern kein sicherheitsrelevanter Anlass
• Newsletter-Daten → bis Widerruf der Einwilligung
Formulierungsansatz: „Wir speichern personenbezogene Daten so lange, wie es für die Zwecke erforderlich ist. Maßgeblich sind insbesondere gesetzliche Aufbewahrungsfristen, Verjährung möglicher Ansprüche und technische Erfordernisse. Konkrete Angaben finden Sie in den Zweck-Modulen.“
Ihre Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch
Erklären Sie die Rechte verständlich und nennen Sie eine Kontaktadresse zur Ausübung.
• Auskunft: Welche Daten liegen vor, zu welchen Zwecken, welche Empfänger, welche Dauer.
• Berichtigung: Unrichtige oder unvollständige Angaben korrigieren lassen.
• Löschung: Daten werden gelöscht, wenn gesetzliche Gründe vorliegen (z. B. Wegfall des Zwecks) und keine Pflichten entgegenstehen.
• Einschränkung: Verarbeitung vorübergehend begrenzen, etwa während einer Prüfung.
• Widerspruch: Bei Verarbeitung auf berechtigte Interessen können Sie aus Gründen Ihrer besonderen Situation Widerspruch einlegen; bei Direktwerbung ist der Widerspruch stets ohne Begründung möglich.
Formulierungsansatz: „Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruch gegen Verarbeitungen nach Art. 6 Abs. 1 lit. f. Nutzen Sie hierfür bitte die oben genannten Kontaktdaten.“
Datenübertragbarkeit
Beschreiben Sie, in welchen Fällen Betroffene ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten oder an einen anderen Verantwortlichen übertragen lassen können. Das Recht greift vor allem, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt. Klassische Beispiele sind Kundenkonten, Newsletter-Profile oder Nutzungsdaten in Apps.
Formulierungsansatz: „Sie können Daten, die Sie uns bereitgestellt haben und die wir auf Grundlage einer Einwilligung oder zur Vertragserfüllung automatisiert verarbeiten, in einem gängigen, maschinenlesbaren Format erhalten oder – soweit technisch machbar – an einen anderen Verantwortlichen übertragen lassen.“
Widerruf von Einwilligungen (Art. 7 Abs. 3 DSGVO)
Wenn Sie sich auf Einwilligungen stützen (z. B. Newsletter, bestimmte Tracking-Tools, Talent-Pool), müssen Sie darauf hinweisen, dass die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen werden kann – ohne Nachteile für den Vertragsschluss, soweit der Dienst nicht zwingend auf dieser Einwilligung beruht. Wichtig ist eine niedrigschwellige Widerrufsmöglichkeit (z. B. Abmeldelink in jeder Mail, Opt-out im Konto).
Formulierungsansatz: „Sie können eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt. Ein Widerruf ist z. B. über den Abmeldelink oder per E-Mail möglich.“
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)
Betroffene sollen wissen, dass sie sich an eine Datenschutz-Aufsichtsbehörde wenden können, etwa an die für ihren gewöhnlichen Aufenthaltsort oder für den Sitz des Verantwortlichen zuständige Behörde. Ein konkreter Hinweis wirkt vertrauensbildend.
Formulierungsansatz: „Sie haben das Recht, Beschwerde bei einer Datenschutz-Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.“
Obliegenheit zur Bereitstellung der Daten und mögliche Folgen der Nichtbereitstellung
Erklären Sie verständlich, ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben ist oder für einen Vertragsschluss erforderlich sein kann und welche Folgen eine Nichtbereitstellung typischerweise hätte. Ziel ist Transparenz, keine Druckausübung.
Praxisbeispiele:
• Rechnungsadresse im Shop → erforderlich für Vertrag und Abwicklung; ohne Angabe keine Lieferung
• Bewerbungsunterlagen → erforderlich für Auswahlverfahren; ohne Unterlagen keine Berücksichtigung
• Marketing-Einwilligung → freiwillig; ohne Einwilligung kein Newsletter, aber keine Auswirkungen auf den Kauf
Formulierungsansatz: „Die Bereitstellung bestimmter Daten kann für einen Vertragsschluss oder eine Leistungserbringung erforderlich sein. Wenn Sie diese Daten nicht bereitstellen, kann die gewünschte Leistung unter Umständen nicht erbracht werden. Ob eine Angabe verpflichtend ist, kennzeichnen wir in den jeweiligen Formularen.“
Automatisierte Entscheidungen einschließlich Profiling (falls einschlägig; Art. 22 DSGVO)
Wenn automatisierte Entscheidungen getroffen werden, die rechtliche Wirkung entfalten oder Betroffene in ähnlicher Weise erheblich beeinträchtigen (z. B. automatisierte Bonitätsentscheidung), müssen Sie aussagekräftige Informationen zur zugrunde liegenden Logik, zur Bedeutung und zu den angestrebten Auswirkungen geben. Ebenfalls wichtig: Hinweise auf angemessene Schutzmaßnahmen, wie das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Formulierungsansatz: „In einzelnen Bereichen kann es zu automatisierten Entscheidungen kommen (z. B. Vorprüfung von Bestellungen). Wir informieren Sie in den jeweiligen Modulen über die zugrunde liegende Logik, die Bedeutung und die voraussichtlichen Auswirkungen. Sie können eine Überprüfung durch eine Person verlangen und Ihren Standpunkt darlegen.“
Praxis-Tipp für alle fünf Punkte
Halten Sie die Angaben modular und kontextbezogen. Eine klare Verlinkung vom Touchpoint (Formular, App-Schritt, E-Mail) zu den Detailmodulen sorgt dafür, dass Betroffene ihre Rechte rasch finden und ohne Hürden ausüben können. Regelmäßige Review-Zyklen helfen, Widerrufswege, Empfängerangaben und Hinweise zu automatisierten Entscheidungen aktuell zu halten.
Besondere Konstellationen: Einwilligung, Kinderdaten, gemeinsame Verantwortlichkeit, Auftragsverarbeitung
Einwilligung: freiwillig, informiert und nachweisbar
Einwilligungen sind dort sinnvoll, wo keine tragfähige andere Rechtsgrundlage greift oder Sie den Betroffenen echte Wahlmöglichkeiten geben möchten. Maßgeblich sind Freiwilligkeit, Informiertheit, Eindeutigkeit und die jederzeitige Widerrufbarkeit. Vermeiden Sie Kopplungen, die den Eindruck erwecken, ohne Einwilligung sei eine eigentlich nicht erforderliche Zusatzverarbeitung dennoch Pflicht. Achten Sie auf granulare Auswahl (z. B. getrennte Einwilligungen für Newsletter und Performance-Tracking) und dokumentieren Sie Zeitpunkt, Inhalt und Nachweis (z. B. Double-Opt-In).
