Datenschutzerklärung Vorlage — DSGVO-konformes Muster für Ihre Website

Warum jede Website eine Datenschutzerklärung braucht

Die Datenschutzerklärung gehört zu den gesetzlichen Pflichtinformationen jeder Website. Gemäß Art. 13 DSGVO müssen Sie Besucher bereits bei der Erhebung personenbezogener Daten vollständig informieren — und das beginnt schon beim ersten Seitenaufruf. Denn spätestens dann werden IP-Adressen, Cookies und Zugriffszeiten verarbeitet.

Eine fehlende, unvollständige oder veraltete Datenschutzerklärung ist nicht nur ein Verstoß gegen die DSGVO, sondern auch ein Abmahnrisiko. Wettbewerber, Verbraucherverbände und Aufsichtsbehörden können gleichermaßen tätig werden. Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen.

Außerdem verlangt auch das Telemediengesetz (TMG) bzw. seit 2024 das Digitale-Dienste-Gesetz (DDG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) entsprechende Informationspflichten. Die Datenschutzerklärung muss von jeder Unterseite Ihrer Website mit maximal zwei Klicks erreichbar sein — typischerweise über einen Link im Footer.

Art. 13 und Art. 14 DSGVO — Die gesetzliche Grundlage

Art. 13 DSGVO regelt die Informationspflichten bei Direkterhebung — also wenn Sie personenbezogene Daten direkt beim Betroffenen erheben (z. B. über ein Kontaktformular, eine Newsletter-Anmeldung oder ein Bewerbungsformular). Art. 14 DSGVO greift, wenn Sie Daten aus anderen Quellen erhalten haben (z. B. gekaufte Adresslisten oder Daten von Geschäftspartnern).

Beide Artikel verlangen im Kern dieselben Pflichtangaben, ergänzen sich aber in Details. Für eine vollständige Datenschutzerklärung Vorlage müssen Sie beide Szenarien abdecken, sofern sie auf Ihre Verarbeitungstätigkeiten zutreffen.

Pflichtangaben-Checkliste für Ihre Datenschutzerklärung

Eine DSGVO-konforme Datenschutzerklärung muss mindestens die folgenden Angaben enthalten. Nutzen Sie diese Checkliste als Grundlage für Ihre eigene Datenschutzerklärung Vorlage:

1. Name und Kontaktdaten des Verantwortlichen

Vollständiger Firmenname, Anschrift, Geschäftsführer, E-Mail-Adresse und Telefonnummer. Bei Unternehmen mit bestelltem Datenschutzbeauftragten auch dessen Kontaktdaten angeben.

2. Kontaktdaten des Datenschutzbeauftragten

Sofern ein betrieblicher oder externer Datenschutzbeauftragter bestellt wurde, sind dessen Kontaktdaten (mindestens E-Mail) zwingend anzugeben. Die namentliche Nennung ist seit der DSGVO-Novelle nicht mehr verpflichtend, wird aber empfohlen.

3. Zwecke und Rechtsgrundlagen der Verarbeitung

Für jede Datenverarbeitung müssen Sie den konkreten Zweck und die zugehörige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO benennen:

• Art. 6 Abs. 1 lit. a: Einwilligung (z. B. Newsletter, Marketing-Cookies)
• Art. 6 Abs. 1 lit. b: Vertragserfüllung (z. B. Bestellabwicklung, Kundenkonto)
• Art. 6 Abs. 1 lit. c: Rechtliche Verpflichtung (z. B. steuerliche Aufbewahrungspflichten)
• Art. 6 Abs. 1 lit. f: Berechtigtes Interesse (z. B. Website-Analyse, IT-Sicherheit)

4. Empfänger oder Kategorien von Empfängern

Listen Sie alle Dritten auf, an die personenbezogene Daten weitergegeben werden — zum Beispiel Hosting-Provider, E-Mail-Dienstleister, Zahlungsanbieter, Steuerberater oder Auftragsverarbeiter.

