Datenschutzerklärung Website Deutschland 11. April 2026 · 10 Min. Lesezeit

Datenschutzerklärung für Websites schreiben: Pflichtangaben 2026

Datenschutzerklärung für deutsche Websites: Alle Pflichtangaben nach DSGVO, Muster-Formulierungen und häufige Fehler — praxisnah für Selbstständige und KMU.

Redaktion RechtAI · Fachlich geprüft

Juristen & Compliance-Experten, spezialisiert auf DSGVO und EU AI Act

Zuletzt geprüft am: 2026-04-11 | Quellen: eur-lex.europa.eu, gesetze-im-internet.de, bfdi.bund.de

TL;DR – Das Wichtigste in Kürze

Pflicht für jede Website: Wer über eine Website personenbezogene Daten erhebt (auch IP-Adressen, Kontaktformulare), braucht eine Datenschutzerklärung nach Art. 13 DSGVO
Pflichtangaben: Verantwortlicher, Verarbeitungszwecke, Rechtsgrundlagen, Betroffenenrechte und Beschwerderecht — alle verpflichtend
Cookies: Seit dem TTDSG gilt § 25 TTDSG — nicht einwilligungspflichtige Cookies müssen trotzdem dokumentiert werden
Sanktionen: Fehlende oder fehlerhafte Datenschutzerklärungen können zu Bußgeldern bis zu 20 Millionen Euro führen (Art. 83 Abs. 5 DSGVO)

Du hast eine Website — als Selbstständiger, Freiberufler oder kleines Unternehmen. Vielleicht verkaufst du Produkte, bietest Dienstleistungen an oder betreibst einfach einen Blog. Eine Sache ist sicher: Sobald deine Website Besucher hat, werden personenbezogene Daten verarbeitet. Spätestens dann greift die DSGVO, und du brauchst eine rechtssichere Datenschutzerklärung.

Das klingt kompliziert — ist es aber nicht, wenn du weißt, was wirklich rein muss. Dieser Leitfaden zeigt dir Schritt für Schritt, wie du eine vollständige und aktuelle Datenschutzerklärung für deine Website erstellst.

Was ist eine Datenschutzerklärung und wer braucht sie?

Eine Datenschutzerklärung ist ein Pflichtdokument, das Websitebesucher darüber informiert, welche personenbezogenen Daten du erhebst, zu welchem Zweck du sie verarbeitest und welche Rechte sie haben. Die rechtliche Grundlage bilden vor allem Art. 12, Art. 13 und Art. 14 DSGVO.

Wer braucht eine Datenschutzerklärung?

Kurz gesagt: jeder, der eine Website betreibt. Denn bereits beim Aufrufen einer Website werden mindestens die IP-Adresse des Besuchers und technische Gerätedaten in Server-Logs gespeichert. Das sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Hinzu kommen:

Kontaktformulare – Namen, E-Mail-Adressen, Nachrichten
Newsletter-Anmeldungen – E-Mail-Adresse, ggf. Name
Webanalyse-Tools – Google Analytics, Matomo, Plausible
Cookies – Session-Cookies, Tracking-Cookies
Social-Media-Plugins – Facebook, Instagram, LinkedIn
Online-Shops – Bestelldaten, Zahlungsdaten, Lieferadressen

Selbst eine einfache Visitenkarten-Website ohne Formular verarbeitet Daten. Es gibt keine Untergrenze nach Betriebsgröße.

Pflichtangaben nach Art. 13 DSGVO

Art. 13 DSGVO listet abschließend auf, welche Informationen in einer Datenschutzerklärung enthalten sein müssen, wenn Daten direkt beim Betroffenen erhoben werden. Das ist bei Websites der Standardfall.

1. Identität und Kontaktdaten des Verantwortlichen

Der Verantwortliche nach Art. 4 Nr. 7 DSGVO ist die natürliche oder juristische Person, die über Zwecke und Mittel der Datenverarbeitung entscheidet — also du bzw. dein Unternehmen.

