Zum Inhalt springen
website-prüfung.de

Datenschutzerklärung für Websites — Was sie enthalten sollte

Veröffentlicht: 12. März 2026

Inhaltsverzeichnis

Was ist eine Datenschutzerklärung?

Eine Datenschutzerklärung ist eine Informationsseite auf einer Website, die Besuchern erklärt, welche personenbezogenen Daten erhoben werden, zu welchem Zweck dies geschieht und welche Rechte die Betroffenen haben. Sie bildet einen zentralen Bestandteil der Informationspflichten, die sich aus der Datenschutz-Grundverordnung ergeben.

Die rechtliche Grundlage findet sich in Art. 12-14 DSGVO. Art. 13 regelt dabei die Informationspflicht bei Datenerhebung direkt bei der betroffenen Person — also den typischen Fall beim Besuch einer Website. Art. 14 greift, wenn Daten nicht direkt beim Betroffenen erhoben werden, etwa durch Drittanbieter.

Ergänzend verlangt die DSGVO in Art. 12 Abs. 1, dass diese Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache” bereitgestellt werden. Das bedeutet: Eine Datenschutzerklärung sollte nicht nur vollständig, sondern auch verständlich sein.

In der Praxis betrifft die Informationspflicht nahezu jede Website. Bereits beim Aufruf einer Seite wird die IP-Adresse des Besuchers an den Server übermittelt — das ist eine Verarbeitung personenbezogener Daten im Sinne der DSGVO.

Wer braucht eine Datenschutzerklärung?

Kurz gesagt: praktisch jede Website, die im Internet erreichbar ist.

Die Pflicht zur Datenschutzerklärung gilt unabhängig von der Unternehmensgröße. Für Einzelunternehmer, Kleinunternehmer nach §19 UStG, Freiberufler und große Unternehmen gelten die gleichen Anforderungen aus DSGVO Art. 13. Es gibt in der DSGVO keine Ausnahme für kleine Betriebe oder Websites mit wenig Traffic.

Auch private Websites können betroffen sein, sobald sie personenbezogene Daten verarbeiten — etwa durch ein Kontaktformular, Analyse-Tools oder eingebettete Inhalte von Drittanbietern. Selbst ein einfaches Webhosting erzeugt in der Regel Server-Logfiles mit IP-Adressen.

Wer sich unsicher ist, ob die eigene Website eine Datenschutzerklärung benötigt, kann mit einem kostenlosen DSGVO-Check eine erste Einschätzung erhalten.

Pflichtinhalte nach Art. 12-14 DSGVO

Art. 13 DSGVO Abs. 1 und 2 listen konkret auf, welche Informationen eine Datenschutzerklärung enthalten sollte. Hier ein Überblick über die einzelnen Pflichtangaben:

Name und Kontaktdaten des Verantwortlichen

Gemäß Art. 13 Abs. 1 lit. a sollte die Datenschutzerklärung den vollständigen Namen und die Kontaktdaten des Verantwortlichen enthalten — also der Person oder Stelle, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Bei Unternehmen ist dies in der Regel der Inhaber oder die Geschäftsführung. Gegebenenfalls ist auch der Vertreter des Verantwortlichen zu benennen.

Datenschutzbeauftragter

Falls ein Datenschutzbeauftragter bestellt wurde, sind dessen Kontaktdaten anzugeben (Art. 13 Abs. 1 lit. b). Ein Datenschutzbeauftragter ist laut DSGVO Art. 37 unter bestimmten Voraussetzungen vorgeschrieben — etwa wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. In Deutschland ergänzt §38 BDSG, dass Unternehmen mit mindestens 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, einen Datenschutzbeauftragten benennen sollten.

Zwecke und Rechtsgrundlagen der Verarbeitung

Für jeden Verarbeitungsvorgang sollten der Zweck und die jeweilige Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO benannt werden (Art. 13 Abs. 1 lit. c). Die häufigsten Rechtsgrundlagen für Websites sind:

  • Art. 6 Abs. 1 lit. a — Einwilligung (z. B. für Newsletter, optionale Cookies)
  • Art. 6 Abs. 1 lit. b — Vertragserfüllung (z. B. für Online-Shops)
  • Art. 6 Abs. 1 lit. f — Berechtigtes Interesse (z. B. für Server-Logfiles, grundlegende Analyse)

Berechtigte Interessen

Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f gestützt wird, sollten die konkreten berechtigten Interessen des Verantwortlichen benannt werden (Art. 13 Abs. 1 lit. d). Ein allgemeiner Verweis auf „berechtigte Interessen” ohne nähere Erklärung reicht in der Regel nicht aus.

