| | |

Datenschutzerklärung Website: DSGVO ohne Abmahnrisiko

VonSimon
Eine Flasche aus bernsteinfarbenem Glas steht auf einer Fläche, neben der ein Schatten zu sehen ist, der wie ein schwebendes Blatt mit gedrucktem Text wirkt.

1. Einführung: Pflichtdokument statt Pflichtübung

Eine Datenschutzerklärung schreiben Sie nicht für Ihre Besucher. Sie schreiben sie für den Tag, an dem jemand prüft, ob Sie überhaupt eine haben, und ob sie zur Wirklichkeit Ihrer Website passt. Genau dieser Moment entscheidet, ob das Dokument Sie schützt oder zur teuersten Unterseite Ihres Auftritts wird. Die meisten Betreiber kopieren einen Mustertext, hängen ihn in den Footer und denken nie wieder daran. Das ist der Fehler, der Abmahnungen erst möglich macht.

Auf einen Blick:

  • Die DSGVO gilt seit dem 25. Mai 2018 und verpflichtet praktisch jeden Website-Betreiber, transparent über seine Datenverarbeitung zu informieren (Art. 13 DSGVO).
  • Europäische Aufsichtsbehörden verhängten seit Geltung der DSGVO Bußgelder von rund 7,1 Milliarden Euro, davon etwa 1,2 Milliarden Euro im letzten vollen Erhebungsjahr (DLA Piper GDPR Fines Survey).
  • Die Höchststrafe nach Art. 83 DSGVO beträgt bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes (DSGVO).
  • Cookies und Tracking brauchen nach § 25 TDDDG in der Regel eine vorherige, informierte Einwilligung (TDDDG).

Eine Datenschutzerklärung ist die gesetzlich vorgeschriebene Information, mit der ein Website-Betreiber Besucher verständlich darüber aufklärt, welche personenbezogenen Daten er erhebt, zu welchem Zweck und auf welcher Rechtsgrundlage er sie verarbeitet, an wen er sie weitergibt und welche Rechte Betroffene haben. Sie ist nach Art. 13 DSGVO Pflicht und muss leicht zugänglich sein.

Dieser Beitrag zeigt Ihnen die Pflichtinhalte als praxistaugliche Checkliste, erklärt, wann ein Generator reicht und wann nicht, und benennt den einen Fehler, der die meisten Datenschutzerklärungen angreifbar macht. Wenn Sie Ihren Auftritt ohnehin neu aufstellen, denkt unser professionelles Webdesign aus Göttingen diese Anforderungen von Anfang an mit.

2. Brauchen Sie überhaupt eine Datenschutzerklärung?

Kurz gesagt: ja, mit hoher Wahrscheinlichkeit. Als Betreiber einer Website benötigen Sie eine Datenschutzerklärung, sobald Ihre Webseite personenbezogene Daten verarbeitet. Und das tut nahezu jede Internetseite. Schon beim Besuch schreibt der Webserver die IP-Adresse und die Zugriffe auf die Website in seine Logfiles, ein Kontaktformular nimmt Namen und E-Mail entgegen, ein Schriftart-Dienst lädt nach, ein Karten-Dienst zeigt den Anfahrtsweg. Jeder dieser Vorgänge ist eine Datenverarbeitung im Sinne der Datenschutz-Grundverordnung und erzeugt Informationen über den Nutzer. Die Datenschutzerklärung, manchmal auch Datenschutzbestimmungen oder Datenschutzrichtlinie genannt, macht diese Verarbeitung der Daten beim Besuch Ihrer eigenen Website transparent.

Die zuständige Aufsichtsbehörde, der Bundesbeauftragte für den Datenschutz, formuliert die Grundregel so: „Jede Stelle, die personenbezogene Daten verarbeitet, muss Sie als betroffene Person grundsätzlich hierüber zum Zeitpunkt der Erhebung informieren.“ Auf einer Website passiert genau diese Erhebung beim ersten Seitenaufruf.

Betroffen sind damit fast alle:

  • Unternehmen und Selbstständige, vom One-Pager bis zum Onlineshop.
  • Freiberufler wie Ärztinnen, Coaches, Handwerksbetriebe oder Beratende.
  • Vereine und Stiftungen mit eigener Website, für die es eigene Datenschutzhinweise braucht.
  • Private Seiten, sobald sie auch nur ansatzweise geschäftlich werden, etwa durch Werbung oder einen Affiliate-Link.

Viele Betreiber fragen sich, ob sie überhaupt eine Datenschutzerklärung benötigen. Die Antwort hängt nicht von der Größe ab: Schon ein Kontaktformular reicht, damit Sie eine Datenschutzerklärung für eine Website brauchen. Eine eigene Datenschutzerklärung ist deshalb Pflicht, nicht Kür. Eine Datenschutzerklärung ist wie der Beipackzettel eines Medikaments. Kaum jemand liest ihn freiwillig. Trotzdem muss er vollständig, korrekt und im Ernstfall sofort auffindbar sein. Fehlt er, haftet nicht der Patient, sondern der Hersteller.

3. Pflichtinhalte nach DSGVO: die Checkliste

So sieht es aus: Art. 13 DSGVO listet auf, welche Informationen der Verantwortliche zu Umfang und Zwecke der Erhebung bereitstellen muss, wenn er Daten bei der betroffenen Person erhebt. Diese Angaben benennen Zwecke der Erhebung und Verwendung personenbezogener Daten und regeln so die Verarbeitung Ihrer Daten. Sie sind der Kern jeder Datenschutzerklärung für Ihre Website und gelten genauso für jede Datenschutzerklärung für Webseiten kleiner Betriebe. Eine vollständige Liste der Pflichtangaben finden Sie im Gesetzestext zu Art. 13 DSGVO.

  • Verantwortliche Stelle: Name und Kontaktdaten des Verantwortlichen, in der Regel identisch mit den Angaben im Impressum.
  • Datenschutzbeauftragter: dessen Kontaktdaten, falls ein Datenschutzbeauftragter bestellt ist.
  • Zwecke und Rechtsgrundlage: wofür Sie die Daten erheben und worauf sich das stützt, etwa Einwilligung oder berechtigtes Interesse.
  • Empfänger: an wen Daten weitergegeben werden, zum Beispiel Hoster, Newsletter-Dienst oder Zahlungsanbieter.
  • Drittlandübermittlung: ob Daten in Länder außerhalb der EU fließen, etwa an einen Dienst ohne Niederlassung in der EU, und auf welcher Grundlage.
  • Speicherdauer: wie lange Sie die Daten aufbewahren oder nach welchen Kriterien sich das richtet.
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und das Beschwerderecht bei einer Aufsichtsbehörde.

Diese Pflichtinhalte sind nicht verhandelbar, aber sie sind nur die halbe Miete. Die DSGVO macht auch eine Vorgabe zur Form. Die Information muss laut Verordnung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen. Übersetzt heißt das: Eine Wand aus Juristendeutsch erfüllt die Pflicht nicht. Verständlich ist Teil des Gesetzes, nicht Kür.

3.1 Auf welcher Rechtsgrundlage Sie Daten verarbeiten

Hinter jeder Verarbeitung Ihrer personenbezogenen Daten steht eine Rechtsgrundlage. Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt: Sie dürfen personenbezogene Daten grundsätzlich nicht erheben oder nutzen, es sei denn, ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO greift. Für eine Website sind das vor allem drei: die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit a DSGVO), die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit b DSGVO) und das berechtigte Interesse des Verantwortlichen (Art. 6 Abs. 1 lit f DSGVO). Wer Daten verarbeitet, muss ein berechtigtes Interesse daran benennen können. Welche Rechtsgrundlage gilt, hängt davon ab, welche Daten Sie erheben und zu welchem Zweck Sie sie verarbeiten.

Ein einfaches Beispiel macht den Unterschied deutlich. Wenn Ihr Server in den Logfiles die IP-Adresse speichert, damit die Website sicher und stabil läuft, stützt sich diese Datenverarbeitung meist auf das berechtigte Interesse. Wenn Sie dagegen ein Analyse-Werkzeug einsetzen, das das Verhalten der Besucher auswertet, brauchen Sie in aller Regel eine aktive Einwilligung. Genau diese Unterscheidung muss eine gute Datenschutzerklärung pro Verarbeitung sauber benennen, damit nachvollziehbar bleibt, warum welche Daten verarbeitet werden.

Dazu gehören auch die Grundsätze, nach denen Datenschutz in Deutschland funktioniert: Datensparsamkeit, also nur so viele Daten erheben wie nötig, Zweckbindung, also Daten nur für den genannten Zweck nutzen, und Datensicherheit, also die personenbezogenen Daten technisch und organisatorisch schützen. Wer diese Grundsätze kennt, versteht, warum eine Datenschutzerklärung so aufgebaut ist, wie sie ist.

Pflichtinhalte der Datenschutzerklärung (Art. 13 DSGVO)

  • Verantwortliche Stelle und Kontaktdaten
  • Zwecke der Datenverarbeitung und Rechtsgrundlage
  • Empfänger und Übermittlung in Drittländer
  • Speicherdauer der personenbezogenen Daten
  • Rechte der betroffenen Person und Beschwerderecht
Die fünf Inhaltsblöcke, die jede Datenschutzerklärung nach Art. 13 DSGVO abdecken muss.

4. Cookies, Tracking und Tools richtig einbinden

Hier wird aus der Theorie Praxis. Die meisten Datenschutz-Verstöße entstehen nicht im Mustertext, sondern bei den Tools, die im Hintergrund mitlaufen. Sobald Sie Dienste einbinden, die mehr tun als nur die Seite auszuliefern, brauchen Sie dafür eine Rechtsgrundlage und einen passenden Abschnitt in den Datenschutzhinweisen.

Für alles, was nicht technisch zwingend nötig ist, gilt § 25 TDDDG. Die Norm verlangt eine Einwilligung, bevor Cookies auf Ihrem Gerät gespeichert oder ausgelesen werden. Welche Cookies Ihre Website verwendet, entscheidet also darüber, ob ein Banner nötig ist. Ausgenommen ist nur, was unbedingt erforderlich ist, damit der gewünschte Dienst funktioniert. Heißt konkret: Das Warenkorb-Cookie darf ohne Banner setzen, das Analyse-Cookie erst nach aktivem Klick auf „Akzeptieren“.

Diese typischen Tools tauchen fast immer auf und gehören sauber beschrieben:

  • Server-Logfiles: erheben automatisch IP-Adresse, Browser und Zeitpunkt. Rechtsgrundlage ist meist das berechtigte Interesse am sicheren Betrieb.
  • Kontaktformular: verarbeitet die Daten, die der Nutzer aktiv eingibt. Hier wird zur Bearbeitung der Anfrage daten verarbeitet, nicht zur Werbung.
  • Analyse-Tools: Google Analytics, Matomo und Co. brauchen in der Regel eine Einwilligung über das Cookie-Banner.
  • Newsletter: Versand nur mit Double-Opt-in, der Vorgang gehört dokumentiert und in die Erklärung.
  • Externe Inhalte: Schriftarten, Karten und eingebettete Videos laden Daten zu Dritten und müssen genannt werden.

Ein eigener Fall ist die Auftragsverarbeitung. Ihr Hoster, Ihr Newsletter-Dienst oder Ihr Analyse-Anbieter verarbeitet personenbezogene Daten in Ihrem Auftrag. Dafür brauchen Sie einen Vertrag zur Auftragsverarbeitung, und in den Datenschutzhinweisen werden diese Empfänger genannt. Eine verschlüsselte Verbindung per SSL sorgt dafür, dass die Datenübertragung zwischen Browser und Server geschützt ist. Sie ist heute Standard und gehört zur rechtmäßigen Datenverarbeitung dazu.

Sie fragen sich jetzt vielleicht: Reicht es nicht, einfach alles aufzulisten, was theoretisch denkbar ist? Nein. Eine Datenschutzerklärung, die Dienste beschreibt, die Sie gar nicht nutzen, ist genauso falsch wie eine, die echte Tools verschweigt. Beides beschreibt nicht die Wahrheit der Website. Die Datenschutzhinweise müssen abbilden, welche Daten Sie tatsächlich erheben und verarbeiten, wenn Besucher Ihre Website nutzen.

Datenschutz-Check für Ihre Website

  • Abgleich der Datenschutzerklärung mit den real laufenden Tools
  • Cookie-Banner und Einwilligung nach § 25 TDDDG sauber konfiguriert
  • Footer-Struktur, getrennte Links und mobile Erreichbarkeit aus einer Hand
  • Festpreis, inhabergeführt, mit Erfahrung aus über 20 Jahren Webdesign
Datenschutz-Check anfragen

5. Generator, Muster oder Anwalt?

Fast jeder Ratgeber endet bei derselben Empfehlung: Nehmen Sie einen Generator. Das ist nicht falsch, aber unvollständig. Wer eine Datenschutzerklärung erstellen will, hat drei Wege, und jeder hat seinen Platz. Ziel ist immer eine korrekte Datenschutzerklärung, die zum Thema Datenschutz im Internet Ihres konkreten Auftritts passt.

  • Generator: Ein guter Datenschutz Generator führt Sie per Fragenkatalog durch die typischen Verarbeitungsprozesse und hilft Ihnen, eine DSGVO-konforme Datenschutzerklärung erstellen zu lassen. Ideal für den Standardfall.
  • Muster und Vorlagen: Eine statische Vorlage als PDF oder Textbaustein ist der schwächste Weg. Sie altert schnell und passt selten exakt.
  • Rechtsanwalt: Bei Sonderfällen, etwa Gesundheitsdaten, internationalem Geschäft oder Plattformen, führt am Datenschutzrecht-Profi kein Weg vorbei.

Die Erstellung einer Datenschutzerklärung ist damit kein Hexenwerk, hat aber Grenzen. Ein Datenschutz-Generator ist wie ein Konfektionsanzug von der Stange. Er passt erstaunlich vielen erstaunlich gut. Nur misst niemand Ihre Schultern. Wenn Ihr Geschäftsmodell vom Standard abweicht, sehen Sie die Naht an der falschen Stelle erst, wenn es zu spät ist.

✓ Generator

  • Schnell und meist kostenlos
  • Deckt den Standardfall zuverlässig ab
  • Wird laufend an die Rechtslage angepasst
  • Keine juristischen Vorkenntnisse nötig

! Grenzen

  • Kennt Ihre echte Tool-Landschaft nicht
  • Versagt bei Sonderfällen und Sonderdaten
  • Bildet keine individuelle Beratung ab
  • Wird nach dem Relaunch selten aktualisiert
Generatoren lösen den Standardfall, ersetzen aber keine Prüfung der tatsächlichen Datenverarbeitung.

6. Was die meisten Ratgeber übersehen

Und genau das ist der Punkt: Die größte Gefahr ist nicht die falsche Formulierung. Es ist die Lücke zwischen dem, was Ihre Datenschutzerklärung behauptet, und dem, was Ihre Website tatsächlich tut.

Unsere Position: Eine Datenschutzerklärung ist kein Dokument, das man einmal erstellt und dann vergisst. Sie ist eine Momentaufnahme der technischen Realität Ihrer Website und veraltet in dem Moment, in dem jemand ein Plugin installiert, ein Tool wechselt oder einen neuen Dienst einbindet. Kein Generator der Welt kann wissen, was nach seinem letzten Besuch auf Ihrer Seite passiert ist.

Aus der Praxis: In unseren Relaunch- und Audit-Projekten bei Kreativschock sehen wir regelmäßig denselben Fehler. Die Datenschutzerklärung beschreibt eine Website, die es so nicht mehr gibt. Sie nennt ein Analyse-Tool, das längst abgeschaltet wurde, und verschweigt das Cookie-Banner-Plugin, das seit dem letzten Umbau Daten setzt. Der Mustertext war zum Zeitpunkt der Erstellung korrekt. Die Website hat sich nur weiterentwickelt, das Dokument nicht.

Eine veraltete Datenschutzerklärung ist wie ein Speiseplan an der Tür, der Gerichte anpreist, die die Küche längst nicht mehr kocht. Der Gast bestellt, was nicht existiert, und merkt: Hier stimmt etwas nicht. Bei einer Datenschutzerklärung merkt das im Zweifel ein Mitbewerber oder eine Aufsichtsbehörde.

Daraus folgt eine einfache Routine, die kein Ratgeber als Pflichtinhalt nennt: Prüfen Sie Ihre Datenschutzhinweise nach jedem Relaunch, nach jeder neuen Funktion und mindestens einmal im Jahr. Genau diese laufende Pflege ist Teil von gutem Webdesign aus einer Hand, nicht ein nachträglicher Stolperstein.

7. Abmahnung und Bußgeld: das tatsächliche Risiko

Lassen Sie uns kurz auf das Wesentliche zoomen: Was passiert eigentlich, wenn die Datenschutzerklärung fehlt oder fehlerhaft ist? Zwei Schienen drohen gleichzeitig.

Die erste sind Abmahnungen. Eine fehlende oder unzureichende Datenschutzerklärung auf einer gewerblichen Website kann als Wettbewerbsverstoß nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) gewertet werden. Mitbewerber und Verbände können abmahnen, was Anwaltskosten und im Wiederholungsfall Vertragsstrafen auslöst. Das ist kein theoretisches Risiko, sondern seit Jahren gelebte Abmahnpraxis im deutschen Webrecht.

Die zweite Schiene ist das Bußgeld der Aufsichtsbehörde. Der Rahmen nach Art. 83 DSGVO reicht bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für ein KMU werden selten solche Summen fällig, aber der Rahmen zeigt, wie ernst der Gesetzgeber das Thema nimmt.

Wie real der Vollzug ist, zeigt eine Zahl. Nach dem DLA Piper GDPR Fines Survey summierten sich die in Europa verhängten DSGVO-Bußgelder seit Geltungsbeginn auf rund 7,1 Milliarden Euro, davon etwa 1,2 Milliarden Euro im letzten vollen Erhebungsjahr.

7,1 Mrd € DSGVO-Bußgelder in Europa summiert seit Geltungsbeginn am 25. Mai 2018 Quelle: DLA Piper GDPR Fines Survey
Die kumulierten DSGVO-Bußgelder in Europa zeigen: Der Datenschutz wird konsequent durchgesetzt.

8. Datenschutzerklärung richtig bereitstellen und einbinden

Der beste Text nützt nichts, wenn ihn niemand findet. Die DSGVO verpflichtet Sie dazu, die Information leicht zugänglich zu machen. Die Bereitstellung der Datenschutzerklärung ist damit ebenso wichtig wie ihr Inhalt. Verlinken Sie die Datenschutzerklärung deshalb gut sichtbar im Footer, auf jeder einzelnen Unterseite. So lässt sich die Datenschutzerklärung sauber in die Website einbinden. Jeder Verantwortliche muss die Datenschutzerklärung auf seiner Website leicht zugänglich machen. Wo die Datenschutzerklärung auf der Website untergebracht ist, sollte auf jeder Unterseite gleich sein. Praktisch bedeutet das, einen klar benannten Footer-Link zur Datenschutzerklärung aufnehmen.

  • Eigene Seite, nicht im Impressum: Eine der häufigsten Fragen aus unseren Projekten ist, ob man die gesamte Datenschutzerklärung und das Impressum auf eine Seite legen darf. Rechtlich geht das, sauberer ist es, die Datenschutzerklärung auf Ihrer Website als eigene Seite zu führen und beide Themen zu trennen.
  • Zwei klare Links: Im Footer braucht es einen Link „Datenschutzerklärung“ oder „Datenschutz“ und separat einen Link „Impressum“, beide eindeutig benannt.
  • HTML statt PDF: Die Erklärung gehört als lesbare Seite ins Web, nicht als PDF zum Download. Ein PDF ist auf dem Smartphone umständlich und schlechter auffindbar.
  • Sprache: Wer seine Website auf Deutsch anbietet, stellt die Datenschutzerklärung auf Deutsch bereit. Eine englische Fassung ist nötig, sobald sich das Angebot ernsthaft an englischsprachige Nutzer richtet.

Aber Vorsicht: Versteckte oder grau-in-grau gesetzte Footer-Links sind ein klassischer Fehler. Wenn der Verantwortliche die Datenschutzhinweise faktisch unsichtbar macht, ist die Pflicht zur leichten Zugänglichkeit nicht erfüllt. Der Link muss erkennbar sein, auch auf dem Smartphone.

Wann haben Sie Ihren eigenen Footer zuletzt auf dem Handy geöffnet und geprüft, ob beide Links sichtbar und antippbar sind? Für viele Betreiber ist das der schnellste Gewinn an Rechtssicherheit, noch vor jeder Textänderung.

9. Fazit: ein gepflegtes Dokument, kein Dauerstress

Es ist Montagmorgen, der Kaffee dampft, und Sie öffnen Ihre Website auf dem Smartphone. Im Footer stehen zwei klare Links, getrennt und gut lesbar. Die Datenschutzerklärung listet genau die Tools, die wirklich laufen, in einer Sprache, die ein Mensch versteht. Das Cookie-Banner fragt, bevor es Daten setzt. Sie wissen: Wenn morgen jemand prüft, hält das Dokument stand.

Dieses ruhige Gefühl ist das eigentliche Ziel. Nicht ein perfekter Text für die Schublade, sondern ein Dokument, das zur Realität Ihrer Website passt und gepflegt wird.

Die korrekte Umsetzung der DSGVO bedeutet, die Hinweise zum Datenschutz nach deutschen und europäischen Vorgaben aktuell zu halten. Die wichtigsten Hebel auf einen Blick: alle Pflichtinhalte nach Art. 13 DSGVO abdecken, verständlich statt juristisch formulieren, Cookies und Tracking nach § 25 TDDDG mit Einwilligung absichern, die Erklärung mit den echten Tools abgleichen und nach jedem Relaunch neu prüfen. Wer eine neue Seite plant, sollte den Datenschutz von Anfang an mitdenken, etwa wenn Sie eine neue Website erstellen lassen.

10. Anhang: Schnellcheck für Ihre Datenschutzerklärung

PrüfpunktGrundlageStatus
Verantwortliche Stelle und Kontaktdaten genanntArt. 13 DSGVO
Zwecke und Rechtsgrundlagen beschriebenArt. 13 DSGVO
Speicherdauer und Betroffenenrechte aufgeführtArt. 13 DSGVO
Verständliche, klare SpracheArt. 12 DSGVO
Cookies und Tracking mit Einwilligung§ 25 TDDDG
Erklärung deckt sich mit den echten ToolsPraxis
Eigener Footer-Link, getrennt vom ImpressumPraxis
Auf dem Smartphone sichtbar und erreichbarArt. 12 DSGVO

Kontakt aufnehmen

Sie möchten Ihre Datenschutzerklärung mit den real laufenden Tools abgleichen und rechtssicher einbinden lassen? Schreiben Sie uns kurz, wir melden uns innerhalb von 24 Stunden mit einer konkreten Einschätzung:

Datenschutzerklärung*

Häufige Fragen zur Datenschutzerklärung

Nach Art. 13 DSGVO gehören hinein: die verantwortliche Stelle mit Kontaktdaten, gegebenenfalls der Datenschutzbeauftragte, die Zwecke und Rechtsgrundlagen der Verarbeitung, die Empfänger der Daten, eine mögliche Übermittlung in Drittländer, die Speicherdauer und die Rechte der betroffenen Person inklusive Beschwerderecht.

Praktisch jede. Sobald eine Website personenbezogene Daten verarbeitet, und sei es nur die IP-Adresse in den Server-Logfiles, greift die Informationspflicht. Das betrifft Unternehmen, Selbstständige, Vereine und auch private Seiten, sobald sie geschäftliche Züge tragen, etwa durch Werbung oder einen Affiliate-Link.

Sie muss von jeder Unterseite leicht erreichbar sein, in der Regel über einen eigenen Link im Footer. Empfehlenswert ist eine eigene Seite, getrennt vom Impressum, mit zwei klar benannten Links. Der Link sollte auch auf dem Smartphone sichtbar und antippbar sein.

Ja, für den Standardfall ist ein seriöser Generator ein guter Weg. Er führt durch die typischen Verarbeitungsprozesse und liefert rechtssicher formulierte Datenschutzhinweise. Wichtig ist nur, dass Sie wirklich die Dienste auswählen, die Ihre Website nutzt, und den Text nach jeder technischen Änderung aktualisieren.

Ein Generator senkt das Risiko, garantiert aber keinen Schutz. Die meisten Abmahnungen entstehen nicht durch falsche Formulierungen, sondern durch eine Datenschutzerklärung, die nicht zur tatsächlichen Technik der Website passt. Entscheidend ist der Abgleich mit den real laufenden Tools, nicht der Generator allein.

In der Sprache, in der Sie Ihre Website anbieten. Eine rein deutschsprachige Seite kommt mit einer deutschen Datenschutzerklärung aus. Sobald sich Ihr Angebot ernsthaft an englischsprachige Nutzer richtet, sollten Sie die Erklärung zusätzlich auf Englisch bereitstellen.

Zwei Dinge gleichzeitig. Zum einen Abmahnungen durch Mitbewerber oder Verbände mit Anwaltskosten und möglichen Vertragsstrafen. Zum anderen Bußgelder der Aufsichtsbehörde, deren Rahmen nach Art. 83 DSGVO bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes reicht. Für ein KMU sind solche Summen selten, das Risiko ist aber real.

Verantwortlich ist die Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet, also der Betreiber der Website. Ein beauftragter Dienstleister oder eine Agentur kann bei der Erstellung und Pflege unterstützen, die rechtliche Verantwortung bleibt aber beim Betreiber. Ein Datenschutzbeauftragter ist nur in bestimmten Fällen zusätzlich vorgeschrieben.

Disclaimer: Dieser Beitrag stellt allgemeine Informationen zur Datenschutz-Praxis bereit und ersetzt KEINE fachjuristische Beratung im Einzelfall. Für rechtsverbindliche Auskünfte zu Ihrer konkreten Datenschutzerklärung konsultieren Sie bitte einen Rechtsanwalt. Quellen für die hier zitierten Rechtstexte: dsgvo-gesetz.de (Art. 12, 13, 83 DSGVO), dejure.org (§ 25 TDDDG), BfDI, DLA Piper GDPR Fines Survey. Angaben gelten für den deutschen Markt; in Österreich, der Schweiz und anderen Ländern gelten abweichende Regelungen.

Das könnte Sie auch interessieren