Pflichtangaben:

Vollständiger Name und Anschrift (kein Postfach)
E-Mail-Adresse
Telefonnummer (empfohlen, rechtlich umstritten aber Best Practice)

Muster-Formulierung:

Verantwortlicher im Sinne der DSGVO ist:
Max Mustermann / Mustermann GmbH
Musterstraße 1, 12345 Berlin
E-Mail: datenschutz@mustermann.de

2. Kontaktdaten des Datenschutzbeauftragten

Ein Datenschutzbeauftragter (DSB) ist nur in bestimmten Fällen Pflicht — insbesondere wenn mehr als 20 Personen regelmäßig personenbezogene Daten verarbeiten (§ 38 BDSG) oder bestimmte riskante Verarbeitungen stattfinden.

Wenn kein DSB bestellt wurde: Das musst du in der Datenschutzerklärung nicht erwähnen. Wenn doch: Name und Kontaktdaten sind anzugeben.

3. Verarbeitungszwecke und Rechtsgrundlagen

Für jede Datenverarbeitung auf deiner Website musst du angeben:

Was verarbeitet wird (Datenkategorien)
Warum es verarbeitet wird (Zweck)
Auf welcher Rechtsgrundlage nach Art. 6 DSGVO

Die sechs Rechtsgrundlagen im Überblick:

Art. 6 Abs. 1 lit. a – Einwilligung (z. B. Newsletter-Anmeldung)
Art. 6 Abs. 1 lit. b – Vertragserfüllung (z. B. Online-Kauf)
Art. 6 Abs. 1 lit. c – Rechtliche Verpflichtung (z. B. Buchführung)
Art. 6 Abs. 1 lit. f – Berechtigte Interessen (z. B. Server-Logs zur Sicherheit)

4. Speicherdauer

Du musst angeben, wie lange du die Daten speicherst — oder nach welchen Kriterien die Speicherdauer bestimmt wird (Art. 13 Abs. 2 lit. a DSGVO).

Typische Speicherfristen:

Server-Logs: 7–14 Tage
Kontaktformular-Anfragen: bis zur Erledigung + 3 Jahre (Verjährungsfrist)
Buchungsunterlagen: 10 Jahre (steuerrechtliche Aufbewahrungspflicht nach § 147 AO)
Newsletter-Daten: bis zum Widerruf

5. Empfänger oder Kategorien von Empfängern

Wenn du Daten an Dritte weitergibst oder Dienstleister einsetzt (Webhosting, E-Mail-Provider, Zahlungsdienstleister), musst du das angeben — auch wenn es sich um Auftragsverarbeiter handelt.

6. Drittlandtransfers

Werden Daten in Länder außerhalb der EU/des EWR übermittelt (z. B. USA bei Google Analytics, AWS), musst du darauf hinweisen und die geeigneten Garantien nach Art. 46 DSGVO bzw. einen Angemessenheitsbeschluss nach Art. 45 DSGVO nennen.

7. Betroffenenrechte

Jede Datenschutzerklärung muss auf die Rechte der betroffenen Person hinweisen:

Auskunftsrecht – Art. 15 DSGVO: Betroffene können fragen, welche Daten gespeichert sind
Berichtigungsrecht – Art. 16 DSGVO: Unrichtige Daten müssen korrigiert werden
Löschungsrecht – Art. 17 DSGVO: „Recht auf Vergessenwerden”
Einschränkungsrecht – Art. 18 DSGVO: Verarbeitung vorübergehend stoppen
Datenübertragbarkeit – Art. 20 DSGVO: Daten in maschinenlesbarem Format erhalten
Widerspruchsrecht – Art. 21 DSGVO: Verarbeitung auf Basis berechtigter Interessen ablehnen
Widerruf der Einwilligung – Art. 7 Abs. 3 DSGVO: Einwilligungen können jederzeit widerrufen werden

8. Beschwerderecht bei der Aufsichtsbehörde

Betroffene haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 13 Abs. 2 lit. d DSGVO). In Deutschland ist das die Behörde des Bundeslandes, in dem du deinen Geschäftssitz hast. Den Bundesbeauftragten für Datenschutz (BfDI) findest du unter bfdi.bund.de.

Schritt-für-Schritt: Datenschutzerklärung erstellen

Schritt 1: Datenflüsse auf deiner Website erfassen

Bevor du einen Text schreibst, musst du verstehen, welche Daten deine Website tatsächlich verarbeitet. Geh deine Website durch und notiere:

Welche Tools sind eingebunden? (Google Analytics, Hotjar, Facebook Pixel, …)
Gibt es Formulare? (Kontakt, Newsletter, Bewerbung, Bestellung)
Welchen Hosting-Anbieter nutzt du?
Setzt du Cookies ein? Welche Arten?

