Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

So weisen Sie die Einhaltung von Artikel 14 der DSGVO nach

​Artikel 14 der DSGVO schreibt vor, dass bei der indirekten Erhebung personenbezogener Daten – etwa von Dritten – die Verantwortlichen die betroffenen Personen entweder zum Zeitpunkt der Erhebung oder kurz danach über die Datenerhebung, deren Quelle und den Zweck der Datenverarbeitung informieren müssen.

Autorin
John Whiting
Aktualisiert September 30, 2025
4 / 5 Sterne

Artikel 14 der DSGVO verstehen: Wichtige Compliance-Anforderungen

Datenschutz Artikel 14 konzentriert sich auf die Grundsätze der Transparenz bei indirekter Erhebung von Daten – z. B. von Dritten. Unter solchen Umständen müssen die für die Verarbeitung Verantwortlichen den betroffenen Personen zum Zeitpunkt der Erhebung oder unmittelbar danach Informationen bereitstellen.

In der gesamten technischen Anwendung hält sich Artikel 14 im Großen und Ganzen an die in Artikel 13 enthaltenen Maßnahmen, allerdings mit einem wesentlichen Unterschied – der Verpflichtung, offenzulegen, woher die Daten stammen und ob sie aus einer „öffentlich zugänglichen Quelle“ stammen.

Ein weiterer Unterschied besteht darin, wann der Verantwortliche die betroffene Person darüber informiert, dass die Daten erfasst wurden. Artikel 13 befasst sich mit der direkten Erhebung – die eine sofortige Kommunikation mit der betroffenen Person erfordert –, während Artikel 14 (indirekte Erhebung) einen kurzen Zeitraum vorsieht, bevor die betroffenen Personen informiert werden.

DSGVO Artikel 14 Gesetzestext

EU-DSGVO-Version

Informationen sind bereitzustellen, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden

  1. Sofern personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, stellt der Verantwortliche der betroffenen Person folgende Informationen zur Verfügung:

    • Die Identität und die Kontaktdaten des Verantwortlichen und gegebenenfalls seines Vertreters;
    • ggf. die Kontaktdaten des Datenschutzbeauftragten;
    • Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
    • Die Kategorien der betroffenen personenbezogenen Daten;
    • Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern vorhanden;
    • Gegebenenfalls, dass der Verantwortliche beabsichtigt, personenbezogene Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, und das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder 47 oder die Artikel 49 Absatz 1 Unterabsatz XNUMX einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie davon zu erhalten, oder auf den Ort, an dem sie zur Verfügung gestellt wurden.
  2. Zusätzlich zu den in Absatz 1 genannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Verarbeitung gegenüber der betroffenen Person zu gewährleisten:

    • die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer;
    • Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen des Verantwortlichen oder eines Dritten;
    • Das Bestehen des Rechts, vom Verantwortlichen Zugang zu den personenbezogenen Daten und deren Berichtigung oder Löschung oder Einschränkung der Verarbeitung der betroffenen Person zu verlangen und der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit;
    • Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, besteht das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf berührt wird Rückzug;
    • Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
    • Aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob diese aus öffentlich zugänglichen Quellen stammen;
    • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  3. Der Verantwortliche stellt die in den Absätzen 1 und 2 genannten Informationen bereit:

    • Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden;
    • Sofern die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
    • Sofern eine Weitergabe an einen anderen Empfänger vorgesehen ist, erfolgt dies spätestens bei der erstmaligen Offenlegung der personenbezogenen Daten.
  4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, stellt der Verantwortliche der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle relevanten weiteren Informationen zur Verfügung, auf die verwiesen wird zu Absatz 2.
  5. Die Absätze 1 bis 4 gelten nicht, wenn und soweit:

    • Die betroffene Person verfügt bereits über die Informationen;
    • Die Bereitstellung dieser Informationen erweist sich als unmöglich oder wäre mit einem unverhältnismäßigen Aufwand verbunden, insbesondere für die Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien soweit die in Absatz 1 dieses Artikels genannte Verpflichtung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In solchen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Person, einschließlich der Veröffentlichung der Informationen;
    • Die Einholung oder Weitergabe ist ausdrücklich durch das Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, vorgesehen und sieht geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vor; oder
    • Wenn die personenbezogenen Daten vertraulich bleiben müssen und einer durch das Unionsrecht oder das Recht der Mitgliedstaaten geregelten Berufsgeheimnispflicht unterliegen, einschließlich einer gesetzlichen Geheimhaltungspflicht.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Britische DSGVO-Version

