Skip to content
Innopulse
Innopulse
Consulting
Navigate
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Privacy & DSGVO

Privacy Notice erstellen: DSGVO-konforme Datenschutzerklärung Schritt für Schritt

Artikel 13/14 DSGVO verlangen eine Informationspflicht. Was in eine Datenschutzerklärung gehört, welche Generatoren taugen und welche Pitfalls zu vermeiden sind.

Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO
·5 min read
In this article
  1. Worum es geht: Kontext und Anwendungsbereich
  2. Rechtsgrundlagen und zeitliche Einordnung
  3. Die konkreten Anforderungen im Detail
  4. Implementierung in der Praxis
  5. Typische Fehler und wie Sie sie vermeiden
  6. Der DACH-Kontext und regionale Unterschiede
  7. Nächste Schritte und konkrete Empfehlungen

Artikel 13 DSGVO (Daten direkt beim Betroffenen erhoben) und Artikel 14 (Daten anderweitig erhoben) verlangen eine umfassende Informationspflicht. Die Datenschutzerklärung ist das zentrale Transparenzinstrument. Standard-Generatoren (e-recht24, WordPress Plugins) sind oft unvollständig.

Dieser Leitfaden erklärt in sieben Abschnitten das regulatorische, technische und operative Bild rund um Datenschutzerklärungen unter Artikel 13/14 DSGVO: was die Anforderungen konkret sind, wer wann betroffen ist, wie Sie implementieren — und was typische Fehler sind, die DACH-Unternehmen machen.

Wir schreiben aus Implementation-Erfahrung, nicht aus theoretischer Distanz. Innopulse Consulting berät Schweizer und DACH-Unternehmen in DSGVO und revDSG und Softwareengineering, und wir betreiben eigene SaaS-Produkte unter denselben Vorgaben, die wir unseren Kunden empfehlen.

Worum es geht: Kontext und Anwendungsbereich

Artikel 13 DSGVO (Daten direkt beim Betroffenen erhoben) und Artikel 14 (Daten anderweitig erhoben) verlangen eine umfassende Informationspflicht. Die Datenschutzerklärung ist das zentrale Transparenzinstrument. Standard-Generatoren (e-recht24, WordPress Plugins) sind oft unvollständig. Die praktische Frage ist: Wen trifft das konkret, und ab wann? Im Bereich Datenschutzerklärungen unter Artikel 13/14 DSGVO ist die Antwort selten binär — es gibt einen Anwendungsbereich, in dem die vollen Anforderungen greifen, und Grenzfälle, die Einzelfallprüfung brauchen.

Die folgenden Punkte umreissen den harten Kern dessen, was zu wissen ist:

- Artikel 13(1)(a-f) Pflichtinformationen
- Rechtsgrundlage pro Verarbeitung explizit angeben
- Speicherfristen konkret, nicht nur „so lange wie nötig"
- Empfänger nach Artikel 13(1)(e) namentlich nennen

Was davon für Ihr Unternehmen kritisch ist, hängt von Grösse, Branche und Kundenstruktur ab. Die folgenden Abschnitte gehen in die Details — wer schnell entscheiden muss, kann zum Abschluss mit den konkreten nächsten Schritten springen.

Rechtsgrundlagen und zeitliche Einordnung

Die DSGVO gilt seit dem 25. Mai 2018 in der gesamten EU. In Deutschland ergänzt das BDSG, in Österreich das DSG, in der Schweiz das revDSG (seit 1. September 2023) den Rahmen. Die Rechtsgrundlagen aus Artikel 6 DSGVO sind zentral: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse, berechtigtes Interesse.

In der Praxis dominieren zwei Rechtsgrundlagen: Vertragserfüllung bei transaktionalen Prozessen, berechtigtes Interesse bei analytischen und Marketing-Anwendungen mit dokumentierter Abwägung. Einwilligung bleibt für Marketing-Cookies und Newsletter zentral. Das revDSG hat ähnliche Rechtsgrundlagen, formuliert sie aber als Grundsätze in Artikel 6 revDSG statt als Liste. Wer DSGVO-konform arbeitet, deckt in den meisten Fällen auch revDSG ab — aber nicht umgekehrt.

Die konkreten Anforderungen im Detail

Die folgenden Punkte sind der operative Kern von Datenschutzerklärungen unter Artikel 13/14 DSGVO — das, was tatsächlich in Prozessen, Verträgen und Systemen abgebildet sein muss. Jeder Punkt hat Implementierungskonsequenzen, die über reine Compliance hinausgehen und die Geschäftspraxis formen.

  • Artikel 13(1)(a-f) Pflichtinformationen
  • Rechtsgrundlage pro Verarbeitung explizit angeben
  • Speicherfristen konkret, nicht nur „so lange wie nötig"
  • Empfänger nach Artikel 13(1)(e) namentlich nennen
  • DPO-Kontaktdaten wenn vorhanden (Artikel 13(1)(b))
  • Sprache: einfach, verständlich, kein Juristen-Deutsch

Diese Liste ist nicht abschliessend, aber sie deckt etwa 80% der Fälle ab, die in der Praxis auftauchen. Die restlichen 20% sind Edge-Cases und Branchenspezifika, die Einzelberatung erfordern.

