zur Übersicht

Transparenz- und Informationspflichten

Neue Leitplanken für die Artikel 12 bis 14 DSGVO aus der Rechtsprechung und Berücksichtigung neuer Gesetze

Warum das Thema jetzt (wieder) Führungssache ist

Transparenz ist der Dreh‑ und Angelpunkt der DSGVO. Wer Betroffene nicht klar, verständlich und zeitgerecht informiert, riskiert nicht nur Bußgelder, sondern auch immateriellen Schadensersatz. Art. 12 bis 14 DSGVO verlangen präzise, transparente, verständliche und leicht zugängliche Informationen in einer klaren und einfachen Sprache – das gilt quer durch alle Kanäle.

Die Praxis zeigt: Selbst kleine Lücken bei Art. 13 und 14 DSGVO führen zu Streitigkeiten und Zahlungen. Aktuelle Urteile zu Bewerberrecherchen und die EuGH‑Grundsatzentscheidung zu pseudonymisierten Daten erhöhen die Messlatte – und zwar deutlich.

Um sicherzustellen, dass betroffene Personen gemäß Art. 12 bis 14 DSGVO umfassend über die Verarbeitung ihrer Daten informiert werden, hat der Europäische Datenschutzausschuss (EDSA) im Oktober 2025 beschlossen, seine fünfte koordinierte Prüfung im Jahr 2026 auf die Einhaltung der Transparenz- und Informationspflichten nach der DSGVO zu fokussieren. Die Prüfung wird, wie bei den vorangegangenen Aktionen, durch die nationalen Datenschutzbehörden erfolgen, die anschließend ihre Ergebnisse zusammenführen und auf EU-Ebene auswerten werden.

Transparenzpflichten ergeben sich darüber hinaus auch aus anderen Gesetzen, wie Data Act oder KI-Verordnung. Was die unterschiedlichen Transparenzpflichten bedeuten und wie sie in der Praxis verzahnt werden können, schauen wir uns im Folgenden an:

Was die DSGVO verlangt

Katalog der wesentlichen Pflichten gem. Art. 12 bis 14 DSGVO

  • Form:
    • leicht zugänglich,
    • klare Sprache,
    • kostenlos
  • Inhalte:
    • Kontaktdaten des Verantwortlichen,
    • Zwecke der Verarbeitung,
    • Kategorien personenbezogener Daten, die verarbeitet werden,
    • Rechtsgrundlagen,
    • Empfänger,
    • Speicherdauer,
    • Betroffenenrechte,
    • Drittlandtransfers,
    • automatische Entscheidungsfindungen,
    • Quellen bei Nichterhebung beim Betroffenen
  • Ausnahmen von der Informationspflicht (Art. 14 Abs. 5 DSGVO): Der EuGH hat in seinem Urteil vom 28. November 2024 (AZ: C-169/23) klargestellt, dass Ausnahmen auch dann greifen können, wenn die verantwortliche Stelle die Daten selbst (nicht beim Betroffenen) generiert hat, und nicht nur bei der Erhebung bei Drittquellen.

Tipps für die Praxis: Die GDD empfiehlt in ihrer Praxishilfe „Transparency obligations in data processing“ Version 1.0 (Juni 2020) insbesondere die

  • saubere Trennung zwischen Art. 13 und 14 DSGVO,
  • ggf. eine Aufteilung der Hinweise abhängig von den genutzten Medien und
  • die Dokumentation von Ausnahmen.

Die Möglichkeit Datenschutzhinweise und -erklärungen auch in mehreren Ebenen zu erteilen, wurde Ende letzten Jahres vom EuGH in seinem Urteil vom 18. Dezember 2025 (Rs C-422/24) als rechtskonforme Vorgehensweise bestätigt.

Worüber zu informieren ist, entscheidet der Zeitpunkt der Erhebung

Der EuGH präzisiert die Informationspflicht beim Transfer pseudonymisierter Daten in seiner Entscheidung vom 4. September 2025 (AZ: C‑413/23 P):

  • Relativer Personenbezug: Pseudonymisierte Daten können für den Empfänger außerhalb der DSGVO liegen, wenn er realistisch keine Mittel hat, die Daten wieder identifizierbar zu machen. Für den Verantwortlichen mit Re-Identifizierungsschlüssel bleiben sie personenbezogen.
  • Transparenzzeitpunkt: Die Pflicht zur Information über Empfänger entsteht bei der Erhebung aus Sicht des Verantwortlichen.

Konsequenz für die Praxis: Verantwortliche müssen auch bei der Übermittlung pseudonymisierter Daten an Dritte diese als Empfänger in ihren Datenschutzhinweisen benennen. Pseudonymisierung ersetzt nicht die Pflicht zu dieser Information.