Formulierungsansatz: „Wir verarbeiten die genannten Daten auf Grundlage Ihrer Einwilligung. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen; ein Widerruf hat keine Auswirkungen auf die Vertragserfüllung, sofern die Verarbeitung hierfür nicht erforderlich ist.“
Kinderdaten: besondere Schutzbedürftigkeit ernst nehmen
Bei Angeboten, die sich an Minderjährige richten oder typischerweise von ihnen genutzt werden, empfiehlt sich eine altersgerechte Sprache, eine reduzierte Datenerhebung und – je nach nationalem Recht – eine Einbindung der Sorgeberechtigten bei einwilligungsbedürftigen Diensten. Prüfen Sie, ob der Dienst ohne sensible Tracking-Technologien auskommt und ob Standardeinstellungen datensparsam gewählt sind.
Praxis-Hinweise:
• Einwilligungen von Kindern sollten leicht verständlich sein; bei jungen Altersgruppen bieten sich begleitende Elterninformationen an.
• Datenerhebungen, die nicht erforderlich sind, sollten konsequent abgewählt oder nur opt-in erfolgen.
• Bei Bewerbungen von Jugendlichen oder Ausbildungsprogrammen ist eine klare Zweckbindung und kurze Speicherdauer hilfreich.
Gemeinsame Verantwortlichkeit: Rollen sauber beschreiben
Arbeiten Sie mit Partnern so zusammen, dass beide über Zwecke und Mittel mitentscheiden (z. B. Betreiber einer Unternehmens-Fanpage, Co-Branding-Kampagnen, gemeinsame CRM-Plattform), liegt häufig eine gemeinsame Verantwortlichkeit vor. Dann brauchen Sie eine transparente Vereinbarung über Zuständigkeiten, insbesondere für Informationspflichten, Betroffenenrechte und Sicherheitsmaßnahmen. In Ihren Hinweisen sollten Betroffene erkennen können, an wen sie sich für welches Anliegen wenden können; eine zentrale Anlaufstelle ist oft praktikabel.
Formulierungsansatz: „Wir und [Partner] sind für bestimmte Verarbeitungen gemeinsam verantwortlich. Die wesentlichen Inhalte unserer Vereinbarung, einschließlich Zuständigkeiten für Betroffenenrechte, stellen wir Ihnen in zusammengefasster Form zur Verfügung.“
Auftragsverarbeitung: Weisung und Kontrolle
Nutzen Sie Dienstleister, die in Ihrem Auftrag und weisungsgebunden verarbeiten (z. B. Hosting, Newsletter-Tool, Cloud-Speicher, IT-Support, Call-Center), handelt es sich regelmäßig um Auftragsverarbeitung. Erforderlich sind schriftliche Verträge mit klaren Regelungen zu Zweck, Sicherheit, Unterauftragsnehmern, Löschung/Rückgabe, Technik und Organisation sowie sinnvolle Kontrollrechte. In den Hinweisen genügen häufig Empfängerkategorien; bei dauerhaft eingebundenen Schlüssel-Dienstleistern wirkt die namentliche Nennung oft vertrauensbildend.
Praxis-Hinweise:
• Prüfen Sie, ob der Dienstleister tatsächlich weisungsgebunden ist; entscheidet er selbst über Zwecke/Mittel, ist er eigener Verantwortlicher oder Teil einer gemeinsamen Verantwortlichkeit.
• Bei Drittland-Bezug sind geeignete Garantien (z. B. Standardvertragsklauseln) und ergänzende Schutzmaßnahmen zu adressieren.
• Halten Sie ein Lösch- und Rückgabekonzept vor, damit Daten nach Vertragsende nicht beim Dienstleister verbleiben.
So bringen Sie alles stimmig zusammen
Setzen Sie auf modulare Datenschutzhinweise, die je nach Konstellation automatisch die passenden Bausteine einblenden: Einwilligungs-Module mit Widerrufswegen, Kinderschutz-Hinweise mit altersgerechter Sprache, Gemeinsamkeits-Module mit Zuständigkeitsübersicht und Auftragsverarbeiter-Module mit den relevanten Empfängerkategorien. Ein solches Baukastensystem erleichtert die Pflege, erhöht die Transparenz und unterstützt die Beweisbarkeit Ihrer Prozesse.
Praxis-Szenarien mit Formulierungsansätzen
Website & Kontaktformulare
Wenn Sie Angaben über ein Kontaktformular erheben, sollten die Kerninfos vor dem Absenden sichtbar sein und auf eine Detailseite verlinken.
Formulierungsansatz (Kurzebene im Formular):
„Wir verarbeiten Ihre Angaben, um Ihre Anfrage zu beantworten und – falls erforderlich – zur Vorbereitung vertraglicher Maßnahmen. Rechtsgrundlagen können Art. 6 Abs. 1 lit. b oder lit. f DSGVO sein. Weitere Informationen, einschließlich Speicherdauer, Empfängern und Ihrer Rechte, finden Sie in unseren Datenschutzhinweisen.“
Hinweise: Pflichtfelder kennzeichnen, interne Empfänger benennen, Speicherdauer nach Bearbeitungsende erläutern.
Cookie-Banner, Tracking-Tools und Reichweitenmessung
Für alle nicht technisch notwendigen Cookies/Tools ist eine vorherige Einwilligung (Opt-in) erforderlich. In der Detailseite sollten Anbieter, Zwecke, Speicherdauer und Drittlandbezüge erkennbar sein.
Formulierungsansatz (Banner/Präferenz-Center):
„Mit Ihrer Einwilligung setzen wir optionale Cookies/Tools ein, um unsere Website zu verbessern und Reichweiten zu messen. Sie können jederzeit Ihre Auswahl ändern oder widerrufen. Details zu Anbietern, Speicherdauern und Übermittlungen finden Sie in den Datenschutzhinweisen.“
Hinweise: Granularität (z. B. Statistik/Marketing), echtes Opt-in (keine vorangekreuzten Kästchen, keine Dark Patterns), jederzeit änderbar über ein Präferenz-Center; Widerruf (Einwilligung) leicht auffindbar.
Newsletter und Double-Opt-In
Erheben Sie nur die Daten, die für den Versand erforderlich sind. Weisen Sie auf Widerruf und mögliche Erfolgsmessung (öffnen/klicken) hin.
