InFocus · Begriff

Datenschutzerklärung

Aktualisiert Juli 2026 ca. 8Minuten Norm-Anker: Artikel 13 und 14 DSGVO, TDDDG

AppCore IntelligenceUnit Redaktion, AppCore

Die AppCore IntelligenceUnit beobachtet die Entwicklung der einschlägigen Regulierung laufend und bereitet sie redaktionell auf.

  • Content-Compliance
  • Markenkommunikation

Die Datenschutzerklärung ist der Text, mit dem eine Website ihren Besuchern offenlegt, welche personenbezogenen Daten sie zu welchem Zweck verarbeitet, eine Pflicht aus der DSGVO für praktisch jede Seite.

In Kürze Pflicht aus Artikel 13 und 14 DSGVONötig, sobald eine Website personenbezogene Daten verarbeitetMuss leicht zugänglich, klar und vollständig seinMuss zur tatsächlichen Datenverarbeitung der Seite passenFehlende oder falsche Angaben sind abmahnfähig

Was die Datenschutzerklärung leistet

Die Datenschutzerklärung, oft auch Datenschutzhinweise genannt, ist der Ort, an dem ein Website-Betreiber offenlegt, welche personenbezogenen Daten er erhebt, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange er sie speichert. Sie setzt die Informationspflicht der DSGVO um, nach der Betroffene wissen müssen, was mit ihren Daten geschieht.

Nötig ist sie, sobald eine Website personenbezogene Daten verarbeitet, und das tut praktisch jede: Schon der Server, der beim Aufruf die IP-Adresse verarbeitet, löst die Pflicht aus. Kontaktformulare, Newsletter, Analyse-Tools und eingebundene Drittdienste kommen hinzu.

Anders als das Impressum ist die Datenschutzerklärung kein statischer Standardtext. Sie muss die tatsächliche Datenverarbeitung der konkreten Seite abbilden. Eine aus dem Netz kopierte Erklärung, die nicht zu den eingesetzten Werkzeugen passt, erfüllt die Pflicht nicht.

Rechtsgrundlage: Artikel 12, 13 und 14 DSGVO

Die Pflicht zur Datenschutzerklärung folgt aus den Informationspflichten der Artikel 13 und 14 der DSGVO. Artikel 13 greift, wenn die Daten direkt bei der betroffenen Person erhoben werden, etwa über ein Formular. Artikel 14 greift, wenn die Daten aus einer anderen Quelle stammen. Artikel 12 verlangt zusätzlich, dass die Information in klarer, einfacher Sprache und leicht zugänglich erfolgt.

In Deutschland tritt für Cookies und ähnliche Techniken das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu. Die Datenschutzerklärung ist damit eng mit dem Cookie-Banner und der Einwilligungslösung einer Seite verzahnt.

Was in eine Datenschutzerklärung gehört

Der Umfang hängt davon ab, was eine Seite tatsächlich verarbeitet. Zum Kern gehören: der Verantwortliche mit Kontaktdaten, gegebenenfalls ein Datenschutzbeauftragter, sowie für jede Verarbeitung der Zweck, die Rechtsgrundlage und die Speicherdauer. Hinzu kommen die Empfänger der Daten, etwa Hosting-, Newsletter- oder Analyse-Dienste, und der Hinweis, wenn Daten in Länder außerhalb der EU übertragen werden.

Unverzichtbar ist außerdem die Aufklärung über die Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, dazu das Recht, eine erteilte Einwilligung zu widerrufen, und das Beschwerderecht bei einer Aufsichtsbehörde.

Der häufigste Fehler: Text und Realität passen nicht zusammen

Die meisten Probleme entstehen nicht durch fehlende Textbausteine, sondern durch eine Erklärung, die nicht zur Seite passt: Sie nennt Dienste, die gar nicht eingesetzt werden, oder verschweigt solche, die aktiv Daten senden. Maßgeblich ist immer, was die Seite technisch wirklich tut.

Brauchst du eine Datenschutzerklärung?

Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.

Trifft mich das?

