Eine Datenschutzerklärung ist das Dokument, mit dem der Betreiber einer Website oder eines Onlineshops seine gesetzliche Informationspflicht nach der Datenschutz-Grundverordnung (DSGVO) erfüllt. Sie informiert die betroffenen Personen darüber, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und durch wen verarbeitet werden, an welche Empfänger sie gegebenenfalls weitergegeben werden und welche Rechte den Betroffenen zustehen. Entscheidend ist eine begriffliche Klarstellung, die in der Praxis ständig durcheinandergeht: Die Datenschutzerklärung ist eine Informationspflicht, kein Einwilligungsinstrument. Sie informiert – sie holt keine Zustimmung ein. Niemand „akzeptiert“ eine Datenschutzerklärung; das ist die Aufgabe des Cookie-Banners.
Für nahezu jede Website ist die Datenschutzerklärung verpflichtend, denn personenbezogene Daten fallen bereits ab dem ersten Seitenaufruf an: Spätestens die IP-Adresse und der Server-Logeintrag sind personenbezogen. Wer eine Website betreibt, ohne eine vollständige und verständliche Datenschutzerklärung bereitzustellen, verstößt gegen die Informationspflicht der DSGVO – mit Bußgeld- und Abmahnrisiko. Die rechtliche Grundlage liefern Art. 13 DSGVO (Datenerhebung direkt bei der betroffenen Person) und Art. 14 DSGVO (Daten aus einer anderen Quelle).
Rechtsgrundlage: Art. 13 und Art. 14 DSGVO
Die Datenschutzerklärung stützt sich auf zwei eng verwandte Normen, die sich nur in der Datenquelle unterscheiden. Art. 13 DSGVO greift, wenn die Daten unmittelbar bei der betroffenen Person erhoben werden – im Web der Normalfall: Jemand ruft eine Seite auf, füllt ein Kontaktformular aus oder gibt eine Bestellung auf. Art. 14 DSGVO greift, wenn ein Unternehmen Daten über eine Person aus einer anderen Quelle erhält, etwa über eine Wirtschaftsauskunftei im Rahmen einer Bonitätsprüfung. Für reine Informationsseiten ist Art. 13 die zentrale Norm; Onlineshops berühren regelmäßig auch Art. 14.
Beide Normen verlangen, dass die Information zum Zeitpunkt der Erhebung – also in der Regel beim Seitenbesuch – bereitsteht und ohne Hürde auffindbar ist. Ergänzt werden sie durch das Transparenzgebot des Art. 12 DSGVO, das eine „präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache“ fordert. Eine Datenschutzerklärung, die in einer Juristenwand erstickt oder nur über Umwege erreichbar ist, erfüllt diese Anforderung nicht.
Welche Pflichtangaben gehören hinein?
Art. 13 DSGVO listet die Mindestinhalte abschließend auf. Fehlt einer dieser Punkte, ist die Datenschutzerklärung unvollständig und damit fehlerhaft. Die folgende Übersicht fasst die verpflichtenden Bestandteile zusammen.
| Pflichtangabe | Was konkret hineingehört |
|---|---|
| Verantwortlicher | Name und vollständige Kontaktdaten der Stelle, die über die Verarbeitung entscheidet |
| Datenschutzbeauftragter | Kontaktdaten, sofern ein DSB benannt werden muss oder freiwillig benannt wurde |
| Zwecke & Rechtsgrundlage | Jede Verarbeitung mit Zweck und zugehöriger Rechtsgrundlage nach Art. 6 DSGVO |
| Berechtigtes Interesse | Bei Art. 6 Abs. 1 lit. f das konkrete Interesse benennen |
| Empfänger | Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden |
| Drittlandtransfer | Übermittlungen außerhalb der EU/des EWR samt Rechtsgrundlage |
| Speicherdauer | Dauer oder, wenn nicht möglich, die Kriterien für ihre Festlegung |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch |
| Widerruf | Recht, eine erteilte Einwilligung jederzeit zu widerrufen |
| Beschwerderecht | Recht auf Beschwerde bei einer Aufsichtsbehörde |
| Bereitstellungspflicht | Ob die Datenangabe vorgeschrieben/vertraglich nötig ist und was bei Nichtangabe folgt |
| Automatisierte Entscheidung | Hinweis auf automatisierte Entscheidungen einschließlich Profiling, sofern vorhanden |
Der häufigste Fehler ist dabei nicht ein vergessener Punkt aus dieser Liste, sondern eine Erklärung, die etwas anderes beschreibt als das, was die Seite tatsächlich tut. Eine aus einem Generator gezogene Mustervorlage listet Tools auf, die gar nicht eingesetzt werden, und schweigt zu denen, die wirklich laufen. Eine wirksame Datenschutzerklärung ist deshalb kein Textbaustein, sondern das gepflegte Abbild der realen Datenverarbeitung.