Formulierungsansatz (Anmeldung):
„Wir versenden unseren Newsletter an die von Ihnen angegebene E-Mail-Adresse auf Grundlage Ihrer Einwilligung. Die Anmeldung erfolgt im Double-Opt-In-Verfahren. Sie können den Newsletter jederzeit abbestellen; einen Abmeldelink finden Sie in jeder E-Mail. Informationen zur Erfolgsmessung und zu Dienstleistern entnehmen Sie den Datenschutzhinweisen.“
Hinweise: DOI-Protokoll speichern, Messung transparent machen, Auftragsverarbeiter benennen.
Online-Shop, Kundenkonto und Zahlungsdienstleister
Trennen Sie Vertragserfüllung (Bestellung, Versand, Kundenkonto) von Pflichtangaben (Steuer/Handel) und eigenständigen Entscheidungen von Zahlungsdiensten.
Formulierungsansatz (Checkout/Konto):
„Wir verarbeiten Ihre Bestelldaten zur Vertragserfüllung, Zahlungsabwicklung und Lieferung. Hierzu arbeiten wir mit Versand- und Zahlungsdienstleistern zusammen. Rechtsgrundlagen können Art. 6 Abs. 1 lit. b und lit. c DSGVO sein; zur Betrugsprävention kann Art. 6 Abs. 1 lit. f einschlägig sein. Empfänger und Speicherdauern erläutern wir in den Datenschutzhinweisen.“
Hinweise: Folgen der Nichtbereitstellung (keine Lieferung), Aufbewahrungsfristen, Rolle der Payment-Provider klarstellen.
Bewerbungen und Karriereportale
Gestalten Sie Hinweise arbeitsrechtlich passend; reduzieren Sie Felder auf das Erforderliche.
Formulierungsansatz (Karriere-Seite):
„Wir nutzen Ihre Bewerbungsdaten zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses. Rechtsgrundlagen können arbeitsrechtliche Vorschriften und Art. 6 Abs. 1 lit. b DSGVO sein. Nach Abschluss des Verfahrens werden die Daten innerhalb eines angemessenen Zeitraums gelöscht, sofern keine längere Aufbewahrung wegen gesetzlicher Pflichten oder mit Ihrer Einwilligung (Talent-Pool) erfolgt. Informationen zu Empfängern (z. B. Fachabteilung, HR-Dienstleister) finden Sie in den Datenschutzhinweisen.“
Hinweise: Upload-Hinweise zu sensiblen Daten, separate Einwilligung für längere Aufbewahrung.
Telefonische Erhebung und Vor-Ort-Kontakte
Ein kurzer Mündlich-Hinweis mit nachgereichtem Text schafft Transparenz ohne Medienbruch.
Formulierungsansatz (Call-Opening):
„Wir verwenden Ihre Angaben, um Ihr Anliegen zu bearbeiten. Details zu Zwecken, Rechtsgrundlagen, Empfängern und Ihren Rechten senden wir Ihnen gern per E-Mail zu oder stellen sie auf unserer Website bereit.“
Hinweise: Standardleitfäden, Follow-up-Mail mit Direktlink, sichtbare Aushänge am Empfang.
Videoüberwachung im Eingangsbereich
Setzen Sie auf Zwei-Ebenen-Hinweise: Schild mit Kerninfos und Detailseite.
Formulierungsansatz (Schild):
„Videoüberwachung zu Sicherheitszwecken und zur Wahrnehmung unseres Hausrechts. Verantwortlicher: [..], Kontakt: [..]. Weitere Informationen, einschließlich Rechtsgrundlage, Speicherdauer, Empfängern und Ihren Rechten, finden Sie unter: [URL/QR].“
Hinweise: kurze Speicherdauer, restriktive Zugriffe, klare Widerspruchswege, keine unnötigen Bereiche erfassen.
Veranstaltungen, Fotos und Gruppenbilder
Kombinieren Sie Einladungs-Info, Hinweisschilder vor Ort und Opt-out-Möglichkeiten.
Formulierungsansatz (Einladung):
„Im Rahmen der Veranstaltung können Foto- und Videoaufnahmen entstehen, die wir zur Berichterstattung und internen Dokumentation nutzen. Informationen zu Rechtsgrundlagen, Widerspruchsmöglichkeiten und Empfängern finden Sie in den Datenschutzhinweisen.“
Hinweise: gut sichtbare Kontaktstelle, markierte No-Photo-Zonen oder Kennzeichnungen, abgestufte Zwecke (intern/extern).
Unternehmensseiten in sozialen Netzwerken (z. B. Fanpages)
Hier kommt häufig gemeinsame Verantwortlichkeit mit dem Plattformbetreiber in Betracht.
Formulierungsansatz (Fanpage-Info):
„Wir betreiben diese Seite gemeinsam mit dem Anbieter der Plattform. Es erfolgen Verarbeitungen zu Statistik- und Kommunikationszwecken. Die wesentlichen Inhalte der Zuständigkeitsvereinbarung sowie Informationen zu Ihren Rechten finden Sie in unseren Datenschutzhinweisen.“
Hinweise: Insights-Daten erläutern, Kontaktkanäle nennen, auf Plattform-Policies verweisen.
B2B-Kontexte und Visitenkarten
Bei persönlicher Übergabe sprechen die meisten Anzeichen für Art. 13.
Formulierungsansatz (E-Mail nach Erstkontakt):
„Vielen Dank für Ihre Kontaktaufnahme. Wir verwenden Ihre Kontaktdaten zur Pflege der Geschäftsbeziehung und zur Korrespondenz. Weitere Informationen zu Zwecken, Rechtsgrundlagen, Speicherdauer und Ihren Rechten finden Sie in unseren Datenschutzhinweisen.“
Hinweise: CRM-Eintrag dokumentieren, Widerspruch gegen Direktwerbung erwähnen, Datenkategorien knapp erläutern.
Extra-Tipp für alle Szenarien
Arbeiten Sie mit modularen Textbausteinen, die Touchpoint-spezifisch eingeblendet werden. Heben Sie Wesentliches im Short-Text hervor (Zweck, Rechtsgrundlage, Rechte) und verlinken Sie auf die Detailmodule (Empfänger, Drittland, Speicherdauer). So bleiben Ihre Hinweise verständlich, konkret und pflegeleicht.
