Art. 13 und 14 DSGVO verpflichten Verantwortliche, betroffene Personen, von welchen personenbezogene Daten erhoben werden, über diese Datenerhebung zu informieren.

In der nachstehenden Tabelle finden Sie die Elemente, die eine Information nach Art. 13 oder Art. 14 DSGVO beinhalten muss.

Inhalt der Information	Art. 13 DSGVO	Art. 14 DSGVO
Name und die Kontaktdaten Ihrer Organisation
Kontaktdaten des Datenschutzbeauftragten (soweit vorhanden)
Zwecke der Verarbeitung
Rechtsgrundlagen der Verarbeitung
Die berechtigten Interessen (im Falle der Anwendung des Art. 6 Abs.1 Bst. f DSGVO)
Die Kategorien der erhobenen personenbezogenen Daten	Auch wenn dies hier nicht verpflichtend ist, wird empfohlen, die Kategorien wenn möglich zu bezeichnen
Empfänger der Daten im Falle der Weitergabe der Daten
Detaillierte Angaben im Falle der Weitergabe der Daten in einen Drittstaat oder eine internationale Organisation
Angaben zur Dauer der Verarbeitung bzw. Zeitpunkt der Löschung der Daten
Rechte der Betroffenen
Im Falle einer Einwilligung die Möglichkeit des jederzeitigen Widerspruchs
Das Recht auf Beschwerde bei der Datenschutzaufsichtsbehörde
Die Quelle, aus der die Daten stammen, die nicht direkt bei der betroffenen Person erhoben werden
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
Das Bestehen einer automatisierten Entscheidungsfindung einschliesslich Profiling

Die Information sollte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Besondere Vorsicht bei der Formulierung ist geboten, wenn sich die Information speziell an Kinder richtet.

Die DSGVO schreibt nicht vor, in welcher Form die Information zur Verfügung zu stellen ist.

In der Praxis bieten sich die folgenden Varianten an:

• Mündlich – etwa wenn eine betroffene Person personenbezogene Daten im Rahmen eines Telefonats bekanntgibt (es wird empfohlen, diese Fälle zu dokumentieren);
• Schriftlich – in Form eines gedruckten Informationsblattes; dieses Blatt kann im Empfang eines Unternehmens, etc. aufgelegt oder ausgehängt werden oder einem Anmeldeformular beigefügt werden.
• Elektronisch – in Textnachrichten, auf Internetseiten, in E-Mails oder in mobilen Apps.

Darüber hinaus sind auch andere Techniken erlaubt, wie etwa Visualisierungstools oder standardisierte Symbole, mit denen den betroffenen Personen ein Überblick über die Verwendung ihrer personenbezogenen Daten gegeben wird.

Wesentlich ist, dass die Datenschutzinformationen so zur Verfügung gestellt werden, dass die betroffenen Personen leicht darauf zugreifen können. Ein allgemeiner Hinweis auf Ihrer Internetseite genügt etwa nur dann, wenn Sie die betroffenen Personen im Zeitpunkt der Erhebung ihrer Daten unter Angabe des entsprechenden Links darauf hinweisen, dass sie detaillierte Informationen zur Verarbeitung der Daten auf Ihrer Internetseite finden.

Grundsätzlich empfiehlt es sich, dasselbe Medium zu verwenden, mit dem Sie personenbezogene Daten erheben. Wenn Sie also Informationen über ein Online-Formular erfassen, können Sie eine Just-in-Time-Benachrichtigung bereitstellen, wenn eine Person das Formular ausfüllt.

Aber in der Praxis haben sich auch gemischte Formen durchgesetzt, das heisst ein sogenannter „Medienbruch“ wird als zulässig erachtet:

Ein gemischter Ansatz für die Bereitstellung von Datenschutzinformationen besteht in der Regel darin, Personen kurze Informationen zu geben, die die wichtigsten Informationen enthalten, beispielsweise die Identität Ihrer Organisation und die Art und Weise, wie Sie die personenbezogenen Daten verarbeiten. 

Beispiel: Eine Privatperson ruft in der Arztpraxis an und frägt nach einem Termin. Da die Person noch nie beim Arzt war, gibt sie ihren Namen, ihre Telefonnummer und Details ihres Krankheitsbildes telefonisch bekannt. Der Arzt müsste die Person strenggenommen nun am Telefon alle Informationen nach Art. 13 DSGVO zukommen lassen. In der Praxis wird dies natürlich schwierig und es wird als ausreichend angesehen, der Person die wichtigsten Informationen zur Datenverarbeitung zukommen zu lassen und sie darauf hinweisen, wo auf der Internetseite des Arztes die umfassenden Informationen zu finden sind.

