Informationspflichten nach Art. 13 und 14 DSGVO

Art. 13 Abs. 1 DSGVO – Basisinformationen (Pflichtangaben)

Zum Zeitpunkt der Erhebung sind insbesondere folgende Angaben mitzuteilen:

• Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters (lit. a);
• Kontaktdaten der oder des Datenschutzbeauftragten, soweit benannt (lit. b);
• Zwecke der Verarbeitung und ihre Rechtsgrundlage (lit. c);
• bei Stützung auf Art. 6 Abs. 1 lit. f DSGVO die verfolgten berechtigten Interessen (lit. d); diese Rechtsgrundlage ist für öffentliche Hochschulen Sachsen-Anhalts in Wahrnehmung ihrer öffentlichen Aufgaben regelmäßig nicht einschlägig (Art. 6 Abs. 1 UAbs. 2 DSGVO, vgl. ergänzend Erwägungsgrund 47 Satz 5 DSGVO);
• Empfänger oder Empfängerkategorien (lit. e);
• geplante Drittlandübermittlung mit Hinweis auf Angemessenheitsbeschluss bzw. geeignete Garantien nach Art. 46 DSGVO (lit. f).

Art. 13 Abs. 2 DSGVO – Zusatzinformationen für faire und transparente Verarbeitung

Zusätzlich, ebenfalls zum Erhebungszeitpunkt, sind mitzuteilen:

• geplante Speicherdauer oder Kriterien für deren Festlegung (lit. a);
• Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (lit. b);
• bei Stützung auf Einwilligung: das Recht auf jederzeitigen Widerruf mit Wirkung für die Zukunft (lit. c);
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. d); für Hochschulen Sachsen-Anhalts ist das regelmäßig die Landesbeauftragte für den Datenschutz Sachsen-Anhalt;
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist, ob die Person zur Bereitstellung verpflichtet ist und welche Folgen die Nichtbereitstellung hätte (lit. e);
• Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling nach Art. 22 Abs. 1, 4 DSGVO einschließlich aussagekräftiger Informationen über die involvierte Logik, Tragweite und angestrebte Auswirkungen (lit. f).

Art. 13 Abs. 3 DSGVO – Zweckänderung

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck als den bei der Erhebung angegebenen weiterzuverarbeiten, ist die betroffene Person vor dieser Weiterverarbeitung über den neuen Zweck und alle weiteren maßgeblichen Informationen nach Abs. 2 zu unterrichten. Praktische Relevanz hat das insbesondere bei der Sekundärnutzung von Verwaltungsdaten zu Forschungs- oder Statistikzwecken, bei der Migration in neue Fachverfahren oder bei der Verknüpfung mit KI-gestützten Auswertungswerkzeugen.

Art. 13 Abs. 4 DSGVO – Ausnahme

Die Informationspflicht entfällt, soweit und solange die betroffene Person bereits über die Informationen verfügt. Die Ausnahme ist eng auszulegen; der Verantwortliche trägt die Darlegungs- und Beweislast für die Kenntnis. Ein pauschaler Verweis auf eine frühere allgemeine Datenschutzerklärung genügt regelmäßig nicht; erforderlich ist eine sachverhalts- und zweckbezogene Kenntnis.

Art. 14 Abs. 1 DSGVO – Basisinformationen

Die Pflichtangaben überschneiden sich weitgehend mit Art. 13 Abs. 1; strukturell anders ist insbesondere lit. d: Statt der bei Direkterhebung ohnehin offensichtlichen Datenherkunft sind hier die Kategorien personenbezogener Daten anzugeben, die verarbeitet werden. Im Übrigen mitzuteilen:

• Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters (lit. a);
• Kontaktdaten der oder des Datenschutzbeauftragten (lit. b);
• Zwecke der Verarbeitung und Rechtsgrundlage (lit. c);
• Kategorien der verarbeiteten personenbezogenen Daten (lit. d);
• Empfänger oder Empfängerkategorien (lit. e);
• geplante Drittlandübermittlung und Garantien nach Art. 46 DSGVO (lit. f).

