Datenschutzerklärung: Diese Pflichtangaben verlangt Art. 13 DSGVO

Eine Datenschutzerklärung muss nach Art. 13 DSGVO transparent darüber informieren, wer Daten verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte Betroffene haben. Diese Angaben sind zwingend, sobald Sie personenbezogene Daten direkt bei der betroffenen Person erheben - und das tut praktisch jede Website. Fehlen Pflichtangaben, drohen Beschwerden, aufsichtsbehördliche Anordnungen und Abmahnungen.

Wann greift die Informationspflicht aus Art. 13 DSGVO?

Art. 13 DSGVO gilt immer dann, wenn Sie Daten unmittelbar bei der betroffenen Person erheben. Auf einer Website passiert das fortlaufend: durch Server-Logfiles mit IP-Adressen, Kontaktformulare, Newsletter-Anmeldungen, Cookies oder eingebundene Drittdienste. Die Information muss zum Zeitpunkt der Erhebung bereitgestellt werden - in der Praxis über eine jederzeit erreichbare, klar verlinkte Datenschutzerklärung.

Werden Daten dagegen nicht direkt bei der Person, sondern über Dritte erhoben (etwa aus einem gekauften Adressbestand), gilt der ergänzende Art. 14 DSGVO mit zusätzlichen Angaben zur Datenquelle.

Die Pflichtangaben nach Art. 13 Abs. 1 und 2 DSGVO

Folgende Inhalte müssen in jeder Datenschutzerklärung enthalten sein:

• Identität und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a) - Name bzw. Firma, ladungsfähige Anschrift und eine Kontaktmöglichkeit.
• Kontaktdaten des Datenschutzbeauftragten, sofern einer benannt wurde (lit. b).
• Zwecke der Verarbeitung sowie die jeweilige Rechtsgrundlage (lit. c) - etwa Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllung oder lit. f für berechtigte Interessen.
• Berechtigte Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f gestützt wird (lit. d).
• Empfänger oder Kategorien von Empfängern (lit. e) - also Hosting-Dienstleister, Newsletter-Tools oder Analyse-Anbieter.
• Übermittlung in Drittländer und die hierfür genutzten Garantien (lit. f), etwa EU-Standardvertragsklauseln.

Hinzu kommen die Angaben aus Abs. 2, die eine faire und transparente Verarbeitung sicherstellen:

• Speicherdauer oder die Kriterien für deren Festlegung.
• Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO).
• Widerrufsrecht bei einwilligungsbasierter Verarbeitung (Art. 7 Abs. 3).
• Beschwerderecht bei einer Aufsichtsbehörde (Art. 77).
• Hinweis, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.
• Information über eine etwaige automatisierte Entscheidungsfindung inklusive Profiling.

Häufige Drittdienste, die separat genannt werden müssen

Jeder Dienst, der personenbezogene Daten verarbeitet, braucht einen eigenen Abschnitt mit Zweck, Rechtsgrundlage und Empfänger. Typische Kandidaten:

• Hosting und Server-Logs - meist Art. 6 Abs. 1 lit. f.
• Webfonts: Werden Schriften vom Google-CDN geladen, wird die IP in die USA übertragen. Sicherer ist die lokale Einbindung von Google Fonts.
• Analyse- und Marketing-Cookies - diese setzen nach § 25 TTDSG eine Einwilligung voraus, die Sie über einen Consent-Banner einholen.
• Auftragsverarbeiter wie Newsletter- oder Cloud-Anbieter. Hier benötigen Sie zusätzlich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

So bleibt die Erklärung verständlich

Art. 12 DSGVO verlangt eine präzise, transparente und leicht zugängliche Form in klarer und einfacher Sprache. Vermeiden Sie reine Gesetzeszitate ohne Erläuterung. Bewährt hat sich eine Gliederung nach einzelnen Verarbeitungen mit jeweils gleichbleibender Struktur: Was wird verarbeitet, zu welchem Zweck, auf welcher Rechtsgrundlage, von wem, wie lange.

Halten Sie die Erklärung aktuell: Jeder neue Dienst, jedes neue Tracking-Tool und jede geänderte Speicherdauer muss eingepflegt werden. Eine veraltete Datenschutzerklärung ist genauso angreifbar wie eine fehlende.

Pflichtangaben automatisch prüfen lassen

Ob Ihre Website alle relevanten Dienste offenlegt und keine Tracker ohne Einwilligung laden, lässt sich nicht zuverlässig per Sichtprüfung beantworten. Der kostenlose Sorrel-Scan erkennt eingebundene Drittdienste, Cookies und fehlende Hinweise und gleicht sie mit den Anforderungen aus Art. 13 DSGVO ab. Einen Überblick über alle Prüfpunkte bietet unsere DSGVO-Website-Checkliste 2026.

Häufige Fragen

Reicht ein Mustertext als Datenschutzerklärung aus?

Ein Generator liefert eine gute Grundstruktur, ersetzt aber keine individuelle Anpassung. Sie müssen jeden tatsächlich eingesetzten Dienst aufnehmen und nicht genutzte Bausteine entfernen. Eine generische Erklärung, die Dienste nennt, die Sie gar nicht verwenden - oder umgekehrt verschweigt -, verfehlt die Transparenzpflicht.

Muss die Datenschutzerklärung von jeder Unterseite erreichbar sein?

Ja. Sie muss von jeder Seite aus mit einem Klick zugänglich sein, üblicherweise über einen festen Link im Footer. Die Bezeichnung sollte eindeutig „Datenschutz" oder „Datenschutzerklärung" lauten und darf nicht in einem Sammelmenü versteckt werden.

Was passiert bei fehlenden Pflichtangaben?

Aufsichtsbehörden können Anordnungen und Bußgelder verhängen, zudem sind wettbewerbsrechtliche Abmahnungen möglich. Die richtigen ersten Schritte nach einer Abmahnung sollten Sie kennen. Prüfen Sie Ihre Seite vorab mit dem kostenlosen Scan oder sichern Sie sich mit einem Sorrel-Tarif eine laufende Überwachung.