Empfänger der Daten

Die Datenschutzerklärung sollte angeben, an wen personenbezogene Daten weitergegeben werden — oder zumindest die Kategorien von Empfängern benennen (Art. 13 Abs. 1 lit. e). Typische Empfänger bei Websites sind Hosting-Anbieter, Analyse-Dienste, Zahlungsdienstleister oder E-Mail-Marketing-Plattformen.

Übermittlung in Drittländer

Falls Daten in Länder außerhalb des EWR übermittelt werden, sollte die Datenschutzerklärung darüber informieren und die Rechtsgrundlage benennen (Art. 13 Abs. 1 lit. f). In der Praxis betrifft das häufig die USA — etwa bei der Nutzung von Google Analytics, Cloudflare oder US-amerikanischen Newsletter-Diensten. Gängige Garantien sind Standardvertragsklauseln (SCC) oder ein Angemessenheitsbeschluss der EU-Kommission.

Speicherdauer

Für jede Kategorie personenbezogener Daten sollte die Speicherdauer oder zumindest die Kriterien für deren Festlegung angegeben werden (Art. 13 Abs. 2 lit. a). Formulierungen wie „so lange wie nötig” ohne weitere Erklärung können als zu unbestimmt gelten.

Betroffenenrechte

Die Datenschutzerklärung sollte die Betroffenen über ihre Rechte informieren (Art. 13 Abs. 2 lit. b–d):

  • Auskunftsrecht (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Recht auf Datenübertragbarkeit (Art. 20)
  • Widerspruchsrecht (Art. 21)
  • Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3)

Beschwerderecht bei einer Aufsichtsbehörde

Betroffene Personen haben laut Art. 13 Abs. 2 lit. d das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die Datenschutzerklärung sollte auf dieses Recht hinweisen. In Deutschland ist die zuständige Behörde in der Regel der Landesdatenschutzbeauftragte des jeweiligen Bundeslandes.

Weitere Pflichtangaben

Darüber hinaus sollte die Datenschutzerklärung angeben, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben ist (Art. 13 Abs. 2 lit. e) und ob eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet (Art. 13 Abs. 2 lit. f).

Typische Verarbeitungstätigkeiten auf Websites

Neben den allgemeinen Pflichtangaben sollte die Datenschutzerklärung die konkreten Dienste und Verarbeitungsvorgänge beschreiben, die auf der Website stattfinden. Je nach Website können das unterschiedlich viele sein. Hier ein Überblick über die häufigsten:

Hosting und Server-Logfiles

Jeder Webserver speichert in der Regel sogenannte Server-Logfiles. Diese enthalten unter anderem die IP-Adresse des Besuchers, den aufgerufenen URL, Datum und Uhrzeit des Zugriffs sowie den verwendeten Browser. Die Datenschutzerklärung sollte diesen Vorgang beschreiben und die Rechtsgrundlage benennen — typischerweise Art. 6 Abs. 1 lit. f (berechtigtes Interesse an der Gewährleistung der technischen Funktionsfähigkeit).

Kontaktformulare

Wenn die Website ein Kontaktformular enthält, werden dabei in der Regel Name, E-Mail-Adresse und die Nachricht des Absenders verarbeitet. Rechtsgrundlage kann je nach Kontext Art. 6 Abs. 1 lit. b (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f (berechtigtes Interesse an der Beantwortung von Anfragen) sein.

Newsletter

Für den Versand eines Newsletters ist in der Regel eine Einwilligung nach Art. 6 Abs. 1 lit. a erforderlich. Die Datenschutzerklärung sollte den Newsletter-Dienst benennen, das Double-Opt-In-Verfahren beschreiben und auf die Widerrufsmöglichkeit hinweisen.

Cookies und Tracking

Cookies gehören zu den häufigsten Verarbeitungsvorgängen auf Websites. Neben der DSGVO ist hier auch § 25 TDDDG relevant, der die Einwilligung für das Setzen nicht unbedingt erforderlicher Cookies regelt. Die Datenschutzerklärung sollte beschreiben, welche Cookies gesetzt werden, welchem Zweck sie dienen und wie lange sie gespeichert werden. Wer tiefer in das Thema einsteigen möchte, findet im Artikel Cookie Banner: Wann ist er Pflicht? weitere Informationen.

