Im Jahr 2026 ist jedes Unternehmen und jede Organisation, die personenbezogene Daten über ihre Website erhebt, verpflichtet, eine Datenschutzerklärung zu veröffentlichen. Die DSGVO verlangt es, und die Aufsichtsbehörden — in Deutschland der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbeauftragten — kontrollieren dies aktiv. Dennoch bleiben viele Datenschutzerklärungen unvollständig, vage oder rein dekorativ. Eine Datenschutzerklärung, die nicht alle nach Artikel 13 und 14 der DSGVO erforderlichen Informationen enthält, ist rechtlich einer fehlenden Datenschutzerklärung gleichzusetzen. Einen umfassenden Überblick über die Risiken finden Sie in unserem Artikel zur Pflicht zur Datenschutzerklärung: Risiken und Bußgelder.
Dieser Artikel erläutert alle Elemente, die Ihre Datenschutzerklärung zwingend enthalten muss, um 2026 DSGVO-konform zu sein.
Warum jedes Element zählt
Die Artikel 13 und 14 der DSGVO legen eine präzise Liste der Informationen fest, die der Verantwortliche den betroffenen Personen zur Verfügung stellen muss. Artikel 12 ergänzt, dass diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
Dies ist keine Empfehlung, sondern eine gesetzliche Pflicht. Eine unvollständige Datenschutzerklärung stellt einen Verstoß gegen diese Artikel dar, der nach Artikel 83 der DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden kann. In Deutschland wird die DSGVO durch das Bundesdatenschutzgesetz (BDSG) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG) ergänzt, die zusätzliche Anforderungen stellen. Aufsichtsbehörden haben wiederholt Unternehmen sanktioniert, deren Datenschutzerklärung zwar vorhanden, aber unvollständig war.
Ob Ihre Organisation diesen Pflichten unterliegt, erfahren Sie in unserem Leitfaden DSGVO: Wer ist wirklich betroffen.
Die Pflichtangaben einer Datenschutzerklärung
Hier sind die 11 Elemente, die jede DSGVO-konforme Datenschutzerklärung enthalten muss. Jedes Element entspricht einer konkreten Anforderung der Artikel 13 oder 14 der Verordnung.
1. Identität und Kontaktdaten des Verantwortlichen
Ihre Datenschutzerklärung muss klar angeben, wer für die Datenverarbeitung verantwortlich ist: vollständiger Firmenname, Anschrift des Sitzes, Kontakt-E-Mail-Adresse und Handelsregisternummer. Wenn ein Datenschutzbeauftragter (DSB) bestellt wurde, müssen auch dessen Kontaktdaten aufgeführt werden (Artikel 13 Absatz 1 Buchstabe b).
2. Zwecke und Rechtsgrundlage jeder Verarbeitung
Für jede Datenverarbeitung müssen Sie den Zweck (warum die Daten erhoben werden) und die entsprechende Rechtsgrundlage aus den sechs in Artikel 6 der DSGVO vorgesehenen Gründen angeben: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse oder berechtigte Interessen. Zum Beispiel: „Wir erheben Ihre E-Mail-Adresse für den Versand unseres Newsletters (Rechtsgrundlage: Einwilligung)” oder „Wir verarbeiten Ihre Rechnungsdaten zur Durchführung Ihrer Bestellung (Rechtsgrundlage: Vertragserfüllung).“
3. Kategorien erhobener personenbezogener Daten
Listen Sie umfassend die Arten von Daten auf, die Sie erheben: Identifikationsdaten (Name, E-Mail), Verbindungsdaten (IP-Adresse, Protokolle), Zahlungsdaten (Kartennummer, über Zahlungsdienstleister), Navigationsdaten (besuchte Seiten, Cookies) und gegebenenfalls Standortdaten. Transparenz ist wesentlich: Der Nutzer muss genau wissen, welche Daten Sie über ihn besitzen.
4. Empfänger der Daten
Benennen Sie alle Personen oder Stellen, die Zugang zu den Daten haben: interne Abteilungen (Kundenservice, Marketing, IT), Auftragsverarbeiter (Hosting-Anbieter, Zahlungsdienstleister, E-Mail-Tool) und etwaige Geschäftspartner. Artikel 13 Absatz 1 Buchstabe e verlangt diese Angabe selbst dann, wenn die Empfänger Auftragsverarbeiter sind, die in Ihrem Auftrag handeln.
