Wie erstellen Sie eine datenschutzkonforme Datenschutzerklärung?
Eine datenschutzkonforme Datenschutzerklärung ist gesetzlich vorgeschrieben und schützt Ihr Unternehmen vor Abmahnungen und Bußgeldern. In diesem Beitrag erfahren Sie Schritt für Schritt, welche Angaben erforderlich sind, auf welche Rechtsgrundlagen Sie achten müssen und wie Sie selbst eine rechtssichere Datenschutzerklärung für Ihre Website erstellen können.
Inhaltsverzeichnis
1. Einleitung
2. Rechtliche Grundlagen
• DSGVO (Art. 12–14)
• TTDSG & weitere Normen
3. Wann braucht man eine Datenschutzerklärung?
4. Was muss in eine Datenschutzerklärung rein? (Pflichtbestandteile)
1. Verantwortlicher
2. Kontaktdaten Datenschutzbeauftragter
3. Zwecke der Datenverarbeitung
4. Rechtsgrundlagen
5. Empfänger der Daten
6. Drittland-Übermittlung
7. Speicherdauer
8. Betroffenenrechte
9. Widerruf / Widerspruch
10. Pflicht zur Bereitstellung
11. Automatisierte Entscheidungsfindung
12. Einsatz von Cookies & Tracking-Technologien
13. Kontaktformulare / Newsletter / Analyse-Tools
5. Technische Tipps zur Einbindung auf der Website
6. Typische Fehler & Risiken bei der Datenschutzerklärung
7. Globeria Datenschutz – Ihr Partner für rechtssichere Datenschutzerklärungen
8. Beispiel-Format einer einfachen, DSGVO-konformen Datenschutzerklärung
Zum besseren Verständnis der rechtlichen Datenschutzbestimmungen für Ihre Website oder Ihr Unternehmen werden wir die einzelnen Punkte nun Schritt für Schritt erläutern.
1. Einleitung
Jede Website, die personenbezogene Daten verarbeitet – sei es durch ein Kontaktformular, Newsletter-Anmeldung oder Analyse-Tools – benötigt eine Datenschutzerklärung. Diese muss klar, verständlich und transparent darüber informieren, welche Daten wie, warum und auf welcher Rechtsgrundlage verarbeitet werden.
Eine fehlerhafte oder fehlende Datenschutzerklärung kann laut Art. 83 DSGVO zu hohen Bußgeldern führen – im schlimmsten Fall bis zu 20 Mio. € oder 4 % des Jahresumsatzes.
Dieser Beitrag erklärt Schritt für Schritt, wie Sie selbst eine datenschutzkonforme Datenschutzerklärung erstellen können – verständlich auch für Laien.
2. Rechtliche Grundlagen
Eine datenschutzkonforme Datenschutzerklärung basiert auf verschiedenen gesetzlichen Vorgaben, die sicherstellen, dass personenbezogene Daten transparent und rechtmäßig verarbeitet werden. Die wichtigsten rechtlichen Grundlagen sind:
📌 Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der Europäischen Union unmittelbar geltendes Recht und bildet das Fundament des Datenschutzes. Wesentliche Artikel für die Erstellung einer Datenschutzerklärung sind:
• Artikel 12 DSGVO: Transparenzpflicht
• Verpflichtet Verantwortliche, betroffenen Personen klare und verständliche Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitzustellen.
• Artikel 13 DSGVO: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
• Legt fest, welche Informationen bereitgestellt werden müssen, wenn Daten direkt bei der betroffenen Person erhoben werden.
• Artikel 14 DSGVO: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
• Regelt die Informationspflichten, wenn Daten aus anderen Quellen stammen.
• Artikel 5 Absatz 1 lit. a DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten
• Betont die Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz als grundlegende Prinzipien.
Am 14. Mai 2024 wurde das bisherige Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt. Diese Umbenennung dient der Anpassung an europäische Terminologien, wobei der Begriff “Telemedien” durch “Digitale Dienste” ersetzt wurde. Inhaltlich blieben die Regelungen weitgehend unverändert.