Art. 14 Abs. 2 DSGVO – Zusatzinformationen

Zusätzlich erforderlich:

• Speicherdauer oder Kriterien (lit. a);
• bei Verarbeitung auf der Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO die verfolgten Interessen (lit. b); an Hochschulen Sachsen-Anhalts in Wahrnehmung ihrer öffentlichen Aufgaben regelmäßig nicht einschlägig (Art. 6 Abs. 1 UAbs. 2 DSGVO, Erwägungsgrund 47 Satz 5 DSGVO);
• Bestehen der Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) (lit. c);
• Widerrufsrecht bei einwilligungsbasierter Verarbeitung (lit. d);
• Beschwerderecht bei der Aufsichtsbehörde (lit. e);
• aus welcher Quelle die Daten stammen, ggf. ob aus öffentlich zugänglichen Quellen (lit. f); das ist die zentrale Eigenheit des Art. 14 gegenüber Art. 13;
• Bestehen automatisierter Entscheidungsfindung einschließlich Profiling (lit. g).

Art. 14 Abs. 3 DSGVO – Frist für die Information

Die Information ist

• innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats (lit. a),
• spätestens bei der ersten Mitteilung an die betroffene Person, falls die Daten zur Kommunikation mit dieser Person verwendet werden (lit. b),
• spätestens bei der ersten Offenlegung gegenüber einem weiteren Empfänger, falls eine Offenlegung an Dritte vorgesehen ist (lit. c),

zu erteilen. Maßgeblich ist diejenige der drei Alternativen, die als erste eingreift. Ob das die Monatsfrist, die Erstkommunikation oder die Erstoffenlegung ist, hängt vom konkreten Verarbeitungsablauf ab: Wer die Daten innerhalb der Monatsfrist auch erstmals an die betroffene Person kommuniziert oder an einen Dritten offenlegt, schuldet die Information jeweils bereits zu diesem früheren Zeitpunkt; wer die Daten nur intern verarbeitet, hat als Außengrenze die Monatsfrist. In allen Fällen beginnt der maßgebliche Lauf mit dem Eingang der Daten, nicht erst mit ihrer erstmaligen Nutzung.

Art. 14 Abs. 4 DSGVO – Zweckänderung

Wie bei Art. 13 Abs. 3: Vor jeder Weiterverarbeitung zu einem anderen Zweck sind der neue Zweck und alle Informationen nach Abs. 2 mitzuteilen.

Art. 14 Abs. 5 DSGVO – Ausnahmen

Die Pflicht entfällt, soweit:

• die betroffene Person bereits über die Informationen verfügt (lit. a); insoweit parallel Art. 13 Abs. 4;
• die Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, insbesondere bei Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungs- oder statistischen Zwecken im Sinne des Art. 89 Abs. 1 DSGVO; in diesem Fall ergreift der Verantwortliche geeignete Maßnahmen (öffentliche Bereitstellung der Informationen, Schutzmaßnahmen) (lit. b);
• die Erlangung oder Offenlegung durch Rechtsvorschrift der Union oder der Mitgliedstaaten ausdrücklich geregelt ist, sofern Schutzmaßnahmen vorgesehen sind (lit. c);
• die Daten einer beruflichen oder gesetzlichen Geheimhaltungspflicht unterliegen (lit. d).

Auch die Ausnahmen sind eng auszulegen und vom Verantwortlichen darzulegen; die Anwendung des Aufwands-Ausnahmetatbestands (lit. b) erfordert eine konkrete, dokumentierte Abwägung. Ein bloßer Hinweis auf die Vielzahl betroffener Personen genügt nicht.

