Zum Inhalt springen
website-prüfung.de

Art. 13 DSGVO — Informationspflichten bei der Datenerhebung

Veröffentlicht: 16. März 2026

Inhaltsverzeichnis

Art. 13 DSGVO: Was Website-Betreiber wissen sollten

Art. 13 DSGVO regelt die Informationspflichten, die bei der Erhebung personenbezogener Daten gelten. Für Website-Betreiber ist dieser Artikel besonders relevant, denn nahezu jede Website erhebt Daten direkt bei ihren Besuchern — sei es durch ein Kontaktformular, eine Newsletter-Anmeldung oder bereits durch den Server-Log beim Seitenaufruf.

Art. 13 vs. Art. 14 — der Unterschied

Die DSGVO unterscheidet zwei Szenarien:

  • Art. 13: Daten werden direkt bei der betroffenen Person erhoben (z. B. Kontaktformular, Registrierung, Kauf)
  • Art. 14: Daten stammen nicht von der betroffenen Person, sondern von Dritten (z. B. Adresskauf, öffentliche Verzeichnisse)

Für die meisten Website-Betreiber ist Art. 13 der relevantere Artikel, da Daten typischerweise direkt bei den Website-Besuchern erhoben werden.

Pflichtangaben nach Art. 13 DSGVO

Art. 13 listet in zwei Absätzen die Informationen auf, die der betroffenen Person zum Zeitpunkt der Datenerhebung mitgeteilt werden müssen.

Abs. 1 — Grundlegende Informationen

Diese Angaben sind in jedem Fall erforderlich:

PflichtangabeBeispiel für Websites
Name und Kontaktdaten des VerantwortlichenFirmenname, Anschrift, E-Mail, Telefon
Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)E-Mail-Adresse des DSB
Zwecke der Verarbeitung”Beantwortung Ihrer Kontaktanfrage”, “Zusendung des Newsletters”
Rechtsgrundlage nach Art. 6 DSGVOEinwilligung (lit. a), Vertragserfüllung (lit. b), berechtigtes Interesse (lit. f)
Berechtigte Interessen (bei Art. 6 Abs. 1 lit. f)“Optimierung unseres Webauftritts”, “Schutz vor Missbrauch”
Empfänger oder Kategorien von EmpfängernHosting-Anbieter, E-Mail-Dienstleister, Zahlungsanbieter
Drittlandtransfer (falls zutreffend)Übermittlung an Server in den USA, Rechtsgrundlage (DPF, SCCs)

Abs. 2 — Ergänzende Informationen

Zusätzlich zu den Grundangaben sind folgende Informationen erforderlich, um eine faire und transparente Verarbeitung zu gewährleisten:

PflichtangabeErläuterung
Speicherdauer oder Kriterien für die Festlegung”Ihre Daten werden nach 6 Monaten gelöscht” oder “bis zum Widerruf Ihrer Einwilligung”
BetroffenenrechteAuskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
Recht auf Widerruf der EinwilligungHinweis, dass die Einwilligung jederzeit widerrufen werden kann
Beschwerderecht bei der AufsichtsbehördeZuständige Behörde mit Kontaktdaten
Ob die Bereitstellung gesetzlich oder vertraglich vorgeschrieben ist”Die Angabe Ihrer E-Mail ist für die Bearbeitung Ihrer Anfrage erforderlich”
Automatisierte Entscheidungsfindung / Profiling (falls zutreffend)Logik, Tragweite und angestrebte Auswirkungen

Umsetzung auf der Website: Die Datenschutzerklärung

Aufbau und Struktur

Die Datenschutzerklärung ist das zentrale Dokument, in dem die Pflichtangaben nach Art. 13 DSGVO zusammengefasst werden. Eine übersichtliche Struktur erleichtert es den Besuchern, relevante Informationen zu finden:

  1. Verantwortlicher: Name, Anschrift, Kontaktdaten
  2. Datenschutzbeauftragter (falls vorhanden): Kontaktdaten
  3. Allgemeine Hinweise: Rechtsgrundlagen, Speicherdauer, Betroffenenrechte
  4. Einzelne Verarbeitungsvorgänge: Pro Verarbeitung ein Abschnitt mit Zweck, Rechtsgrundlage, Empfänger, Speicherdauer
  5. Betroffenenrechte: Detaillierte Auflistung aller Rechte
  6. Beschwerderecht: Zuständige Aufsichtsbehörde

Für Details zur inhaltlichen Gestaltung empfehlen wir unseren Ratgeber zur Datenschutzerklärung für Websites.

