Die datenschutzrechtliche Idee der Transparenz ist es, der Person einen Einblick in die wesentlichen Verarbeitungsumstände zu geben (z.B. verarbeitete Datenkategorien, Verarbeitungszwecke, Datenempfänger, Löschfristen). Die Kenntnis dieser Umstände ermöglicht es der Person, weitergehende Rechte mit Blick auf die Verarbeitung geltend zu machen, z.B. das Löschungsrecht oder das Berichtigungsrecht.

Es kann zwischen zwei Arten von datenschutzrechtlicher Transparenz unterschieden werden. So verlangt die DSGVO einerseits, dass der Person unaufgefordert vor bzw. bei Beginn einer Datenverarbeitung bestimmte Informationen gegeben werden müssen. Dies erfolgt in der Regel mittels sogenannter Datenschutzerklärungen. Bei der zweiten Form der Transparenz ist es hingegen der Betroffene, der durch Wahrnehmung seines Auskunftsrechts Kenntnis über die Umstände der Datenverarbeitungen erlangt. Im Folgenden geht es nur um den ersten Fall der Transparenz – also den Fall der unaufgeforderten Information.

Gemäß Art. 13 bzw. 14 DSGVO muss das für die Datenverarbeitung verantwortliche Unternehmen der betroffenen Person bestimmte Informationen über die Datenverarbeitung mitteilen. Es kann mehrere verantwortliche Unternehmen geben, die personenbezogene Daten entweder in sogenannter "gemeinsamer Verantwortlichkeit" (Art. 26 DSGVO) oder in sogenannter "getrennter Verantwortlichkeit" verarbeiten. Während die Verantwortlichen einer gemeinsamen Verantwortlichkeit festlegen können, dass nur ein Verantwortlicher für die Informationsbereitstellung zuständig ist (vgl. Art. 26 Abs. S. 2 DSGVO), müssen getrennt Verantwortliche die betroffene Person unabhängig von der Information des jeweils anderen Verantwortlichen informieren.

Die DSGVO unterscheidet sodann zwischen dem Fall, dass personenbezogene Daten "bei der betroffenen Person" erhoben werden (geregelt in Art. 13 DSGVO) und dem Fall, dass personenbezogene Daten "nicht bei der betroffenen Person" erlangt wurden (geregelt in Art. 14 DSGVO). Die Frage der Anwendbarkeit der beiden Artikel ist in der Praxis sehr relevant, da nur Art. 14 Ausnahmen von der Informationspflicht enthält.

Das Gesetz definiert nicht, wann die Daten "bei der betroffenen Person" erhoben werden, weshalb in der Praxis genau geprüft werden muss, ob Informationen nach Art. 13 oder nach Art. 14 DSGVO bereitgestellt werden müssen. Nicht immer fällt die Einordnung leicht. So ist in vielen Fällen die Person zwar Quelle der Information, jedoch der Datenverarbeitung nicht bewusst, z. B. wenn sie zufällig von einer verdeckten Kamera gefilmt wird. Daher sollte Art. 13 generell nur für solche Datenverarbeitungen als anwendbar angesehen werden, bei denen die betroffene Person in einem bestimmten Kontext aktiv Daten bereitstellt (z. B. beim Passieren des Eingangs eines Supermarkts, der sichtbar videoüberwacht wird). Konstellationen, in denen es der Verantwortliche ist, der – in Verfolgung eines legitimen Zwecks – an die betroffene Person heimlich bzw. von der Person unbemerkt herantritt, sollten als Fremderhebung nach Art. 14 DSGVO betrachtet werden.

Schließlich ist auch die Art und Weise der Informationsbereitstellung von großer Bedeutung. So sind die Informationen nach Art. 12 Abs. 1 S. 1 DSGVO "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln". Es geht also gerade nicht darum, einen sperrigen Rechtstext zu erstellen – schwammige Formulierungen oder für den Laien unverständliche juristische Begriffe haben nichts in einer Datenschutzerklärung zu suchen.

Die Umsetzung der Transparenzpflichten erfolgt in der Regel mittels sogenannter Datenschutzerklärungen. Diese können je nach Datenerhebungskontext entweder in digitaler Form (Website) oder ausgedruckt auf Papier ausgegeben werden. Auch mündliche Informationen sind prinzipiell möglich. Es sollte jedoch nachweisbar sein, dass die Informationen auch wirklich gegeben werden.

Können die umfangreichen Datenschutzpflichten aufgrund der kleinen Größe des Erhebungsmediums (z.B. Smartwatch) nicht sinnvoll (vollständich) ausgegeben werden, kann auf weiterführende Datenschutzinformationen verlinkt werden, z.B. mittels QR-Code.