Zum Inhalt springen

Datenschutzerklärung auf Ihrer Website prüfen und aktuell halten

Provimedia 5 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
Datenschutzerklärung auf Ihrer Website prüfen und aktuell halten

Wer eine Website betreibt, verarbeitet automatisch personenbezogene Daten von Besuchern – und ist verpflichtet, transparent darüber zu informieren. Genau das regelt die Datenschutzerklärung, die auf keiner deutschen Website fehlen darf.

Kurz erklärt: Die Datenschutzerklärung ist eine gesetzlich vorgeschriebene Information nach Art. 13/14 DSGVO, die erklärt, welche personenbezogenen Daten eine Website erhebt, zu welchem Zweck und auf welcher Rechtsgrundlage. Betroffen ist jeder Websitebetreiber – vom Einzelunternehmer bis zum Konzern. Fehlt sie oder ist sie veraltet, drohen Bußgelder und Abmahnungen.

Wer ist von der Pflicht zur Datenschutzerklärung betroffen?

Jede Person und jedes Unternehmen, das eine Website betreibt und dabei personenbezogene Daten verarbeitet, muss eine Datenschutzerklärung bereitstellen. Das betrifft praktisch alle Websites, denn schon der Seitenaufruf, ein Kontaktformular, ein Newsletter-Anmeldeformular oder eingebundene Tracking-Tools verarbeiten personenbezogene Daten wie IP-Adressen oder E-Mail-Adressen. Rechtsform und Unternehmensgröße spielen dabei keine Rolle: Die Pflicht gilt für Einzelunternehmer und Freiberufler ebenso wie für kleine Betriebe und große Kapitalgesellschaften. Auch reine Informationsseiten ohne Onlineshop oder Login-Bereich sind nicht ausgenommen. Selbst wenn eine Website nur wenige Besucher hat oder rein privat wirkt, ändert das nichts an der rechtlichen Pflicht – entscheidend ist allein, dass personenbezogene Daten verarbeitet werden, nicht die Größe des Publikums.

Was muss in der Datenschutzerklärung stehen?

Für jede einzelne Datenverarbeitung auf der Website müssen Sie den Zweck, die Rechtsgrundlage, mögliche Empfänger der Daten sowie die Speicherdauer angeben. Das gilt für jede Verarbeitung separat – ein pauschaler Hinweis, dass Daten „im Rahmen der gesetzlichen Vorschriften“ verarbeitet werden, genügt nicht. Ergänzend gehören die Betroffenenrechte in die Erklärung: das Recht auf Auskunft, auf Berichtigung, auf Löschung und auf Widerspruch gegen die Verarbeitung. Hinzu kommen die Kontaktdaten des Verantwortlichen und, sofern vorhanden, des Datenschutzbeauftragten, damit Betroffene ihre Rechte tatsächlich geltend machen können. Wichtig ist dabei die Vollständigkeit auf Ebene der einzelnen Dienste: Ein Kontaktformular, ein Newsletter-Tool und ein Hosting-Anbieter sind jeweils eigenständige Verarbeitungen mit eigenem Zweck und eigener Rechtsgrundlage und müssen entsprechend getrennt aufgeführt werden.

Was müssen Sie konkret tun?

Um eine rechtssichere Datenschutzerklärung zu erstellen und dauerhaft aktuell zu halten, gehen Sie am besten in diesen Schritten vor:

  1. Alle Datenverarbeitungen auf der Website erfassen (Kontaktformular, Newsletter, Tracking, Hosting, Zahlungsdienste).
  2. Für jede Verarbeitung Zweck, Rechtsgrundlage, Empfänger und Speicherdauer benennen.
  3. Betroffenenrechte (Auskunft, Löschung, Widerspruch) und Kontakt des Verantwortlichen aufführen.
  4. Datenschutzerklärung leicht auffindbar verlinken (in der Regel im Footer).
  5. Bei neuen Tools oder Diensten, etwa einem neuen Newsletter-Anbieter, die Erklärung zeitnah aktualisieren.