Analyse-Tools

Ob Google Analytics, Matomo oder Plausible — Analyse-Tools verarbeiten in unterschiedlichem Umfang personenbezogene Daten. Die Datenschutzerklärung sollte das eingesetzte Tool konkret benennen, die Art der erhobenen Daten beschreiben und die Rechtsgrundlage angeben. Bei Tools mit Drittlandstransfer (z. B. Google Analytics) sollten die entsprechenden Garantien erwähnt werden.

Externe Schriften

Das Einbinden externer Schriften — etwa von Google Fonts — führt dazu, dass die IP-Adresse des Besuchers an den jeweiligen Anbieter übermittelt wird. Dies sollte in der Datenschutzerklärung erwähnt werden. Im Artikel Google Fonts und DSGVO ist beschrieben, warum ein lokales Hosting externer Schriften empfehlenswert sein kann.

Social-Media-Plugins und eingebettete Inhalte

Eingebettete Videos (YouTube, Vimeo), Social-Media-Buttons oder iFrames können Daten an Drittanbieter übermitteln, teilweise bereits beim Laden der Seite. Die Datenschutzerklärung sollte jeden eingebetteten Dienst konkret benennen.

Online-Shops und Zahlungsanbieter

Websites mit Shop-Funktionalität verarbeiten zusätzlich Bestell- und Zahlungsdaten. Hier sollten die eingesetzten Zahlungsanbieter (PayPal, Stripe, Klarna etc.) mit ihren jeweiligen Verarbeitungszwecken und Rechtsgrundlagen aufgeführt werden.

Aufbau und Struktur

Eine gute Datenschutzerklärung folgt einer klaren Struktur. DSGVO Art. 12 verlangt, dass die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form” bereitgestellt werden. In der Praxis hat sich folgender Aufbau bewährt:

  1. Verantwortlicher und Kontaktdaten — Name, Anschrift, E-Mail, ggf. Datenschutzbeauftragter
  2. Allgemeine Hinweise — Überblick über die Datenverarbeitung auf der Website
  3. Hosting und technische Infrastruktur — Server-Logfiles, CDN, Hosting-Anbieter
  4. Einzelne Verarbeitungsvorgänge — je ein Abschnitt pro Dienst oder Datenverarbeitung (Kontaktformular, Newsletter, Analyse-Tool, Cookies, externe Dienste)
  5. Drittlandstransfer — falls Daten an Anbieter außerhalb des EWR übermittelt werden
  6. Betroffenenrechte — Auflistung der Rechte mit kurzer Erklärung
  7. Beschwerderecht — Hinweis auf die zuständige Aufsichtsbehörde
  8. Aktualisierungsdatum — wann die Datenschutzerklärung zuletzt geändert wurde

Praktische Tipps

  • Eigene Seite: Die Datenschutzerklärung sollte auf einer separaten Seite verfügbar sein — nicht zusammen mit dem Impressum auf einer Seite. Beide Seiten haben unterschiedliche rechtliche Funktionen.
  • Footer-Link: Der Link zur Datenschutzerklärung sollte im Footer der Website stehen und von jeder Unterseite aus erreichbar sein.
  • Klare Überschriften: Jeder Verarbeitungsvorgang sollte eine eigene Überschrift haben, damit Besucher gezielt die relevanten Abschnitte finden können.
  • Einfache Sprache: Juristische Fachbegriffe sollten erklärt werden. Art. 12 verlangt ausdrücklich eine verständliche Formulierung — insbesondere bei Informationen, die sich an Kinder richten.
  • Aktualität: Die Datenschutzerklärung sollte das Datum der letzten Aktualisierung enthalten. So können Besucher erkennen, ob die Angaben aktuell sind.

Eine vollständige Übersicht über alle DSGVO-relevanten Anforderungen an Websites bietet die DSGVO-Checkliste für Websites.

Häufige Fehler

Auch wenn eine Datenschutzerklärung vorhanden ist, enthält sie in der Praxis häufig Lücken oder Fehler. Hier sind die häufigsten Probleme, die uns bei der Analyse von Websites begegnen:

1. Veraltete Angaben

Einer der häufigsten Fehler: Die Website wurde verändert — ein neues Analyse-Tool eingebaut, ein Kontaktformular-Plugin gewechselt, ein neuer Zahlungsanbieter integriert — aber die Datenschutzerklärung wurde nicht aktualisiert. Jede technische Änderung an der Website kann Auswirkungen auf die Datenschutzerklärung haben.