Speicherdauer pragmatisch angeben: Fristenkataloge und Kriterien statt starrer Daten
Eine klare, nachvollziehbare Speicherdauer stärkt Transparenz und reduziert Rückfragen. In der Praxis überzeugt ein Kombinationsansatz aus Fristenkatalog und Kriterien, statt für jeden Einzelfall ein starres Datum zu nennen. So bleiben Ihre Angaben verständlich und pflegeleicht, auch wenn sich Prozesse ändern.
Grundprinzip: zweistufig denken
Zuerst legen Sie Zwecke und Datenkategorien fest, dann ordnen Sie Regelfristen oder Entscheidungskriterien zu. Kommuniziert wird beides: ein konkreter Zeitraum, wo möglich, und präzise Kriterien, wo die Dauer variiert.
Fristenkatalog – typische Orientierungswerte
Diese Regelfristen sind praxiserprobt. Je nach Branche und Rechtslage können Abweichungen sinnvoll sein.
• Vertrags- und Abrechnungsdaten: Aufbewahrung bis zum Ablauf handels- und steuerrechtlicher Fristen
• Kontaktanfragen (ohne Folgegeschäft): Löschung nach Abschluss der Bearbeitung und einem angemessenen Nachverfolgungszeitraum
• Bewerbungen: Löschung in der Regel innerhalb eines überschaubaren Zeitraums nach Abschluss des Verfahrens; längere Speicherung nur mit Einwilligung (Talent Pool)
• Server- und Sicherheits-Logs: kurze Rotationszyklen, Verlängerung nur bei sicherheitsrelevanten Ereignissen
• Newsletter-Daten: Speicherung bis zum Widerruf; Nachweis des Double-Opt-In und Abmeldungen für eine angemessene Nachweisfrist
• Videoüberwachung: kurze Überschreibfristen; längere Sicherung nur, wenn ein konkreter Vorfall geprüft wird
Kriterien, die Sie transparent nennen sollten
Wenn feste Fristen nicht sinnvoll sind, helfen klare Kriterien:
• Zweckbezug: „bis zur abschließenden Bearbeitung“ oder „bis die Kundenbeziehung endet“
• Gesetzliche Pflichten: „bis zum Ablauf gesetzlicher Aufbewahrungsfristen“
• Verjährung: „bis zum Ablauf möglicher Gewährleistungs- oder Haftungsfristen“
• Technische Erfordernisse: „gemäß Backup-Rotation und Log-Retention“
• Rechtsdurchsetzung: „solange Ansprüche geltend gemacht oder abgewehrt werden“
Wichtig ist, dass Kriterien konkret und prüfbar sind – Allgemeinplätze wirken schnell vage.
So formulieren Sie es verständlich
„Wir speichern personenbezogene Daten so lange, wie es für die Zwecke erforderlich ist. Maßgeblich sind insbesondere gesetzliche Aufbewahrungspflichten, Verjährungsfristen, Nachweiserfordernisse sowie technische Lösch- und Archivzyklen. Konkrete Angaben zu einzelnen Datenkategorien und Zwecken finden Sie in unserem Fristenkatalog.“
Beispiele für eine schlanke Matrix
- Bestelldaten (Vertrag/Abrechnung): Zweckende + gesetzliche Aufbewahrung
- Support-Tickets: Fallabschluss + kurzer Nachverfolgungszeitraum
- Bewerberdaten: Abschluss Auswahlverfahren + kurzer Nachweiszeitraum; bei Talent Pool bis Widerruf bzw. kürzere Review-Zyklen
- Webtracking (mit Einwilligung): bis Widerruf bzw. definierte Speicherdauer je Tool
- Zugriffs-Logs: Rotationszyklus, Verlängerung bei Sicherheitsvorfällen
Backup und Archiv nicht vergessen
Löschung bedeutet auch: Entfernung aus produktiven Systemen und Ablauf der Wiederherstellbarkeit in Backups gemäß Rotationsplan. Kommunizieren Sie knapp, dass Backups nicht produktiv genutzt werden und Daten dort nicht selektiv geändert werden, sondern zyklisch überschrieben.
Löschroutinen organisatorisch absichern
Hinterlegte Fristen wirken erst, wenn Prozesse greifen:
• Automatisierte Löschjobs und Sperrkonzepte
• Verantwortlichkeiten je System (IT, Fachbereich, Legal)
• Regelmäßige Reviews des Fristenkatalogs
• Dokumentation im Verzeichnis von Verarbeitungstätigkeiten
So zeigen Sie Accountability und vermeiden „vergessene“ Datensilos.
Transparente Kommunikation nach außen
Auf der Webseite reicht häufig ein überblicksartiger Fristenkatalog mit klaren Beispielen und Kriterien. Auf Nachfrage können Sie detailtiefer informieren (z. B. konkret je System oder Tool). Heben Sie Wesentliches hervor, etwa kurze Log-Fristen, Widerrufsmöglichkeiten und die Berücksichtigung von Verjährung und Aufbewahrungspflichten.
Kurzfazit
Mit Regelfristen plus klaren Kriterien sind Ihre Angaben praxisnah und verständlich. Sie sichern Flexibilität, ohne unkonkret zu wirken – und schaffen die Basis für wirksame Löschroutinen im Alltag.
Empfänger konkret oder als Kategorien?
Ob Sie konkrete Empfänger nennen oder mit Empfängerkategorien arbeiten, hängt vom Transparenznutzen für Betroffene und von der Wechselhäufigkeit Ihrer Dienstleister ab. Ziel ist eine klare, verlässliche Orientierung, ohne die Hinweise unnötig starr zu machen.
Wann konkrete Empfänger sinnvoll sind
Konkrete Namen sind immer dann hilfreich, wenn der Dienstleister
• dauerhaft und zentral eingebunden ist
• eine eigenständige Entscheidungsmacht besitzt (eigener Verantwortlicher, z. B. Zahlungsdienst)
• mit Drittlandübermittlungen verbunden sein kann
• typischerweise besonders sensiblen Datenkontakt hat
In solchen Fällen wirkt die Nennung vertrauensbildend und verhindert Missverständnisse.
Wann Empfängerkategorien ausreichen
Kategorien bieten sich an, wenn
• Dienstleister austauschbar oder häufig wechselnd sind
• die Verarbeitung standardisiert und risikoarm ist
• der Betroffenenmehrwert durch Namensnennung gering wäre
Wichtig ist dann eine präzise, nicht zu grobe Kategoriebezeichnung und eine klare Rollenbeschreibung (Auftragsverarbeiter vs. eigenständiger Verantwortlicher).
