Was gehört in die Datenschutz-Erklärung?

Was die Datenschutz-Erklärung enthalten muss

Acht Pflicht-Inhalte nach DSGVO Art. 13:

1. Verantwortlicher: Name, Anschrift, Kontakt (identisch zum Impressum, plus E-Mail).
2. Datenschutz-Beauftragter: Falls ein DSB benannt ist — Name + Kontakt. Bei Kleinunternehmen meist nicht Pflicht.
3. Zwecke der Verarbeitung: Warum werden Daten gesammelt (Kontaktanfrage, Newsletter, Analytics, etc.).
4. Rechtsgrundlage: DSGVO Art. 6 Abs. 1 — meist a) Einwilligung, b) Vertragserfüllung, f) berechtigtes Interesse.
5. Empfänger der Daten: Wer bekommt die Daten? Hosting-Provider, Newsletter-Tool, Analytics-Anbieter etc.
6. Drittland-Übermittlungen: Werden Daten in USA oder andere Drittländer übermittelt (Google, Facebook)? Mit Hinweis auf EU-Standardvertragsklauseln.
7. Speicherdauer: Wie lange werden Daten aufbewahrt? Bei Kontaktanfragen typisch 6 Monate, bei steuerrelevanten Daten 10 Jahre.
8. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit, Beschwerde bei Aufsichtsbehörde.

Welche Dienste explizit aufgelistet werden müssen

Für jede technische Integration auf der Website braucht es einen eigenen Abschnitt:

• Hosting-Provider: Wer hostet die Site (IONOS, Strato, Raidboxes)? Welche Daten werden in Server-Logs gespeichert? Wie lange?
• Cookies: Welche werden gesetzt? Welche sind essentiell, welche nicht? Speicherdauer?
• Kontaktformular: Welche Daten werden erhoben? Wofür? Wie lange gespeichert?
• Newsletter (wenn vorhanden): Double-Opt-In-Verfahren, Provider (MailPoet, Mailchimp, Brevo), Widerrufsrecht.
• Google Fonts: Lokal eingebunden oder Google-CDN? Bei CDN: Drittland-Übermittlung an Google.
• Google Maps: Bei Einbindung von Karten — Drittland-Übermittlung an Google.
• Google Analytics: Nur mit Cookie-Consent. IP-Anonymisierung aktiviert?
• Social Media Plugins: Facebook-, LinkedIn-, Instagram-Buttons. Bei „Share"-Buttons: nur Shariff-Lösungen ohne automatischen Datenabfluss.
• Calendly oder andere Terminbuchungs-Tools: Datenverarbeitung, Drittland-Übermittlung.
• YouTube/Vimeo-Einbindungen: No-Cookie-Modus oder Two-Click-Lösung.

Aktualisierungs-Pflicht

Die Datenschutz-Erklärung ist kein einmal-erstellen-und-vergessen-Dokument. Bei jeder Änderung an der Website-Technik muss sie angepasst werden:

• Neues Plugin installiert → Datenschutz-Erklärung erweitern
• Tracking-Tool gewechselt → Anpassen
• Newsletter-Provider gewechselt → Anpassen
• Hosting-Wechsel → Server-Standort-Hinweis anpassen

Best Practice: bei jedem Plugin-Install gleich Datenschutz-Erklärung ergänzen, bevor das Plugin live geht. Mindest-Review: jährlich.

Häufige Fragen

Reicht ein Datenschutz-Generator?

Als Startpunkt ja — e-recht24, datenschutz.org und anwaltsregister bieten seriöse Generatoren. Aber: Sie müssen die generierten Abschnitte zu Ihren tatsächlichen Datenverarbeitungen kürzen. Wer eine Datenschutz-Erklärung kopiert die GoogleAnalytics-Hinweise enthält obwohl Analytics nicht eingesetzt wird, hat keine korrekte Erklärung.

Was kostet eine professionelle Datenschutz-Erklärung?

Generator-Lösungen: 0-50 € pro Jahr. Anwaltliche Erstellung mit Audit: 300-800 € einmalig. Bei komplexen Online-Shops oder spezialisierten Dienstleistungen lohnt sich anwaltliche Beratung.

Reicht eine pauschale Datenschutz-Erklärung für alle Sub-Pages?

Eine zentrale Datenschutz-Erklärung-Page reicht. Sie muss aber von jeder anderen Page aus erreichbar sein (Footer-Link). Nicht jede Page braucht eigene Datenschutz-Hinweise.

Was passiert bei Verstoß?

Bei Datenpannen oder Verstößen gegen die DSGVO drohen Bußgelder bis 4 % des Jahresumsatzes (für Großunternehmen) oder 20 Mio. €. Für Mittelstandsbetriebe sind realistische Strafen meist 500-10.000 €. Plus Abmahn-Kosten bei Wettbewerber-Abmahnungen.

Verfasst von David Rupa, Inhaber von Bergstraße Digital. Diese Inhalte sind eine praktische Übersicht und ersetzen keine Rechtsberatung.