Zeitpunkt

• Art. 13 DSGVO (Direkterhebung): Information zum Zeitpunkt der Erhebung. Praktisch heißt das: vor dem Absenden des Formulars, dem Bestätigen der Einwilligung oder dem Anlegen des Datensatzes muss die betroffene Person die Pflichtangaben zur Kenntnis nehmen können. Eine nachgelagerte E-Mail genügt nicht.
• Art. 14 DSGVO (Drittquelle): gestaffelte Frist nach Art. 14 Abs. 3 DSGVO, je nachdem, ob die Daten zur Kommunikation mit der Person verwendet oder an Dritte offengelegt werden; spätestens jedoch ein Monat nach Datenerlangung.
• Zweckänderung: vor der Weiterverarbeitung (Art. 13 Abs. 3, Art. 14 Abs. 4 DSGVO).

Form

• Schriftform oder elektronische Form (Art. 12 Abs. 1 Satz 2 DSGVO): In der Hochschulpraxis ist die elektronische Form über Webseiten, Lernplattformen, hochschulweite E-Mail-Verteiler und Anmeldemasken Regelfall.
• Mündliche Information (Art. 12 Abs. 1 Satz 3 DSGVO): auf Verlangen der betroffenen Person zulässig, sofern die Identität auf anderem Wege nachgewiesen ist. In der Hochschulpraxis ist das selten. Relevant wird es bei Forschungsteilnehmenden, die einen schriftlichen Hinweistext nicht erfassen können (Sehbeeinträchtigung, Sprachbarriere, niedrigschwellige Studienformate).
• Standardisierte Bildsymbole (Art. 12 Abs. 7, 8 DSGVO): als Ergänzung vorgesehen; bislang ohne unionsrechtliche Konkretisierung durch delegierte Rechtsakte.
• Unentgeltlichkeit (Art. 12 Abs. 5 DSGVO): Die Information ist kostenlos zu erteilen.

Sprache und Verständlichkeit

Art. 12 Abs. 1 Satz 1 DSGVO verlangt nach seinem amtlichen Wortlaut eine „präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache" (Zitat aus dem veröffentlichten Verordnungstext, EUR-Lex). Der genaue Wortlaut ist über den im Quellenverzeichnis verlinkten Volltext nachzuprüfen. Erwägungsgrund 58 ergänzt: insbesondere bei Angeboten, die sich speziell an Kinder richten. Im Hochschulkontext ist das regelmäßig nicht einschlägig; bei Kinderuniversitäten, Schülerlaboren und der Universitätskita aber durchaus.

Praxisleitlinien für die hochschulische Praxis:

• Datenschutzhinweise im Aktiv und in kurzen Sätzen formulieren; juristische Zitate sparsam einsetzen und mit klärenden Kurzbeschreibungen kombinieren.
• Fachbegriffe (z. B. „Verantwortlicher", „Auftragsverarbeiter", „Empfänger") beim ersten Auftreten kurz erklären.
• Bei Verarbeitungen mit internationalem Personenkreis (Bewerbungen aus dem Ausland, Promovierende, Gastdozierende, Forschungskooperationen) eine englischsprachige Version bereithalten.
• Den Hinweistext nicht als zusammenhängende Wand gestalten; das in Abschnitt 6 beschriebene Schichtenmodell verbessert Verständlichkeit und Auffindbarkeit gleichzeitig.

§ 10 DSAG LSA – Beschränkung der Informationspflicht

Nach § 10 Abs. 1 DSAG LSA können Verantwortliche von der Erteilung der Information nach Art. 13 Abs. 1 bis 3 und Art. 14 Abs. 1 bis 4 DSGVO absehen, soweit und solange

• die Information die öffentliche Sicherheit gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde (Nr. 1),
• die Information die Verfolgung von Straftaten oder Ordnungswidrigkeiten gefährden würde (Nr. 2) oder
• die Information dazu führen würde, dass ein geheim zu haltender Sachverhalt aufgedeckt wird, sei es aufgrund einer Rechtsvorschrift oder wegen der Rechte und Freiheiten einer anderen Person (Nr. 3).