5. Drittlandtransfer

Wenn Daten in Länder außerhalb des EWR übertragen werden (z. B. bei Nutzung von Google Analytics, Mailchimp, Cloudflare), müssen Sie das benennen und die Garantien angeben — etwa das EU-US Data Privacy Framework, Standardvertragsklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO oder Binding Corporate Rules.

6. Speicherdauer

Für jede Verarbeitung die konkrete Speicherdauer oder die Kriterien zu deren Bestimmung angeben. Pauschale Angaben wie „so lange wie nötig“ reichen nicht aus. Beispiele: Kontaktanfragen 6 Monate, Rechnungsdaten 10 Jahre, Log-Dateien 7–30 Tage.

7. Betroffenenrechte

Informieren Sie über folgende Rechte der betroffenen Personen:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

8. Beschwerderecht bei der Aufsichtsbehörde

Weisen Sie auf das Recht hin, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). In Sachsen ist das die Sächsische Datenschutz- und Transparenzbeauftragte (SDTB).

9. Pflicht oder Erforderlichkeit der Bereitstellung

Teilen Sie mit, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist und welche Folgen eine Nichtbereitstellung hat.

10. Automatisierte Entscheidungsfindung / Profiling

Falls Sie automatisierte Entscheidungen einschließlich Profiling nach Art. 22 DSGVO einsetzen, müssen Sie aussagekräftige Informationen über die involvierte Logik bereitstellen.

Typische Verarbeitungen, die in Ihre Datenschutzerklärung gehören

Die meisten Websites nutzen eine Reihe von Standarddiensten und -funktionen. Jede dieser Verarbeitungen muss in der Datenschutzerklärung Vorlage individuell beschrieben werden:

Hosting und Server-Log-Dateien

Jeder Webserver speichert automatisch Log-Dateien mit IP-Adresse, Browsertyp, Zeitstempel, aufgerufenen Seiten und Referrer-URL. Nennen Sie Ihren Hosting-Anbieter und die Speicherdauer der Logs. Rechtsgrundlage ist typischerweise Art. 6 Abs. 1 lit. f DSGVO.

Typische Hosting-Anbieter in Deutschland sind Hetzner, IONOS, Strato oder All-Inkl. Wenn Sie einen Anbieter mit Serverstandort außerhalb der EU nutzen (z. B. Amazon Web Services, DigitalOcean), müssen Sie den Drittlandtransfer explizit in der Datenschutzerklärung aufführen. Achten Sie darauf, dass Ihr Hosting-Vertrag einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO umfasst.

Kontaktformular und E-Mail-Kontakt

Wenn Nutzer Sie per Kontaktformular oder E-Mail kontaktieren, werden Name, E-Mail-Adresse und die Nachricht verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b (vorvertragliche Maßnahmen) oder lit. f (berechtigtes Interesse). Speicherdauer: typischerweise 6 Monate nach Abschluss der Anfrage.

Newsletter

Für den Newsletter-Versand benötigen Sie eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO mit Double-Opt-in. Beschreiben Sie den eingesetzten Dienstleister (z. B. Mailchimp, CleverReach, Brevo), die verarbeiteten Daten, die Möglichkeit zur jederzeitigen Abmeldung und — bei US-Anbietern — den Drittlandtransfer.

Cookies und Einwilligungsmanagement

Unterscheiden Sie zwischen technisch notwendigen Cookies (kein Consent nach § 25 Abs. 2 TTDSG) und nicht notwendigen Cookies (Einwilligung nach § 25 Abs. 1 TTDSG). Listen Sie alle Cookies mit Name, Zweck, Anbieter, Speicherdauer und Rechtsgrundlage auf.

Informieren Sie über Ihr Consent-Management-Tool (z. B. Complianz, Cookiebot, Borlabs Cookie). Eine Cookie-Tabelle sollte mindestens folgende Spalten enthalten: Cookie-Name, Anbieter, Zweck, Typ (Session/Persistent), Laufzeit und Rechtsgrundlage. Führen Sie regelmäßig einen automatisierten Cookie-Scan durch, um sicherzustellen, dass keine undokumentierten Cookies gesetzt werden.

