Die rechtliche Idee der Transparenz ist es, der Person einen Einblick in die wesentlichen Verarbeitungsumstände zu geben (z.B. verarbeitete Datenkategorien, Verarbeitungszwecke, Datenempfänger, Löschfristen). Die Kenntnis dieser Umstände ermöglicht es der Person, weitergehende Rechte mit Blick auf die Verarbeitung geltend zu machen, z.B. das Löschungsrecht oder das Berichtigungsrecht. Die DSGVO verlangt vom Unternehmen, noch vor Beginn der Datenverarbeitung zu informieren, sofern die Daten direkt beim Betroffenen erhoben werden.

Gemäß Art. 13 Abs. 1 S. 1 DSGVO ist es der für die Verarbeitung Verantwortliche, der der betroffenen Person bestimmte Informationen über die Datenverarbeitung bereitstellen muss. Es kann mehrere für die Verarbeitung Verantwortliche geben, die personenbezogene Daten entweder in gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) oder in getrennter Verantwortlichkeit verarbeiten.

Während die Verantwortlichen einer gemeinsamen Verantwortlichkeit festlegen können, dass nur ein für die Verarbeitung Verantwortlicher für die Information zuständig ist (vgl. Art. 26 Abs. S. 2 DSGVO), müssen getrennt Verantwortliche die betroffene Person unabhängig von der Bereitstellung von Informationen durch den jeweils anderen Verantwortlichen informieren.

Die DSGVO unterscheidet in erster Linie zwischen dem Fall, dass personenbezogene Daten "bei der betroffenen Person" erhoben werden (geregelt in Art. 13 DSGVO) und dem Fall, dass personenbezogene Daten "nicht bei der betroffenen Person erhoben wurden" (geregelt in Art. 14 DSGVO).

Leider legt das Gesetz nicht fest, wann die Daten "bei der betroffenen Person" erhoben werden. Das Fehlen jeglicher einschränkender Kriterien spricht für ein weites Verständnis. Ein zu weit gefasstes Verständnis birgt jedoch die Gefahr, dass es für viele moderne Datenverarbeitungen unpraktisch ist, bei denen sich die betroffene Person, obwohl sie zweifellos die Quelle der Informationen ist, der Datenverarbeitung nicht bewusst ist, z. B. wenn sie zufällig von einer verdeckten Kamera gefilmt wird. Daher sollte Art. 13 nur für solche Datenverarbeitungen als anwendbar angesehen werden, bei denen die betroffene Person in einem bestimmten Kontext aktiv Daten bereitstellt (z. B. beim Passieren des Eingangs eines Supermarkts, der sichtbar videoüberwacht wird). Konstellationen, in denen es der Verantwortliche ist, der, in Verfolgung eines legitimen Zwecks, an die betroffene Person herantritt und damit die Einbeziehung der betroffenen Person in eine Datenverarbeitung veranlasst, sollten als Fremderhebung betrachtet werden.

Die Umsetzung der Transparenzpflichten erfolgt in der Regel mittels sogenannter Datenschutzerklärungen. Diese können je nach Datenerhebungskontext entweder in digitaler Form (Website) oder ausgedruckt auf Papier ausgegeben werden. Auch mündliche Informationen sind prinzipiell möglich. Es sollte jedoch nachweisbar sein, dass die Informationen auch wirklich gegeben werden.

Können die umfangreichen Datenschutzpflichten aufgrund der kleinen Größe des Erhebungsmediums (z.B. Smartwatch) nicht sinnvoll (vollständich) ausgegeben werden, kann auf weiterführende Datenschutzinformationen verlinkt werden, z.B. mittels QR-Code.