Rechtstexte

Datenschutzerklärung erstellen: Was 2026 rein muss

Eine vollständige Datenschutzerklärung nach Art. 13 DSGVO ist Pflicht. Erfahre, welche Angaben 2026 enthalten sein müssen und welche Fehler du vermeiden solltest.

Compliso Team
6 Min. Lesezeit

Jede Website, die personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung. Das ist keine Empfehlung, sondern eine gesetzliche Pflicht nach Art. 13 DSGVO. Und “personenbezogene Daten verarbeiten” tut praktisch jede Website — allein durch das Speichern der IP-Adresse in Server-Logs.

Trotzdem sind viele Datenschutzerklärungen unvollständig, veraltet oder schlicht falsch. In diesem Artikel erfährst du, welche Angaben 2026 zwingend enthalten sein müssen, welche Fehler besonders häufig sind und warum eine automatisch aktualisierte Erklärung echten Mehrwert bietet.

Was verlangt Art. 13 DSGVO?

Art. 13 DSGVO listet die Informationen auf, die du betroffenen Personen “zum Zeitpunkt der Erhebung” mitteilen musst. Das klingt juristisch, lässt sich aber in konkrete Abschnitte übersetzen, die deine Datenschutzerklärung enthalten muss.

Vollständige Checkliste: Was rein muss

1. Verantwortlicher

  • Vollständiger Name (bei Unternehmen: Firma und Rechtsform)
  • Anschrift
  • E-Mail-Adresse
  • Telefonnummer (empfohlen, nicht zwingend)
  • Ggf. Vertretungsberechtigter (Geschäftsführer)

2. Datenschutzbeauftragter

  • Name und Kontaktdaten des Datenschutzbeauftragten, falls einer benannt wurde
  • Ein DSB ist Pflicht bei: Behörden, Unternehmen mit mehr als 20 Mitarbeitern in der Datenverarbeitung, oder wenn besondere Datenkategorien verarbeitet werden

3. Hosting und Server-Logs

  • Name des Hosting-Anbieters
  • Welche Daten werden in Server-Logs gespeichert (IP-Adresse, Zeitstempel, aufgerufene URL, Browser, Betriebssystem)
  • Rechtsgrundlage (i.d.R. berechtigtes Interesse, Art. 6 Abs. 1 lit. f)
  • Speicherdauer der Logs
  • Ggf. Auftragsverarbeitungsvertrag (AVV) mit dem Hoster

4. SSL/TLS-Verschlüsselung

  • Hinweis, dass die Website SSL/TLS-verschlüsselt ist
  • Erklärung, was das für die Datenübertragung bedeutet

5. Cookies und Tracking

Dieser Abschnitt ist besonders wichtig und häufig fehlerhaft:

  • Notwendige Cookies: Welche werden gesetzt, wofür, wie lange gespeichert
  • Analytics-Cookies: Name des Dienstes, welche Daten werden erhoben, Rechtsgrundlage (Einwilligung), Speicherdauer, Opt-out-Möglichkeit
  • Marketing-Cookies: Detaillierte Auflistung aller Werbe-Cookies mit Anbieter, Zweck und Speicherdauer
  • Cookie-Consent-Tool: Name des CMP, welches Cookie es setzt, Speicherdauer
  • Google Consent Mode: Hinweis auf die Implementierung und die Auswirkungen auf die Datenverarbeitung

Tipp: Führe eine vollständige Cookie-Tabelle mit Name, Anbieter, Zweck, Typ (First/Third Party), Speicherdauer und Rechtsgrundlage. Das macht die Erklärung transparent und hilft auch bei Prüfungen durch Behörden.

6. Kontaktformular und E-Mail

  • Welche Daten werden beim Absenden des Formulars erhoben
  • Zweck der Verarbeitung
  • Rechtsgrundlage (Vertragsanbahnung nach Art. 6 Abs. 1 lit. b oder Einwilligung)
  • Speicherdauer der Anfragen

7. Newsletter

  • Einwilligungsverfahren (Double-Opt-in)
  • Welche Daten werden erhoben (E-Mail, ggf. Name)
  • Name des Versanddienstleisters
  • Hinweis auf Tracking im Newsletter (Öffnungsrate, Klicks)
  • Widerrufsmöglichkeit (Abmelde-Link)
  • Rechtsgrundlage (Einwilligung)

8. Eingebettete Dienste und Third-Party-Tools

Für jeden externen Dienst, den deine Website nutzt, brauchst du einen eigenen Abschnitt:

  • Google Analytics / GA4: Datenverarbeitung, Anonymisierung, Rechtsgrundlage, Google-Vertrag
  • Google Maps: IP-Übertragung, Nutzungsbedingungen, Consent-Pflicht
  • YouTube: Erweiterter Datenschutzmodus, welche Daten übertragen werden
  • Social-Media-Plugins: Welche Daten bei Einbindung übertragen werden
  • Zahlungsanbieter: Stripe, PayPal etc. — welche Daten übermittelt werden
  • CDNs: Wenn externe CDNs genutzt werden (IP-Übertragung)

