Ist eine Datenschutzerklärung für jede Website Pflicht?

Ja. Art. 13 DSGVO verpflichtet jeden Verantwortlichen, der personenbezogene Daten erhebt, zur Information der Betroffenen. Selbst wenn Ihre Website nur Server-Logs anlegt, verarbeiten Sie IP-Adressen — das löst die Informationspflicht aus.

Was passiert, wenn die Datenschutzerklärung fehlt?

Ein Verstoß gegen Art. 13 DSGVO kann Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes nach sich ziehen. In der Praxis drohen deutschen KMUs vor allem Abmahnungen mit Streitwerten ab 2.000 €.

Muss ich die Datenschutzerklärung aktualisieren, wenn ich neue Tools einbinde?

Ja. Die Datenschutzerklärung muss immer den aktuellen Verarbeitungsstand Ihrer Website widerspiegeln. Wenn Sie ein neues Analyse-Tool oder einen neuen Dienst einbinden, muss die Erklärung zeitnah angepasst werden.

Reicht ein Generator-Text für die Datenschutzerklärung?

Nur wenn er auf Ihre Website passt. Generische Texte, die Dienste beschreiben, die Sie gar nicht nutzen, oder Dienste, die Sie nutzen, nicht erwähnen, sind fehlerhaft und können trotzdem zu Abmahnungen führen.

DSGVO & Datenschutz

Datenschutzerklärung für Websites: Was Pflicht ist und was fehlt

Steven | TrustYourWebsite · 3. Mai 2026

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung. Das ist fast jede Website — denn schon das Speichern von IP-Adressen in Server-Logs ist eine Verarbeitung im Sinne der DSGVO.

Art. 13 DSGVO schreibt vor, was Betroffene bei der Datenerhebung erfahren müssen. Die häufigste Frage: Was muss wirklich rein? Und warum reicht der Generator-Text oft nicht aus?

Die Pflichtangaben nach Art. 13 DSGVO

Wer ist Verantwortlicher?

Name und Kontaktdaten des Verantwortlichen — das ist in der Regel das Unternehmen oder die Person, die die Website betreibt. Wenn Sie einen Datenschutzbeauftragten (DSB) haben, muss auch dessen Kontakt angegeben werden.

Welche Daten werden verarbeitet und warum?

Für jeden Verarbeitungsvorgang müssen Sie angeben:

Art der Daten (z.B. IP-Adressen, E-Mail-Adressen, Zahlungsdaten)
Zweck der Verarbeitung (z.B. Analyse, Auftragsabwicklung, Newsletter)
Rechtsgrundlage (Art. 6 DSGVO: Einwilligung, Vertragserfüllung, berechtigtes Interesse usw.)
Empfänger (welche Dritten empfangen Daten — z.B. Google, Facebook, Ihr Hosting-Anbieter)

Internationale Datenübermittlungen

Wenn Daten außerhalb der EU/des EWR übermittelt werden, muss das stehen. Das betrifft jeden, der Google Analytics, AWS US-Instanzen, Meta Pixel oder ähnliche US-Dienste nutzt. Seit dem EU-US Data Privacy Framework (Juli 2023) gibt es eine neue Rechtsgrundlage für US-Transfers — aber das Framework selbst muss in der Datenschutzerklärung erwähnt werden.

Speicherdauer

Wie lange werden Daten gespeichert? Viele Datenschutzerklärungen lassen diesen Punkt aus oder schreiben vage "solange gesetzlich erforderlich". Das ist zu ungenau. Für jede Kategorie sollte eine konkrete Frist oder ein konkretes Löschkriterium angegeben sein.

Rechte der Betroffenen

Art. 13 Abs. 2 DSGVO verlangt explizit einen Hinweis auf folgende Rechte:

Auskunftsrecht (Art. 15)
Recht auf Berichtigung (Art. 16)
Recht auf Löschung (Art. 17)
Recht auf Einschränkung der Verarbeitung (Art. 18)
Recht auf Datenübertragbarkeit (Art. 20)
Widerspruchsrecht (Art. 21)
Widerrufsrecht bei einwilligungsbasierter Verarbeitung (Art. 7 Abs. 3)
Beschwerderecht bei einer Aufsichtsbehörde (Art. 77)

Die zuständige Aufsichtsbehörde in Deutschland ist je nach Bundesland eine der 17 Datenschutzaufsichtsbehörden (Bund + 16 Länder). Für Unternehmen gilt in der Regel die Behörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat.

Was in Generator-Texten oft fehlt

Generator-Tools wie datenschutz-generator.de oder e-recht24.de erzeugen solide Grundtexte. Das Problem: Sie erfordern, dass Sie bei der Erstellung korrekt angeben, welche Dienste Sie tatsächlich nutzen. Viele Betreiber:

Wählen Dienste aus, die sie nicht mehr nutzen (veraltete Erklärung)
Vergessen neue Tools, die nach der Erstellung eingebunden wurden
Nutzen WordPress-Plugins, die im Hintergrund Daten übermitteln, ohne davon zu wissen

Das Ergebnis ist eine Datenschutzerklärung, die nicht zur tatsächlichen Datenverarbeitung passt.