Abgrenzung: Datenschutzerklärung, Impressum und Cookie-Banner
Drei Pflichtelemente einer Website werden regelmäßig vermengt, obwohl sie auf unterschiedlichen Rechtsgrundlagen beruhen und unterschiedliche Zwecke verfolgen.
- Das Impressum regelt die Anbieterkennzeichnung nach dem Digitale-Dienste-Gesetz (DDG). Es sagt, wer hinter der Seite steht.
- Die Datenschutzerklärung regelt ausschließlich den Umgang mit personenbezogenen Daten. Sie informiert, holt aber keine Zustimmung ein.
- Der Cookie-Banner sammelt eine aktive datenschutzrechtliche Einwilligung für nicht notwendige Cookies und Tracking ein – das ist ein Einwilligungs-, kein Informationsinstrument.
Drei Dokumente, drei Rechtsgrundlagen, drei Zwecke: Sie gehören nicht zusammengelegt. Die Datenschutzerklärung muss von jeder Unterseite mit ein bis zwei Klicks erreichbar sein, üblicherweise über einen klar mit „Datenschutz“ beschrifteten Link im Footer. Eine versteckte oder kreativ benannte Verlinkung birgt ein Abmahnrisiko.
Datenschutzerklärung im Onlineshop: ein Praxisbeispiel
Ein Onlineshop verarbeitet deutlich mehr personenbezogene Daten als eine reine Informationsseite, und das schlägt sich in der Datenschutzerklärung nieder. Die Bestellabwicklung selbst stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und umfasst die Daten für Kaufabschluss, Lieferung und Rechnung. Bindet der Shop einen Zahlungsdienstleister wie PayPal, Klarna oder Stripe ein, erhält dieser Bestell- und Zahlungsdaten – jeder eingesetzte Anbieter ist namentlich mit Zweck und Verweis auf dessen eigene Datenschutzinformationen zu nennen. Dasselbe gilt für den Versanddienstleister (etwa DHL), der Adress- und teils Kontaktdaten zur Zustellung erhält. Führt der Shop beim Kauf auf Rechnung eine Bonitätsprüfung über eine Auskunftei durch, berührt das Art. 14 DSGVO und muss samt Auskunftei und Rechtsgrundlage transparent gemacht werden. Wird ein dauerhaftes Kundenkonto angeboten, ist eine Gastbestellung zwingend zu ermöglichen – der Zwang zur Kontoanlage kollidiert mit dem Grundsatz der Datenminimierung. Hinzu kommen je nach Setup Newsletter (Double-Opt-in), Produktbewertungen und Retargeting, das wie jedes Marketing-Tracking einwilligungspflichtig ist und über einen Auftragsverarbeitungsvertrag abgesichert sein muss, wo ein Dienstleister im Auftrag verarbeitet.
Drittlandübermittlung und der US-Bezug
Sobald ein eingebundener Dienst Daten in ein Land außerhalb der EU überträgt – bei US-Tools die Regel – braucht die Datenschutzerklärung eine Angabe zur Rechtsgrundlage des Transfers. In der Praxis ist das entweder eine Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework (DPF) oder, falls diese fehlt, der Abschluss von Standardvertragsklauseln (SCC) samt Risikoabschätzung. Weil die Rechtslage zu US-Transfers in Bewegung ist, sollte die Transfergrundlage so formuliert werden, dass sie eine Änderung übersteht: die konkrete Grundlage benennen und sie bei einer Änderung nachziehen, statt pauschal „rechtssicher auf Basis des DPF“ zu schreiben.
Häufige Fehler in der Praxis
Vier Fehler tauchen besonders häufig auf und sind zugleich leicht vermeidbar:
- Remote eingebundene Schriften: Werden Google Fonts dynamisch vom externen Server geladen, wird bei jedem Aufruf die IP-Adresse in die USA übertragen – ohne Einwilligung. Die saubere Lösung ist lokales Hosten.
- Kopierte Mustervorlage: Eine Vorlage, die nicht zur Seite passt, listet fremde Tools und verschweigt die echten.
- Versteckter Link: Eine nicht klar beschriftete oder schwer erreichbare Datenschutzerklärung verstößt gegen das Transparenzgebot.
