Datenschutzerklärung für die Website: was 2026 rein muss

Inhalt in Kürze

• Die Datenschutzerklärung ist Pflicht nach Art. 13 DSGVO — sie informiert Besucher transparent über jede Datenverarbeitung. Fehlt sie oder ist sie falsch, drohen Abmahnung und Bußgeld.
• Pflicht sind unter anderem: Verantwortlicher, DSB-Kontakt, Zwecke und Rechtsgrundlagen (Art. 6), Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte, Widerruf und Beschwerderecht beim HmbBfDI.
• Jeder Dienst mit Datenfluss gehört rein: Hosting/Server-Logs, Consent-Tools, Analytics, Google Fonts (lokal hosten!), Maps, Newsletter, Kontaktformular und Social-Media-Plugins.
• Generatoren reichen nur für einfache Seiten — sobald US-Tools, Analytics oder ein Buchungssystem im Spiel sind, bildet der Baustein-Text Ihre konkrete Konstellation meist nicht vollständig ab.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Sie haben eine neue Firmen-Website online gestellt, einen Generator durchgeklickt — und glauben, das Thema Datenschutzerklärung sei damit erledigt. In der Praxis ist genau das die häufigste Lücke, die uns bei Hamburger Mandanten begegnet. Die Datenschutzerklärung passt nicht zur Seite: Sie nennt Tools, die gar nicht laufen, und verschweigt zwei, die im Hintergrund munter Daten in die USA schicken. Dieser Artikel zeigt Ihnen, was 2026 in eine rechtssichere Datenschutzerklärung für die Website gehört — mit einer Checkliste aller Pflichtangaben nach Art. 13 DSGVO und einer Liste der Dienste, die Sie nennen müssen.

Warum die Datenschutzerklärung Website-Pflicht ist

Sobald Ihre Website personenbezogene Daten verarbeitet — und das tut praktisch jede Website spätestens durch die Server-Logs des Hosters — greift die Informationspflicht nach Art. 13 DSGVO. Sie müssen Besucher zum Zeitpunkt der Datenerhebung darüber informieren, wer welche Daten zu welchem Zweck auf welcher Rechtsgrundlage verarbeitet. Das ist keine Kür, sondern eine harte gesetzliche Pflicht.

Dahinter steht der Transparenzgrundsatz aus Art. 12 DSGVO: Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitgestellt werden. Übersetzt heißt das: ein eigener, klar benannter Menüpunkt, verständliches Deutsch, kein Jurist-Kauderwelsch, mit einem Klick von jeder Unterseite erreichbar.

Wer das ignoriert, riskiert zwei Dinge gleichzeitig: ein Bußgeld durch die Aufsichtsbehörde und eine wettbewerbsrechtliche Abmahnung durch Konkurrenten oder Abmahnvereine. Gerade fehlende oder veraltete Angaben zu Tracking-Tools und US-Diensten sind ein beliebtes Abmahnziel.

Die Pflichtangaben-Checkliste nach Art. 13 DSGVO

Das ist das Grundgerüst, das in jede Datenschutzerklärung gehört — unabhängig davon, welche Tools Sie einsetzen. Fehlt einer dieser Bausteine, ist die Erklärung unvollständig.

• Verantwortlicher. Name, Anschrift und Kontaktdaten der Stelle, die über die Datenverarbeitung entscheidet — meist Ihr Unternehmen mit ladungsfähiger Adresse.
• Datenschutzbeauftragter. Kontaktdaten Ihres DSB, sofern Sie einen bestellt haben oder bestellen müssen. Bei einem externen DSB dessen Kontakt.
• Zwecke und Rechtsgrundlagen. Für jede Verarbeitung der konkrete Zweck und die passende Rechtsgrundlage nach Art. 6 DSGVO (Einwilligung, Vertrag, rechtliche Pflicht oder berechtigtes Interesse).
• Empfänger. An wen die Daten weitergegeben werden — Hoster, Newsletter-Dienst, Analytics-Anbieter, Zahlungsdienstleister.
• Drittlandtransfer. Ob und auf welcher Grundlage Daten in Länder außerhalb der EU übermittelt werden (z. B. USA) und welche Garantien greifen.
• Speicherdauer. Wie lange die Daten gespeichert werden oder nach welchen Kriterien sich die Dauer bemisst.
• Betroffenenrechte. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch (Art. 15–21 DSGVO).
• Widerrufsrecht. Bei Verarbeitungen auf Einwilligungsbasis der Hinweis, dass die Einwilligung jederzeit widerrufbar ist.
• Beschwerderecht. Der Hinweis, dass sich Betroffene bei einer Aufsichtsbehörde beschweren können — für Hamburger Unternehmen der HmbBfDI.
• Automatisierte Entscheidung. Falls Sie Profiling oder automatisierte Einzelentscheidungen einsetzen (Art. 22), gehört das ebenfalls hinein.