5. Übermittlung in Drittländer
Wenn personenbezogene Daten in Länder außerhalb der EU übermittelt werden — beispielsweise durch die Nutzung US-amerikanischer Cloud-Dienste — müssen Sie dies ausdrücklich angeben. Sie müssen die betroffenen Länder nennen, den verwendeten Garantiemechanismus (Angemessenheitsbeschluss der Europäischen Kommission, Standardvertragsklauseln (SVK) oder verbindliche interne Datenschutzvorschriften) und erläutern, wie der Nutzer eine Kopie dieser Garantien erhalten kann (Artikel 13 Absatz 1 Buchstabe f).
6. Speicherdauer der Daten
Geben Sie für jede Datenkategorie die Speicherdauer oder die Kriterien für deren Festlegung an (Artikel 13 Absatz 2 Buchstabe a). Zum Beispiel: „Kundendaten: 3 Jahre nach Ende der Geschäftsbeziehung. Rechnungsdaten: 10 Jahre (gesetzliche Aufbewahrungspflicht nach HGB/AO). Navigationsdaten: 13 Monate.” Vermeiden Sie vage Formulierungen wie „so lange wie nötig” ohne nähere Angaben.
7. Rechte der betroffenen Personen
Die DSGVO gewährt Nutzern eine Reihe von Rechten, die Ihre Datenschutzerklärung auflisten und verständlich erklären muss: Auskunftsrecht (Artikel 15), Recht auf Berichtigung (Artikel 16), Recht auf Löschung oder „Recht auf Vergessenwerden” (Artikel 17), Recht auf Einschränkung der Verarbeitung (Artikel 18), Recht auf Datenübertragbarkeit (Artikel 20) und Widerspruchsrecht (Artikel 21). Jedes Recht sollte in einer Sprache beschrieben werden, die auch für Nicht-Juristen verständlich ist.
8. Modalitäten der Rechteausübung
Es reicht nicht aus, die Rechte aufzulisten: Sie müssen konkret angeben, wie sie ausgeübt werden können. Nennen Sie die zuständige E-Mail-Adresse (z. B. dsb@ihrewebsite.de), ein Kontaktformular falls vorhanden, die Postanschrift für schriftliche Anfragen und die Antwortfrist (maximal 1 Monat gemäß Artikel 12 Absatz 3 der DSGVO, verlängerbar um 2 Monate bei Komplexität). Erwähnen Sie auch eventuelle Identitätsnachweise, die zur Bearbeitung der Anfrage erforderlich sind.
9. Beschwerderecht bei der Aufsichtsbehörde
Artikel 13 Absatz 2 Buchstabe d verpflichtet Sie, den Nutzer über sein Recht zu informieren, Beschwerde bei einer Aufsichtsbehörde einzulegen. In Deutschland ist dies je nach Bundesland der zuständige Landesdatenschutzbeauftragte oder auf Bundesebene der BfDI. Geben Sie den Namen der Behörde, ihre Postanschrift und einen Link zu ihrem Online-Beschwerdeservice an. Diese Angabe wird häufig vergessen, ist aber obligatorisch.
10. Cookies und Tracking-Technologien
Auch wenn Sie eine separate Cookie-Richtlinie haben, muss Ihre Datenschutzerklärung die Verwendung von Cookies und Tracking-Technologien erwähnen, die verwendeten Cookie-Kategorien (essenziell, analytisch, werblich) kurz zusammenfassen und auf Ihre ausführliche Cookie-Richtlinie für Details und Einwilligungsverwaltung verweisen. Das TTDSG regelt in Deutschland die Einwilligung für den Zugriff auf Endgeräte und ergänzt die DSGVO in diesem Bereich.
11. Änderungen der Datenschutzerklärung
Geben Sie an, wie Nutzer über wesentliche Änderungen der Datenschutzerklärung informiert werden: Benachrichtigung per E-Mail, Hinweisbanner auf der Website, sichtbares Datum der letzten Aktualisierung am Anfang oder Ende des Dokuments. Geben Sie das aktuelle Versionsdatum an und pflegen Sie idealerweise eine zugängliche Versionshistorie.
