Datenschutzerklärung
AppCore InFocus
Art. 13 DSGVO
Informationspflicht
Pflicht seit — Tagen
Die Datenschutzerklärung ist der Text, mit dem eine Website ihren Besuchern offenlegt, welche personenbezogenen Daten sie zu welchem Zweck verarbeitet, eine Pflicht aus der DSGVO für praktisch jede Seite.
Was die Datenschutzerklärung leistet
Die Datenschutzerklärung, oft auch Datenschutzhinweise genannt, ist der Ort, an dem ein Website-Betreiber offenlegt, welche personenbezogenen Daten er erhebt, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange er sie speichert. Sie setzt die Informationspflicht der DSGVO um, nach der Betroffene wissen müssen, was mit ihren Daten geschieht.
Nötig ist sie, sobald eine Website personenbezogene Daten verarbeitet, und das tut praktisch jede: Schon der Server, der beim Aufruf die IP-Adresse verarbeitet, löst die Pflicht aus. Kontaktformulare, Newsletter, Analyse-Tools und eingebundene Drittdienste kommen hinzu.
Anders als das Impressum ist die Datenschutzerklärung kein statischer Standardtext. Sie muss die tatsächliche Datenverarbeitung der konkreten Seite abbilden. Eine aus dem Netz kopierte Erklärung, die nicht zu den eingesetzten Werkzeugen passt, erfüllt die Pflicht nicht.
Rechtsgrundlage: Artikel 12, 13 und 14 DSGVO
Die Pflicht zur Datenschutzerklärung folgt aus den Informationspflichten der Artikel 13 und 14 der DSGVO. Artikel 13 greift, wenn die Daten direkt bei der betroffenen Person erhoben werden, etwa über ein Formular. Artikel 14 greift, wenn die Daten aus einer anderen Quelle stammen. Artikel 12 verlangt zusätzlich, dass die Information in klarer, einfacher Sprache und leicht zugänglich erfolgt.
In Deutschland tritt für Cookies und ähnliche Techniken das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu. Die Datenschutzerklärung ist damit eng mit dem Cookie-Banner und der Einwilligungslösung einer Seite verzahnt.
Was in eine Datenschutzerklärung gehört
Der Umfang hängt davon ab, was eine Seite tatsächlich verarbeitet. Zum Kern gehören: der Verantwortliche mit Kontaktdaten, gegebenenfalls ein Datenschutzbeauftragter, sowie für jede Verarbeitung der Zweck, die Rechtsgrundlage und die Speicherdauer. Hinzu kommen die Empfänger der Daten, etwa Hosting-, Newsletter- oder Analyse-Dienste, und der Hinweis, wenn Daten in Länder außerhalb der EU übertragen werden.
Unverzichtbar ist außerdem die Aufklärung über die Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch, dazu das Recht, eine erteilte Einwilligung zu widerrufen, und das Beschwerderecht bei einer Aufsichtsbehörde.
Der häufigste Fehler: Text und Realität passen nicht zusammen
Die meisten Probleme entstehen nicht durch fehlende Textbausteine, sondern durch eine Erklärung, die nicht zur Seite passt: Sie nennt Dienste, die gar nicht eingesetzt werden, oder verschweigt solche, die aktiv Daten senden. Maßgeblich ist immer, was die Seite technisch wirklich tut.
Brauchst du eine Datenschutzerklärung?
Schalte ein, was auf deine Website zutrifft. Der Wert ist ein Anhaltspunkt, keine Rechtsprüfung.
Trifft mich das?
Woran sich eine Datenschutzerklärung messen lässt
Was Artikel 12 der DSGVO von der Information verlangt, in vier Prinzipien.
Vier Anforderungen, zum Durchtippen
Jede Verarbeitung wird genannt.
Die Erklärung muss jede tatsächliche Datenverarbeitung abbilden, mit Zweck, Rechtsgrundlage und Speicherdauer. Was die Seite tut, aber verschweigt, ist ein Verstoß.
