Datenschutzerklärung für Websites: Was 2026 Pflicht ist

Die DSGVO verlangt von jedem, der personenbezogene Daten verarbeitet, eine transparente Information darüber. Bei Websites ist das praktisch immer der Fall – allein Server-Logs mit IP-Adressen sind personenbezogene Daten. Eine Datenschutzerklärung ist also Pflicht, kein "Nice-to-have".

Pflichtangaben nach Art. 13 DSGVO

1. Name und Kontaktdaten des Verantwortlichen.
2. Bei Pflicht: Kontaktdaten des Datenschutzbeauftragten (in der Regel ab 20 Personen, die ständig mit personenbezogenen Daten arbeiten).
3. Zwecke und Rechtsgrundlagen der Verarbeitung (z. B. Art. 6 Abs. 1 lit. b für Vertragsanbahnung, lit. f für berechtigtes Interesse, lit. a für Einwilligung).
4. Empfänger der Daten oder Kategorien von Empfängern (z. B. Hoster, Versanddienstleister).
5. Übermittlung in Drittländer und entsprechende Garantien (besonders relevant bei US-Diensten).
6. Speicherdauer oder Kriterien für die Festlegung.
7. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Beschwerde.
8. Bestehende automatisierte Entscheidungsfindung inklusive Profiling.

Typische Abschnitte einer KMU-Datenschutzerklärung

• Verantwortliche Stelle: Vollständige Kontaktdaten.
• Server-Logfiles: Welche Verbindungsdaten werden erhoben, wie lange gespeichert.
• Kontaktformular und E-Mail: Welche Daten, welcher Zweck, welche Rechtsgrundlage.
• Newsletter: nur, wenn vorhanden – mit Hinweis auf Double-Opt-In und Abmeldung.
• Cookies: Welche werden gesetzt, welche sind technisch notwendig (TTDSG §25 Abs. 2), welche brauchen Einwilligung.
• Drittanbieter: Google Fonts (lokal eingebunden!), Maps, Analytics, Schriftarten, Plug-ins.
• Hosting-Anbieter mit Hinweis auf Auftragsverarbeitungsvertrag (AVV).
• Betroffenenrechte und Beschwerderecht bei Aufsichtsbehörde.

Häufige Fehler, die abgemahnt werden

1. Google Fonts wird remote eingebunden statt lokal gehostet – häufiger Abmahngrund.
2. Externe Tracker (Analytics, Facebook Pixel, Hotjar) ohne explizite Einwilligung.
3. Pauschal "wir verwenden Cookies" ohne konkrete Auflistung.
4. Fehlende Rechtsgrundlage pro Verarbeitung (nicht nur "DSGVO" allgemein).
5. YouTube-Videos im Standard-Modus statt im erweiterten Datenschutzmodus.
6. Reine Übernahme englischer Vorlagen ohne deutsche Anpassung.

Generator oder Anwalt?

Für Standard-Websites ohne komplexe Tracking-Setups reichen seriöse Generatoren (eRecht24, Anwalt.de, activeMind, datenschutz.org). Sobald jedoch Marketing-Tools, externe Buchungssysteme, Newsletter oder Lead-Generierung im Spiel sind, lohnt eine Prüfung durch einen auf Datenschutz spezialisierten Anwalt – einmal investiert, langfristig sicher.