Informationen sind bereitzustellen, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden

  1. Sofern personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, stellt der Verantwortliche der betroffenen Person folgende Informationen zur Verfügung:

    • Die Identität und die Kontaktdaten des Verantwortlichen und gegebenenfalls seines Vertreters;
    • ggf. die Kontaktdaten des Datenschutzbeauftragten;
    • Die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
    • Die Kategorien der betroffenen personenbezogenen Daten;
    • Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten, sofern vorhanden;
    • Gegebenenfalls, dass der Verantwortliche die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation beabsichtigt und das Vorhandensein oder Fehlen einschlägiger Angemessenheitsvorschriften gemäß Abschnitt 17A des Gesetzes von 2018 oder im Falle von Übermittlungen gemäß Artikel 46 oder 47 oder Artikel 49 Absatz 1 Unterabsatz XNUMX einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie davon zu erhalten, oder auf den Ort, an dem sie zur Verfügung gestellt wurden.
  2. Zusätzlich zu den in Absatz 1 genannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um eine faire und transparente Verarbeitung gegenüber der betroffenen Person zu gewährleisten:

    • Der Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieses Zeitraums;
    • Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen des Verantwortlichen oder eines Dritten;
    • Das Bestehen des Rechts, vom Verantwortlichen Zugang zu den personenbezogenen Daten und deren Berichtigung oder Löschung oder Einschränkung der Verarbeitung der betroffenen Person zu verlangen und der Verarbeitung zu widersprechen, sowie das Recht auf Datenübertragbarkeit;
    • Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, besteht das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung vor deren Widerruf berührt wird Rückzug;
    • Das Recht, eine Beschwerde beim Kommissar einzureichen;
    • Aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob diese aus öffentlich zugänglichen Quellen stammen;
    • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
  3. Der Verantwortliche stellt die in den Absätzen 1 und 2 genannten Informationen bereit:

    • Innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden;
    • Sofern die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person; oder
    • Sofern eine Weitergabe an einen anderen Empfänger vorgesehen ist, erfolgt dies spätestens bei der erstmaligen Offenlegung der personenbezogenen Daten.
  4. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, stellt der Verantwortliche der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle relevanten weiteren Informationen zur Verfügung, auf die verwiesen wird zu Absatz 2.
  5. Die Absätze 1 bis 4 gelten nicht, wenn und soweit:

    • Die betroffene Person verfügt bereits über die Informationen;
    • Die Bereitstellung dieser Informationen erweist sich als unmöglich oder wäre mit einem unverhältnismäßigen Aufwand verbunden, insbesondere für die Verarbeitung zu Archivierungszwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken, vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien soweit die in Absatz 1 dieses Artikels genannte Verpflichtung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In solchen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie berechtigten Interessen der betroffenen Person, einschließlich der Veröffentlichung der Informationen;
    • Die Einholung oder Weitergabe ist ausdrücklich im innerstaatlichen Recht vorgesehen, das geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsieht; oder
    • Wenn die personenbezogenen Daten vertraulich bleiben müssen und einer im innerstaatlichen Recht geregelten Berufsgeheimnispflicht unterliegen, einschließlich einer gesetzlichen Geheimhaltungspflicht.


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Technischer Kommentar

Organisationen müssen nach der Erfassung der Daten der betroffenen Person die folgenden Informationen zur Verfügung stellen:

  1. Die Identität ihres Datenschutzbeauftragten.
  2. Kontaktdaten ihres Datenschutzbeauftragten.
  3. Zweck und Rechtsgrundlage der Datenerhebung.
  4. Die Kategorien personenbezogener Daten, die indirekt erhoben wurden.
  5. Alle berechtigten Interessen.
  6. Die Identität der Empfänger.
  7. Internationale Datenübermittlungen, einschließlich Länderangaben und Sicherheitsvorkehrungen.

Informationspflichten bei Erhebung personenbezogener Daten

Zusätzlich zu den oben genannten Informationen muss die Organisation auch Folgendes bereitstellen:

  1. Einzelheiten zur Datenaufbewahrungsfrist;
  2. Die Einzelheiten der Rechte der betroffenen Person nach dem Datenschutzrecht;
  3. Informationen zum Widerruf der Einwilligung;
  4. So reichen Sie eine Beschwerde ein;
  5. Alle vertraglichen oder gesetzlichen Anforderungen;
  6. Einzelheiten zu automatisierten Entscheidungsprozessen.