Der Zeitpunkt richtet sich danach, ob Sie die Daten direkt bei der betroffenen Person erheben (Art. 13 DSGVO) oder aus einer anderen Quelle bezogen haben (Art. 14 DSGVO).

Art. 13 DSGVO - Direkte Erhebung bei der betroffenen Person:

Wenn Sie personenbezogene Daten direkt bei der betroffenen Person erheben, verlangt Art. 13 DSGVO, dass Sie der betroffenen Person die Datenschutzinformationen zum Zeitpunkt der Erhebung zukommen lassen.

Beispiele: zu dem Zeitpunkt, wenn die betroffene Person ein Anmeldeformular ausfüllt; zu dem Zeitpunkt, in dem eine Videoüberwachungsanlage Aufzeichnungen macht; zum Zeitpunkt der ersten Anmeldung im folgenden Fall: Eine App nutzt den Standort einer Person auf ihrem Smartphone, um sie über Angebote in der Nähe zu informieren, von denen sie profitieren kann, wenn sie ihre Kreditkarte verwendet.

Art. 14 DSGVO - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden:

Dies gilt, wenn Sie personenbezogene Daten erhalten:

• von einer anderen Person oder Organisation (z.B. wenn Sie Adresslisten kaufen);
• aus einer öffentlich zugänglichen Quelle (z.B. einem Wählerverzeichnis).

Die Information hat unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten,

• längstens jedoch innerhalb eines Monats, zu erfolgen;
• falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
• falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Die DSGVO erlaubt es, in den nachstehend dargestellten Ausnahmefällen von der Information der betroffenen Personen abzusehen:

Wenn Sie personenbezogene Daten direkt bei der betroffenen Person erheben, müssen Sie diese nicht informieren, wenn:

• Es offensichtlich ist, dass die Person bereits über die Information verfügt. In Zweifelsfällen ist eine Information zu empfehlen.

Wenn Sie personenbezogene Daten aus einer anderen Quelle erhalten, kann auf die Information verzichtet werden, wenn:

• Es offensichtlich ist, dass die Person bereits über die Information verfügt. Es obliegt Ihnen, zu überprüfen und in Folge auch nachzuweisen, dass die Informationen der betroffenen Person bereits im Vorfeld der Übermittlung an Sie zur Verfügung gestellt wurden. Auch hier wird im Zweifelsfalle eine Information empfohlen.
• Sich die Informationen der betroffenen Person als unmöglich erweist. Dies ist etwa dann der Fall, wenn Sie keine Kontaktdaten haben und diese vernünftigerweise auch nicht erlangen können. Sie müssen in diesem Fall andere geeignete Massnahmen ergreifen, um die Rechte der betroffenen Personen zu schützen. Dazu gehören etwa das Bereitstellen öffentlich zugänglicher Datenschutzinformationen sowie die Durchführung einer Datenschutz-Folgenabschätzung.
• Die Bereitstellung der Informationen an die Person einen unverhältnismässigen Aufwand bedeuten würde. Um sich auf diese Ausnahme zu stützen, ist eine Bewertung vorzunehmen und zu dokumentieren, ob ein ausgewogenes Verhältnis zwischen dem Aufwand für die Bereitstellung von Datenschutzinformationen und den Auswirkungen, welche die Verarbeitung der persönlichen Daten für die Betroffenen haben wird. Je signifikanter die Auswirkungen, desto eher ist auf diese Ausnahme zu verzichten.
• Die Bereitstellung der Informationen würde den Zweck einer Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen​​​​​. Sie müssen die Vereitelung oder Gefährdung des Zweckes begründen. In der Praxis ist diese Ausnahme am ehesten im Umfeld einer Strafverfolgung.
• Es besteht eine gesetzliche Verpflichtung, personenbezogene Daten zu erheben oder offenzulegen.
• Die personenbezogenen Daten unterliegen einem Berufs- oder Amtsgeheimnis. In der Praxis gilt diese Ausnahme vor allem für personenbezogene Daten, die in den Bereichen Steuerverwaltung, Gesundheit, Sozialarbeit, Recht und Personalwesen verarbeitet werden.

Die DSGVO besagt (insbesondere wenn Sie personenbezogene Daten für Archiv- oder Forschungszwecke verwenden), dass Sie Folgendes berücksichtigen sollten:

• die Anzahl der beteiligten Personen;
• das Alter der persönlichen Daten und
• alle geeigneten Garantien, die Sie übernommen haben.

Auch in diesem Fall müssen Sie andere geeignete Massnahmen ergreifen, um die Rechte der betroffenen Personen zu schützen. Dazu gehören etwa das Bereitstellen öffentlich zugänglicher Datenschutzinformationen sowie die Durchführung einer Datenschutz-Folgenabschätzung.