Auf einen Blick: Eine rechtssichere Datenschutzerklärung ist für jede geschäftliche Website Pflicht. Diese Schritt-für-Schritt-Anleitung zeigt, was rein muss – individuell angepasst, nicht einfach kopiert.
Warum reicht kein Muster-Copy-Paste?
Eine Datenschutzerklärung muss deine konkreten Dienste, Tools und Datenflüsse beschreiben. Ein generisches Muster, das nicht zu deiner Website passt, kann sogar schädlicher sein als gar keine Erklärung – und ist abmahnbar.
Typischer Fehler: Google Analytics in der Datenschutzerklärung nicht erwähnen, obwohl es aktiv auf der Website läuft.
Schritt 1: Bestandsaufnahme – Was nutze ich auf meiner Website?
Vor dem Schreiben: Alle datenschutzrelevanten Komponenten auflisten.
| Kategorie | Häufige Beispiele |
|---|---|
| Webhosting | STRATO, 1&1, Ionos, Hetzner, Netlify |
| CMS | WordPress, Typo3, Webflow, Squarespace |
| Kontaktformular | Contact Form 7, Gravity Forms, Typeform |
| Analytics | Google Analytics, Matomo, Plausible |
| Newsletter | Mailchimp, Brevo (ehem. Sendinblue), CleverReach |
| Eingebettete Inhalte | YouTube-Videos, Google Maps, Social Icons |
| Fonts | Google Fonts (lokal oder per CDN) |
| Cookies | Consent-Tool wie Borlabs, Cookiebot |
Schritt 2: Pflichtangaben festlegen
Jede Datenschutzerklärung muss enthalten:
Verantwortlicher
Name/Firma: [Dein Name oder Firmenname]
Adresse: [vollständige Anschrift]
E-Mail: [[email protected]]
(ggf. Datenschutzbeauftragter, falls vorhanden)
Überblick zur Datenverarbeitung
- Welche Daten werden erhoben?
- Zu welchem Zweck?
- Auf welcher Rechtsgrundlage?
- Wie lange werden sie gespeichert?
Rechte der Betroffenen
Pflichthinweis auf Art. 15-22 DSGVO (Auskunft, Berichtigung, Löschung, Widerspruch, Übertragbarkeit, Einschränkung, Beschwerde bei Aufsichtsbehörde)
Schritt 3: Einzelne Verarbeitungen beschreiben
Server-Logfiles / Hosting
Bei jedem Website-Aufruf verarbeitet unser Hoster [Name] automatisch folgende Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene URL, Browser und Betriebssystem, Referrer-URL. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: technischer Betrieb und Sicherheit). Ein AVV mit dem Hoster besteht.
Kontaktformular
Bei Nutzung des Kontaktformulars werden Name, E‑Mail und Nachrichteninhalt verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b (vorvertragliche Maßnahmen) oder lit. f (berechtigtes Interesse). Daten werden nach Klärung der Anfrage gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
Google Analytics (falls genutzt)
Diese Website nutzt Google Analytics (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies. Die Verarbeitung erfolgt auf Basis deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Daten können in die USA übertragen werden; Google ist nach dem EU-US Data Privacy Framework zertifiziert. Du kannst die Einwilligung jederzeit widerrufen.
⚠️ Wichtig: Google Analytics nur mit Consent-Tool einsetzen – das Tool darf erst nach aktiver Zustimmung laden! Und: IP-Anonymisierung aktivieren (
gtag('config', 'UA-xxx', { 'anonymize_ip': true })).
Newsletter
Newsletter werden über [Dienst] versendet. Die Anmeldung erfolgt im Double-Opt-in-Verfahren. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Ein AVV mit [Dienst] besteht. Du kannst dich jederzeit über den Link in jedem Newsletter abmelden.
Schritt 4: Wo muss die Datenschutzerklärung hin?
- Von jeder Seite der Website aus erreichbar (Footer-Link)
- Typischer Link-Text: „Datenschutz” oder „Datenschutzerklärung”
- Nicht hinter einem Login versteckt
- Idealerweise auf einer eigenen URL:
/datenschutz
Schritt 5: Was darf NICHT vergessen werden?
Google Fonts – Die unterschätzte Falle
Wenn Google Fonts über das Google-CDN geladen werden (nicht lokal), werden IP-Adressen an Google übertragen. Das ist datenschutzrechtlich problematisch und wurde in Deutschland per Urteil als DSGVO-Verstoß eingestuft.
Lösung: Schriftarten lokal hosten (in WordPress mit Plugin „OMGF” oder ähnlichem).
Eingebettete YouTube-Videos
Beim einbetten (klassisches Embed) lädt YouTube sofort Daten. Besser: YouTube Nocookie-Domain nutzen oder Zwei-Klick-Lösung.
Kostenlose Tools zur Datenschutzerklärung
| Tool | Anbieter | Kosten |
|---|---|---|
| Datenschutz-Generator | e‑recht24.de | Kostenlos (Basis) |
| Datenschutzerklärung erstellen | datenschutz.org | Kostenlos |
| IT-Recht Kanzlei Generator | it-recht-kanzlei.de | Kostenpflichtig (aktuell gehalten) |
| Muster der Aufsichtsbehörden | ldi.nrw.de | Kostenlos |
Fazit
Eine rechtssichere Datenschutzerklärung braucht keine 20 Seiten – aber sie muss genau passen. Mit der Bestandsaufnahme aller genutzten Dienste als Basis ist die individuelle Anpassung eines guten Musters in 2-3 Stunden erledigt. Wer Änderungen vornimmt (neues Tool, neuer Hoster), sollte die Erklärung zeitnah aktualisieren und das Aktualisierungsdatum am Dokument vermerken.