Diese Bestandsaufnahme ist der Kern deiner Datenschutzerklärung — und gleichzeitig Teil des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO, das du ohnehin pflegen musst.

Schritt 2: Abschnitte für jeden Verarbeitungsvorgang schreiben

Für jede Art der Datenerhebung brauchst du einen eigenen Abschnitt:

Hosting: Beim Aufrufen deiner Website übermittelt dein Browser automatisch Daten an den Webserver (IP-Adresse, Uhrzeit, angeforderte Seiten). Diese werden in Server-Logs gespeichert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an IT-Sicherheit).

Kontaktformular: Wenn jemand dein Kontaktformular ausfüllt, verarbeitest du Namen, E-Mail-Adresse und den Nachrichteninhalt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder Art. 6 Abs. 1 lit. f DSGVO.

Cookies: Unterscheide zwischen technisch notwendigen Cookies (kein Einwilligungserfordernis nach § 25 Abs. 2 TTDSG) und nicht notwendigen Cookies (Einwilligung erforderlich nach § 25 Abs. 1 TTDSG).

Schritt 3: Sprache anpassen — klar und verständlich

Art. 12 DSGVO schreibt vor, dass die Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form” bereitgestellt werden müssen. Das bedeutet: kein juristisches Kauderwelsch, das niemand versteht.

Schreib so, dass ein durchschnittlicher Websitebesucher die Erklärung lesen und verstehen kann.

Schritt 4: Datenschutzerklärung zugänglich machen

Die Datenschutzerklärung muss jederzeit und auf jeder Seite erreichbar sein — in der Regel über einen Link im Footer. Sie sollte mit einem direkten Klick erreichbar sein, nicht erst nach drei Navigationsebenen.

Schritt 5: Regelmäßig aktualisieren

Deine Datenschutzerklärung ist kein Dokument, das du einmal schreibst und dann vergisst. Aktualisiere sie:

Wenn du neue Tools einbindest (Analytics, CRM, Payment)
Wenn du neue Formulare oder Funktionen hinzufügst
Wenn sich die Rechtslage ändert (neue Gerichtsurteile, neue Gesetze)

Häufige Datenverarbeitungen und Muster-Formulierungen

Google Analytics / Google Tag Manager

Falls du Google Analytics 4 (GA4) oder Google Tag Manager einsetzt, verarbeitest du Nutzungsdaten und überträgst diese in die USA. Seit dem EU-US Data Privacy Framework 2023 gibt es zwar einen Angemessenheitsbeschluss (Art. 45 DSGVO), aber du musst diesen Sachverhalt trotzdem transparent kommunizieren.

Muster:

Wir nutzen Google Analytics 4, einen Webanalysedienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland. Google Analytics verwendet Cookies und ähnliche Technologien, um das Nutzerverhalten auf unserer Website zu analysieren. Die dadurch erzeugten Informationen werden an Server von Google übertragen und dort gespeichert, auch auf Servern in den USA. Grundlage für die Übermittlung in die USA ist der Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du kannst deine Einwilligung jederzeit über unsere Cookie-Einstellungen widerrufen.

Kontaktformular

Muster:

Wenn du unser Kontaktformular nutzt, werden die von dir eingegebenen Daten (Name, E-Mail-Adresse, Nachricht) zur Bearbeitung deiner Anfrage gespeichert. Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen an der Beantwortung von Anfragen). Deine Daten werden nach vollständiger Erledigung deiner Anfrage gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht.

Häufige Fehler in Datenschutzerklärungen

Fehler 1: Veraltete oder generierte Texte ohne Anpassung

Viele Websitebetreiber kopieren eine Muster-Datenschutzerklärung aus dem Netz und passen sie nicht an ihre konkrete Situation an. Das ist gefährlich: Wenn die Erklärung Dienste erwähnt, die du gar nicht nutzt (oder umgekehrt), ist sie falsch und damit unwirksam.

Fehler 2: Keine Rechtsgrundlage angegeben

Es reicht nicht zu schreiben „wir verarbeiten deine Daten für den Newsletterversand”. Du musst die konkrete Rechtsgrundlage nach Art. 6 DSGVO nennen — in diesem Fall Art. 6 Abs. 1 lit. a (Einwilligung).