Häufig vergessene Dienste

Dienst	Was übermittelt wird	Muss erwähnt werden?
Google Fonts (extern)	IP-Adresse an Google	Ja
Google Maps eingebettet	IP-Adresse, Standortdaten	Ja
YouTube-Einbettung	IP-Adresse, Cookies	Ja
Cloudflare (CDN)	IP-Adresse, HTTP-Header	Ja
Ihre Hosting-Provider	Server-Logs, IP-Adressen	Ja
Typeform / JotForm	Formulardaten an US-Server	Ja
Calendly	Buchungsdaten an US-Server	Ja

Prüfen Sie Ihre Website mit unserem kostenlosen Scanner, um alle externen Verbindungen zu identifizieren, die in Ihre Datenschutzerklärung gehören.

Wo muss die Datenschutzerklärung stehen?

Wie das Impressum muss die Datenschutzerklärung "leicht erkennbar" erreichbar sein. Ein Link im Footer jeder Seite ist Standard. Der Linktext sollte "Datenschutz" oder "Datenschutzerklärung" lauten — nicht "Rechtliches" oder "Hinweise".

Besondere Pflicht bei Kontaktformularen: Beim Formular selbst muss ein kurzer Datenschutzhinweis erscheinen, der auf die vollständige Erklärung verweist. Das kann ein kleiner Satz mit Link sein: "Ihre Daten werden gemäß unserer [Datenschutzerklärung] verarbeitet."

Abmahnungen wegen Datenschutzverstößen

Die DSGVO gibt Mitbewerbern und Abmahnvereinen unter bestimmten Voraussetzungen das Recht, Datenschutzverstöße abzumahnen (§ 13 UWG i.V.m. DSGVO Art. 83). Der Bundesgerichtshof hat in der Entscheidung I ZR 186/17 (Datenschutz-Grundverordnung) klargestellt, dass DSGVO-Verstöße wettbewerbsrechtlich verfolgbar sind.

Typische Streitwerte bei Abmahnungen wegen fehlender oder unvollständiger Datenschutzerklärung: 2.000 bis 8.000 €.

Häufigste Verstöße, die zu Abmahnungen führen:

Datenschutzerklärung fehlt komplett
Keine Angaben zu Google Analytics oder ähnlichen Tools
Kein Hinweis auf das Widerspruchsrecht
Keine Angabe zur Datenschutzaufsichtsbehörde
Datenübermittlung in Drittländer nicht erwähnt

Wann muss die Datenschutzerklärung aktualisiert werden?

Wenn Sie einen neuen Dienst (Analytics, Chat, CRM, Zahlungsanbieter) einbinden
Wenn sich die Rechtslage ändert (z.B. Neugestaltung des EU-US Data Privacy Frameworks)
Wenn Sie Daten zu neuen Zwecken nutzen
Wenn sich Ihr Dienstleister ändert (z.B. von einem deutschen zu einem US-Hosting-Anbieter)

Es gibt keine gesetzliche Pflicht, die Datenschutzerklärung jährlich zu aktualisieren — aber sie muss immer den aktuellen Stand der tatsächlichen Verarbeitung widerspiegeln.

Fazit

Eine Datenschutzerklärung ist keine Formalität, die man einmal kopiert und vergisst. Sie ist ein lebendiges Dokument, das mit Ihrer Website mitgehen muss.

Prüfen Sie jetzt Ihre Website kostenlos mit unserem DSGVO-Scanner und sehen Sie, welche externen Dienste Ihre Website nutzt — damit Ihre Datenschutzerklärung wirklich vollständig ist.

Ihre Website jetzt prüfen

Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.

Website kostenlos scannen

Website-Leitfäden

Brauche ich einen Cookie-Banner? Die DSGVO-Pflicht für deutsche Websites

Nicht jede Website braucht einen Cookie-Banner. Diese Entscheidungshilfe zeigt, wann die DSGVO einen Banner vorschreibt und wann Sie ohne auskommen.

Cookie-Einwilligung in Österreich: § 165 TKG 2021 und die DSB-Cookie-Leitlinien

Österreichs Cookie-Recht steht im § 165 TKG 2021 — nicht im deutschen TTDSG. Was die DSB-Leitlinien fordern, welche Banner-Designs sicher sind und wo der häufigste Fehler liegt.

DSGVO Website-Check: 10 häufige Fehler auf deutschen Websites

Diese 10 DSGVO-Fehler findet unser Scanner auf deutschen Websites am häufigsten. Mit konkreten Lösungsschritten für jeden Verstoß.