Die häufigsten Fehler
Selbst mit bester Absicht treten bestimmte Fehler in Datenschutzerklärungen immer wieder auf:
Zu vage Formulierungen. Sätze wie „Wir nutzen Ihre Daten zur Verbesserung unserer Dienste” erfüllen nicht die Transparenzanforderung. Jeder Zweck muss spezifisch und konkret beschrieben werden.
Kopieren von Mitbewerbern. Jede Website hat andere Datenverarbeitungen. Eine kopierte Datenschutzerklärung ist zwangsläufig ungenau für Ihr Unternehmen und stellt bereits an sich einen Verstoß dar.
Fehlende oder falsche Rechtsgrundlage. Einen Zweck zu nennen, ohne die entsprechende Rechtsgrundlage anzugeben, oder eine Einwilligung zu behaupten, wenn die Verarbeitung tatsächlich auf Vertragserfüllung beruht, stellt einen Verstoß dar.
Fehlende Kontaktdaten des DSB. Wenn Ihre Organisation verpflichtet ist, einen Datenschutzbeauftragten zu bestellen (Artikel 37), müssen dessen Kontaktdaten in der Datenschutzerklärung stehen. Ihr Fehlen ist ein eigenständiger Verstoß.
Veraltete Datenschutzerklärung. Eine Erklärung, die Dienste erwähnt, die Sie nicht mehr nutzen, oder die neue Verarbeitungen nicht abdeckt, ist nicht mehr konform. Regelmäßige Aktualisierung ist unerlässlich.
Nicht zugängliches Dokument. Die Datenschutzerklärung muss von jeder Seite der Website aus mit maximal 2 Klicks erreichbar sein. Ein Link nur in der Fußzeile der Startseite reicht nicht aus, wenn die interne Navigation ihn nicht aufgreift.
So erhalten Sie eine vollständige Datenschutzerklärung
Angesichts der Komplexität der Anforderungen gibt es mehrere Möglichkeiten:
Einen spezialisierten Anwalt beauftragen (200-500 €): Die persönlichste Lösung, aber Kosten und Dauer (mehrere Wochen) können ein Hindernis sein, insbesondere für KMU und Selbstständige.
Selbst verfassen (0 € aber riskant): Ohne juristische Expertise ist das Risiko von Auslassungen oder Fehlern hoch. Die Artikel 13 und 14 der DSGVO enthalten über 20 Pflichtinformationspunkte, und eine einzige Auslassung genügt, um das Dokument nicht konform zu machen.
Eine generische KI verwenden (0 € + Anwaltsprüfung 150-300 €): Tools wie ChatGPT können einen ersten Entwurf erstellen, kennen aber nicht die Besonderheiten Ihrer Website und erfordern eine juristische Prüfung zur Sicherstellung der Konformität.
Ein spezialisiertes Rechtstool verwenden (14,90-19,90 €): Lösungen wie WebLegal.ai führen Sie Schritt für Schritt durch jede Pflichtangabe und stellen sicher, dass keine Angabe fehlt. Das Dokument wird in wenigen Minuten erstellt, ist auf Ihr Unternehmen zugeschnitten und entspricht den neuesten DSGVO-Anforderungen. Für einen umfassenden Schutz sollten Sie alle 4 Pflichtdokumente für Ihre Website berücksichtigen.
Fazit
Eine DSGVO-konforme Datenschutzerklärung ist nicht nur ein juristischer Text zum Abhaken auf einer Compliance-Checkliste: Sie ist ein Transparenzinstrument, das sowohl Ihre Nutzer als auch Ihr Unternehmen schützt. Jedes der 11 in diesem Artikel aufgeführten Elemente entspricht einer konkreten gesetzlichen Anforderung. Auch nur eines auszulassen, setzt Ihre Organisation Bußgeldern von bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes aus. Im Jahr 2026, mit der Intensivierung der Kontrollen durch BfDI und Landesdatenschutzbeauftragte, überlassen Sie nichts dem Zufall — stellen Sie sicher, dass Ihre Datenschutzerklärung vollständig, aktuell und zugänglich ist.