Das TDDDG ergänzt die DSGVO und enthält spezifische Datenschutzvorschriften für Anbieter von Telekommunikationsdiensten und digitalen Diensten, insbesondere in Bezug auf:
• Regelt die Voraussetzungen für das Speichern von Informationen auf Endgeräten der Nutzer und den Zugriff darauf.
• Verarbeitung von Kommunikationsdaten
• Stellt sicher, dass Kommunikationsinhalte und -metadaten vertraulich behandelt werden.
Für Website-Betreiber bedeutet dies, dass sie neben der DSGVO auch die Vorgaben des TDDDG beachten müssen, insbesondere wenn sie Technologien wie Cookies, Tracking-Tools oder Plugins einsetzen.
Gerne! Hier ist die erweiterte und rechtlich fundierte Version des Abschnitts:
3. Wann brauche ich eine Datenschutzerklärung?
Die Verpflichtung zur Bereitstellung einer Datenschutzerklärung ergibt sich immer dann, wenn auf Ihrer Website personenbezogene Daten verarbeitet werden. Diese Pflicht basiert insbesondere auf Artikel 12 bis 14 der Datenschutz-Grundverordnung (DSGVO), die Transparenz, Fairness und Informationspflichten vorschreiben.
Rechtlicher Hintergrund:
• Artikel 12 DSGVO – Verantwortliche müssen geeignete Maßnahmen ergreifen, um betroffenen Personen alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzustellen.
• Artikel 13 DSGVO – Bei Direkterhebung der Daten (z. B. über Kontaktformulare) müssen Betroffene zum Zeitpunkt der Datenerhebung über bestimmte Punkte informiert werden.
• Artikel 14 DSGVO – Bei indirekter Erhebung (z. B. über Drittanbieter wie Google oder Facebook) gelten ähnliche Informationspflichten.
🔍 Konkrete Fälle, in denen eine Datenschutzerklärung zwingend erforderlich ist:
📨 1. Kontaktformulare oder E-Mail-Kontakt
Sobald Sie ein Kontaktformular oder eine Kontakt-E-Mail-Adresse auf Ihrer Website bereitstellen, verarbeiten Sie personenbezogene Daten (z. B. Name, E-Mail-Adresse, Nachrichteninhalt).
➡ Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) oder Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)
📊 2. Einsatz von Webanalyse-Tools
Tools wie Google Analytics, Matomo, Hotjar oder andere setzen Cookies und erfassen Nutzerdaten wie IP-Adresse, Aufenthaltsdauer, Gerätetyp etc.
➡ Diese Daten sind personenbezogen und erfordern deshalb:
• eine Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO und § 25 Abs. 1 TDDDG
• sowie eine vollständige Beschreibung in Ihrer Datenschutzerklärung
🔗 3. Einbindung von Social Media Plugins
Facebook „Like“-Buttons, Instagram Feeds, YouTube-Videos oder ähnliche Drittanbieter-Komponenten übermitteln Daten an Dritte, teilweise auch ohne aktiven Klick.
➡ Das ist eine Verarbeitung personenbezogener Daten mit Drittlandübermittlung (Art. 44 ff. DSGVO)
➡ Hier ist eine Einwilligung vor der Aktivierung und Information in der Datenschutzerklärung erforderlich.
🗞️ 4. Newsletter und E-Mail-Marketing
Wenn Sie einen Newsletter versenden oder Nutzer sich anmelden können, benötigen Sie:
• eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (Double-Opt-in!)
• klare Informationen über den Zweck, die Tools (z. B. Mailchimp), Widerrufsrechte und Speicherdauer in der Datenschutzerklärung.
🛒 5. Betreiben eines Onlineshops
Im Onlineshop werden Adressdaten, Zahlungsdaten, Bestellhistorien u.v.m. verarbeitet.
➡ Auch hier greift Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
➡ Zusätzlich müssen Sie z. B. über Zahlungsdienstleister (PayPal, Klarna), Bonitätsprüfungen, Versanddienstleister etc. informieren.