Schalte mindestens ein Kriterium ein, um eine Einschätzung zu sehen.

Woran sich eine Datenschutzerklärung messen lässt

Was Artikel 12 der DSGVO von der Information verlangt, in vier Prinzipien.

Vier Anforderungen, zum Durchtippen

Jede Verarbeitung wird genannt.

Die Erklärung muss jede tatsächliche Datenverarbeitung abbilden, mit Zweck, Rechtsgrundlage und Speicherdauer. Was die Seite tut, aber verschweigt, ist ein Verstoß.

Hilft Jedes Tool, jedes Formular und jeder Drittdienst ist aufgeführt.

Stolperfalle Analyse-Tool aktiv, aber in der Erklärung nicht erwähnt.

Klare, einfache Sprache statt Juristendeutsch.

Artikel 12 verlangt eine präzise, transparente und verständliche Information. Eine Erklärung, die niemand versteht, erfüllt ihren Zweck nicht.

Hilft Kurze Absätze, die erklären, was mit den Daten geschieht.

Stolperfalle Seitenlange Schachtelsätze ohne Struktur.

Von jeder Seite aus leicht erreichbar.

Die Datenschutzerklärung muss unmittelbar und ständig erreichbar sein, üblicherweise über einen klar beschrifteten Link im Footer, getrennt vom Impressum.

Hilft Link „Datenschutz“ im Footer jeder Seite.

Stolperfalle Erklärung nur über Umwege oder gar nicht verlinkt.

Der Text folgt der tatsächlichen Verarbeitung.

Ändert sich die Datenverarbeitung, etwa durch ein neues Tool, muss die Erklärung nachgezogen werden. Eine veraltete Erklärung wird schnell unvollständig und damit angreifbar.

Hilft Nach jedem neuen Tool wird die Erklärung angepasst.

Stolperfalle Erklärung von 2019, obwohl längst neue Dienste laufen.

Muster-Generatoren und ihre Grenzen

Datenschutz-Generatoren und Muster sind ein sinnvoller Startpunkt, weil sie die Standard-Textbausteine liefern. Ihre Grenze liegt in der Konfiguration: Ein Generator kann nur abbilden, was man ihm angibt. Wer Dienste vergisst oder Bausteine für Tools stehen lässt, die gar nicht laufen, produziert eine Erklärung, die nicht zur Seite passt.

Deshalb ersetzt kein Muster den Abgleich mit der Realität der eigenen Seite. Die eigentliche Arbeit ist nicht das Formulieren, sondern das vollständige Erfassen, welche Daten die Seite tatsächlich verarbeitet und an wen sie sie weitergibt.

Wie steht es um deine Datenschutzerklärung?

Wähle die Situation, die deiner aktuellen Website am nächsten kommt.

Trifft eine der folgenden Situationen auf dich zu?

Wähle eine Situation, um die Einordnung zu sehen.

Zeitleiste

Von den Datenschutzhinweisen zur DSGVO-Pflicht

Wie aus knappen Hinweisen eine umfassende, verbindliche Informationspflicht wurde.

  1. vor 2018

    Freiwillige Datenschutzhinweise

    Vor der DSGVO existierten Datenschutzhinweise oft nur in knapper Form. Umfang und Verständlichkeit waren wenig geregelt.

  2. 2018

    Die DSGVO macht die Erklärung zur Pflicht

    Mit den Artikeln 13 und 14 wird die umfassende, verständliche Datenschutzerklärung europaweit verbindlich.

  3. 2021

    Das TTDSG regelt Cookies

    Das Telekommunikation-Telemedien-Datenschutz-Gesetz, heute TDDDG, verzahnt Cookie-Einwilligung und Datenschutzerklärung enger.

  4. laufend

    Unvollständige Erklärungen bleiben Abmahn-Ziel

    Erklärungen, die nicht zur Seite passen oder veraltet sind, gehören zu den häufigen Abmahn-Anlässen.