Typische Verarbeitungsvorgänge auf Websites

Für jeden der folgenden Vorgänge sollte ein eigener Abschnitt in der Datenschutzerklärung vorhanden sein:

  • Server-Logs: IP-Adresse, Zeitstempel, aufgerufene Seiten (Rechtsgrundlage: berechtigtes Interesse, Art. 6 Abs. 1 lit. f)
  • Kontaktformular: Name, E-Mail, Nachricht (Rechtsgrundlage: Vertragsanbahnung, Art. 6 Abs. 1 lit. b)
  • Newsletter: E-Mail-Adresse (Rechtsgrundlage: Einwilligung, Art. 6 Abs. 1 lit. a)
  • Webanalyse: Je nach Tool — Google Analytics (Einwilligung) oder cookielose Alternativen (berechtigtes Interesse)
  • Cookie Banner: Consent-Daten (Rechtsgrundlage: berechtigtes Interesse oder TDDDG)
  • Online-Shop: Bestelldaten, Zahlungsdaten (Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b)
  • Eingebettete Inhalte: YouTube, Google Maps, Social Media (Rechtsgrundlage: Einwilligung)
  • ChatGPT oder KI-Chatbot: Eingabedaten (Rechtsgrundlage: Einwilligung oder berechtigtes Interesse)

Zeitpunkt der Information

Art. 13 DSGVO verlangt, dass die Informationen zum Zeitpunkt der Erhebung bereitgestellt werden. In der Praxis bedeutet das:

  • Die Datenschutzerklärung sollte jederzeit über einen Link im Website-Footer erreichbar sein
  • Bei Formularen empfiehlt sich ein Hinweis mit Link zur Datenschutzerklärung direkt am Formular
  • Bei Newsletter-Anmeldungen: Hinweis vor dem Absenden
  • Beim Cookie Banner: Link zur Datenschutzerklärung im Banner

Art. 13 und die Rechtsgrundlagen nach Art. 6

Für jeden Verarbeitungsvorgang muss die Datenschutzerklärung die konkrete Rechtsgrundlage nach Art. 6 DSGVO benennen. Die in der Praxis häufigsten:

Art. 6 Abs. 1 lit. a — Einwilligung

Einsatz bei: Newsletter, Tracking-Cookies, Google Analytics, eingebettete Inhalte

Die Einwilligung muss freiwillig, informiert, eindeutig und widerrufbar sein. Der Widerrufshinweis ist gemäß Art. 13 Abs. 2 lit. c Pflicht.

Art. 6 Abs. 1 lit. b — Vertragserfüllung

Einsatz bei: Online-Bestellungen, Kontaktformulare (wenn auf Vertragsanbahnung gerichtet), Kundenkonten

Die Datenverarbeitung ist erforderlich, um den Vertrag zu erfüllen oder vorvertragliche Maßnahmen durchzuführen.

Art. 6 Abs. 1 lit. f — Berechtigtes Interesse

Einsatz bei: Server-Logs, Betrugsprävention, IT-Sicherheit, cookielose Webanalyse

Bei dieser Rechtsgrundlage muss die Datenschutzerklärung zusätzlich das berechtigte Interesse benennen (Art. 13 Abs. 1 lit. d).

Bußgelder und Konsequenzen

Mögliche Sanktionen

Gemäß Art. 83 Abs. 5 lit. b DSGVO können Verstöße gegen die Informationspflichten nach Art. 13 mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. In der Praxis fallen die Bußgelder für kleine und mittlere Unternehmen in der Regel deutlich geringer aus — die Aufsichtsbehörden berücksichtigen Faktoren wie Schwere, Dauer und Vorsätzlichkeit.

Häufige Mängel in der Praxis

Aufsichtsbehörden beanstanden bei Datenschutzerklärungen häufig:

  • Fehlende oder unvollständige Angaben zu Verarbeitungsvorgängen
  • Veraltete Informationen (z. B. nicht mehr genutzte Dienste sind noch aufgeführt, aktuelle fehlen)
  • Fehlende Rechtsgrundlage für einzelne Verarbeitungen
  • Kein Hinweis auf Drittlandtransfer trotz Nutzung von US-Diensten
  • Keine konkreten Speicherdauern (nur “so lange wie nötig” ohne weitere Spezifizierung)
  • Fehlender Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde

Datenschutzerklärung erstellen: Generator vs. Anwalt

Für die Erstellung der Datenschutzerklärung gibt es verschiedene Wege. Eine detaillierte Gegenüberstellung der Vor- und Nachteile — von kostenlosen Generatoren über Premium-Tools bis hin zur anwaltlichen Erstellung — finden Sie in unserem Ratgeber Datenschutzerklärung: Generator vs. Anwalt.

