Eine Datenschutzerklärung ist für jede Website in Deutschland gesetzlich vorgeschrieben, sobald personenbezogene Daten verarbeitet werden – und das betrifft nahezu jeden Webauftritt. Die DSGVO (Art. 13 und 14) verlangt Angaben zum Verantwortlichen, zu Verarbeitungszwecken, Rechtsgrundlagen, Speicherdauer und Betroffenenrechten. Fehlende oder veraltete Angaben können Abmahnungen und Bußgelder nach sich ziehen. Eine DSGVO-konforme Datenschutzerklärung muss vollständig, verständlich und von jeder Seite aus erreichbar sein.
Wer braucht eine Datenschutzerklärung?
Grundsätzlich braucht jede Website eine Datenschutzerklärung, sobald personenbezogene Daten verarbeitet werden. Das beginnt bereits beim Einbinden von Google Fonts, beim Einsatz eines Kontaktformulars oder beim Speichern von Server-Logs mit IP-Adressen. Eine Ausnahme existiert in der Praxis kaum – selbst eine reine Visitenkarten-Website lädt in der Regel externe Ressourcen oder setzt technisch notwendige Cookies.
Für Unternehmen und Selbstständige in NRW – vom Handwerksbetrieb in Remscheid bis zur Agentur in Köln – ist eine rechtskonforme Datenschutzerklärung keine optionale Ergänzung, sondern gesetzliche Pflicht nach Art. 13 und 14 DSGVO sowie § 5 TMG bzw. § 5 DDG (seit 2024).
Welche Inhalte sind Pflicht?
Die DSGVO schreibt konkret vor, welche Informationen Nutzer erhalten müssen. Fehlen Pflichtangaben, ist die Datenschutzerklärung nicht rechtskonform – selbst wenn sie formal vorhanden ist.
- Name und vollständige Kontaktadresse des Verantwortlichen (Impressumspflicht gilt parallel)
- Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt werden muss
- Welche Daten zu welchem Zweck verarbeitet werden (z. B. Kontaktanfragen, Analyse, Newsletter)
- Rechtsgrundlage nach Art. 6 DSGVO: Einwilligung (Abs. 1a), Vertragserfüllung (Abs. 1b), berechtigtes Interesse (Abs. 1f) etc.
- Speicherdauer bzw. Kriterien zu deren Festlegung
- Empfänger oder Kategorien von Empfängern (inkl. Drittländer-Transfers)
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität
- Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (in NRW: LDI NRW)
- Hinweis auf automatisierte Entscheidungsfindung / Profiling, falls zutreffend
Für jede Verarbeitungsaktivität muss eine passende Rechtsgrundlage benannt sein. Wer etwa Analyse-Tools wie Google Analytics einsetzt, benötigt eine aktive Einwilligung des Nutzers – ein berechtigtes Interesse reicht hier nach herrschender Auffassung nicht aus.
Drittanbieter korrekt einbinden
Viele Websites binden externe Dienste ein, ohne sich der datenschutzrechtlichen Konsequenzen bewusst zu sein. Jeder externe Drittanbieter-Dienst muss in der Datenschutzerklärung einzeln aufgeführt werden – mit Angabe des Anbieters, des Zwecks, der Rechtsgrundlage und einem Link zu dessen eigener Datenschutzerklärung.
- Google Analytics / Google Tag Manager: Einwilligung via Consent Management Platform (CMP) erforderlich, IP-Anonymisierung dokumentieren
- Google Maps / OpenStreetMap: Karten nur nach Einwilligung oder als statisches Vorschaubild laden
- Google Fonts: Selbst hosten statt extern einbinden – sonst IP-Übertragung in die USA ohne Einwilligung
- YouTube-Embeds: Erweiterten Datenschutzmodus nutzen und in Datenschutzerklärung aufführen
- CDN-Dienste (Cloudflare, jsDelivr etc.): Auftragsverarbeitungsvertrag (AVV) abschließen und dokumentieren
- Buchungssysteme / Chat-Widgets: Datenweitergabe transparent machen, AVV mit Anbieter
Bei Diensten, die Daten in Drittländer (z. B. USA) übertragen, sind seit dem Schrems-II-Urteil zusätzliche Angaben zu den Übertragungsgrundlagen nötig – in der Regel EU-Standardvertragsklauseln oder ein Adequacy Decision (für die USA: EU-US Data Privacy Framework seit 2023).
Datenschutzerklärung aktuell halten
Eine einmalig erstellte Datenschutzerklärung ist selten dauerhaft korrekt. Gesetze ändern sich, neue Dienste werden eingebunden, Anbieter passen ihre eigenen Richtlinien an – all das erfordert Aktualisierungen. In der Praxis empfiehlt sich eine Prüfung mindestens einmal jährlich sowie immer dann, wenn sich die technische Infrastruktur der Website ändert.
- Changelog führen: Jede inhaltliche Änderung mit Datum dokumentieren
- Neue Tools prüfen: Bevor ein neues Plugin, Skript oder Widget eingebunden wird, datenschutzrechtliche Folgen abklären
- CMP synchron halten: Cookie-Banner und Datenschutzerklärung müssen dieselben Dienste und Kategorien aufführen
- Anbieter-Updates verfolgen: Wenn ein Drittanbieter seine Datenschutzerklärung ändert, kann Handlungsbedarf entstehen
- Rechtliche Änderungen beachten: TTDSG, DDG und EU-Verordnungen entwickeln sich weiter
Kurz zusammengefasst
- Pflicht für alle: Jede Website mit Datenverarbeitung (Formulare, Cookies, Analytics) braucht eine Datenschutzerklärung
- Pflichtinhalte: Verantwortlicher, Zwecke, Rechtsgrundlagen nach Art. 6 DSGVO, Speicherdauer, Betroffenenrechte, Beschwerderecht
- Drittanbieter einzeln aufführen: Jeder externe Dienst mit Zweck, Rechtsgrundlage und Link zur Anbieter-Datenschutzerklärung
- Einwilligung für Tracking: Google Analytics, GTM und ähnliche Dienste erfordern eine aktive Einwilligung via CMP
- Google Fonts selbst hosten: Externe Einbindung überträgt IP-Adressen ohne Einwilligung – rechtlich riskant
- Regelmäßig aktualisieren: Mindestens jährlich und bei jeder Infrastrukturänderung prüfen
- Footer-Link auf jeder Seite: Datenschutzerklärung muss immer direkt erreichbar sein