Welche Dienste rein müssen — Tool für Tool

Hier trennt sich die Standard-Datenschutzerklärung von der korrekten. Jeder dieser Dienste sendet Daten — und jeder gehört benannt. Wir gehen die Klassiker durch, die wir auf fast jeder KMU-Website finden.

Webhosting und Server-Logs

Jeder Aufruf Ihrer Seite landet im Logfile des Hosters — mit IP-Adresse, Zeitstempel, aufgerufener URL und Browser. Rechtsgrundlage ist in der Regel das berechtigte Interesse (Art. 6 Abs. 1 lit. f) am sicheren Betrieb. Mit dem Hoster brauchen Sie zudem einen Auftragsverarbeitungsvertrag — mehr dazu in unserem Beitrag zur AVV-Prüfung.

Cookies und Consent

Sobald Sie nicht zwingend notwendige Cookies oder Tracker setzen, brauchen Sie eine Einwilligung vor dem Setzen — das verlangt § 25 TDDDG (das frühere TTDSG). Die Datenschutzerklärung beschreibt, welche Cookies wozu gesetzt werden; das technische Einholen der Einwilligung übernimmt der Consent-Banner. Wie der rechtssicher aufgebaut sein muss, lesen Sie im Detail in unserem Artikel zum rechtssicheren Cookie-Banner.

Webanalyse (Google Analytics, Matomo)

Nutzen Sie Reichweitenmessung, gehört sie rein — mit Tool-Name, Zweck, Rechtsgrundlage und Drittlandbezug. Google Analytics überträgt Daten in die USA und setzt eine Einwilligung voraus. Matomo lässt sich auf eigenem Server datensparsam und ohne Cookies betreiben — wir empfehlen es Mandanten regelmäßig als europäische Alternative. Wichtig in beiden Fällen: kein Tracking ohne vorherige Einwilligung.

Google Fonts — der Klassiker unter den Abmahnfallen

Binden Sie Schriften dynamisch von Googles Servern ein, wird bei jedem Seitenaufruf die IP-Adresse Ihrer Besucher an Google in die USA übertragen — ohne Einwilligung. Das Landgericht München I entschied am 20. Januar 2022 (Az. 3 O 17493/20), dass dies das Recht auf informationelle Selbstbestimmung verletzt, und sprach der klagenden Person 100 Euro Schadenersatz zu. Daraufhin rollte eine Abmahnwelle. Die Lösung ist banal: Schriften herunterladen und lokal einbinden. Dann besteht keine Verbindung zu Google-Servern, das Problem verschwindet. Auch die Landesdatenschutzbehörde Niedersachsen rät ausdrücklich zur lokalen Einbindung.

Google Maps und eingebettete Inhalte

Eine eingebettete Karte, ein YouTube-Video, ein Social-Feed: Jedes dieser Elemente lädt von einem Drittserver und überträgt dabei Daten — oft in die USA. Solche Einbindungen brauchen eine Einwilligung (Zwei-Klick-Lösung oder Consent-Tool) und müssen in der Datenschutzerklärung benannt werden.

Newsletter mit Double-Opt-In

Ein Newsletter verarbeitet die E-Mail-Adresse auf Einwilligungsbasis (Art. 6 Abs. 1 lit. a). Pflicht ist das Double-Opt-In (Bestätigungsmail), die Protokollierung der Einwilligung und der Hinweis auf das jederzeitige Widerrufsrecht. Nutzen Sie einen US-Dienst, kommt der Drittlandbezug dazu.

Kontakt- und Bewerbungsformulare

Jedes Formular erhebt Daten — Name, E-Mail, Nachricht. Rechtsgrundlage ist meist das berechtigte Interesse oder die Vertragsanbahnung. Ein Bewerbungsformular verarbeitet zusätzlich besonders sensible Daten und braucht klare Löschfristen. Ist Ihr Formular per Captcha geschützt, lesen Sie zur datenschutzfreundlichen Variante unseren Vergleich Cloudflare Turnstile vs. reCAPTCHA.