Pragmatische Abwägung
Eine gute Lösung ist der Hybridansatz: In den Datenschutzhinweisen werden Schlüssel-Empfänger namentlich genannt; ergänzend gibt es präzise Kategorien für die übrigen. Änderungen lassen sich mit einem Versionshinweis transparent machen. So bleiben Sie pflegeleicht und zugleich konkret.
So vermeiden Sie Unschärfen
• Kategorien konkret benennen („Zahlungsdienstleister und Banken“ statt „Dienstleister“)
• Rollen kenntlich machen (Auftragsverarbeiter vs. Verantwortlicher)
• bei Drittlandbezug kurz auf Rechtsgrundlage/Garantien hinweisen
• Zugriffsanlässe beschreiben („im Rahmen von Wartung/Support“, „zur Betrugsprävention“)
Empfehlung für die Praxis
Arbeiten Sie mit einem Empfänger-Register im Hintergrund. Öffentlich kommunizieren Sie Schlüssel-Empfänger namentlich, flankiert von sauber beschriebenen Kategorien. Wesentliche Änderungen markieren Sie mit Versionsstand und Kurzvermerk. So erfüllen Sie Transparenzanforderungen adressatengerecht und bleiben aktuell.
Drittlandtransfers richtig darstellen: Angemessenheitsbeschlüsse, Standardvertragsklauseln, Transfer Impact Assessment
Drittlandtransfers sind erklärungsbedürftig. Betroffene möchten wissen, ob Daten die EU/des EWR verlassen, wohin, auf welcher Rechtsbasis und mit welchen Schutzmaßnahmen. Ihre Art.-13-Informationen sollten daher klar zwischen Angemessenheitsbeschlüssen, Standardvertragsklauseln und dem Transfer Impact Assessment (TIA) unterscheiden – und zugleich kompakt bleiben.
Angemessenheitsbeschlüsse verständlich machen
Wenn für das Zielland ein Angemessenheitsbeschluss besteht, können Sie dies kurz benennen. Wichtig ist eine konkrete Länderangabe und ein Hinweis darauf, dass die Übermittlung auf dieser Entscheidung beruht. Ein separates TIA ist in der Praxis meist nicht erforderlich, die Transparenzpflicht bleibt aber bestehen.
Formulierungsansatz: „Eine Übermittlung in [Zielland] erfolgt auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission.“
Standardvertragsklauseln praxisnah erläutern
Fehlt ein Angemessenheitsbeschluss, stützen sich Übermittlungen häufig auf Standardvertragsklauseln (SCC). Erklären Sie kurz, dass diese vertragliche Garantien vorsehen und durch ergänzende Maßnahmen abgesichert werden können. Vermeiden Sie Floskeln; nennen Sie Beispiele für Maßnahmen.
Formulierungsansatz: „Bei Übermittlungen in Länder ohne Angemessenheitsbeschluss verwenden wir Standardvertragsklauseln und prüfen zusätzliche technische und organisatorische Maßnahmen (z. B. Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen). Kernaussagen zu diesen Garantien stellen wir auf Anfrage bereit.“
Transfer Impact Assessment transparent, aber schlank
Ein TIA bewertet, ob im Empfängerland Rahmenbedingungen bestehen, die die Wirksamkeit der SCC beeinträchtigen könnten (z. B. behördliche Zugriffe). Sie müssen keine Gutachten veröffentlichen. Eine knappe Transparenznotiz genügt häufig, idealerweise mit Hinweisen auf wesentliche Schutzmechanismen.
Formulierungsansatz: „Wir führen vor entsprechenden Übermittlungen eine Risikoprüfung (Transfer Impact Assessment) durch und setzen – soweit nötig – zusätzliche Schutzmaßnahmen um, um ein angemessenes Datenschutzniveau sicherzustellen.“
Technische und organisatorische Zusatzmaßnahmen konkretisieren
Betroffene verstehen Schutz besser, wenn er greifbar wird. Nennen Sie Maßnahmen, die tatsächlich eingesetzt werden:
• Transport- und ruhende Verschlüsselung mit Schlüsselverwaltung beim Verantwortlichen oder einem EU-Dienstleister
• Pseudonymisierung/Minimierung vor der Übermittlung
• Rollen- und Berechtigungskonzepte, Protokollierung, Need-to-know-Prinzip
• Vertragsauflagen zu Auskunftsersuchen (Transparenzberichte, Anfechtungspflichten, Benachrichtigung)
Wann Sie die Empfänger benennen sollten
Bei dauerhaft eingebundenen Anbietern außerhalb der EU/EWR wirkt die namentliche Nennung plus Zielland vertrauensbildend. Wechseln Anbieter häufiger, sind präzise Kategorien mit Länderhinweisen praxistauglich.
Formulierungsansatz: „Empfänger können Dienstleister in [Zielland/Zielländern] sein. Details zu konkret eingesetzten Anbietern nennen wir in den jeweiligen Modulen.“
So vermeiden Sie Unschärfen in der Kommunikation
• Zielland immer benennen (nicht nur „Drittland“)
• Rechtsgrundlage klar zuordnen (Angemessenheit oder SCC)
• Zusatzmaßnahmen nicht nur andeuten, sondern beispielhaft nennen
• auf Abrufbarkeit weiterer Informationen verweisen (ohne juristische Detailflut)
Kurzbeispiel für eine verständliche Gesamtformulierung
„Sofern wir personenbezogene Daten an Empfänger außerhalb der EU/des EWR übermitteln, informieren wir Sie vorab. Besteht für das Zielland ein Angemessenheitsbeschluss, beruht die Übermittlung hierauf. Andernfalls verwenden wir Standardvertragsklauseln und prüfen im Rahmen eines Transfer Impact Assessments, ob zusätzliche Schutzmaßnahmen erforderlich sind. Dazu können Verschlüsselung, Pseudonymisierung und strenge Zugriffskontrollen gehören. Informationen zu beteiligten Anbietern und den wesentlichen Inhalten der Garantien stellen wir auf Anfrage zur Verfügung.“
Praxis-Tipp
Hinterlegen Sie intern eine Transfer-Matrix (Empfänger, Zielland, Rechtsbasis, TIA-Status, Maßnahmen, Review-Datum). Öffentlich kommunizieren Sie knapp und klar – mit Länderangabe, Mechanismus und Beispielen für Schutzmaßnahmen. So bleiben Ihre Hinweise verständlich, prüfbar und aktuell pflegbar.