Hilft Jedes Tool, jedes Formular und jeder Drittdienst ist aufgeführt.
Stolperfalle Analyse-Tool aktiv, aber in der Erklärung nicht erwähnt.
Klare, einfache Sprache statt Juristendeutsch.
Artikel 12 verlangt eine präzise, transparente und verständliche Information. Eine Erklärung, die niemand versteht, erfüllt ihren Zweck nicht.
Hilft Kurze Absätze, die erklären, was mit den Daten geschieht.
Stolperfalle Seitenlange Schachtelsätze ohne Struktur.
Von jeder Seite aus leicht erreichbar.
Die Datenschutzerklärung muss unmittelbar und ständig erreichbar sein, üblicherweise über einen klar beschrifteten Link im Footer, getrennt vom Impressum.
Hilft Link „Datenschutz“ im Footer jeder Seite.
Stolperfalle Erklärung nur über Umwege oder gar nicht verlinkt.
Der Text folgt der tatsächlichen Verarbeitung.
Ändert sich die Datenverarbeitung, etwa durch ein neues Tool, muss die Erklärung nachgezogen werden. Eine veraltete Erklärung wird schnell unvollständig und damit angreifbar.
Hilft Nach jedem neuen Tool wird die Erklärung angepasst.
Stolperfalle Erklärung von 2019, obwohl längst neue Dienste laufen.
Muster-Generatoren und ihre Grenzen
Datenschutz-Generatoren und Muster sind ein sinnvoller Startpunkt, weil sie die Standard-Textbausteine liefern. Ihre Grenze liegt in der Konfiguration: Ein Generator kann nur abbilden, was man ihm angibt. Wer Dienste vergisst oder Bausteine für Tools stehen lässt, die gar nicht laufen, produziert eine Erklärung, die nicht zur Seite passt.
Deshalb ersetzt kein Muster den Abgleich mit der Realität der eigenen Seite. Die eigentliche Arbeit ist nicht das Formulieren, sondern das vollständige Erfassen, welche Daten die Seite tatsächlich verarbeitet und an wen sie sie weitergibt.
Wie steht es um deine Datenschutzerklärung?
Wähle die Situation, die deiner aktuellen Website am nächsten kommt.
Trifft eine der folgenden Situationen auf dich zu?
Zeitleiste
Von den Datenschutzhinweisen zur DSGVO-Pflicht
Wie aus knappen Hinweisen eine umfassende, verbindliche Informationspflicht wurde.
- vor 2018
Freiwillige Datenschutzhinweise
Vor der DSGVO existierten Datenschutzhinweise oft nur in knapper Form. Umfang und Verständlichkeit waren wenig geregelt.
- 2018
Die DSGVO macht die Erklärung zur Pflicht
Mit den Artikeln 13 und 14 wird die umfassende, verständliche Datenschutzerklärung europaweit verbindlich.
- 2021
Das TTDSG regelt Cookies
Das Telekommunikation-Telemedien-Datenschutz-Gesetz, heute TDDDG, verzahnt Cookie-Einwilligung und Datenschutzerklärung enger.
- laufend
Unvollständige Erklärungen bleiben Abmahn-Ziel
Erklärungen, die nicht zur Seite passen oder veraltet sind, gehören zu den häufigen Abmahn-Anlässen.
Die Rechtslage: DSGVO und TDDDG
Rechtlich stützt sich die Datenschutzerklärung auf die Informationspflichten der Artikel 13 und 14 DSGVO sowie das Transparenzgebot des Artikels 12. Für Cookies und ähnliche Techniken kommt das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) hinzu. Beide Ebenen greifen ineinander: Was der Cookie-Banner an Diensten abfragt, muss die Datenschutzerklärung erklären.
Für die Praxis kommt es auf die Deckung an: Jeder Dienst, der Daten verarbeitet, gehört in die Erklärung, mit Zweck, Rechtsgrundlage und Speicherdauer. Kein genannter Dienst darf fehlen, kein genannter Dienst überflüssig sein.