🍪 6. Setzen von Cookies zu nicht-technischen Zwecken
Nicht-notwendige Cookies (z. B. für Statistik, Marketing, Retargeting) erfordern:
• eine Einwilligung gemäß § 25 TDDDG
• eine vollständige Information in der Datenschutzerklärung inkl. Widerrufsmöglichkeit
🌐 7. IP-Adressen oder Server-Logfiles
Die IP-Adresse gilt in der DSGVO als personenbezogenes Datum. Wenn Sie Logfiles speichern (z. B. für Sicherheitszwecke), muss auch dies in der Datenschutzerklärung erwähnt werden.
➡ Rechtsgrundlage ist in der Regel Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse zur Sicherstellung der IT-Sicherheit)
• personenbezogene Daten aktiv oder passiv erhoben werden,
• Tools von Drittanbietern (insb. aus Drittländern) eingebunden sind,
• oder eine Einwilligung zur Datenverarbeitung eingeholt wird.
💡 Merksatz: Ihre Datenschutzerklärung ist nicht optional – sie ist ein gesetzlich vorgeschriebener Bestandteil jeder Website, die personenbezogene Daten verarbeitet. Und das trifft auf nahezu alle modernen Webseiten zu.
4. Was gehört in eine Datenschutzerklärung?
Gerne! Nachfolgend findest du eine ausführliche Erläuterung zu Punkt 4 der Gliederung („Was gehört in eine Datenschutzerklärung?“), bei der jeder Unterpunkt (1 bis 13) mit einem erklärenden Absatz (ca. 30 Wörter) sowie einer Bulletpoint-Liste mit konkreten Angaben versehen ist. Diese Struktur hilft Website-Betreibern, jeden Abschnitt der Datenschutzerklärung gezielt und korrekt auszufüllen.
✅ 1. Name und Kontaktdaten des Verantwortlichen
Die betroffene Person muss klar erkennen können, wer für die Datenverarbeitung verantwortlich ist. Das ist in der Regel der Betreiber der Website oder das dahinterstehende Unternehmen.
Muss enthalten sein:
• Vollständiger Name bzw. Firmenname
• Geschäftsadresse
• Telefonnummer (optional)
• E-Mail-Adresse (zwingend)
• Vertretungsberechtigte Person (z. B. Geschäftsführer)
✅ 2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
Wenn Sie gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu benennen, müssen dessen Name und Kontaktmöglichkeit in der Datenschutzerklärung genannt werden.
Muss enthalten sein:
• Name des Datenschutzbeauftragten
• E-Mail-Adresse für Datenschutzanfragen
• Telefonnummer oder Kontaktformular
• Erforderlichenfalls Bestellung eines externen Datenschutzbeauftragten
Sie müssen für jede Datenerhebung angeben, wofür die Daten verwendet werden. Das schafft Transparenz und dient der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO).
Typische Zwecke:
• Kontaktaufnahme und Kommunikation
• Vertragsabwicklung (z. B. Bestellungen)
• Newsletter-Versand
• Webanalyse und Statistik
• Werbung / Retargeting / Remarketing
• Sicherheitsmaßnahmen (z. B. Server-Logs)
✅ 4. Rechtsgrundlagen der Verarbeitung
Nach Art. 6 DSGVO benötigen Sie eine konkrete rechtliche Grundlage für jede Datenverarbeitung. Diese muss nachvollziehbar in der Datenschutzerklärung genannt werden.
✅ 5. Empfänger der Daten / Kategorien von Empfängern
Sie müssen offenlegen, an wen Daten weitergegeben werden – sei es innerhalb der Organisation oder an externe Dienstleister (Auftragsverarbeiter).
Mögliche Empfänger:
• Hosting-Anbieter
• Zahlungsdienstleister (z. B. PayPal, Stripe)
• Versanddienstleister (z. B. DHL)
• E-Mail-Marketing-Anbieter (z. B. Mailchimp)
• Analyse-Dienste (z. B. Google Analytics)
✅ 6. Übermittlung in Drittländer
Wenn Daten an Unternehmen außerhalb der EU übermittelt werden (z. B. USA), ist das eine Drittlandübermittlung nach Art. 44 ff. DSGVO und erfordert zusätzliche Garantien.
Angaben erforderlich:
• Name des Drittlands (z. B. USA)
• Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework)
• Standardvertragsklauseln (SCC)
• Risiken der Übermittlung (optional)
✅ 7. Dauer der Speicherung
Sie müssen angeben, wie lange die Daten gespeichert werden oder nach welchen Kriterien die Speicherdauer bestimmt wird (Art. 13 Abs. 2 lit. a DSGVO).