Social-Media-Plugins

Like-Buttons, eingebettete Posts und Pixel von Facebook, LinkedIn oder Instagram übertragen Daten an die Plattformen — teils schon beim Laden der Seite. Sie müssen benannt werden und brauchen eine Einwilligung.

Drittlandtransfer: das US-Problem

Viele beliebte Web-Tools laufen auf US-Servern. Sobald Daten in die USA fließen, brauchen Sie eine zusätzliche rechtliche Grundlage — etwa, dass der Anbieter unter dem EU-US Data Privacy Framework zertifiziert ist, oder Standardvertragsklauseln. Das gehört transparent in die Datenschutzerklärung, inklusive des Hinweises auf das geringere Schutzniveau. Welche Konstellationen heute halten und welche nicht, haben wir im Beitrag zum US-Cloud-Drittlandtransfer nach Schrems ausführlich beleuchtet.

Generator oder individuell — was reicht wann?

Datenschutzerklärungs-Generatoren wie der von eRecht24, wbs.legal oder der Stiftung Datenschutz sind gute Werkzeuge — aber sie haben eine Grenze. Ein Generator baut aus Bausteinen einen Text zusammen. Er prüft aber nicht, was auf Ihrer Seite tatsächlich läuft. Wenn Sie ein Tool im Generator vergessen anzuhaken, fehlt es im Text — und die Seite sendet trotzdem Daten.

• Generator reicht meist: einfache Visitenkarten-Website, Standard-Hosting in der EU, ein Kontaktformular, lokale Schriften, kein Tracking, keine US-Tools.
• Generator wird knapp: Sie nutzen Analytics, einen Newsletter-Dienst, eingebettete Karten oder Videos — hier müssen Sie jeden Dienst korrekt zuordnen und die US-Frage beantworten.
• DSB-Prüfung sinnvoll: US-Cloud-Tools, Buchungs- oder Shop-System, Bewerberportal, Tracking-Pixel, Profiling oder ein E-Commerce-Shop mit Zahlungsabwicklung.

Gerade im Online-Handel wird es komplex: Zahlungsdienstleister, Versandkonten, Tracking, Warenkorb-Cookies und Retargeting summieren sich. Für E-Commerce-Betreiber lohnt sich der Blick auf unsere Branchenseite für E-Commerce — dort zeigen wir, worauf es beim Shop-Datenschutz konkret ankommt.

In sechs Schritten zur korrekten Datenschutzerklärung

So gehen wir mit Mandanten vor — eine Reihenfolge, die Sie auch selbst anwenden können.

1. Dienste inventarisieren: Listen Sie jedes Tool, Plugin und Skript auf, das Ihre Website lädt — vom Hoster bis zum Like-Button. Ein technischer Scan deckt auch die auf, die im Hintergrund laufen.
2. Rechtsgrundlagen zuordnen: Ordnen Sie jeder Verarbeitung einen Zweck und eine Rechtsgrundlage nach Art. 6 DSGVO zu. Was läuft auf Einwilligung, was auf berechtigtem Interesse?
3. Drittland prüfen: Markieren Sie jeden Dienst, der Daten außerhalb der EU verarbeitet, und klären Sie die Garantie (DPF-Zertifizierung, Standardvertragsklauseln).
4. Text erstellen: Schreiben Sie für jeden Dienst einen Absatz mit Name, Zweck, Rechtsgrundlage, Empfänger, Drittland und Speicherdauer — plus das Pflicht-Gerüst aus Art. 13.
5. Einbinden: Veröffentlichen Sie die Erklärung unter einem eigenen Menüpunkt „Datenschutz", von jeder Unterseite mit einem Klick erreichbar — nicht im Impressum versteckt.
6. Aktuell halten: Bei jeder Tool-Änderung anpassen. Wir empfehlen eine halbjährliche Kurzprüfung — neue Plugins schleichen sich schnell ein.

Aus der Praxis

Für uns ist wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen. Eine Datenschutzerklärung, die exakt zur Website passt, ist dabei keine Hexerei. Man muss nur einmal sauber inventarisieren, was die Seite wirklich lädt – und genau das überspringen die meisten.

Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Ein typischer Fall aus Hamburg: Ein Mandant hatte vor zwei Jahren eine Agentur-Website bauen lassen, Datenschutzerklärung per Generator. Beim ersten Check fanden wir Google Fonts dynamisch eingebunden, ein Marketing-Pixel, das niemand mehr kannte, und einen Newsletter-Dienst aus den USA — keiner davon stand in der Erklärung. Drei Punkte, drei Abmahnflanken. Innerhalb einer Woche war alles bereinigt: Fonts lokalisiert, Pixel entfernt, Erklärung passend gemacht.