Bis wann und wie oft muss sie aktualisiert werden?

Eine feste Frist für die Ersterstellung gibt es nicht – die Informationspflicht besteht ab dem Tag, an dem Ihre Website online geht und personenbezogene Daten verarbeitet. Entscheidender als der erste Stichtag ist die laufende Pflege: Sobald sich eine Verarbeitung ändert, etwa durch ein neues Tracking-Tool, einen neuen Newsletter-Anbieter oder einen neuen Hosting- oder Zahlungsdienstleister, muss die Erklärung zeitnah angepasst werden. Ein regelmäßiger Check, etwa einmal jährlich, ist zusätzlich sinnvoll, um veraltete Angaben aufzuspüren, auch wenn sich augenscheinlich nichts geändert hat. Wer neue Verarbeitungen erst mit Verzögerung nachträgt, riskiert eine Erklärung, die zum Zeitpunkt der Nutzung nicht mehr der Realität entspricht – genau das prüfen Aufsichtsbehörden und Wettbewerber gleichermaßen.

Was droht bei einem Verstoß?

Fehlt die Datenschutzerklärung, ist sie veraltet oder unvollständig, drohen Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes. In der Praxis sind es jedoch seltener die Aufsichtsbehörden, die zuerst reagieren: Häufiger kommt es zu Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände, die eine fehlende oder fehlerhafte Datenschutzerklärung als Wettbewerbsverstoß werten. Beide Risiken bestehen unabhängig voneinander und können auch gleichzeitig eintreten, wenn ein Verstoß erst öffentlich wird und anschließend von einer Behörde aufgegriffen wird. Welche dieser Pflichten konkret für Ihr Unternehmen gelten, zeigt ein Werkzeug wie Company Audit, das Compliance-Anforderungen individuell für Ihren Betrieb prüft.

Häufige Fragen

Reicht ein Generator für die Datenschutzerklärung aus?

Generatoren liefern nur ein Gerüst. Die konkreten Verarbeitungen auf Ihrer Website müssen Sie selbst korrekt eintragen, sonst bleibt die Erklärung unvollständig oder falsch. Ein generiertes Muster ersetzt also nicht die eigene Bestandsaufnahme aller tatsächlich eingesetzten Tools und Dienste.

Muss ich auch dann eine Datenschutzerklärung haben, wenn ich kein Kontaktformular nutze?

Ja. Schon der reine Seitenaufruf verarbeitet in der Regel personenbezogene Daten wie die IP-Adresse über den Hosting-Anbieter, sodass die Informationspflicht unabhängig von einem Kontaktformular gilt. Auch reine Text- oder Portfolio-Seiten ohne Interaktionsmöglichkeit sind davon nicht ausgenommen.

Wo muss die Datenschutzerklärung verlinkt sein?

Üblich und empfehlenswert ist ein gut sichtbarer Link im Footer, der von jeder Unterseite der Website aus erreichbar ist. So finden Besucher die Erklärung unabhängig davon, auf welcher Seite sie einsteigen, ohne aktiv danach suchen zu müssen.

Was ist besser: alles Denkbare auflisten oder nur die tatsächlich genutzten Dienste?

Bei Unsicherheit ist es sinnvoller, knapp und wahrheitsgemäß zu formulieren, statt pauschal alle denkbaren Verarbeitungen aufzuzählen, die auf der Website gar nicht stattfinden. Eine zu breite, vorsorgliche Auflistung kann ebenso irreführend sein wie eine unvollständige.

Wer ist für die Aktualität der Datenschutzerklärung verantwortlich?

Verantwortlich ist der Websitebetreiber selbst. Er muss die Erklärung bei jeder neuen Verarbeitung, etwa einem zusätzlichen Tool oder Dienstleister, eigenständig aktualisieren – eine Pflicht, die nicht an Agenturen oder Hosting-Anbieter delegiert werden kann.

Quelle: Art. 13/14 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.