Unabhängig vom gewählten Weg empfehlen wir, die Datenschutzerklärung regelmäßig zu überprüfen und bei Änderungen an der Website (neue Dienste, Plugins, Formulare) zeitnah zu aktualisieren.

Checkliste: Art. 13 DSGVO auf Ihrer Website

  • Name und Kontaktdaten des Verantwortlichen angegeben
  • Datenschutzbeauftragter genannt (falls vorhanden)
  • Für jeden Verarbeitungsvorgang: Zweck und Rechtsgrundlage benannt
  • Bei berechtigtem Interesse: Konkretes Interesse beschrieben
  • Empfänger / Kategorien von Empfängern aufgelistet
  • Drittlandtransfer dokumentiert (falls zutreffend)
  • Speicherdauer oder Kriterien für die Festlegung angegeben
  • Alle Betroffenenrechte aufgeführt (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch)
  • Hinweis auf Widerrufsrecht bei Einwilligungen
  • Beschwerderecht bei Aufsichtsbehörde mit Kontaktdaten
  • Hinweis, ob Datenbereitstellung gesetzlich/vertraglich vorgeschrieben ist
  • Datenschutzerklärung über Footer-Link jederzeit erreichbar
  • Regelmäßige Aktualisierung bei Änderungen an der Website

Häufige Fragen

Wann gilt Art. 13 DSGVO?

Art. 13 DSGVO greift, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden — etwa über ein Kontaktformular, eine Newsletter-Anmeldung oder einen Online-Kauf. Bereits der Aufruf einer Website kann eine Datenerhebung darstellen (Server-Logs mit IP-Adresse). Art. 14 DSGVO regelt den Fall, dass Daten von Dritten stammen.

Was muss in der Datenschutzerklärung nach Art. 13 stehen?

Die Datenschutzerklärung sollte mindestens enthalten: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten (falls vorhanden), Zwecke und Rechtsgrundlagen jeder Verarbeitung, berechtigte Interessen (bei Art. 6 Abs. 1 lit. f), Empfänger der Daten, Drittlandtransfer, Speicherdauer und alle Betroffenenrechte.

Brauche ich einen Datenschutzbeauftragten für meine Website?

Nach BDSG § 38 ist ein Datenschutzbeauftragter Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für kleinere Unternehmen und Einzelunternehmer ist ein Datenschutzbeauftragter in der Regel nicht erforderlich. Die Informationspflichten nach Art. 13 gelten jedoch unabhängig davon für alle Verantwortlichen, die personenbezogene Daten erheben.

Was droht bei einem Verstoß gegen Art. 13 DSGVO?

Gemäß Art. 83 Abs. 5 lit. b DSGVO können Verstöße gegen die Informationspflichten mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. In der Praxis fallen die Bußgelder für KMU in der Regel deutlich geringer aus. Empfehlenswert ist, die DSGVO-Checkliste regelmäßig durchzugehen und die Datenschutzerklärung aktuell zu halten.

Häufige Fragen

Wann gilt Art. 13 DSGVO?
Art. 13 DSGVO greift, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden — etwa über ein Kontaktformular, eine Newsletter-Anmeldung oder einen Webshop-Kauf. Im Gegensatz dazu regelt Art. 14 DSGVO die Informationspflichten, wenn Daten von Dritten stammen.
Was muss in der Datenschutzerklärung nach Art. 13 stehen?
Die Datenschutzerklärung sollte mindestens enthalten: Name und Kontaktdaten des Verantwortlichen, ggf. Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung, berechtigte Interessen (bei Art. 6 Abs. 1 lit. f), Empfänger der Daten, Drittlandtransfer, Speicherdauer und Betroffenenrechte.
Brauche ich einen Datenschutzbeauftragten für meine Website?
Nach BDSG § 38 ist ein Datenschutzbeauftragter Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Für kleinere Unternehmen und Einzelunternehmer ist ein Datenschutzbeauftragter in der Regel nicht erforderlich — die Informationspflichten nach Art. 13 gelten dennoch.
Was droht bei einem Verstoß gegen Art. 13 DSGVO?
Gemäß Art. 83 Abs. 5 lit. b DSGVO können Verstöße gegen die Informationspflichten mit Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. In der Praxis fallen die Bußgelder für KMU in der Regel deutlich geringer aus.

Von Viacheslav Spitsyn

IT-Berater für Website-Compliance

Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.

Ähnliche Ratgeber

DSGVO Checkliste für Websites 2026 — Was Sie beachten sollten

Art. 17 DSGVO — Das Recht auf Löschung (Recht auf Vergessenwerden)

AVV Datenschutz — Auftragsverarbeitungsvertrag nach DSGVO