Datenschutzerklärung: DSGVO-Anforderungen und Compliance

Die Datenschutzerklärung: Gesetzliche Pflicht für Jede Webseite

Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 ist eine Datenschutzerklärung für jede Webseite, die personenbezogene Daten verarbeitet, gesetzlich vorgeschrieben. Das betrifft praktisch jede Webseite — denn bereits das Erfassen von IP-Adressen durch den Webserver gilt als Verarbeitung personenbezogener Daten.

Die Anforderungen ergeben sich aus Art. 13 und 14 DSGVO (Informationspflichten) sowie dem deutschen Telemediengesetz (TMG) und dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Verstösse können mit Bussgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden.

Unser Datenschutzerklärung-Generator erstellt eine Grundstruktur, die die wichtigsten DSGVO-Anforderungen abdeckt. Beachten Sie, dass der Generator eine Hilfestellung bietet — für rechtsverbindliche Beratung sollten Sie einen Datenschutzbeauftragten oder Anwalt konsultieren.

Pflichtangaben Nach DSGVO: Was Muss Enthalten Sein?

Art. 13 DSGVO definiert die Mindestinformationen, die Sie bereitstellen müssen:

1. Verantwortlicher: Name und Kontaktdaten des Verantwortlichen (bei Unternehmen: Firmenname, Anschrift, E-Mail, Telefon). Bei Vorhandensein: Kontaktdaten des Datenschutzbeauftragten.

2. Zweck und Rechtsgrundlage: Für jede Art der Datenverarbeitung müssen Sie angeben, welche Daten Sie erfassen, zu welchem Zweck, und auf welcher Rechtsgrundlage (Art. 6 Abs. 1 DSGVO):

• Art. 6 Abs. 1 lit. a: Einwilligung (z.B. Newsletter-Anmeldung).
• Art. 6 Abs. 1 lit. b: Vertragserfüllung (z.B. Bestellabwicklung).
• Art. 6 Abs. 1 lit. f: Berechtigtes Interesse (z.B. Webseiten-Analyse, IT-Sicherheit).

3. Empfänger der Daten: An wen werden die Daten weitergegeben? Hosting-Provider, Zahlungsdienstleister, Newsletter-Dienste etc.

4. Datenübermittlung in Drittländer: Wenn Daten ausserhalb der EU/EWR verarbeitet werden (z.B. Google Analytics, AWS, Cloudflare), muss die Rechtsgrundlage für die Übermittlung angegeben werden.

5. Speicherdauer: Wie lange werden die Daten gespeichert? Konkrete Fristen oder Kriterien für die Löschung.

6. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Beschwerde bei der Aufsichtsbehörde.

Typische Datenverarbeitungen und Ihre Dokumentation

Die meisten Webseiten verarbeiten Daten in ähnlichen Bereichen:

Server-Logfiles: Jeder Webserver speichert IP-Adresse, Zeitstempel, aufgerufene Seite und Browser-Informationen. Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f). Speicherdauer: Typisch 7-30 Tage.

Cookies und Tracking: Seit dem TTDSG (Dezember 2021) benötigen Sie für nicht essenzielle Cookies eine ausdrückliche Einwilligung (Opt-in) über einen Cookie-Banner. Essenzielle Cookies (z.B. Session-Cookies) benötigen keine Einwilligung.

Kontaktformular: Name, E-Mail und Nachrichteninhalt. Rechtsgrundlage: Vertragsanbahnung (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse.

Newsletter: E-Mail-Adresse, ggf. Name. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a). Double-Opt-in ist in Deutschland rechtlich erforderlich. Dokumentieren Sie den Einwilligungsnachweis.

Google Analytics / Matomo: Wenn Sie Webanalyse-Tools einsetzen, beschreiben Sie detailliert, welche Daten erfasst werden, ob IP-Anonymisierung aktiv ist, und wie der Nutzer widersprechen kann.

Häufige Fehler bei Datenschutzerklärungen

Diese Fehler finden sich regelmässig bei der Überprüfung von Datenschutzerklärungen:

• Veraltete Rechtsgrundlagen: Manche Erklärungen verweisen noch auf das alte BDSG oder die EU-Privacy-Shield-Regelung (seit 2020 ungültig). Achten Sie auf aktuelle Rechtsgrundlagen.
• Fehlende Dienste: Jeder eingebundene Drittanbieter-Dienst muss aufgeführt werden. Google Fonts, YouTube-Videos, Social-Media-Buttons, CDNs — alles, was Daten an Dritte übermittelt.
• Pauschale Formulierungen: "Wir respektieren Ihre Privatsphäre" ist keine Datenschutzerklärung. Die DSGVO verlangt konkrete, spezifische Angaben.
• Fehlender Cookie-Banner: Seit dem TTDSG ist ein Consent-Banner für nicht essenzielle Cookies Pflicht. Viele Seiten setzen weiterhin Tracking-Cookies ohne Einwilligung.
• Nicht erreichbar: Die Datenschutzerklärung muss von jeder Seite aus mit maximal zwei Klicks erreichbar sein. Ein Link im Footer ist Standard.

Internationale Anforderungen: DSGVO, CCPA und Mehr

Wenn Ihre Webseite international zugänglich ist, müssen Sie möglicherweise weitere Datenschutzgesetze beachten:

• DSGVO (EU/EWR): Gilt für alle Unternehmen, die Daten von Personen in der EU verarbeiten — unabhängig vom Firmensitz. Die strengste Regulierung weltweit.
• CCPA/CPRA (Kalifornien, USA): Ähnliche Rechte wie die DSGVO, mit Fokus auf das Recht auf Löschung und das Recht auf Opt-out beim Verkauf personenbezogener Daten.
• DSG (Schweiz): Das revidierte Schweizer Datenschutzgesetz (seit September 2023) orientiert sich stark an der DSGVO, hat aber eigene Besonderheiten.
• LGPD (Brasilien): Das brasilianische Pendant zur DSGVO. Ähnliche Grundsätze, eigene Aufsichtsbehörde.

Für internationale Webseiten empfiehlt es sich, die DSGVO als Basis zu nehmen und länderspezifische Ergänzungen hinzuzufügen.

Datenschutzerklärung Erstellen: Praktische Schritte

So erstellen Sie eine DSGVO-konforme Datenschutzerklärung:

1. Bestandsaufnahme: Listen Sie alle Datenverarbeitungen auf Ihrer Webseite auf. Welche Dienste sind eingebunden? Welche Formulare gibt es? Welche Cookies werden gesetzt?
2. Generator nutzen: Unser Datenschutzerklärung-Generator erstellt eine strukturierte Grundlage mit den wichtigsten Abschnitten.
3. Individualisieren: Passen Sie die generierte Erklärung an Ihre spezifische Situation an. Ergänzen Sie fehlende Dienste und entfernen Sie nicht zutreffende Abschnitte.
4. Rechtliche Prüfung: Lassen Sie die fertige Erklärung von einem Datenschutzbeauftragten oder spezialisierten Anwalt prüfen. Eine fehlerhafte Datenschutzerklärung kann abgemahnt werden.
5. Regelmässig aktualisieren: Wenn Sie neue Dienste einbinden oder Prozesse ändern, muss die Datenschutzerklärung aktualisiert werden. Führen Sie einen Änderungsvermerk mit Datum.

Starten Sie jetzt mit unserem kostenlosen Datenschutzerklärung-Generator — als strukturierte Grundlage für Ihre DSGVO-konforme Datenschutzerklärung.