- Unerwähnter US-Transfer: Ein eingebundenes US-Tool ohne Angabe der Transfergrundlage ist ein offener Mangel.
Dass solche Mängel zunehmend auffallen, liegt auch an der Aufsichtspraxis: Im Jahr 2026 prüfen die europäischen Datenschutzbehörden im fünften Coordinated Enforcement Framework (CEF) koordiniert die Informationspflichten nach Art. 12 bis 14 DSGVO – also genau das Dokument, um das es hier geht.
Barrierefreiheit und Erreichbarkeit
Zur geforderten Verständlichkeit gehört, dass die Datenschutzerklärung überhaupt erreichbar und nutzbar ist. Zwei Anforderungen sind hier zentral. Erstens die Erreichbarkeit: Die Erklärung muss von jeder Unterseite mit ein bis zwei Klicks aufrufbar sein, üblicherweise über einen eindeutig beschrifteten Footer-Link. Eine in Untermenüs versteckte oder kreativ benannte Verlinkung genügt nicht. Zweitens die Zugänglichkeit: Seit dem 28. Juni 2025 greift das Barrierefreiheitsstärkungsgesetz (BFSG) für viele Onlineangebote, insbesondere für Onlineshops im B2C-Bereich. Eine Datenschutzerklärung, die mit einem Screenreader nicht erfassbar ist – etwa weil sie als unstrukturiertes PDF oder in einem nicht zugänglichen Overlay vorliegt – erfüllt das Transparenzgebot nicht. Verständliche Sprache, eine klare Überschriftenstruktur und semantisch korrektes HTML sind daher nicht nur Komfort, sondern Teil der rechtlichen Pflicht.
Die Datenschutzerklärung pflegen: ein lebendes Dokument
Eine Datenschutzerklärung ist nie „fertig“. Sie bildet den tatsächlichen Stand der Datenverarbeitung ab – und der ändert sich. Jedes neu eingebundene Tool, jeder zusätzliche Dienstleister, jede neue Tracking- oder Marketing-Funktion und jede Änderung an Speicherfristen oder Drittlandtransfers muss in der Erklärung nachgezogen werden. Besonders volatil ist der Bereich der Drittlandübermittlung: Weil die Rechtsgrundlagen für US-Transfers in Bewegung sind, sollte dieser Teil regelmäßig überprüft werden. Bewährt hat sich, die Datenschutzerklärung an den Change-Prozess für die Website zu koppeln: Wer ein neues Tool integriert, prüft im selben Schritt, ob die Erklärung angepasst werden muss. So bleibt das Dokument konsistent mit der Realität – und genau diese Konsistenz ist es, an der die meisten Erklärungen in der Praxis scheitern.
Häufig gestellte Fragen (FAQ)
Ist eine Datenschutzerklärung Pflicht?
Ja. Sobald eine Website personenbezogene Daten verarbeitet – und sei es nur die IP-Adresse im Server-Log – verlangt Art. 13 DSGVO eine Information der betroffenen Personen. Das trifft praktisch auf jede Website und jeden Onlineshop zu.
Worin unterscheidet sich die Datenschutzerklärung vom Cookie-Banner?
Die Datenschutzerklärung informiert über die Datenverarbeitung (Informationspflicht). Der Cookie-Banner holt eine Einwilligung ein für nicht notwendige Cookies und Tracking (Einwilligungsinstrument). Beide sind nötig, erfüllen aber verschiedene rechtliche Funktionen.
Kann ich einen Generator oder eine Vorlage nutzen?
Als Ausgangspunkt ja, aber niemals unverändert. Eine Vorlage muss exakt an die tatsächlich eingesetzten Dienste, Tools und Datenflüsse angepasst werden. Der häufigste Mangel ist eine Erklärung, die nicht zur realen Verarbeitung der Seite passt.
Wie oft muss die Datenschutzerklärung aktualisiert werden?
Immer dann, wenn sich die Datenverarbeitung ändert – etwa beim Einbinden eines neuen Tools, Dienstleisters oder Trackings – und außerdem, wenn sich die Rechtslage ändert, etwa bei Drittlandtransfers. Die Datenschutzerklärung ist ein lebendes Dokument, keine einmalige Aufgabe.
Welches Bußgeld droht bei einer fehlerhaften Datenschutzerklärung?
Verstöße gegen die Informationspflicht fallen nach Art. 83 Abs. 5 lit. b DSGVO unter den oberen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. In der Praxis relevanter ist für die meisten Unternehmen das niedrigschwelligere Risiko aus Abmahnungen und Schadensersatzforderungen.