Google Analytics / Webanalyse

Bei Google Analytics 4 beschreiben Sie die IP-Anonymisierung, den Einsatz von Cookies, die Verarbeitung durch Google LLC (USA), den Drittlandtransfer auf Basis des EU-US Data Privacy Framework, die Widerspruchsmöglichkeit und die Einwilligungspflicht. Gleiches gilt für Alternativen wie Matomo, Plausible oder Ahrefs Analytics.

Social-Media-Plugins und eingebettete Inhalte

Wenn Sie Social-Media-Buttons (Facebook, LinkedIn, X/Twitter), YouTube-Videos oder Google Maps einbetten, werden Daten an die jeweiligen Anbieter übertragen. Beschreiben Sie jeden Dienst einzeln. Empfehlung: Nutzen Sie die 2-Klick-Lösung (Shariff) oder laden Sie Inhalte erst nach Einwilligung.

Zahlungsdienstleister

Bei Online-Shops beschreiben Sie alle Zahlungsanbieter (PayPal, Stripe, Klarna) mit den jeweiligen Datenverarbeitungen und Datenschutzhinweisen des Anbieters.

Bewerbungsformular / Online-Bewerbung

Online-Bewerbungen betreffen besonders sensible Daten. Rechtsgrundlage ist § 26 BDSG in Verbindung mit Art. 88 DSGVO. Speicherdauer: typischerweise 6 Monate nach Abschluss des Verfahrens.

SSL/TLS-Verschlüsselung

Weisen Sie auf die Verwendung von SSL/TLS-Verschlüsselung hin. Dies zeigt, dass Sie die Sicherheit Ihrer Website ernst nehmen.

CDN und Schriftarten

Laden Sie Schriften von Google Fonts oder nutzen ein CDN wie Cloudflare? Seit dem LG München I-Urteil (Az. 3 O 17493/20) ist externes Einbinden von Google Fonts ohne Einwilligung ein Abmahngrund. Empfehlung: Hosten Sie Schriften lokal.

Generator vs. individuelle Erstellung

Es gibt zahlreiche kostenlose und kostenpflichtige Generatoren für Datenschutzerklärungen. Beide Ansätze haben Vor- und Nachteile:

Vorteile von Generatoren

• Schnelle Erstellung einer Grundstruktur
• Abdeckung der wichtigsten Standarddienste
• Regelmäßige Aktualisierungen durch den Anbieter
• Geringe Kosten (teilweise kostenlos)

Nachteile von Generatoren

• Oft zu allgemein und nicht auf Ihre spezifischen Verarbeitungen zugeschnitten
• Fehlende Berücksichtigung branchenspezifischer Anforderungen
• Keine Prüfung, ob alle tatsächlich eingesetzten Dienste abgedeckt sind
• Haftungsrisiko bleibt beim Website-Betreiber

Bekannte Generatoren sind unter anderem der Datenschutz-Generator von Dr. Schwenke, eRecht24 Premium, Trusted Shops Legal oder der Generator der IT-Recht Kanzlei München. Die kostenfreien Versionen decken meist nur Basisdienste ab. Branchenspezifische Verarbeitungen — etwa im Gesundheitswesen, bei Finanzdienstleistern oder im E-Commerce mit internationaler Ausrichtung — erfordern immer eine individuelle Anpassung durch einen Fachmann.

Empfehlung: Kombination

Nutzen Sie einen Generator als Ausgangsbasis und lassen Sie die Datenschutzerklärung anschließend von einem Datenschutzbeauftragten prüfen und anpassen. Alternativ können Sie einen Datenschutz-Audit durchführen lassen, der auch die Datenschutzerklärung umfasst.

Häufige Fehler bei Datenschutzerklärungen

In unserer Beratungspraxis bei der DSGVO-Prüfung von Websites stoßen wir regelmäßig auf diese typischen Fehler:

1. Veraltete Datenschutzerklärung

Viele Unternehmen erstellen die Datenschutzerklärung einmalig und aktualisieren sie nie. Neue Dienste werden hinzugefügt, aber die Datenschutzerklärung wird nicht angepasst. Tipp: Prüfen Sie Ihre Datenschutzerklärung mindestens vierteljährlich.

