Aktualisiert: März 2026 · Lesezeit: 8 Min.
Kurze Antwort: Jeder, der eine Website betreibt. Lange Antwort: Es gibt tatsächlich eine winzige Ausnahme — rein private, familiäre Websites ohne jegliche Datenerhebung. Aber mal ehrlich, wann ist das der Fall? Schon wenn Ihr Hoster Server-Logs speichert (und das tun alle), werden personenbezogene Daten verarbeitet. Die IP-Adresse reicht.
Art. 13 DSGVO verpflichtet jeden Verantwortlichen, Betroffene bei der Erhebung ihrer Daten zu informieren. Und „Erhebung" fängt beim Aufruf einer Webseite an. Der EuGH hat das schon 2016 im Breyer-Urteil (C-582/14) klargestellt: Dynamische IP-Adressen sind personenbezogene Daten.
Für einen Handwerker in Augsburg mit einer simplen Firmen-Website gilt die Pflicht genauso wie für einen DAX-Konzern. Der Umfang der Erklärung unterscheidet sich natürlich erheblich, aber die Pflicht an sich? Universell.
Art. 13 und Art. 14 DSGVO listen die Pflichtangaben detailliert auf. Ich fasse die wichtigsten zusammen — und erkläre, warum sie relevant sind, nicht nur dass sie es sind.
Name und Kontaktdaten des Verantwortlichen. Wer ist für die Datenverarbeitung zuständig? Bei Einzelunternehmen der Inhaber, bei einer GmbH die Geschäftsführung. Vollständiger Name, Adresse, E-Mail. Kein Kontaktformular als einzige Möglichkeit — der EuGH hat klargestellt, dass eine direkte Kontaktmöglichkeit bestehen muss.
Kontaktdaten des Datenschutzbeauftragten, falls einer bestellt werden muss. Ab 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten (§ 38 BDSG), oder wenn besonders sensible Daten verarbeitet werden.
Die Zwecke der Datenverarbeitung und die Rechtsgrundlagen. Für jeden Verarbeitungszweck eine der sechs Rechtsgrundlagen aus Art. 6 Abs. 1 DSGVO benennen. Hosting basiert typischerweise auf berechtigtem Interesse (lit. f), ein Newsletter auf Einwilligung (lit. a), ein Online-Kauf auf Vertragserfüllung (lit. b).
Empfänger oder Kategorien von Empfängern. Wenn Daten an Dritte weitergegeben werden — und das passiert bei fast jeder Website, schon durch den Hoster — müssen Sie das angeben. Google, Facebook, Ihr Newsletter-Anbieter, Ihr Payment-Provider: alle benennen.
Dauer der Datenspeicherung. Nicht „so lange wie nötig" — das reicht nicht. Konkrete Fristen oder zumindest nachvollziehbare Kriterien. Kontaktanfragen: 6 Monate. Rechnungsdaten: 10 Jahre (steuerliche Aufbewahrungspflicht). Server-Logs: 7 bis 14 Tage.
Hinweis auf Betroffenenrechte. Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21). Und das Beschwerderecht bei der Aufsichtsbehörde nach Art. 77.
Ich habe in den letzten Jahren hunderte Datenschutzerklärungen geprüft. Die Fehler wiederholen sich mit deprimierender Regelmäßigkeit.
Fehler Nummer eins: Copy-Paste von anderen Websites. Ein Steuerberater in Leipzig kopiert die Datenschutzerklärung eines Onlineshops in Berlin. Da steht dann etwas über WooCommerce und Stripe — Dienste, die der Steuerberater gar nicht nutzt. Dafür fehlt der Hinweis auf DATEV, das er tatsächlich einsetzt. Peinlich und ein Verstoß gegen Art. 13 DSGVO.
Fehler Nummer zwei: Die Erklärung nie aktualisieren. Websites verändern sich. Neue Plugins, neue Dienste, neue Funktionen. Wer 2020 eine Erklärung erstellt hat und seitdem GA4, Hotjar und einen Live-Chat eingebaut hat, ohne die Erklärung anzupassen — der hat ein Problem.
Fehler Nummer drei: Versteckte Datenschutzerklärung. Der Link im Footer ist Standard, aber manche Websites verstecken ihn in Untermenüs oder machen ihn durch schlechtes Design praktisch unsichtbar. Gerichte verlangen maximal zwei Klicks von jeder Unterseite.
Nicht jede Website ist gleich. Ein Onlineshop mit Kundenkonto, Warenkorb und Zahlungsabwicklung hat andere Anforderungen als eine reine Unternehmenswebsite. Ein Arzt, der über seine Website Termine anbietet, verarbeitet Gesundheitsdaten — eine besondere Kategorie nach Art. 9 DSGVO, die zusätzliche Schutzmaßnahmen erfordert.
Für Onlineshops gilt zusätzlich: Informationspflichten nach dem Fernabsatzrecht (§ 312d BGB), spezielle Hinweise zu Zahlungsdienstleistern, und falls Sie Bonitätsprüfungen durchführen, müssen auch Schufa oder Creditreform in der Datenschutzerklärung stehen.
Für Websites mit Nutzerforum oder Kommentarfunktion: Wer veröffentlicht Daten wie Name oder Profilbild öffentlich? Wie lange werden Beiträge gespeichert? Gibt es eine Moderationsprüfung? All das gehört in die Datenschutzerklärung.
Meiner Erfahrung nach gibt es drei realistische Wege. Ein guter Generator, ergänzt durch eigene Anpassungen — für 90 Prozent aller Websites ausreichend. Ein spezialisierter Anwalt, der Ihre konkrete Situation analysiert — kostet 300 bis 800 Euro, lohnt sich bei Onlineshops oder sensiblen Daten. Oder eine Kombination: Generator als Basis, Anwalt für die Feinheiten.
Was Sie auf keinen Fall tun sollten: Gar keine Datenschutzerklärung haben. Das ist der sicherste Weg zur Abmahnung. Selbst eine imperfekte Erklärung ist besser als keine — wobei „imperfekt" natürlich nicht „falsch" heißen sollte.