Fehler 3: Cookies ohne Unterscheidung

Seit dem § 25 TTDSG (in Kraft seit Dezember 2021) müssen Cookies differenziert behandelt werden. Technisch notwendige Cookies brauchen keine Einwilligung, alle anderen schon. Eine Datenschutzerklärung, die diese Unterscheidung nicht trifft, ist unvollständig.

Fehler 4: Fehlender Hinweis auf Beschwerderecht

Der Hinweis auf das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde ist nach Art. 13 Abs. 2 lit. d DSGVO verpflichtend. Viele Datenschutzerklärungen lassen ihn aus.

Fehler 5: Datenempfänger verschweigen

Wer Drittanbieter nutzt — egal ob für Hosting, E-Mail, Analytics oder Payment — muss diese als Empfänger oder Auftragsverarbeiter angeben. Das gilt auch dann, wenn ein Auftragsverarbeitungsvertrag (AVV) geschlossen wurde.

Fehler 6: Datenschutzerklärung schwer auffindbar

Die Datenschutzerklärung muss jederzeit und ohne Umwege zugänglich sein. Sie gehört in den Footer jeder Seite — nicht versteckt im Impressum.

FAQ: Datenschutzerklärung Website Deutschland

Brauche ich als Kleinunternehmer eine Datenschutzerklärung?

Ja. Die DSGVO gilt für alle Verantwortlichen, die personenbezogene Daten von Personen in der EU verarbeiten — unabhängig von Unternehmensgröße oder Umsatz. Auch ein Solo-Selbstständiger mit einer einfachen Website braucht eine Datenschutzerklärung.

Muss die Datenschutzerklärung auf Deutsch sein?

Für deutsche Websites empfiehlt es sich dringend, die Datenschutzerklärung auf Deutsch anzubieten. Das Gebot der Verständlichkeit aus Art. 12 DSGVO erfordert, dass Informationen in der Sprache bereitgestellt werden, die für die Zielgruppe verständlich ist.

Was passiert, wenn ich keine Datenschutzerklärung habe?

Fehlt die Datenschutzerklärung vollständig oder ist sie inhaltlich unvollständig, drohen mehrere Konsequenzen: Bußgelder der Datenschutzbehörden nach Art. 83 DSGVO, Abmahnungen durch Wettbewerber (nach § 3a UWG i.V.m. DSGVO) sowie Schadensersatzklagen von Betroffenen nach Art. 82 DSGVO.

Darf ich eine KI-generierte Datenschutzerklärung nutzen?

Grundsätzlich ja — aber nur, wenn du das Ergebnis sorgfältig an deine konkrete Website anpasst und alle Angaben auf Richtigkeit prüfst. Eine generische KI-Ausgabe ohne Anpassung ist rechtlich riskant, weil sie nicht deine tatsächlichen Datenverarbeitungen widerspiegelt.

Muss ich einen Auftragsverarbeitungsvertrag (AVV) mit meinem Webhoster abschließen?

Ja. Sobald dein Webhoster im Auftrag für dich personenbezogene Daten verarbeitet (z. B. IP-Adressen in Server-Logs speichert), liegt Auftragsverarbeitung nach Art. 28 DSGVO vor. Du musst einen AVV schließen. Die meisten großen Hosting-Anbieter bieten diesen automatisch an.

Wie oft muss ich meine Datenschutzerklärung aktualisieren?

Es gibt keine gesetzlich festgelegte Aktualisierungspflicht. Du musst aber sicherstellen, dass die Erklärung stets aktuell und vollständig ist. Jedes Mal, wenn du einen neuen Dienst einbindest oder Datenverarbeitungen änderst, muss die Datenschutzerklärung angepasst werden.

Weiterführende Ressourcen

Für eine vollständige DSGVO-Compliance auf deiner Website empfiehlt sich eine Gesamtbetrachtung. Unser DSGVO-Compliance-Leitfaden für KMU gibt dir die komplette 10-Punkte-Checkliste — von der Dokumentationspflicht bis zur Datenpannenreaktion.

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen zu deinem konkreten Fall wende dich an einen zugelassenen Rechtsanwalt für Datenschutzrecht.