2. Unvollständige Angaben

Häufig fehlen einzelne Pflichtangaben — insbesondere konkrete Speicherdauern, der Drittlandtransfer bei US-Diensten oder die Kontaktdaten des Datenschutzbeauftragten.

3. Copy-Paste von anderen Websites

Das Kopieren einer Datenschutzerklärung enthält Verarbeitungen, die Sie gar nicht durchführen (Irreführung), und es fehlen Verarbeitungen, die Sie tatsächlich durchführen (Unvollständigkeit). Zudem kann ein Urheberrechtsverstoß vorliegen.

4. Fehlende oder fehlerhafte Cookie-Informationen

Seit dem BGH-Urteil „Planet49″ (2020) und dem TTDSG (2021) müssen nicht notwendige Cookies per Opt-in gesteuert werden. Viele Datenschutzerklärungen listen Cookies nicht vollständig auf.

5. Keine Trennung von Impressum und Datenschutzerklärung

Impressum und Datenschutzerklärung müssen über separate Links erreichbar sein. Die Integration ins Impressum ist nicht rechtskonform (Art. 12 DSGVO).

Abmahnrisiko bei fehlerhafter Datenschutzerklärung

Eine fehlerhafte oder fehlende Datenschutzerklärung kann auf verschiedenen Wegen zu rechtlichen Konsequenzen führen. Erfahren Sie mehr über Abmahnung im Datenschutz.

Besonders riskant sind fehlende Angaben zum Drittlandtransfer bei US-Diensten wie Google Analytics oder Meta Pixel, nicht aufgeführte Tracking-Tools und veraltete Cookie-Informationen. Auch die fehlende Benennung des Datenschutzbeauftragten, obwohl einer bestellt ist, stellt einen eigenständigen Verstoß dar. Ein präventiver DSGVO-Website-Check kann diese Risiken frühzeitig identifizieren und beseitigen.

Wettbewerbsrechtliche Abmahnung

Der BGH hat 2024 klargestellt, dass Verstöße gegen die DSGVO durch Mitbewerber abgemahnt werden können, wenn die verletzte Norm dem Schutz der Marktteilnehmer dient. Verbraucherverbände können nach § 2 Abs. 2 Nr. 11 UKlaG ebenfalls klagen.

Bußgelder durch Aufsichtsbehörden

Datenschutz-Aufsichtsbehörden können bei Verstößen gegen Informationspflichten Bußgelder nach Art. 83 Abs. 5 DSGVO verhängen.

Schadensersatzansprüche

Betroffene können nach Art. 82 DSGVO Schadensersatz — einschließlich immateriellen Schadensersatz — geltend machen. Gerichte haben 500 bis 5.000 Euro pro Verstoß zugesprochen.

Datenschutzerklärung für mehrsprachige Websites

Betreiben Sie eine mehrsprachige Website? Dann benötigen Sie die Datenschutzerklärung in jeder angebotenen Sprache. Die DSGVO verlangt Informationen in einer „klaren und einfachen Sprache“ — das bedeutet in der Sprache des Nutzers.

Für englischsprachige Varianten verwenden Sie „Privacy Policy“, für französische „Politique de confidentialité“, für spanische „Política de privacidad“. Beachten Sie, dass in einigen EU-Ländern zusätzliche nationale Regelungen gelten — in Frankreich etwa die Vorgaben der CNIL zu Cookies, in Österreich das DSG 2018. Eine rein maschinelle Übersetzung sollte immer von einem muttersprachlichen Juristen gegengelesen werden.

Achten Sie bei der Übersetzung auf rechtliche Genauigkeit: Eine maschinelle Übersetzung allein reicht nicht aus — die juristischen Begriffe müssen korrekt und im jeweiligen Rechtskontext verständlich sein. Bei Unternehmen, die Dienste gezielt an Nutzer in anderen EU-Ländern richten (Art. 3 Abs. 2 DSGVO), ist die Übersetzung Pflicht.