Rechtsgrundlagen treffsicher wählen: Vertrag, rechtliche Pflicht, berechtigtes Interesse, Einwilligung
Die Wahl der passenden Rechtsgrundlage entscheidet, ob Ihre Verarbeitung tragfähig ist – rechtlich und kommunikativ. Orientieren Sie sich am Zweck am konkreten Touchpoint und formulieren Sie so, dass Betroffene den Zusammenhang verstehen. Vier Grundlagen prägen die Praxis: Vertrag, rechtliche Pflicht, berechtigtes Interesse und Einwilligung.
Vertrag: wenn ohne Verarbeitung keine Leistung möglich wäre
Diese Grundlage passt, wenn Daten zur Anbahnung oder Erfüllung eines Vertrags benötigt werden. Beispiele sind Bestellungen im Online-Shop, Terminvereinbarungen oder Support bei bestehenden Kunden.
Gut erkennbar: Ohne die Daten ließe sich die Leistung nicht sachgerecht erbringen.
Formulierungsansatz: „Wir verarbeiten Ihre Angaben zur Vorbereitung und Durchführung des Vertragsverhältnisses (z. B. Bestellung, Lieferung, Kommunikation).“
Rechtliche Pflicht: wenn Gesetze die Verarbeitung verlangen
Hierunter fallen etwa Aufbewahrungsfristen, Identifikationspflichten oder Meldepflichten. Nennen Sie die Pflicht greifbar (z. B. „steuer- und handelsrechtliche Vorgaben“).
Formulierungsansatz: „Bestimmte Daten verarbeiten und speichern wir, um gesetzlichen Pflichten nachzukommen (z. B. steuer- und handelsrechtliche Aufbewahrung).“
Berechtigtes Interesse: wenn ein nachvollziehbarer Unternehmenszweck überwiegt
Diese Grundlage eignet sich für IT-Sicherheit, Betrugsprävention, Reichweitenmessung mit zurückhaltender Konfiguration, Direktwerbung für eigene ähnliche Produkte oder interne Verwaltung. Erforderlich ist eine Interessenabwägung: Zweck, Erforderlichkeit, Betroffenenperspektive, Schutzmaßnahmen. Weisen Sie auf das Widerspruchsrecht hin.
Formulierungsansatz: „Wir verarbeiten bestimmte Daten zur Aufrechterhaltung von IT-Sicherheit und Stabilität sowie zur Abwehr von Missbrauch. Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch einlegen.“
Einwilligung: wenn echte Wahl besteht oder besondere Verarbeitungen geplant sind
Einwilligungen bieten sich an, wenn keine andere tragfähige Grundlage greift oder wenn Sie Betroffenen freiwillige Zusatzoptionen eröffnen (z. B. Newsletter, optionale Tracking-Tools, Talent-Pool). Sie sollte informiert, spezifisch, freiwillig und widerruflich sein – ideal mit granularen Auswahlmöglichkeiten.
Formulierungsansatz: „Die Verarbeitung erfolgt mit Ihrer Einwilligung, die Sie jederzeit mit Wirkung für die Zukunft widerrufen können.“
Typische Anwendungsszenarien, kurz zugeordnet
• Kontaktformular: Vertrag (Anbahnung) oder berechtigtes Interesse, je nach Konstellation
• Newsletter: Einwilligung; Erfolgsmessung klar erklären
• Checkout/Zahlung/Versand: Vertrag; zusätzlich rechtliche Pflichten für Aufbewahrung
• Security-Logs/Firewall: berechtigtes Interesse; kurze Speicherzyklen und Schutzmaßnahmen hervorheben
• Bewerbungen: arbeitsrechtliche Grundlage/Vertrag; Talent-Pool per Einwilligung
• Cookie-basierte Analytik/Marketing: Einwilligung (mit Wahlmöglichkeiten)
• Reklamations- und Gewährleistungsbearbeitung: Vertrag und berechtigtes Interesse
Woran Sie eine treffsichere Wahl erkennen
• Zweck-Fit: Die Rechtsgrundlage erklärt genau diesen Zweck am Touchpoint.
• Datenminimierung: Es werden nur die Daten verarbeitet, die für die Grundlage erforderlich sind.
• Transparente Kommunikation: Betroffene verstehen, warum diese Grundlage einschlägig ist.
• Schutzmaßnahmen: Je nach Grundlage sind angemessene Sicherungen benannt (z. B. Opt-out bei berechtigtem Interesse, Widerruf bei Einwilligung).
Feinjustierung und Abgrenzung
• Kein „Einwilligungs-Ersatz“: Wenn ein Zweck vertraglich erforderlich ist, wirkt Einwilligung als Zusatz häufig missverständlich.
• Berechtigtes Interesse nicht überdehnen: Für komfortorientierte oder marketingnahe Zusatzverarbeitungen ist die Einwilligung meist passender.
• Mehrere Zwecke, mehrere Grundlagen: Weisen Sie zweckbezogen aus (z. B. Vertrag für Lieferung, rechtliche Pflicht für Aufbewahrung, berechtigtes Interesse für Betrugsprävention).
• Besondere Datenkategorien: Prüfen Sie die Zusatzvoraussetzungen (z. B. ausdrückliche Einwilligung oder gesetzliche Ausnahmen).
Dokumentation – die stille Pflicht im Hintergrund
Hinterlegen Sie je Verarbeitungsvorgang eine Kurzbegründung der gewählten Grundlage, eine Interessenabwägung bei Art. 6 Abs. 1 lit. f, sowie Widerrufs- und Opt-out-Wege. Ein Versionsstand in Ihren Hinweisen zeigt, dass Sie die Accountability ernst nehmen.
Kurzfazit
Starten Sie vom Zweck und ordnen Sie die Rechtsgrundlage situationsbezogen zu. Kommunizieren Sie klar, welche Wahlrechte bestehen, und machen Sie Widerspruch bzw. Widerruf leicht erreichbar. So entsteht eine Rechtsgrundlage, die juristisch trägt und von Nutzern verstanden wird.
Betroffenenrechte verständlich kommunizieren: Widerspruch bei berechtigten Interessen, Widerruf bei Einwilligung, Portabilität
Betroffenenrechte wirken, wenn sie leicht zu finden, verständlich erklärt und niedrigschwellig ausübbar sind. Gute Hinweise reduzieren Rückfragen und zeigen, dass Sie Datenschutz ernst nehmen. Im Fokus stehen drei Rechte, die in der Praxis besonders häufig sind: Widerspruch bei berechtigten Interessen, Widerruf bei Einwilligung und Datenübertragbarkeit.