9. Drittlandtransfers

  • Für jeden Dienst, der Daten außerhalb des EWR verarbeitet: Welches Land, welche Schutzmaßnahme (Angemessenheitsbeschluss, Standardvertragsklauseln, etc.)
  • Seit dem EU-US Data Privacy Framework (Juli 2023): Verweis auf die Zertifizierung der US-Anbieter, falls vorhanden

10. Betroffenenrechte

  • Recht auf Auskunft (Art. 15)
  • Recht auf Berichtigung (Art. 16)
  • Recht auf Löschung (Art. 17)
  • Recht auf Einschränkung der Verarbeitung (Art. 18)
  • Recht auf Datenübertragbarkeit (Art. 20)
  • Widerspruchsrecht (Art. 21) — bei berechtigtem Interesse besonders hervorheben
  • Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3)
  • Beschwerderecht bei der Aufsichtsbehörde (mit Nennung der zuständigen Behörde)

11. Pflicht oder freiwillige Bereitstellung

  • Hinweis, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist
  • Konsequenzen, wenn die Daten nicht bereitgestellt werden

12. Automatisierte Entscheidungsfindung

  • Falls vorhanden: Hinweis auf automatisierte Entscheidungsfindung oder Profiling nach Art. 22

Die 5 häufigsten Fehler

1. Unvollständige Tracker-Liste

Der häufigste Fehler: Die Datenschutzerklärung listet Google Analytics und den Cookie-Banner auf, vergisst aber die weiteren Dienste. YouTube-Embeds, Google Maps, Hotjar, Facebook Pixel, Chat-Widgets, eingebettete Schriftarten — alles muss aufgeführt sein.

Problem: Ein Scanner findet auf deiner Website 12 Third-Party-Dienste, deine Datenschutzerklärung listet aber nur 4 auf. Das ist ein klarer Verstoß.

2. Fehlende oder falsche Rechtsgrundlage

Jede Datenverarbeitung braucht eine Rechtsgrundlage. “Wir verwenden Google Analytics für Statistiken” reicht nicht. Du musst angeben, auf welcher Grundlage du Google Analytics einsetzt: Einwilligung (Art. 6 Abs. 1 lit. a) — und auch sicherstellen, dass du diese Einwilligung tatsächlich einholst.

3. Veraltete Informationen

Die Datenschutzerklärung wurde einmal erstellt und nie aktualisiert. Inzwischen nutzt die Website aber neue Plugins, ein anderes Analytics-Tool und hat den Newsletter-Anbieter gewechselt. Ergebnis: Die Erklärung stimmt nicht mehr mit der Realität überein.

4. Fehlende Drittlandtransfer-Informationen

Seit dem Schrems-II-Urteil (2020) und dem EU-US Data Privacy Framework (2023) sind die Anforderungen an Drittlandtransfers komplex. Viele Datenschutzerklärungen erwähnen die USA-Transfers nicht oder verweisen auf das ungültige Privacy Shield.

5. Copy-Paste ohne Anpassung

Generatoren liefern oft zu allgemeine Texte. Wenn deine Datenschutzerklärung einen Abschnitt über “Facebook-Plugins” enthält, du aber gar kein Facebook nutzt, ist das nicht nur überflüssig — es kann auch das Vertrauen der Nutzer und Behörden untergraben.

Warum automatische Aktualisierung wichtig ist

Das Grundproblem jeder Datenschutzerklärung: Sie ist eine Momentaufnahme. Am Tag der Erstellung ist sie (hoffentlich) korrekt. Aber Websites ändern sich ständig:

  • Ein neues WordPress-Plugin lädt ein externes Script
  • Ein Mitarbeiter bindet ein YouTube-Video ein
  • Der Newsletter-Dienst wird gewechselt
  • Ein A/B-Testing-Tool wird installiert

Jede dieser Änderungen kann dazu führen, dass die Datenschutzerklärung nicht mehr der Realität entspricht.

Die Lösung: Ein Scanner, der regelmäßig alle Third-Party-Dienste und Cookies auf deiner Website erkennt, und ein Rechtstexte-Generator, der die Datenschutzerklärung entsprechend aktualisiert.

Datenschutzerklärung mit Compliso erstellen

Der Compliso Content-Generator erstellt deine Datenschutzerklärung auf Basis eines geführten Fragebogens. Das Besondere:

  • Die Cookie-Tabelle wird automatisch aus dem Scanner-Ergebnis befüllt — kein manuelles Zusammensuchen
  • Bei jedem Scan werden neue Tracker erkannt und du wirst benachrichtigt, wenn deine Datenschutzerklärung aktualisiert werden muss
  • Die Erklärung kann als gehostete Seite auf legal.compliso.de bereitgestellt werden — immer aktuell, ein Link auf deiner Website reicht
  • Alle Pflichtangaben nach Art. 13 DSGVO sind als Felder im Fragebogen enthalten, so vergisst du nichts

Erfahre mehr über den Compliso Rechtstexte-Generator und erstelle deine Datenschutzerklärung in Minuten statt Stunden.

datenschutzerklärung dsgvo art-13 rechtstexte website-pflichten

Deine Website DSGVO-konform machen?

Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.

Jetzt kostenlos scannen Kostenlos registrieren