Beispiele:
• Bis zur Zweckerfüllung
• 6 Jahre bei steuerrechtlicher Relevanz
• 10 Jahre bei Buchhaltungsdaten
• Sofortige Löschung nach Widerruf oder Widerspruch
Betroffene Personen müssen über ihre Rechte informiert werden. Diese ergeben sich aus Art. 15 bis 22 DSGVO und müssen leicht verständlich aufgeführt sein.
Rechte, die genannt werden müssen:
• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch
• Recht auf Beschwerde bei einer Aufsichtsbehörde
✅ 9. Widerruf von Einwilligungen
Wurde eine Verarbeitung auf Grundlage einer Einwilligung vorgenommen, muss klar erklärt werden, wie diese widerrufen werden kann (Art. 7 Abs. 3 DSGVO).
Zu nennen:
• „Sie können Ihre Einwilligung jederzeit widerrufen.“
• Widerruf muss so einfach möglich sein wie die Einwilligung
• Keine Nachteile durch Widerruf
✅ 10. Pflicht zur Bereitstellung der Daten
Sie müssen mitteilen, ob die Bereitstellung von Daten gesetzlich oder vertraglich erforderlich ist – und was passiert, wenn diese nicht bereitgestellt werden.
Angaben:
• „Die Bereitstellung der Daten ist nicht gesetzlich vorgeschrieben.“
• „Ohne diese Daten ist eine Bearbeitung Ihrer Anfrage nicht möglich.“
Falls Sie automatisierte Prozesse einsetzen (z. B. Scoring, Bonitätsprüfung), muss dies offengelegt und erklärt werden (Art. 22 DSGVO).
Mögliche Inhalte:
• Ob automatisierte Entscheidungen getroffen werden
• Logik der Entscheidungsfindung
• Tragweite und Auswirkungen für Betroffene
• Möglichkeit, manuell einzugreifen
✅ 12. Cookies und Tracking-Technologien
Die Nutzung von Cookies, Pixeln, Tags und ähnlichen Technologien muss klar erklärt werden – inklusive Zweck, Laufzeit und Anbieter (Art. 13 DSGVO i. V. m. § 25 TDDDG).
Jede spezielle Verarbeitung, z. B. durch Formulare, Newsletter, Plugins oder eingebettete Dienste, muss individuell aufgeführt werden.
Zu dokumentieren:
• Name des Dienstes
• Zweck der Verarbeitung
• Verwendete Datenkategorien
• Rechtsgrundlage
• Empfänger der Daten (Auftragsverarbeiter)
• Link zur Datenschutzerklärung des Tools (z. B. YouTube, Google Maps)
5. Technische Einbindung der Datenschutzerklärung
• Verlinkung im Footer jeder Seite
• Direkt bei der ersten Datenerhebung verlinken
• Keine PDF – sondern HTML-Seite
• Barrierefrei lesbar
• In Kombination mit Impressum & Cookie-Banner
6. Typische Fehler in Datenschutzerklärungen
❌ Verwendung von Generatoren ohne Prüfung
❌ Keine Angaben zu Analyse-Tools
❌ Fehlende Cookie-Informationen
❌ Unvollständige Betroffenenrechte
❌ Keine Angaben zur Drittland-Übermittlung
❌ Veraltete oder unklare Formulierungen
7. Globeria Datenschutz – Ihr Partner für rechtssichere Datenschutzerklärungen
Mit über 10 Jahren Erfahrung als externer Datenschutzbeauftragter unterstützt Globeria Datenschutz Unternehmen jeder Größe dabei, ihre Website vollständig DSGVO-konform zu gestalten.
Unsere Leistungen:
✅ Rechtssichere Datenschutzerklärungen
✅ Website Audit DSGVO + TTDSG
✅ Cookie Consent Analyse & Einrichtung
✅ Externer Datenschutzbeauftragter
✅ Technische & rechtliche Begleitung
✅ Kostenloses Erstgespräch
📧 info@globeriadatenschutz.de
📞 +49 391 83223971
🌐 www.globeriadatenschutz.de
Sichern Sie Ihre Website rechtlich ab – mit der Expertise von Globeria Datenschutz.