Die Rechtslage: DSGVO und TDDDG

Rechtlich stützt sich die Datenschutzerklärung auf die Informationspflichten der Artikel 13 und 14 DSGVO sowie das Transparenzgebot des Artikels 12. Für Cookies und ähnliche Techniken kommt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu. Beide Ebenen greifen ineinander: Was der Cookie-Banner an Diensten abfragt, muss die Datenschutzerklärung erklären.

Für die Praxis kommt es auf die Deckung an: Jeder Dienst, der Daten verarbeitet, gehört in die Erklärung, mit Zweck, Rechtsgrundlage und Speicherdauer. Kein genannter Dienst darf fehlen, kein genannter Dienst überflüssig sein.

So findet der AppCore Audit Lücken in der Datenschutzerklärung

Der AppCore Audit prüft mit der Lösung PrivacyScanner, welche Dienste eine Seite tatsächlich lädt, und gleicht sie mit der vorhandenen Datenschutzerklärung ab. Wo ein aktiver Dienst nicht erklärt ist oder ein erklärter Dienst gar nicht läuft, macht der Befund die Abweichung sichtbar.

Abmahnung und Bußgeld: die Folgen

Eine fehlende oder unvollständige Datenschutzerklärung ist in mehrfacher Hinsicht riskant. Aufsichtsbehörden können sie als Verstoß gegen die Informationspflicht mit einem Bußgeld ahnden. Daneben mahnen Mitbewerber und Verbände unvollständige oder fehlende Erklärungen ab, verbunden mit Anwalts- und Verfahrenskosten.

Besonders heikel ist der Fall, dass eine Erklärung Dienste verschweigt, die ohne Einwilligung Daten senden. Dann treffen zwei Probleme zusammen: die unvollständige Information und die möglicherweise fehlende Rechtsgrundlage für die Verarbeitung selbst. Wer beides vorab prüft, entschärft die Kette an ihrer Wurzel.

Die eigene Datenschutzerklärung aktuell halten

Die meisten Lücken entstehen nicht beim ersten Aufsetzen, sondern im Laufe der Zeit: Ein neues Analyse-Tool, ein eingebundenes Video, ein Chat-Widget kommt hinzu, ohne dass die Erklärung nachgezogen wird. Drei Fragen helfen bei der Einordnung. Erstens: Ist jeder Dienst, der auf der Seite Daten verarbeitet, in der Erklärung genannt? Zweitens: Steht zu jeder Verarbeitung Zweck, Rechtsgrundlage und Speicherdauer? Drittens: Ist die Erklärung von jeder Seite aus leicht erreichbar und verständlich?

Wer diese Fragen ehrlich beantwortet, findet die meisten Lücken selbst. Nicht erwähnte Drittdienste, fehlende Angaben zu Speicherdauer und Rechtsgrundlage und ein Text, der seit Jahren nicht angefasst wurde, gehören zu den häufigsten Fundstellen.

Für Seiten mit vielen eingebundenen Diensten wird der Abgleich schnell unübersichtlich. Genau hier setzt der AppCore Audit an: Er liest aus, welche Dienste eine Seite wirklich lädt, und macht sichtbar, wo die Datenschutzerklärung dahinter zurückbleibt. Aus einer diffusen Unsicherheit wird eine konkrete Liste.

Eine gute Datenschutzerklärung ist kein Pflicht-Text zum Wegklicken, sondern ein Vertrauens-Signal. Wer klar und ehrlich zeigt, was mit den Daten geschieht, senkt nicht nur sein Compliance-Risiko, sondern stärkt auch das Vertrauen seiner Besucher.

Wo stehst du gerade?

Dein Weg zu mehr Sicherheit

Vom Befund zur laufenden Prüfung

Drei Schritte, jeder für sich nutzbar.

Schritt 1 · Diagnose

AppCore Audit

kostenfreieinmalige Diagnose

Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.

Kostenfrei starten
Schritt 3 · Dauerpflege

Plan

ab 99,- €pro Monat

Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.

Pläne ansehen

Audit BluePrint / CMS Plan

Nächster Schritt

Compliance-Risiko einschätzen

Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.