2. Fehlende Angaben zu konkreten Diensten

Manche Datenschutzerklärungen beschreiben nur allgemein, dass „Cookies verwendet werden” oder „Daten an Dritte weitergegeben werden können”, ohne die konkreten Dienste zu benennen. DSGVO Art. 13 verlangt jedoch transparente und spezifische Informationen. Ein eingebundenes Google Maps, ein YouTube-Video oder ein Facebook-Pixel sollte jeweils einzeln beschrieben werden.

3. Zu allgemein oder generisch

Datenschutzerklärungen, die offensichtlich aus einer Vorlage stammen und Dienste aufführen, die auf der Website gar nicht verwendet werden, können problematisch sein. Sie können den Eindruck erwecken, dass sich der Verantwortliche nicht mit der tatsächlichen Datenverarbeitung auseinandergesetzt hat.

4. Fehlende Sprachversionen

Wenn eine Website Inhalte in mehreren Sprachen anbietet, sollte die Datenschutzerklärung idealerweise ebenfalls in diesen Sprachen verfügbar sein. Art. 12 Abs. 1 verlangt eine „verständliche und leicht zugängliche Form” — das kann bei fremdsprachigen Besuchern eine Übersetzung erfordern.

5. Vermischung mit dem Impressum

Datenschutzerklärung und Impressum haben unterschiedliche rechtliche Grundlagen und Funktionen. Die Datenschutzerklärung basiert auf DSGVO Art. 13, das Impressum auf § 5 DDG bzw. § 18 MStV. Beide sollten auf separaten Seiten mit eigenen URLs stehen und jeweils über den Footer erreichbar sein.

6. Fehlende Aktualisierung nach Gesetzesänderungen

Die Datenschutzlandschaft entwickelt sich stetig weiter — neue Urteile, Änderungen in der Auslegung, technische Entwicklungen. Eine Datenschutzerklärung, die seit 2018 nicht mehr aktualisiert wurde, enthält möglicherweise veraltete Rechtsgrundlagen oder fehlende Hinweise zu neueren Diensten.

Wer wissen möchte, welche Konsequenzen eine fehlerhafte oder fehlende Datenschutzerklärung haben kann, findet im Artikel Abmahnung vermeiden: Typische Website-Fehler weitere Informationen.

Datenschutzerklärung erstellen: Optionen

Für die Erstellung einer Datenschutzerklärung gibt es im Wesentlichen drei Wege:

  • Generator: Online-Tools wie der Datenschutz-Generator von Dr. Schwenke oder der eRecht24-Generator erstellen anhand eines Fragebogens einen fertigen Text. Für Websites mit Standarddiensten kann das eine effiziente Lösung sein.
  • Anwalt: Ein auf Datenschutzrecht spezialisierter Anwalt analysiert die Website individuell und formuliert die Datenschutzerklärung passgenau. Empfehlenswert bei komplexeren Verarbeitungsvorgängen, etwa in Online-Shops oder bei branchenspezifischen Anforderungen.
  • Kombination: Generator als Basis, anwaltliche Prüfung für individuelle Ergänzungen. Ein pragmatischer Ansatz, der Kosten und Qualität ausbalanciert.

Einen ausführlichen Vergleich der Optionen mit Kosten und Empfehlungen bietet der Artikel Datenschutzerklärung erstellen: Generator vs. Anwalt.

Fazit

Die Datenschutzerklärung gehört zu den grundlegenden Pflichtseiten jeder Website. Sie informiert Besucher darüber, welche Daten erhoben werden, warum dies geschieht und welche Rechte sie haben. Die Anforderungen ergeben sich primär aus DSGVO Art. 13 und Art. 12.

Die wichtigsten Punkte zusammengefasst:

  • Jede Website, die personenbezogene Daten verarbeitet, sollte eine Datenschutzerklärung haben — das betrifft in der Praxis nahezu jede Website
  • Die Pflichtinhalte sind in DSGVO Art. 13 Abs. 1 und 2 konkret aufgelistet
  • Jeder auf der Website eingesetzte Dienst sollte einzeln mit Zweck und Rechtsgrundlage beschrieben werden
  • Die Datenschutzerklärung sollte auf einer eigenen Seite stehen, im Footer verlinkt und regelmäßig aktualisiert werden
  • Bei Änderungen an der Website — ob neues Tool, neuer Anbieter oder neues Feature — sollte die Datenschutzerklärung zeitnah angepasst werden

Wer einen schnellen Überblick über den DSGVO-Status der eigenen Website erhalten möchte, kann den kostenlosen DSGVO-Check nutzen.