So findet der AppCore Audit Lücken in der Datenschutzerklärung
Der AppCore Audit prüft mit der Lösung PrivacyScanner, welche Dienste eine Seite tatsächlich lädt, und gleicht sie mit der vorhandenen Datenschutzerklärung ab. Wo ein aktiver Dienst nicht erklärt ist oder ein erklärter Dienst gar nicht läuft, macht der Befund die Abweichung sichtbar.
Abmahnung und Bußgeld: die Folgen
Eine fehlende oder unvollständige Datenschutzerklärung ist in mehrfacher Hinsicht riskant. Aufsichtsbehörden können sie als Verstoß gegen die Informationspflicht mit einem Bußgeld ahnden. Daneben mahnen Mitbewerber und Verbände unvollständige oder fehlende Erklärungen ab, verbunden mit Anwalts- und Verfahrenskosten.
Besonders heikel ist der Fall, dass eine Erklärung Dienste verschweigt, die ohne Einwilligung Daten senden. Dann treffen zwei Probleme zusammen: die unvollständige Information und die möglicherweise fehlende Rechtsgrundlage für die Verarbeitung selbst. Wer beides vorab prüft, entschärft die Kette an ihrer Wurzel.
Die eigene Datenschutzerklärung aktuell halten
Die meisten Lücken entstehen nicht beim ersten Aufsetzen, sondern im Laufe der Zeit: Ein neues Analyse-Tool, ein eingebundenes Video, ein Chat-Widget kommt hinzu, ohne dass die Erklärung nachgezogen wird. Drei Fragen helfen bei der Einordnung. Erstens: Ist jeder Dienst, der auf der Seite Daten verarbeitet, in der Erklärung genannt? Zweitens: Steht zu jeder Verarbeitung Zweck, Rechtsgrundlage und Speicherdauer? Drittens: Ist die Erklärung von jeder Seite aus leicht erreichbar und verständlich?
Wer diese Fragen ehrlich beantwortet, findet die meisten Lücken selbst. Nicht erwähnte Drittdienste, fehlende Angaben zu Speicherdauer und Rechtsgrundlage und ein Text, der seit Jahren nicht angefasst wurde, gehören zu den häufigsten Fundstellen.
Für Seiten mit vielen eingebundenen Diensten wird der Abgleich schnell unübersichtlich. Genau hier setzt der AppCore Audit an: Er liest aus, welche Dienste eine Seite wirklich lädt, und macht sichtbar, wo die Datenschutzerklärung dahinter zurückbleibt. Aus einer diffusen Unsicherheit wird eine konkrete Liste.
Eine gute Datenschutzerklärung ist kein Pflicht-Text zum Wegklicken, sondern ein Vertrauens-Signal. Wer klar und ehrlich zeigt, was mit den Daten geschieht, senkt nicht nur sein Compliance-Risiko, sondern stärkt auch das Vertrauen seiner Besucher.
Wo stehst du gerade?
Eine Datenschutzerklärung ist kein Textbaustein, sondern die Beschreibung dessen, was deine Seite tatsächlich tut. Erfasse erst deine Dienste und Datenflüsse, dann formuliere.
Der häufigste Befund ist die Lücke zwischen Text und Realität: Die Erklärung nennt Dienste, die es längst nicht mehr gibt, und schweigt zu solchen, die laufen. Der AppCore Audit legt beides nebeneinander.
Dein Weg zu mehr Sicherheit
Vom Befund zur laufenden Prüfung
Drei Schritte, jeder für sich nutzbar.
AppCore Audit
Wir prüfen deine Seite über alle 20 Lösungen und zeigen dir, was offen ist.
Kostenfrei startenBluePrint oder CMS
Offene Befunde werden behoben, technisch direkt oder über ExpertSeal.
Plan
Deine Seite bleibt dauerhaft sauber, mit laufender Prüfung.
Pläne ansehenAudit → BluePrint / CMS → Plan
Nächster Schritt
Compliance-Risiko einschätzen
Der AppCore-Erstaudit zeigt dir in 10 Minuten, wo deine Website steht.