Fristen für die Bereitstellung von Informationen zur Verarbeitung

  • Szenario 1 – Persönliche Daten erhoben mit keine Absicht zur Kontaktaufnahme mit der betroffenen Person oder zur Weitergabe der Daten an Dritte
    • Frist für die Kontaktaufnahme – ein Monat
  • Szenario 2 – Persönliche Daten erhoben mit eine Absicht zur Kontaktaufnahme mit der betroffenen Person
    • Frist für die Kontaktaufnahme: Zwei Monate
  • Personenbezogene Daten, die mit erhoben werden eine Absicht sie einem Dritten offenzulegen
    • Frist für die Kontaktaufnahme: Zwei Monate

EU-DSGVO Artikel 14 und ISO 27701 Abschnitt 7.3.2

Dieser Abschnitt verweist auf die Artikel 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2)(b), 14 (2)(e), 14 (2)(f), 14 (3)(a), 14 (3)(b), 14 (3)(c) , 14 (4), 14 (5)(a), 14 (5)(b), 14 (5)(c), 14 (5)(d)

Siehe ISO 27701 Abschnitt 7.3.2 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(d) und ISO 27701 Klausel 7.3.4

Siehe ISO 27701 Abschnitt 7.3.4 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(c) und ISO 27701 Klausel 7.3.5

Siehe ISO 27701 Abschnitt 7.3.5 Anleitung in Artikel 13.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


EU-DSGVO Artikel 14 (2)(c) und ISO 27701 Klausel 7.3.6

Siehe ISO 27701 Abschnitt 7.3.6 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(g) und ISO 27701 Klausel 7.3.10

Siehe ISO 27701 Abschnitt 7.3.10 Anleitung in Artikel 13.

EU-DSGVO Artikel 14 (2)(a) und ISO 27701 Klausel 7.4.7

Siehe ISO 27701 Abschnitt 7.4.7 Anleitung in Artikel 13.

Unterstützende Kontrollen von ISO 27701

DSGVO-Artikel ISO 27701-Klausel Unterstützende Klauseln der ISO 27701
EU-DSGVO Artikel 14 (1)(a) bis (5)(d) ISO 27701 7.3.2 Non
EU-DSGVO Artikel 14 Absatz 2 Buchstabe d ISO 27701 7.3.4 Non
EU-DSGVO Artikel 14 Absatz 2 Buchstabe c ISO 27701 7.3.5 Non
EU-DSGVO Artikel 14 Absatz 2 Buchstabe c ISO 27701 7.3.6 ISO 27701 7.3.7
EU-DSGVO Artikel 14 Absatz 2 Buchstabe g ISO 27701 7.3.10 Non
EU-DSGVO Artikel 14 (2)(a) ISO 27701 7.4.7 Non

Wie ISMS.online hilft

Wir bieten Ihnen eine vorgefertigte Umgebung zur Beschreibung und Demonstration Ihres Ansatzes zum Schutz Ihrer europäischen und britischen Kundendaten, die sich nahtlos in Ihr Managementsystem einfügt.

Aus diesem Grund haben wir eine integrierte Risikobank und eine Reihe weiterer praktischer Tools erstellt, die Sie bei jedem Teil des Risikobewertungs- und -managementprozesses unterstützen. Unabhängig von den Datenschutzstandards oder -vorschriften, an denen Sie arbeiten, müssen Sie nachweisen, wie gut Sie Anfragen zu den Rechten betroffener Personen (Data Subject Rights Requests, DRR) verwalten. Unser sicherer DRR-Bereich hält alles an einem Ort und unterstützt es durch automatisierte Berichte und Einblicke.

Erfahren Sie mehr von Buchung einer 30-minütigen Demo.

John Whiting

John ist Leiter Produktmarketing bei ISMS.online. Mit über einem Jahrzehnt Erfahrung in der Arbeit in Startups und im Technologiebereich widmet sich John der Gestaltung überzeugender Narrative rund um unsere Angebote bei ISMS.online und stellt sicher, dass wir mit der sich ständig weiterentwickelnden Informationssicherheitslandschaft auf dem Laufenden bleiben.

DSGVO-Artikel

DSGVO im Detail

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Beratungstermin vereinbaren