§ 10 Abs. 2 DSAG LSA verlangt zwingend die Dokumentation der Gründe für das Absehen und die nachträgliche Information, sobald die Hinderungsgründe entfallen sind. Im Hochschulkontext relevante Konstellationen: Forschung mit Geheimhaltungskooperationen, sicherheitsrelevante Forschungsprojekte (Exportkontrolle), Disziplinarvorgänge mit laufendem Ermittlungsverfahren, Hinweisgebenden­schutz nach HinSchG.

§ 27 DSAG LSA – Forschung und Statistik

§ 27 DSAG LSA setzt die Öffnungsklausel Art. 89 DSGVO um. Die Norm beschränkt zwar nicht unmittelbar die Informationspflicht nach Art. 14 DSGVO, gibt aber den Rahmen für die Anwendung des Aufwands-Ausnahmetatbestands aus Art. 14 Abs. 5 lit. b DSGVO:

• Bei Verarbeitung zu wissenschaftlichen oder historischen Forschungs- oder statistischen Zwecken sind die Daten zu anonymisieren, sobald dies der Forschungszweck zulässt (§ 27 Abs. 1 Satz 1 DSAG LSA); die Zuordnungsschlüssel sind getrennt zu halten.
• Die Inanspruchnahme der Forschungsausnahme ist mit den Garantien des Art. 89 Abs. 1 DSGVO (Datenminimierung, Pseudonymisierung, getrennte Speicherung) zu unterlegen.
• Die Beschränkung der Betroffenenrechte nach § 27 Abs. 5 DSAG LSA bezieht sich ausdrücklich auf Auskunft, Berichtigung, Einschränkung und Widerspruch, nicht aber auf die Informationspflicht nach Art. 13/14. Der Aufwands-Ausnahmetatbestand des Art. 14 Abs. 5 lit. b DSGVO bleibt eigenständig zu prüfen und zu dokumentieren.

§ 28 DSAG LSA – Öffentliche Auszeichnungen und Ehrungen

§ 28 DSAG LSA regelt nach seiner Überschrift ausschließlich die Datenverarbeitung zur Vorbereitung öffentlicher Auszeichnungen und Ehrungen, also des staatlichen Auszeichnungswesens (Bundesverdienstorden, Verdienstorden des Landes Sachsen-Anhalt und vergleichbare öffentliche Ehrungen). Abs. 1 erklärt die Verarbeitung durch die zuständigen Stellen für zulässig. Abs. 2 ordnet an, dass „die Artikel 13 bis 15, 19 und 21 Abs. 4 der Verordnung (EU) 2016/679 […] keine Anwendung [finden]" (amtlicher Wortlaut, abrufbar im Landesrecht-Portal Sachsen-Anhalt). Für die hochschulische Praxis ist die Norm einschlägig, soweit die Hochschule im Vorfeld einer öffentlichen Auszeichnung Daten an die zuständige staatliche Stelle übermittelt oder selbst zu deren Vorbereitung verarbeitet (z. B. Zuarbeit zur Vorbereitung eines Verdienstordens). Hochschulinterne Ehrungen eigenen Rechts, etwa die Verleihung der Ehrendoktorwürde, Universitätspreise oder Fakultätsauszeichnungen, fallen nicht ohne Weiteres in den Anwendungsbereich des § 28 DSAG LSA; hier ist die Anwendbarkeit gesondert zu prüfen und im Zweifel auf die allgemeine Datenschutzlogik zurückzugreifen.

§ 7 Abs. 4 DSAG LSA – Beschränkung der Information bei Zweckänderung

§ 7 DSAG LSA regelt die Zweckbindung und Zweckänderung. Nach § 7 Abs. 4 DSAG LSA erfolgt eine Information der betroffenen Person nach Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO (also die Information bei Zweckänderung) nicht, soweit und solange hierdurch der Zweck der Verarbeitung gefährdet würde, und auch nur dann, wenn die zugrunde liegende Weiterverarbeitung sich auf § 7 Abs. 2 Nrn. 1 bis 4 DSAG LSA stützt. Erfasst sind danach die Zweckänderungen zur