Informationspflichten im Bewerbungsverfahren: Recherchen sind erlaubt – aber nicht im Verborgenen

Das Bundesarbeitsgericht (BAG) hat in seiner Entscheidung vom 5. Juni 2025 (AZ: 8 AZR 117/24) bestätigt, dass die Online‑Recherche über Bewerber zulässig sein kann, aber Pflichten nach Art. 14 DSGVO auslöst. Im konkreten Fall hatte eine Universität einen Bewerber „gegoogelt“ und dabei eine nicht rechtskräftige strafrechtliche Verurteilung gefunden, die sie im Auswahlvermerk dokumentierte. Der Bewerber erfuhr hiervon erst durch ein Auskunftsersuchen nach Art. 15 DSGVO und verlangte anschließend Schadensersatz gemäß Art. 82 DSGVO.

Das BAG bestätigte die Vorinstanz (LAG Düsseldorf, Urteil vom 10.04.2024 – 12 Sa 1007/23, unsere Besprechung dessen hier) und sprach dem Bewerber EUR 1.000 Schadensersatz zu. Zwar sei die Internetrecherche als solche grundsätzlich zulässig, jedoch verletzte die Universität ihre Informationspflichten aus Art. 14 DSGVO, da sie den Bewerber nicht über die Datenerhebung informierte.

Checkliste für die Praxis: Bei Online-Recherchen im Bewerbungsverfahren sollten folgende Punkte berücksichtigt werden.

  • Vorab prüfen: Erforderlichkeit und Verhältnismäßigkeit der Online-Recherche
  • Informationspflicht erfüllen: Bewerber nach Art. 14 DSGVO über die Datenerhebung informieren
  • Dokumentation sicherstellen: Zeitpunkt und Inhalt der Information schriftlich festhalten
  • Daten bewerten: Nur relevante und rechtlich zulässige Informationen berücksichtigen
  • HR-Mitarbeiter schulen: Personalverantwortliche zu DSGVO-Pflichten sensibilisieren, um Haftungsrisiken und Schadensersatzforderungen zu vermeiden

Transparenzpflichten jenseits der DSGVO

Data Act: Transparenz beim Datenzugang und bei IoT-Datenflüssen

Der Data Act (VO (EU) 2023/2854) trat am 11. Januar 2024 in Kraft und ist seit dem 12. September 2025 in Teilen anzuwenden. Er begründet insbesondere für vernetzte Produkte und Dienste Zugangsrechte zu (auch nicht-personenbezogenen) Nutzerdaten und verpflichtet Dateninhaber über die Verfügbarkeit, Arten und Bedingungen des Datenzugangs und der Weitergabe der Daten zu informieren.

Konsequenz für die Praxis: Es kann sich für betroffene Unternehmen anbieten, in ihren Datenschutzhinweisen über das Nutzerdatenzugangsrecht inklusive des Prozesses für Nutzeranfragen und die Möglichkeit der Weitergabe der Daten an Dritte, zu informieren oder auf diese Informationen zu verweisen.

KI‑VO: Kennzeichnungspflichten für KI‑Interaktion & synthetische Inhalte

Ab August 2026 gelten die Transparenzpflichten aus Art. 50 KI-VO. Danach müssen Nutzer erkennen können, wenn sie mit einer KI interagieren. Des Weiteren müssen synthetische Inhalte als solche gekennzeichnet werden und Deepfakes offengelegt werden.

Konsequenz für die Praxis: Prozesse zur Transparenzkennzeichnung sollten zeitnah etabliert und mit den Transparenzpflichten nach der DSGVO gegebenenfalls harmonisiert werden.

Fazit

Die anstehende koordinierte Prüfaktion der Aufsichtsbehörden in diesem Jahr ist ein guter Anlass, den Umgang mit den Informationspflichten im Unternehmen zu überprüfen und im Hinblick auf die aktuelle Rechtsprechung und neue gesetzliche Regelungen Datenschutzhinweise zu aktualisieren. Zu beachten sind dabei insbesondere

  • die Nennung von Empfängern auch bei der Übermittlung pseudonymisierter Daten,
  • die Information der Bewerber bei Online-Recherchen,
  • Informationen zu Nutzerzugang und der Möglichkeit der Weitergabe der Daten und des „Cloud-Switching“ im Rahmen des Data Acts und
  • die Kennzeichnung der Interaktion mit KI, synthetischer Inhalte und „Deepfakes“.

Sprechen Sie uns an, wenn Sie Unterstützung bei der Ermittlung und Umsetzung Ihrer Informationspflichten benötigen. Wir sind Ihnen mit unserer Expertise und bewährten Vorlagen gerne behilflich.

Abonnieren Sie auch unseren Newsletter, um bei allen weiteren Themen zum Datenschutz immer auf dem aktuellen Stand zu sein.