Widerspruch bei berechtigten Interessen (Art. 21 DSGVO)
Wenn Sie sich auf Art. 6 Abs. 1 lit. f stützen, sollten Sie das Widerspruchsrecht klar und nah am Touchpoint erklären. Nennen Sie typische Zwecke (z. B. IT-Sicherheit, Betrugsprävention, Reichweitenmessung in zurückhaltender Konfiguration, Direktwerbung) und beschreiben Sie, wie der Widerspruch möglich ist.
Formulierungsansatz: „Sie können aus Gründen, die sich aus Ihrer besonderen Situation ergeben, Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f einlegen. Bei Direktwerbung ist ein Widerspruch jederzeit möglich.“
Praktisch umsetzen:
• Eigene Kontaktadresse oder Formularfeld „Widerspruch“
• Schnell auffindbarer Opt-out bei Marketing-Kommunikation
• Kurze Bestätigung, wie mit dem Widerspruch umgegangen wird
Widerruf bei Einwilligung (Art. 7 Abs. 3 DSGVO)
Einwilligungen sollten ohne Hürden widerrufbar sein – ideal mit denselben Kanälen, über die sie erteilt wurden. Weisen Sie darauf hin, dass der Widerruf in die Zukunft wirkt.
Formulierungsansatz: „Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.“
Praktisch umsetzen:
• Abmeldelink in jeder Newsletter-Mail
• Präferenz-Center für Cookies/Tools mit „Einstellungen ändern“
• Konto-Einstellungen mit klarer Schaltfläche „Einwilligung widerrufen“
Datenübertragbarkeit (Art. 20 DSGVO)
Erklären Sie, wann Portabilität greift: wenn Daten von der betroffenen Person bereitgestellt wurden, die Verarbeitung automatisiert erfolgt und auf Vertrag oder Einwilligung beruht. Stellen Sie ein gängiges, maschinenlesbares Format bereit und – soweit technisch machbar – die Direktübertragung an einen anderen Verantwortlichen.
Formulierungsansatz: „Sie können Daten, die Sie uns bereitgestellt haben und die wir automatisiert auf Grundlage von Vertrag oder Einwilligung verarbeiten, in einem gängigen, maschinenlesbaren Format erhalten oder – soweit technisch machbar – an einen anderen Verantwortlichen übertragen lassen.“
Praktisch umsetzen:
• Exportformate wie CSV oder JSON mit kurzer Erläuterung
• Eindeutige Identifizierung, um unbefugte Exporte zu vermeiden
• Hinweis, wenn bestimmte Dritt- oder abgeleitete Daten nicht unter Portabilität fallen
Allgemeine Hinweise zur Ausübung der Rechte
Machen Sie es Betroffenen leicht, ihre Rechte zu nutzen – ohne juristische Hürden.
• Kontaktkanal klar nennen (E-Mail, Online-Formular, Postanschrift)
• Identitätsprüfung schlank und zweckbezogen halten
• Auf Ergebnisoptionen hinweisen (z. B. Löschung, Einschränkung, Opt-out)
• Hervorheben, dass die Ausübung der Rechte grundsätzlich unentgeltlich ist
• Kurz erläutern, wie Sie mit Anfragen umgehen, und auf das Beschwerderecht bei einer Aufsichtsbehörde verweisen
So formulieren Sie es kompakt im Hinweistext
„Sie haben das Recht auf Widerspruch gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f, das Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft sowie das Recht auf Datenübertragbarkeit unter den gesetzlichen Voraussetzungen. Wenden Sie sich hierfür an die oben genannten Kontaktdaten oder nutzen Sie die bereitgestellten Opt-out- und Export-Funktionen.“
Praxis-Tipp
Hinterlegen Sie intern kurze Leitfäden für den Umgang mit Widersprüchen, Widerrufen und Exportwünschen. Ein standardisiertes Antwortschema mit Entscheidungspunkten (zulässige Ausnahmegründe, Identitätsprüfung, Fristen, Dokumentation) hilft, Rückmeldungen konsistent und zeitnah zu geben.
Häufige Fehler und Risiken aus der Praxis – und wie Sie diese vermeiden
Viele Unternehmen investieren in Datenschutzhinweise – und übersehen dennoch Details, die später zu Rückfragen oder Beanstandungen führen. Die folgenden Praxisfehler treten häufig auf. Mit den passenden Gegenmaßnahmen lassen sie sich zügig entschärfen.
Hinweise erst nach dem Absenden anzeigen
Wenn Informationen erst nach dem Klick auf „Senden“ auftauchen, wirkt Transparenz wie ein Pflichtanhang. Besser: Kernangaben vor dem Absenden sichtbar platzieren und von dort auf die Detailseite verlinken.
Zwecke und Rechtsgrundlagen zu allgemein formulieren
Sätze wie „Wir verarbeiten Ihre Daten zur Optimierung“ überzeugen selten. Besser: Zweck am Touchpoint beschreiben (z. B. „Bearbeitung Ihrer Anfrage“) und die Rechtsgrundlage je Zweck nennen.
Empfänger unpräzise oder versteckt
„Dienstleister“ als Sammelbegriff bleibt vage. Besser: Schlüssel-Empfänger namentlich, übrige als präzise Kategorien (z. B. „Hosting-Provider“, „Zahlungsdienste“) und Rolle kenntlich machen (Auftragsverarbeiter/eigener Verantwortlicher).
Drittlandbezüge ohne Mechanismus
„Es kann zu Übermittlungen in Drittländer kommen“ hilft wenig. Besser: Zielland benennen und Mechanismus kurz erklären (Angemessenheitsbeschluss oder Standardvertragsklauseln plus Schutzmaßnahmen).
Speicherdauer ohne Kriterien
„Wir speichern, solange nötig“ bleibt unbestimmt. Besser: Fristenkatalog mit typischen Zeiträumen und klaren Kriterien (Aufbewahrung, Verjährung, Backup-Rotation).
Widerspruch und Widerruf schwer auffindbar
Rechte wirken nur, wenn sie leicht nutzbar sind. Besser: gut sichtbare Opt-out-/Abmeldewege, kurze Erklärungen, wohin sich Betroffene wenden können, und eine Bestätigung der Bearbeitung.
Cookie-Banner ohne echte Wahl
Vorab angekreuzte Optionen oder irreführende Schaltflächen führen häufig zu Beschwerden. Besser: echtes Opt-in, granulare Auswahl (z. B. Statistik/Marketing), jederzeit änderbar über ein Präferenz-Center.
Einwilligungen als „Allzwecklösung“
Einwilligungen ersetzen keine fehlende Rechtsgrundlage. Besser: zweckbezogen entscheiden (Vertrag, Pflicht, berechtigtes Interesse, Einwilligung) und Einwilligungen granular sowie widerrufbar gestalten.