• Abwehr erheblicher Nachteile für das Gemeinwohl oder einer sonstigen gegenwärtigen erheblichen Gefahr für die öffentliche Sicherheit (Nr. 1),
• Verfolgung von Straftaten oder Ordnungswidrigkeiten sowie zur Strafvollstreckung und Vollziehung von Maßregeln (Nr. 2),
• Abwehr einer schwerwiegenden Beeinträchtigung der Rechte und Freiheiten einer anderen Person (Nr. 3),
• Überprüfung von Angaben der betroffenen Person, wenn tatsächliche Anhaltspunkte für deren Unrichtigkeit bestehen (Nr. 4).

Reichweite: Die Norm beschränkt ausschließlich die Information bei Zweckänderung; die Erstinformation nach Art. 13 Abs. 1, 2 bzw. Art. 14 Abs. 1, 2 DSGVO wird durch § 7 Abs. 4 DSAG LSA nicht berührt; für diese gelten die unionsrechtlichen Ausnahmen (Art. 13 Abs. 4, Art. 14 Abs. 5 DSGVO) sowie § 10 DSAG LSA. Für den Hochschulalltag spielt § 7 Abs. 4 DSAG LSA praktisch nur in Einzelfällen eine Rolle, etwa bei Überprüfung unrichtiger Angaben (Nr. 4) im Rahmen von Disziplinarsachen, bei Sicherheits- oder Strafverfolgungs­ersuchen externer Stellen (Nrn. 1, 2) oder beim Schutz Dritter im Hochschulkontext (Nr. 3).

Drei-Schichten-Architektur

In der hochschulischen Praxis hat sich ein dreischichtiger Aufbau bewährt:

• Schicht 1 (Just-in-Time-Hinweis): unmittelbar am Erhebungsvorgang (Formular, Login-Maske, Anmeldedialog). Inhalt: Verantwortliche Stelle, Zweck in einem Satz, Rechtsgrundlage, Speicherdauer in Kurzform, Link zur vertiefenden Datenschutzinformation. Ziel: Orientierung in 10–15 Sekunden.
• Schicht 2 (Verfahrensspezifische Datenschutzinformation): verfahrensbezogene Vollinformation nach Art. 13 oder 14 DSGVO. Inhalt: alle Pflichtangaben in strukturierter Form, klare Sprache, mit Hinweisen auf relevante Drittquellen und Empfänger. Format: dedizierte Webseite oder PDF, jeweils versioniert und mit Stand.
• Schicht 3 (Allgemeine Datenschutzerklärung der Hochschule): übergeordnete Erklärung mit den gemeinsamen Angaben (Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO, also die Hochschule als Körperschaft des öffentlichen Rechts gemäß § 54 HSG LSA; Datenschutzbeauftragte, Aufsichtsbehörde, Betroffenenrechte im Überblick, Beschwerderecht). Verlinkbar aus jeder verfahrensbezogenen Information; vermeidet Redundanz.

Strukturierung der Schicht 2 (Verfahrensspezifische Information)

Bewährt hat sich folgende Gliederung in der Reihenfolge der Pflichtangaben:

1. Verantwortliche Stelle (Bezeichnung, Anschrift, Vertretung).
2. Datenschutzbeauftragte (Kontakt).
3. Was wird verarbeitet (Datenkategorien)? Bei Art. 14: Quelle.
4. Wofür (Zweck) und auf welcher Rechtsgrundlage?
5. An wen werden die Daten weitergegeben (Empfänger / Kategorien)?
6. Drittlandtransfer und Garantien?
7. Wie lange werden die Daten gespeichert?
8. Welche Rechte hat die betroffene Person?
9. Beschwerderecht bei der Aufsichtsbehörde.
10. Folgen der Nichtbereitstellung (bei Art. 13).
11. Automatisierte Entscheidungsfindung / Profiling?