Fazit / Ihr nächster Schritt

Eine Datenschutzerklärung ist kein Standard-Textbaustein, den man einmal einsetzt und vergisst. Sie ist die transparente Beschreibung dessen, was Ihre Website tatsächlich mit Daten tut — und sie muss dazu passen. Das Gerüst aus Art. 13 ist überall gleich; die Arbeit steckt darin, jeden Dienst korrekt zu erfassen. Wer das ernst nimmt, nimmt Abmahnvereinen und der Aufsichtsbehörde die Angriffsfläche.

Häufige Fragen (FAQ)

Welche Pflichtangaben muss eine Datenschutzerklärung enthalten?

Nach Art. 13 DSGVO mindestens: Name und Kontaktdaten des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten (falls bestellt), die Zwecke und Rechtsgrundlagen jeder Verarbeitung (Art. 6), die Empfänger der Daten, etwaige Drittlandtransfers mit Garantien, die Speicherdauer, die Betroffenenrechte (Art. 15–21), das Widerrufsrecht bei Einwilligungen und das Beschwerderecht bei der Aufsichtsbehörde — in Hamburg dem HmbBfDI.

Reicht ein kostenloser Datenschutzerklärungs-Generator aus?

Für eine einfache Visitenkarten-Website mit Standard-Hosting und Kontaktformular oft ja. Sobald Sie Analytics, US-Tools, einen Newsletter, ein Buchungssystem oder eingebettete Drittinhalte nutzen, bilden Generatoren Ihre konkrete Konstellation meist nicht vollständig ab. Der Generator erstellt einen Baustein-Text — er prüft nicht, was auf Ihrer Seite tatsächlich Daten an Dritte sendet.

Muss ich Google Fonts in der Datenschutzerklärung nennen?

Wenn Sie Google Fonts dynamisch von Google-Servern laden, übertragen Sie bei jedem Seitenaufruf die IP-Adresse Ihrer Besucher in die USA — das muss in die Datenschutzerklärung und braucht eine Rechtsgrundlage. Besser: Schriften lokal einbinden. Das LG München I hat 2022 für die dynamische Einbindung 100 Euro Schadenersatz zugesprochen und damit eine Abmahnwelle ausgelöst.

Wo muss die Datenschutzerklärung auf der Website stehen?

Sie muss von jeder Unterseite aus mit einem Klick erreichbar sein — üblich ist ein eigener, klar benannter Menüpunkt „Datenschutz” oder „Datenschutzerklärung” im Footer. Sie darf nicht im Impressum versteckt oder hinter einem mehrdeutigen Link verborgen sein. Transparenz nach Art. 12 DSGVO heißt: leicht zugänglich und verständlich.

Was kostet eine abgemahnte Datenschutzerklärung?

Eine wettbewerbsrechtliche Abmahnung kann mehrere Hundert bis über tausend Euro an Anwaltskosten auslösen, dazu kommen mögliche Schadenersatzansprüche einzelner Betroffener. Bei Google Fonts lag der Schadenersatz pro Person bei 100 Euro — bei Massenabmahnungen summiert sich das. Hinzu kommt das Risiko eines Bußgelds durch den HmbBfDI.

Wie oft muss ich die Datenschutzerklärung aktualisieren?

Immer dann, wenn sich an Ihrer Datenverarbeitung etwas ändert — neues Tool, neuer Dienstleister, neuer Hoster, neues Formular. Eine feste Frist gibt es nicht, aber eine Datenschutzerklärung, die ein Tool beschreibt, das Sie nicht mehr nutzen (oder eines verschweigt, das Sie nutzen), ist falsch und angreifbar. Wir empfehlen eine halbjährliche Kurzprüfung.

Weiterführend: Art. 13 DSGVO im Volltext · HmbBfDI — Aufsichtsbehörde Hamburg · LG München I zu Google Fonts (LfD Niedersachsen)

Unsere große Datenschutz-Übersicht bündelt alle Themen rund um die DSGVO-konforme Website. Den Anbieter und Festpreis-Angebote finden Sie auf der Startseite.

Recherche-Stand: verifiziert am 22.05.2026 über dsgvo-gesetz.de (Art. 13), datenschutz-hamburg.de (HmbBfDI), LfD Niedersachsen und e-recht24.de (LG München I, Az. 3 O 17493/20, 20.01.2022).