Profiling/automatisierte Entscheidungen nicht erläutert
Wo Systeme Entscheidungen vorbereiten oder treffen, fehlen oft Hinweise zur Logik, Bedeutung und Auswirkung. Besser: betroffene Bereiche klar benennen und Schutzmechanismen (menschliches Eingreifen, Anfechtung) hervorheben.
Outdated Content durch fehlendes Versionsmanagement
Geänderte Tools oder Empfänger werden nicht nachgezogen. Besser: Version, Datum, Geltungsbereich sichtbar führen, Änderungsjournal pflegen und Touchpoints mit der aktuellen Version verknüpfen.
VVT und Hinweise laufen auseinander
Wenn Verzeichnis, Fristenkatalog und öffentliche Hinweise nicht zueinander passen, leidet die Glaubwürdigkeit. Besser: ein gemeinsamer Datenhaushalt mit klaren Verantwortlichkeiten und regelmäßigen Sync-Reviews.
Löschung nur „theoretisch“ geregelt
Ohne funktionierende Jobs bleiben Daten länger als nötig. Besser: automatisierte Lösch-/Sperrprozesse, Testläufe, Protokolle und Backup-Konzepte, die Wiederherstellbarkeit zeitlich begrenzen.
Fehlende Schulung der Mitarbeitenden
Selbst gute Texte helfen wenig, wenn Hotlines oder Teams unsicher reagieren. Besser: kurze Playbooks je Rolle, Musterantworten und feste SLA für Betroffenenanfragen.
Keine Dokumentation der Interessenabwägung
Bei Art. 6 Abs. 1 lit. f fehlt oft die nachvollziehbare Abwägung. Besser: ein kompaktes Abwägungsblatt je Zweck mit Zweckbeschreibung, Notwendigkeit, Schutzmaßnahmen und Ergebnis.
Drittanbieterwechsel ohne TIA-Update
Provider werden getauscht, die Transferprüfung bleibt alt. Besser: Onboarding-Check für neue Tools inkl. Transfer Impact Assessment und Maßnahmenliste.
So setzen Sie Verbesserungen strukturiert um
Starten Sie mit einem kurzen Datenschutz-Quick-Audit: Prüfen Sie drei Dinge zuerst – Sichtbarkeit am Touchpoint, Rechtsgrundlagen-Zuordnung und Speicherdauer-Kommunikation. Danach folgen Empfänger/Drittland, Rechteausübung und Versionsstand. Mit diesem Fokus lassen sich die häufigsten Risiken zügig minimieren – und Ihre Informationspflichten wirken klar, modern und belastbar.
Fazit und nächste Schritte: Datenschutz-Quick-Audit und Unterstützung durch unsere Kanzlei
Ein wirksamer Hinweis nach Art. 13 DSGVO ist keine Pflichtübung, sondern ein Qualitätssiegel für Ihre Datennutzung. Wer klar, konkret und adressatengerecht informiert, reduziert Rückfragen, schafft Vertrauen und hält Prüfungen souverän stand. Mit einem schlanken Datenschutz-Quick-Audit bringen Sie Struktur in die Umsetzung – ohne Ihren Alltag zu blockieren.
Kurzfazit
Transparente, gut platzierte Informationen am Touchpoint, zweckbezogene Rechtsgrundlagen, saubere Empfängerkommunikation (Hybrid aus Namen und Kategorien), pragmatische Speicherdauern und niedrigschwellige Rechtewege bilden den Kern. Abgerundet wird das durch Accountability: Versionen, Nachweise, Prozessklarheit.
Ihr Datenschutz-Quick-Audit in fünf kompakten Schritten
• Touchpoints prüfen: Ist die Kurzinfo vor dem Absenden sichtbar? Verlinkt sie auf eine aktuelle Detailseite?
• Zwecke & Grundlagen abgleichen: Passt die Rechtsgrundlage je Zweck – und ist sie so formuliert, dass Nutzer sie verstehen?
• Empfänger & Drittland sauber machen: Schlüssel-Empfänger namentlich, übrige als präzise Kategorien; Drittland mit Mechanismus und Maßnahmen.
• Speicherdauer schärfen: Fristenkatalog + Kriterien; Löschjobs, Backup-Rotation und Nachweise im Blick.
• Rechtewege testen: Widerspruch, Widerruf, Export – auffindbar, funktional, bestätigt.
Nächste Schritte für eine belastbare Umsetzung
• Modularisierung: Bausteine für Kontakt, Bewerbungen, Shop, Newsletter, Tracking, Video – zentral gepflegt, je Touchpoint eingeblendet.
• Versionsmanagement: Sichtbarer Versionsstand mit Änderungsjournal; Touchpoints referenzieren die aktuelle Fassung.
• VVT-Sync: Verzeichnis von Verarbeitungstätigkeiten, Fristenkatalog und öffentliche Hinweise laufen konkordant.
• Transfer-Matrix: Empfänger, Zielländer, Rechtsmechanismen (Angemessenheit/SCC), TIA-Kernaussagen und Review-Daten.
• Playbooks & Schulung: Kurze Leitfäden für Service, Marketing, HR und IT; Musterantworten für Betroffenenrechte.
Wie wir Sie unterstützen
Unsere Kanzlei begleitet Sie praxisnah und effizient – von der Sichtung Ihrer Touchpoints über die Erstellung modularer Art.-13-Bausteine bis zum Fristenkatalog, Empfänger-Register und Transfer-Matrix. Auf Wunsch übernehmen wir ein kompaktes Quick-Audit mit konkretem Maßnahmenplan, prüfen Ihre Cookie- und Tracking-Setups, richten ein Versionsmanagement ein und liefern rechtssichere Mustertexte für alle Szenarien.
Wenn Sie möchten, starten wir mit einem kostenfreien Erstgespräch und einer Kurzsichtung Ihrer bestehenden Hinweise. So erhalten Sie zügig einen Prioritätenfahrplan, den Ihr Team Schritt für Schritt umsetzt – verständlich, prüfbar und updatefähig.
Ansprechpartner
Andere über uns
WEB CHECK SCHUTZ
Gestalten Sie Ihre Internetseite / Ihren Onlineshop rechts- und abmahnsicher.
Erfahren Sie mehr über die Schutzpakete der Anwaltskanzlei Weiß & Partner für die rechtssichere Gestaltung Ihrer Internetpräsenzen.
Cyber-Sicherheit