Diese Gliederung erleichtert Pflege und Aktualisierung erheblich. Bei mehreren Verarbeitungen im selben Verfahren (z. B. Bewerbung → Vorstellungsgespräch → Einstellung) empfiehlt sich eine Tabellendarstellung mit einer Zeile pro Verarbeitungsschritt. Das macht Zweckbindung und Speicherdauer pro Vorgang sichtbar.

Versionierung und Pflege

Datenschutzhinweise sind lebende Dokumente. Bei jeder materiellen Änderung der Verarbeitung ist die Information zu aktualisieren: bei neuen Auftragsverarbeitern, geänderten Zwecken, neuen Schnittstellen oder dem Einsatz neuer KI-Komponenten. Zur Rechenschaftsfähigkeit gehört eine Versionshistorie mit Datum, Bearbeiter und Änderungsgrund. Sinnvoll ist eine Verknüpfung mit dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Jede Verarbeitungstätigkeit erhält eine zugehörige Datenschutzinformation als verlinktes Artefakt.

Sachverhalt

Ein Münchener Volljurist bewarb sich auf eine Stelle in der Rechtsabteilung der Universität Düsseldorf. Die zuständige Personalstelle führte vor dem Kennenlerngespräch eine Internetrecherche zur Person durch; aufgefundener Wikipedia-Eintrag mit Hinweis auf ein gegen den Kläger geführtes, noch nicht rechtskräftig abgeschlossenes Strafverfahren (Hintergrund: LG München I – 12 KLs 231 Js 139171/12; durch BGH, 04.05.2022 – 1 StR 138/21, mit den Feststellungen aufgehoben und zur neuen Verhandlung zurückverwiesen). Die Universität bezog die Information in die Auswahlentscheidung ein, ohne den Bewerber über die Datenerhebung zu unterrichten. Nach Ablehnung der Bewerbung machte der Kläger materielle und immaterielle Schadensersatzansprüche geltend.

Entscheidung

Das BAG behandelt zwei voneinander zu trennende Anspruchsstränge:

• Bewerbungsverfahrensanspruch (Art. 33 Abs. 2 GG): Ein materieller Schadensersatz wegen Nichteinstellung setzt voraus, dass das Auswahlermessen des Arbeitgebers auf null reduziert ist. Der erfolglose Bewerber muss nach den Maßstäben des Art. 33 Abs. 2 GG der bestqualifizierte Bewerber gewesen sein. Das Gericht lehnt den materiellen Schadensersatz ab; Eignungszweifel können sich auch aus einem nicht abgeschlossenen Strafverfahren ergeben, ohne dass die Unschuldsvermutung dem entgegenstünde (Rn. 39 ff.).
• Verstoß gegen die Informationspflicht aus Art. 14 DSGVO: Die unterlassene Information über die Internetrecherche stellt einen Verstoß gegen die DSGVO dar; der immaterielle Schadensersatz wird auf 1.000 € festgesetzt (Art. 82 Abs. 1 DSGVO). Die Festsetzung unterliegt nur eingeschränkter revisionsrechtlicher Überprüfung (Rn. 49 unter Verweis auf BAG, 25. Juli 2024 – 8 AZR 225/23).

Hinweis zum weiteren Verfahrensgang: In einer späteren Entscheidung (LAG Hessen, 30.10.2025 – 3 SLa 849/24) wird wiedergegeben, dass eine Partei vorgetragen habe, gegen das BAG-Urteil Verfassungsbeschwerde eingelegt zu haben. Ob diese tatsächlich anhängig ist und welches Aktenzeichen ihr zugeordnet ist, ist hier nicht belegt; vor produktiver Nutzung bitte am BVerfG bzw. an aktueller Berichterstattung verifizieren.