Häufige Fragen

Reicht ein Datenschutz-Generator für meine Website?

Für Websites, die überwiegend Standarddienste einsetzen — ein CMS, ein Kontaktformular, eventuell ein Analyse-Tool — kann ein seriöser Generator eine solide Grundlage liefern. Bei individuellen Verarbeitungsvorgängen, etwa selbst entwickelten Tools oder branchenspezifischer Datenverarbeitung, kann eine zusätzliche anwaltliche Prüfung sinnvoll sein. Einen detaillierten Vergleich bietet der Artikel Generator vs. Anwalt.

Wie oft sollte ich meine Datenschutzerklärung aktualisieren?

Eine feste Frist gibt es nicht. In der Regel empfiehlt es sich, die Datenschutzerklärung bei jeder Änderung an der Website zu prüfen — etwa wenn ein neues Tool eingebunden, ein Anbieter gewechselt oder ein neues Feature eingeführt wird. Darüber hinaus kann eine regelmäßige Überprüfung, beispielsweise einmal pro Quartal, helfen, Lücken frühzeitig zu erkennen.

Was kann bei einer fehlenden oder fehlerhaften Datenschutzerklärung passieren?

DSGVO Art. 83 Abs. 5 lit. b sieht für Verstöße gegen die Informationspflichten nach Art. 13 und Art. 14 Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. In der Praxis orientieren sich Aufsichtsbehörden an der Schwere des möglichen Verstoßes, der Anzahl der Betroffenen und dem Grad der Kooperation. Neben behördlichen Bußgeldern können fehlerhafte Datenschutzerklärungen möglicherweise auch Gegenstand wettbewerbsrechtlicher Abmahnungen sein.

Brauche ich einen Datenschutzbeauftragten?

Nach DSGVO Art. 37 in Verbindung mit §38 BDSG ist ein Datenschutzbeauftragter unter bestimmten Voraussetzungen vorgeschrieben. In Deutschland gilt dies unter anderem, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Für kleinere Websites und Einzelunternehmer ist ein Datenschutzbeauftragter in der Regel nicht erforderlich — die Pflicht zur Datenschutzerklärung besteht dennoch.

Häufige Fragen

Was gehört in eine Datenschutzerklärung?
Laut [Art. 12-14 DSGVO](https://dsgvo-gesetz.de/art-12-dsgvo/) sollte sie unter anderem enthalten: Name und Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten, Speicherdauer, Betroffenenrechte und das Beschwerderecht bei einer Aufsichtsbehörde.
Braucht jede Website eine Datenschutzerklärung?
Ja, praktisch jede Website benötigt eine Datenschutzerklärung. Bereits beim Seitenaufruf wird die IP-Adresse übermittelt — das ist eine Verarbeitung personenbezogener Daten. Die Pflicht gilt unabhängig von der Unternehmensgröße.
Wo sollte die Datenschutzerklärung auf der Website stehen?
Die Datenschutzerklärung sollte auf einer eigenen Seite verfügbar sein — getrennt vom Impressum. Der Link sollte im Footer stehen und von jeder Unterseite der Website erreichbar sein.
Was ist der Unterschied zwischen Datenschutzerklärung und Impressum?
Die Datenschutzerklärung basiert auf DSGVO Art. 13 und informiert über die Datenverarbeitung. Das Impressum basiert auf [§ 5 DDG](https://www.gesetze-im-internet.de/ddg/__5.html) bzw. [§ 18 MStV](https://www.gesetze-im-internet.de/mstv/__18.html) und enthält Pflichtangaben zum Anbieter. Beide sollten auf separaten Seiten mit eigenen URLs stehen.

Von Viacheslav Spitsyn

IT-Berater für Website-Compliance

Über 14 Jahre Erfahrung in IT und Webentwicklung. Entwickler von Web-Prüfer — dem Compliance-Scanner für deutsche Websites.

Ähnliche Ratgeber

DSGVO Checkliste für Websites 2026 — Was Sie beachten sollten

Art. 13 DSGVO — Informationspflichten bei der Datenerhebung

Art. 17 DSGVO — Das Recht auf Löschung (Recht auf Vergessenwerden)