Globeria Datenschutz zeichnet sich als einer der führenden Anbieter von DSGVO-Dienstleistungen in Deutschland aus und bietet umfassende Lösungen durch zertifizierte Datenschutzbeauftragte (DSB). Unser Leistungsspektrum umfasst sämtliche Anforderungen der DSGVO-Compliance und stellt sicher, dass Ihr Unternehmen alle gesetzlichen Vorgaben effizient erfüllt. Vertrauen Sie auf unsere Expertise für herausragenden Datenschutz und professionelles Datenschutzmanagement.
Wir betreuen Kunden in Berlin, Frankfurt, München, Magdeburg, Sachsen-Anhalt, Hamburg und bundesweit in ganz Deutschland, einschließlich der erweiterten DACH-Region.
Wir benötigen Ihre Zustimmung gemäß der DSGVO-Verordnung
Wir verwenden Cookies und andere Technologien, um eine optimale und sichere Nutzung unserer Website zu gewährleisten. Indem Sie auf „Alle akzeptieren“ klicken, stimmen Sie der Verwendung dieser Technologien zu und bestätigen, dass Sie unsere Datenschutzrichtlinie und die Allgemeinen Geschäftsbedingungen gelesen haben. Wenn Sie auf „Verweigern“ klicken, werden nur die wesentlichen Cookies aktiviert, die für das Funktionieren der Website erforderlich sind. Sie können Ihre Einstellungen jederzeit ändern oder Ihre Zustimmung widerrufen. Weitere Informationen finden Sie unter den unten stehenden Links.
Erforderlich (funktional)
Immer aktiv
Diese Cookies oder Skripte sind für das grundlegende Funktionieren und die Sicherheit unserer Website unerlässlich. Sie ermöglichen Kernfunktionen wie die Anzeige von Inhalten, die Verwaltung von Einwilligungen, die Buchung von Terminen, den Schutz vor Spam, die Sicherheit, die Zahlungsabwicklung usw. Da diese Cookies für den Betrieb und die Sicherheit der Website unbedingt erforderlich sind, können sie nicht über unsere Cookie-Einstellungen deaktiviert werden.
Präferenzen
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert werden.
Statistik
Statistik-Cookies sammeln Informationen darüber, wie Besucher eine Website nutzen, z. B. welche Seiten am häufigsten besucht werden, wie lange die Nutzer auf einer Seite bleiben und ob sie auf Fehler stoßen. Diese Cookies sammeln keine Informationen, die einen Besucher identifizieren; alle Daten werden aggregiert und anonymisiert. Der Zweck von Statistik-Cookies besteht darin, die Funktionalität der Website durch das Verständnis der Besucherinteraktionen zu verbessern.Statistik-Cookies sammeln Informationen darüber, wie Besucher unsere Website nutzen, z. B. welche Seiten am häufigsten besucht werden, wie lange die Nutzer auf einer Seite verweilen und ob sie auf Fehler stoßen. Diese Cookies sammeln keine Informationen, die einen Besucher identifizieren; alle Daten werden aggregiert und anonymisiert. Der Zweck von Statistik-Cookies besteht darin, die Funktionalität der Website zu verbessern, indem die Interaktionen der Besucher verstanden werden, die Leistung der verschiedenen Elemente der Website gemessen wird und fundierte Verbesserungen der Benutzererfahrung vorgenommen werden. Durch die Analyse dieser Trends können wir unsere Website benutzerfreundlicher und effizienter für unsere Nutzer gestalten.
Vermarktung
Marketing-Cookies werden verwendet, um Besucher auf verschiedenen Websites zu verfolgen. Ziel ist es, Anzeigen zu schalten, die für den einzelnen Nutzer relevant und ansprechend sind und damit für Verlage und Drittanbieter wertvoller sind. Diese Cookies sammeln Informationen über Ihre Surfgewohnheiten und Vorlieben und erstellen oft ein Profil Ihrer Interessen, um Ihnen gezielte, auf Sie zugeschnittene Werbung zu zeigen.