Lehren für die Hochschulpraxis

• Internetrecherche ist Datenerhebung. Jede gezielte Online-Recherche zu einer bewerbenden Person ist eine Erhebung personenbezogener Daten aus Drittquellen im Sinne des Art. 14 DSGVO, auch wenn nur „öffentlich zugängliche" Quellen genutzt werden. Die Beschränkung auf öffentlich zugängliche Quellen entlastet nicht von der Informationspflicht; sie ist allenfalls auf Ebene der Verhältnismäßigkeit und der Rechtsgrundlage zu berücksichtigen.
• Information nach Art. 14 Abs. 3 DSGVO. Maßgeblich ist diejenige der drei Alternativen, die als erste eingreift: längstens einen Monat nach Erlangung der Daten (lit. a), spätestens bei der ersten Mitteilung an die betroffene Person (lit. b) oder spätestens bei der ersten Offenlegung gegenüber einem weiteren Empfänger (lit. c). Im Bewerbungsverfahren wird das in der Regel die erste Mitteilung an die bewerbende Person sein, etwa die Einladung zum Vorstellungsgespräch oder die Absage. In dieser Kommunikation sollte die Information über die Recherche enthalten oder ausdrücklich verlinkt sein.
• Transparenz bereits in der Ausschreibung. Ein Hinweis in der Stellenausschreibung und auf der Bewerbungsplattform, dass ergänzende Recherchen zu fachlich relevanten Veröffentlichungen erfolgen können, kann die Information nach Art. 14 DSGVO vorwegnehmen. Voraussetzung ist allerdings, dass Quelle(n), Datenkategorien, Zwecke, Empfänger, Speicherdauer und die übrigen Pflichtangaben nach Art. 14 DSGVO hinreichend konkret beschrieben sind; ein pauschaler Hinweis genügt dafür nicht. Im Zweifel ist die Information im Einzelfall ergänzend zu erteilen.
• Dokumentation der Recherche. Welche Recherche wann mit welchem Ergebnis durchgeführt wurde, ist aktenkundig zu dokumentieren. Diese Dokumentation dient zugleich als Grundlage der Auskunft nach Art. 15 DSGVO und als Verteidigungsanker im Streitfall (Art. 5 Abs. 2 DSGVO).
• Sensibilität bei Strafverfahren. Hinweise auf strafrechtliche Verurteilungen oder laufende Ermittlungen unterliegen den besonderen Schranken des Art. 10 DSGVO. Eine Verarbeitung ohne ausreichende Rechtsgrundlage und Information ist mit erheblichen Risiken verbunden. Im Bewerbungskontext ist regelmäßig ein konkreter Stellenbezug erforderlich (z. B. Tätigkeit in Vermögensverwaltung oder Kassenwesen).

Art. 50 KI-VO – Transparenz beim Einsatz von KI-Systemen

Art. 50 KI-VO begründet eigenständige Kennzeichnungspflichten, die ab dem 2. August 2026 gelten (Art. 113 KI-VO). Adressat sind Anbieter und Betreiber von KI-Systemen. Hochschulrelevant insbesondere:

• Chatbots und Interaktionssysteme: Personen müssen erkennbar darüber informiert werden, dass sie mit einem KI-System interagieren. Im Hochschulkontext relevant bei Studienberatungs-Chatbots, automatisierten Antwortsystemen, KI-gestützten Sprechstunden-Assistenten.
• KI-generierte Inhalte: Anbieter müssen synthetisch erzeugte Texte, Bilder, Audio- oder Videoinhalte als KI-generiert kennzeichnen. Betreiber müssen erheblich veränderte Inhalte („Deepfakes") sowie KI-generierte oder KI-manipulierte Inhalte in der Öffentlichkeitsarbeit deutlich markieren. Das wird für Hochschul-Webseiten, Pressemitteilungen und Social-Media-Aktivitäten relevant.
• Emotionserkennung und biometrische Systeme: Betreiber müssen Personen über den Einsatz informieren. Im hochschulischen Kontext typischerweise bei Forschungsprojekten und bei sicherheitsrelevanten Zugangskontrollen einschlägig.

