Termin buchen

IT-Recht & Datenschutz

Datenschutzerklärung für Websites: Was 2026 Pflicht ist

16. Mai 2025 2 Min. Lesezeit

Eine Datenschutzerklärung braucht jede Website, die personenbezogene Daten verarbeitet – also faktisch jede. Was rein muss, was häufig fehlt und was Abmahn-Risiko ist.

Die DSGVO verlangt von jedem, der personenbezogene Daten verarbeitet, eine transparente Information darüber. Bei Websites ist das praktisch immer der Fall – allein Server-Logs mit IP-Adressen sind personenbezogene Daten. Eine Datenschutzerklärung ist also Pflicht, kein "Nice-to-have".

Pflichtangaben nach Art. 13 DSGVO

  1. Name und Kontaktdaten des Verantwortlichen.
  2. Bei Pflicht: Kontaktdaten des Datenschutzbeauftragten (in der Regel ab 20 Personen, die ständig mit personenbezogenen Daten arbeiten).
  3. Zwecke und Rechtsgrundlagen der Verarbeitung (z. B. Art. 6 Abs. 1 lit. b für Vertragsanbahnung, lit. f für berechtigtes Interesse, lit. a für Einwilligung).
  4. Empfänger der Daten oder Kategorien von Empfängern (z. B. Hoster, Versanddienstleister).
  5. Übermittlung in Drittländer und entsprechende Garantien (besonders relevant bei US-Diensten).
  6. Speicherdauer oder Kriterien für die Festlegung.
  7. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerde.
  8. Bestehende automatisierte Entscheidungsfindung inklusive Profiling.

Typische Abschnitte einer KMU-Datenschutzerklärung

  • Verantwortliche Stelle: Vollständige Kontaktdaten.
  • Server-Logfiles: Welche Verbindungsdaten werden erhoben, wie lange gespeichert.
  • Kontaktformular und E-Mail: Welche Daten, welcher Zweck, welche Rechtsgrundlage.
  • Newsletter: nur, wenn vorhanden – mit Hinweis auf Double-Opt-In und Abmeldung.
  • Cookies: Welche werden gesetzt, welche sind technisch notwendig (TTDSG §25 Abs. 2), welche brauchen Einwilligung.
  • Drittanbieter: Google Fonts (lokal eingebunden!), Maps, Analytics, Schriftarten, Plug-ins.
  • Hosting-Anbieter mit Hinweis auf Auftragsverarbeitungsvertrag (AVV).
  • Betroffenenrechte und Beschwerderecht bei Aufsichtsbehörde.

Häufige Fehler, die abgemahnt werden

  1. Google Fonts wird remote eingebunden statt lokal gehostet – häufiger Abmahngrund.
  2. Externe Tracker (Analytics, Facebook Pixel, Hotjar) ohne explizite Einwilligung.
  3. Pauschal "wir verwenden Cookies" ohne konkrete Auflistung.
  4. Fehlende Rechtsgrundlage pro Verarbeitung (nicht nur "DSGVO" allgemein).
  5. YouTube-Videos im Standard-Modus statt im erweiterten Datenschutzmodus.
  6. Reine Übernahme englischer Vorlagen ohne deutsche Anpassung.

Generator oder Anwalt?

Für Standard-Websites ohne komplexe Tracking-Setups reichen seriöse Generatoren (eRecht24, Anwalt.de, activeMind, datenschutz.org). Sobald jedoch Marketing-Tools, externe Buchungssysteme, Newsletter oder Lead-Generierung im Spiel sind, lohnt eine Prüfung durch einen auf Datenschutz spezialisierten Anwalt – einmal investiert, langfristig sicher.

Passend zu diesem Thema

Websites mit Nischenfunktionen von Software Fehlner

Websites, die organisch ranken und interaktive Funktionen direkt einbauen. Unsere Kundenseiten landen regelmäßig auf Platz 1 für naheliegende Keywords – ohne laufende Ads.

Mehr zu Websites mit Nischenfunktionen Erstgespräch buchen

Weitere Artikel

Konkrete Frage zu diesem Thema?

Schreiben Sie uns – wir antworten persönlich innerhalb 24 Stunden, oder buchen Sie direkt ein kostenfreies 20-Minuten-Erstgespräch.

Termin buchen Nachricht schreiben

kostenfrei unverbindlich ca. 20 Minuten Antwort innerhalb 24 h