Datenschutzerklärung für Apps

Mobile Apps unterliegen denselben Informationspflichten wie Websites, haben aber besondere Anforderungen:

• App-Store-Anforderungen: Apple und Google verlangen eine Datenschutzerklärung vor der Veröffentlichung.
• Geräteberechtigungen: Beschreiben Sie jeden Zugriff auf Kamera, Mikrofon, Standort, Kontakte oder Push-Benachrichtigungen.
• SDKs und Tracking: Dokumentieren Sie alle eingebundenen SDKs (Firebase, Facebook SDK, AppsFlyer) mit deren Datenverarbeitungen.
• Zugänglichkeit: Die Datenschutzerklärung muss vor dem Download und innerhalb der App verfügbar sein.
• ATT-Framework (iOS): Seit iOS 14.5 muss das App Tracking Transparency Framework implementiert sein.

Regelmäßige Aktualisierung — so bleiben Sie DSGVO-konform

Eine Datenschutzerklärung ist kein statisches Dokument. Sie muss fortlaufend gepflegt werden:

• Bei jeder Änderung an den eingesetzten Diensten, Plugins oder Tools die Datenschutzerklärung anpassen
• Vierteljährliche Prüfung: Stimmt die Datenschutzerklärung noch mit der Realität überein?
• Nach Gesetzesänderungen: Neue Urteile oder Verordnungen können Anpassungen erfordern
• Versionierung: Dokumentieren Sie Änderungen mit Datum
• Cookie-Scan: Regelmäßig prüfen, ob alle Cookies korrekt erfasst und gelistet sind

Ein bewährtes Vorgehen ist die Führung einer Änderungshistorie direkt in der Datenschutzerklärung: „Stand: [Datum], letzte Aktualisierung am [Datum]“. So können Betroffene nachvollziehen, wann die letzte Überarbeitung stattfand. Dokumentieren Sie intern jede Änderung mit Grund und Verantwortlichem — dies ist auch für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO relevant.

Lassen Sie Ihre Datenschutzerklärung idealerweise durch einen externen Datenschutzbeauftragten regelmäßig prüfen.

Einverständniserklärung und Datenschutzerklärung — der Unterschied

Häufig werden Datenschutzerklärung und Einwilligungserklärung verwechselt. Die Datenschutzerklärung ist eine Informationspflicht — sie informiert Betroffene passiv über die Datenverarbeitungen. Die Einverständniserklärung (Einwilligung) ist dagegen eine aktive Handlung des Betroffenen.

Beide Dokumente ergänzen sich: Die Datenschutzerklärung beschreibt alle Verarbeitungen, die Einwilligung legitimiert bestimmte davon. Achten Sie darauf, in Einwilligungsformularen auf den jeweiligen Abschnitt der Datenschutzerklärung zu verlinken.

IT-Compliance und Datenschutzerklärung

Die Datenschutzerklärung ist Teil Ihrer gesamten IT-Compliance-Strategie. Sie dokumentiert nach außen, was intern in Ihrem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) festgehalten ist. Eine konsistente Datenschutzdokumentation — vom Verarbeitungsverzeichnis über technisch-organisatorische Maßnahmen bis zur Datenschutzerklärung — ist die Grundlage für DSGVO-Konformität.

Kostenlose Erstberatung durch DATUREX

Sie sind unsicher, ob Ihre Datenschutzerklärung vollständig und rechtskonform ist? Die DATUREX GmbH aus Dresden unterstützt Sie als externer Datenschutzbeauftragter bei der Erstellung, Prüfung und laufenden Aktualisierung Ihrer Datenschutzerklärung.

Unsere Leistungen:

• Vollständige Erstellung einer DSGVO-konformen Datenschutzerklärung
• Prüfung bestehender Datenschutzerklärungen (Gap-Analyse)
• Laufende Aktualisierung bei Gesetzesänderungen
• Cookie-Audit und Consent-Management-Einrichtung
• Integration in Ihre Datenschutz-Gesamtstrategie

Jetzt kostenlose Erstberatung anfragen