Implementierung in der Praxis

Von der Theorie zur Umsetzung: Datenschutzerklärungen unter Artikel 13/14 DSGVO erfordert meist mehrere parallele Workstreams. Ein typischer Projektplan sieht drei Phasen:

  1. Inventarisierung (2-4 Wochen): Ist-Zustand erfassen, betroffene Systeme und Prozesse mappen, Stakeholder identifizieren, Gap-Analyse gegen Anforderungen.
  2. Design (4-6 Wochen): Zielzustand definieren, Policies ausformulieren, technische Massnahmen spezifizieren, Rollen und Verantwortlichkeiten zuweisen.
  3. Umsetzung und Betrieb (8-12 Wochen): Implementierung, Testing, Dokumentation, Schulung, Übergang in den Regelbetrieb mit Monitoring und Review-Zyklen.

Die häufigste Falle ist, in Phase 3 zu springen, ohne 1 und 2 sauber abzuschliessen. Die Folge sind inkonsistente Implementierungen, technische Schulden und in der Review sichtbare Compliance-Lücken. Die Investition in die ersten beiden Phasen zahlt sich typischerweise dreifach aus.

Typische Fehler und wie Sie sie vermeiden

Aus Beratungs- und Auditerfahrungen haben sich fünf Fehler als besonders verbreitet herauskristallisiert:

  • Rechtsgrundlage nicht pro Verarbeitung dokumentieren — Rechenschaftspflicht nach Artikel 5(2) ist zentral
  • Standard-Datenschutzerklärungen aus Generatoren ohne Anpassung verwenden — meist unvollständig
  • Consent-Management als Nebensache behandeln — Cookie-Banner sind primäres Abmahn-Ziel
  • Betroffenenrechte-Prozess nicht operativ umsetzen — 30-Tage-Frist ist bindend
  • AVVs nur einmal abschliessen und nie prüfen — Sub-Processor-Listen ändern sich laufend

Die gute Nachricht: alle fünf sind systematisch vermeidbar. Wer in der Design-Phase diese Punkte explizit adressiert, hat die häufigsten Stolperfallen bereits eliminiert.

Der DACH-Kontext und regionale Unterschiede

In der Schweiz, Deutschland und Österreich gelten teilweise unterschiedliche Regeln und Marktrealitäten. Für Datenschutzerklärungen unter Artikel 13/14 DSGVO bedeutet das konkret:

  • Schweiz: Ausserhalb EU, aber oft über Artikel 2 oder Marktzugang indirekt betroffen. Schweizer Alleinstellung ist selten sinnvoll — die meisten Compliance-Frameworks laufen parallel zu EU-Regimes.
  • Deutschland: Strengste Umsetzung der EU-Regeln, aktive Aufsichtsbehörden (BfDI, BayLDA, LDI), höchstes Abmahnrisiko für Consumer-Produkte.
  • Österreich: Enger an EU-Standards, Aufsicht ist weniger proaktiv als DE, Datenschutzbehörde Österreich ist pragmatisch aber streng in Enforcement.

Wer in allen drei Märkten aktiv ist, baut sinnvollerweise ein Maximum-Compliance-Regime, das alle Anforderungen gleichzeitig abdeckt. Kleinere Unternehmen können mit Swiss-First oder Germany-First starten und dann regional ausrollen.

Nächste Schritte und konkrete Empfehlungen

Wer mit Datenschutzerklärungen unter Artikel 13/14 DSGVO beginnen will, hat einen klaren nächsten Schritt: eine strukturierte Gap-Analyse zwischen Ist- und Soll-Zustand. Typischer Aufwand: 2-4 Wochen bei einem Team von 2-3 Personen, inklusive Stakeholder-Interviews und Dokumenten-Review.

Drei konkrete Hebel für die kommenden 30 Tage:

1. Inventar erstellen: Welche Systeme, Prozesse, Datenflüsse sind im Scope? Wer ist verantwortlich? Wo liegen die grössten Unsicherheiten?
2. Policy-Framework skizzieren: Welche Policies existieren schon, welche fehlen? Nicht sofort ausformulieren — erst die Topologie.
3. Kritischen Pfad identifizieren: Welche drei Schritte reduzieren am meisten Risiko und können in den nächsten 60 Tagen umgesetzt werden?

Innopulse Consulting unterstützt DACH-Unternehmen bei genau diesen Themen — von Gap-Analyse über Policy-Entwicklung bis zur technischen Implementierung. Wer eine zweite Meinung oder Implementation-Support braucht, kann uns unter info@innopulse.io erreichen oder direkt einen Termin anfragen. Die ersten 30 Minuten sind kostenlos — danach arbeiten wir auf klaren, messbaren Deliverables.

About the author
Leutrim Miftaraj
Leutrim Miftaraj
Founder & CEO · Innopulse Consulting

Founder and principal engineer of Innopulse Consulting. MSc Innovation Management (FFHS). Author of "Identity Over Discipline".

Topics
privacy notice dsgvodatenschutzerklärungartikel 13 dsgvo
Keep reading

Related insights.

Privacy & DSGVO

Data subject request workflows for SMEs

Access, deletion, portability — how to handle DSRs without dedicated privacy engineering resources.

Leutrim·8 min
Privacy & DSGVO

Cookie-Consent unter DSGVO 2026: Best Practices und rechtliche Fallstricke

Cookie-Banner richtig machen: Opt-in, Ablehnen auf gleicher Ebene, TTDSG-Konformität, revDSG-Unterschiede. Aktuelle EuGH-Urteile und Abmahnrisiken.

Leutrim·5 min
Privacy & DSGVO

GDPR vs Swiss DSG: Where they diverge

The revised Swiss FADP looks like GDPR but differs in important practical ways. A comparison for DACH-focused businesses.

Leutrim·8 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch