Datenschutzerklärung für die Website erstellen: Eine Anleitung
Die Datenschutzerklärung ist wohl das Datenschutzdokument, das Selbständigen und Unternehmern am häufigsten Kopfzerbrechen bereitet. Dabei ist sie im Kern nichts anderes als eine transparente Auskunft: Was passiert mit den Daten, die Ihre Website sammelt?
Wenn Sie diese Frage vollständig beantworten, haben Sie eine rechtskonforme Datenschutzerklärung für Ihre Website. Dieser Artikel zeigt Ihnen, wie das in der Praxis geht.
1. Warum eine vollständige Datenschutzerklärung wichtig ist
📝 Definition: Datenschutzerklärung (auch: Datenschutzhinweise, Datenschutzinformationen) ist das Dokument, das Website-Besucher umfassend über die Verarbeitung ihrer personenbezogenen Daten informiert. Gesetzlich verankert ist sie in Art. 13 und 14 DSGVO (Datenschutzgrundverordnung).
Die Datenschutzerklärung ist nicht optional. Sie ist eine gesetzliche Pflicht für jede Website, die personenbezogene Daten verarbeitet – und das tut jede Website. Denn jede Website läuft auf einem Server, der wiederum in den sogenannten Server-Logs personenbezogene Daten speichert. Es gibt einige wenige Ausnahmen für Websites, die keine Datenschutzerklärung benötigen – aber Unternehmenswebsites gehören definitiv nicht zu diesen Ausnahmen.
2. Schritt 1: Bestandsaufnahme – Welche Daten verarbeitet Ihre Website?
Bevor Sie eine Datenschutzerklärung schreiben oder generieren, brauchen Sie eine vollständige Übersicht der Datenverarbeitungen auf Ihrer Website. Das ist der wichtigste und am häufigsten übersprungene Schritt. Bestenfalls können Sie diese aus dem Verzeichnis aller Verarbeitungstätigkeiten Ihres Unternehmens extrahieren.
📝 Definition: Das Verzeichnis der Verarbeitungstätigkeiten (auch: Verarbeitungsverzeichnis oder VVT) ist die interne Dokumentation aller Datenverarbeitungsvorgänge eines Unternehmens. Gesetzliche Grundlage für das VVT ist Art. 30 DSGVO, wonach das Führen dieses Verzeichnisses verpflichtend ist.
Angenommen, Sie haben noch kein VVT erstellt und dementprechend auch keine Übersicht über die Daten, die Ihre Website verarbeitet. Dann gehen Sie Ihre Website systematisch durch und notieren Sie, ob, wo und wann Ihre Website welche personenbezogenen Daten speichert.
Hier die wichtigsten Punkte, die Sie prüfen sollten, weil sie auf die meisten Websites zutreffen:
Hosting: Welcher Hosting-Anbieter? Wo stehen die Server? Werden Server-Logs erstellt – und wie lange werden sie gespeichert? Im Zweifel fragen Sie beim Anbieter nach.
Kontaktformular: Welche Felder sind vorhanden (Name, E-Mail, Telefon, Nachricht), bei welchen handelt es sich um Pflichtfelder? Wohin werden die Formulardaten gesendet? Werden sie gespeichert – und wie lange?
E-Mail-Kommunikation: Über welchen Anbieter läuft Ihre geschäftliche E-Mail-Kommunikation? Werden E-Mails archiviert? Wenn ja, wie lange?
Newsletter: Welche Software nutzen Sie? Wo werden E-Mail-Adressen gespeichert? Wie lange?
Analyseprogramme: Setzen Sie Google Analytics, Matomo, Fathom oder andere Programme zum Nachverfolgen (Tracken) Ihrer Nutzer ein? Mit oder ohne Cookies?
Externe Inhalte: YouTube-Videos, Google Maps, Vimeo, Spotify, Social-Media-Buttons, externe Schriften (Google Fonts)? Was trifft davon auf Ihre Website zu?
Online-Shop: Falls vorhanden: Welche Daten werden bei der Bestellung gesammelt und gespeichert? Wie lange? Welchen Zahlungsanbieter nutzen Sie?
Buchungs- und Terminanwendungen: Setzen Sie Calendly, Acuity, YouCanBookMe oder ähnliche Software ein?
Live-Chat oder Support-Programme: Setzen Sie Intercom, Tidio oder Ähnliches ein?
💡 Tipp: Nutzen Sie die Entwicklerwerkzeuge Ihres Browsers oder ein Programm wie Blacklight (https://themarkup.org/blacklight) um automatisch zu prüfen, ob und welche Tracker und sogenannten Third-Party-Services Ihre Website lädt. Das zeigt häufig Anwendungen, die Sie vergessen haben oder die von Plugins eingebunden werden.
3. Schritt 2: Die Pflichtangaben in der Datenschutzerklärung
Art. 13 und 14 DSGVO definieren genau, welche Informationen eine Datenschutzerklärung enthalten muss. Hier sind die Pflichtangaben für eine einfache Unternehmenswebsite.
3.1 Angaben zum Verantwortlichen
Sie müssen zum einen die Kontaktdaten des Verantwortlichen angeben, also den vollständigen Vor- und Nachnamen bzw. die offizielle Firmenbezeichnung, eine ladungsfähige Postadresse (Straße, Hausnummer, PLZ und Ort) sowie eine gültige E-Mail-Adresse ist Pflicht. Zusätzlich sollten Sie eine Telefonnummer angeben. Sofern Sie einen Datenschutzbeauftragten haben, geben Sie auch dessen Kontaktdaten an.
📝 Definition: Datenschutzbeauftragter ist eine Person, die ein Unternehmen bei der Einhaltung des Datenschutzes unterstützt. Für welche Unternehmen ein Datenschutzbeauftragter Pflicht ist, ergibt sich aus Art. 37 DSGVO und § 38 Abs. 1 BDSG (Bundesdatenschutzgesetz).
3.2 Für jede Datenverarbeitung: Die Pflichtfelder
Für jede in der Bestandsaufnahme identifizierte Datenverarbeitung müssen in der Datenschutzerklärung folgende Informationen enthalten sein:
- welche Daten verarbeitet werden
- zu welchem Zweck
- auf Basis welcher Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO, Vertragserfüllung nach lit. b, berechtigtes Interesse nach lit. f oder andere)
- wie lange die Daten gespeichert werden
- ob und an wen Daten weitergegeben werden (Empfänger oder Empfängerkategorien)
- bei Übertragungen in ein Drittland: auf welcher Basis die Übertragung erfolgt
🔭 Hinweis: Drittlandübertragungen – also die Übertragung von Daten in Länder außerhalb der EU und des EWR – sind besonders relevant bei US-amerikanischer Software wie Google, Mailchimp, Zoom oder Calendly. Seit dem Schrems-II-Urteil des EuGH (2020) sind die Anforderungen hier gestiegen: Es gilt das sogenannte EU-US-Data-Privacy-Framework, kurz DPF. Unternehmen in der EU müssen demnach keine aufwändigen Einzelfallprüfungen mehr durchführen, wenn das hinter der Software stehende US-amerikanische Unternehmen DPF-zertifiziert ist.
Ob ein US-Dienstleister DPF-zertifiziert ist, können Sie in der offiziellen Liste des U.S. Department of Commerce nachprüfen. Ist es zertifiziert, geben Sie das entsprechend in der Datenschutzerklärung an. Software von nicht zertifizierten Unternehmen sollten Sie besser gar nicht erst einsetzen.
3.3 Rechte der betroffenen Personen
Die Datenschutzerklärung muss alle Rechte betroffener Personen aufführen und erklären, wie sie ausgeübt werden können:
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16)
- Recht auf Löschung (Art. 17)
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20)
- Widerspruchsrecht (Art. 21)
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3).
Außerdem: Der Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde darf nicht fehlen – mit Angabe der zuständigen Behörde, in Deutschland ist das die Datenschutzbehörde des jeweiligen Bundeslandes.
4. Schritt 3: Datenschutzerklärung erstellen – Hilfsmittel und Methoden
4.1 Generatoren als Ausgangspunkt
Für einfache Websites ohne komplexe Verarbeitungssituationen sind datenschutzrechtliche Generatoren ein sinnvoller Ausgangspunkt. Bewährte deutschsprachige Generatoren sind der Datenschutz-Generator von Dr. Schwenke und der Datenschutz-Generator von e-recht24.
⚠️ Wichtig: Generatoren erzeugen Vorlagen für Datenschutzerklärungen auf Basis Ihrer Angaben. Sie können keine individuelle Rechtsberatung ersetzen. Das Ergebnis eines Generators ist ein Ausgangspunkt für Ihre Datenschutzerklärung; das Dokument müssen Sie dann noch auf Vollständigkeit und Korrektheit prüfen müssen, besonders wenn Ihre Website spezifische oder weniger verbreitete Software nutzt.
4.2 Worauf Sie bei der Nutzung von Generatoren achten müssen
Wählen Sie nur die Dienste aus, die Sie tatsächlich nutzen – nicht alle verfügbaren. Eine Datenschutzerklärung, die Dienste erwähnt, die nicht im Einsatz sind, ist irreführend. Passen Sie generierte Texte auf Ihre konkreten Verarbeitungssituationen an, insbesondere die Speicherdauer. Prüfen Sie die Datenschutzerklärung nach jeder Änderung an Ihrer Website. Wenn Sie eine neue Anwendung einbinden oder eine alte entfernen, muss die Erklärung aktualisiert werden.
💡 Tipp: Führen Sie ein einfaches Änderungsprotokoll für Ihre Datenschutzerklärung — Datum der letzten Überarbeitung und was geändert wurde. Das hilft bei Rückfragen und zeigt, dass Sie das Dokument aktiv pflegen.
4.3 Wann fachliche Unterstützung sinnvoll ist
Bei komplexeren Verarbeitungssituationen – Online-Shop mit Zahlungsabwicklung, Kundenverwaltungssystem, umfangreiches E-Mail-Marketing, besondere Kategorien von Daten (Gesundheitsdaten, Kinderdaten) – empfiehlt sich die Unterstützung durch einen Datenschutzbeauftragten.
Die Kosten für eine professionell erstellte Datenschutzerklärung liegen für eine einfache Website zwischen 250 und 500 Euro, für eine komplexere Website zwischen 500 und 1300 Euro. Das ist eine Investition, die sich im Vergleich zu einem einzigen Abmahnungsfall durchaus rechnet.
5. Schritt 4: Platzierung und Aktualisierung
5.1 Wo die Datenschutzerklärung stehen muss
Die Datenschutzerklärung muss von jeder Seite der Website aus leicht erreichbar sein – mit maximal zwei Klicks. Die Standardlösung: ein gut sichbarer, eindeutig bezeichneter Link im Fußbereich Ihrer Website.
Besonders wichtig: Wenn das Cookie-Banner beim Aufruf Ihrer Website alle Inhalte blockiert, muss die Datenschutzerklärung bereits zugänglich sein. Das ist in der Regel kein Problem, weil Sie die Datenschutzerklärung ohnehin auf dem Cookie-Banner verlinken müssen.
5.2 Verlinkung an kritischen Punkten
Neben dem Link im Fußbereich (Footer) gibt es Stellen, an denen die Datenschutzerklärung besonders prominent verlinkt sein sollte: in Kontaktformularen (direkter Hinweis mit Link), im Newsletter-Anmeldeformular (Pflicht für wirksame Einwilligung) und – wie bereits angesprochen – im Cookie-Banner.
5.3 Die Datenschutzerklärung aktuell halten
Eine einmal erstellte Datenschutzerklärung veraltet schnell. Denken Sie daran: Sobald Sie auf Ihrer Website Software installieren oder deinstallieren oder Änderungen bei Drittanbieter-Services oder den gesetzliche Vorgaben eintreten, müssen Sie Ihre Datenschutzerklärung überprüfen und anpassen.
🧩 Beispiel: Ein Berater wechselt von Mailchimp zu MailerLite für seinen Newsletter. In der Datenschutzerklärung steht noch Mailchimp. Das ist ein Verstoß gegen die DSGVO. Mit einem kurzen Eintrag im Kalender („Datenschutzerklärung prüfen“) nach jeder Website-Änderung lässt sich das leicht verhindern.