Art. 86 KI-VO – Recht auf Erläuterung

Art. 86 Abs. 1 KI-VO gewährt nach seinem Wortlaut jeder betroffenen Person, die einer auf der Grundlage des Outputs eines in Anhang III aufgeführten Hochrisiko-KI-Systems (mit Ausnahme der dort in Nummer 2 aufgeführten Systeme) getroffenen Entscheidung des Betreibers unterworfen ist und deren Entscheidung rechtliche Auswirkungen auf diese Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, gegenüber dem Betreiber das Recht auf eine klare und aussagekräftige Erläuterung der Rolle des KI-Systems im Entscheidungsverfahren und der wichtigsten Elemente der getroffenen Entscheidung. Die Norm ist gegenüber Art. 22 DSGVO eigenständig. Anders als jene Vorschrift, die auf ausschließlich automatisierte Entscheidungen beschränkt ist, knüpft Art. 86 KI-VO an den Output eines Hochrisiko-KI-Systems an, das einer menschlichen Betreiberentscheidung zugrunde liegt (näher zur Reichweite siehe Erwägungsgrund 171 KI-VO und die Erläuterungen des EU AI Act Service Desk).

Im Hochschulkontext relevant bei KI-gestützten Bewertungsverfahren (z. B. automatisierter Plausibilitätscheck in Zulassungsverfahren), KI-Anwendungen in der Personalauswahl, KI-gestützten Prüfungs- und Bewertungssystemen sowie KI-Hochrisikoanwendungen im Sinne des Anhangs III KI-VO (z. B. Zugangsentscheidungen zu Bildungseinrichtungen). Die DSGVO-Informationspflicht nach Art. 13 Abs. 2 lit. f bzw. Art. 14 Abs. 2 lit. g (Information über die Logik automatisierter Entscheidungen) ist um diese KI-VO-spezifischen Anforderungen zu ergänzen.

Pflichtangaben in Art. 13/14 und Art. 15 DSGVO – Übersicht

Die inhaltlichen Pflichtangaben überschneiden sich weitgehend; das ist konzeptionell gewollt, weil die Informationspflicht die spätere Auskunftsanfrage vorbereiten und teilweise überflüssig machen soll.

„—" bezeichnet Pflichtangaben, die in der jeweiligen Norm nicht ausdrücklich aufgeführt sind. Bei Art. 15 DSGVO sind insbesondere Identität und Kontaktdaten des Verantwortlichen sowie der oder des Datenschutzbeauftragten nicht als eigene Pflichtangaben normiert; sie ergeben sich praktisch aus der Kommunikation mit dem Verantwortlichen. Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) wird in Art. 15 Abs. 1 lit. e DSGVO nicht ausdrücklich genannt, anders als in Art. 13 Abs. 2 lit. b und Art. 14 Abs. 2 lit. c DSGVO.

Praktische Folgerung: Wer die Informationspflicht nach Art. 13/14 DSGVO konsequent umsetzt, hat einen erheblichen Teil späterer Auskunftsanfragen bereits vorbereitet. Verfahrensbezogene Datenschutzinformationen, die das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) widerspiegeln, können als Vorlage für individualisierte Auskünfte dienen. Vertiefend siehe Themenseite Auskunftsrecht nach Art. 15 DSGVO.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Aus der Rechenschaftspflicht folgt nicht nur das Gebot, die Information zu erteilen, sondern auch das Gebot, die Erteilung nachweisen zu können. In der Aufsichts- und Gerichtspraxis hat sich gezeigt, dass die folgenden Nachweisformen tragfähig sind:

• Versionierte Hinweistexte mit Bearbeiterstand, Versionsdatum und Änderungshistorie.
• Protokolle der Hinweiserteilung bei individuellen Vorgängen (z. B. Einstellung, Berufung), regelmäßig im jeweiligen Vorgang abzulegen.
• Verlinkung mit dem Verzeichnis der Verarbeitungstätigkeiten: Jeder Eintrag im VVT verweist auf die zugehörige Datenschutzinformation und umgekehrt.
• Bei Webseiten: Wayback-Snapshots oder interne Archivierung historischer Hinweisstände, soweit Verträge oder Aufsichtsverfahren auf einen früheren Hinweisstand verweisen.