Datenschutzerklärung Website Deutschland

Die Datenschutzerklärung Website in Deutschland ist in DSGVO Art. 13 (Informationspflicht bei Direkterhebung) geregelt. Jede Website, die personenbezogene Daten verarbeitet – auch nur durch das Setzen von Cookies oder die Speicherung von IP-Adressen –, ist in Deutschland verpflichtet, eine Datenschutzerklärung vorzuhalten (DSGVO Art. 13, TTDSG §25). Die Datenschutzerklärung muss leicht zugänglich, verständlich und vollständig sein. Fehlt sie oder ist sie unvollständig, drohen Abmahnungen durch Mitbewerber (UWG §3, §3a), Bußgelder durch die zuständige Landesbehörde sowie Beschwerden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder den jeweiligen Landesdatenschutzbehörden (z.B. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Bayerisches Landesamt für Datenschutzaufsicht – LDA, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit).

Die DSGVO trat am 25. Mai 2018 in Kraft und gilt unmittelbar in allen EU-Mitgliedstaaten. Für Websites mit Nutzern aus der Europäischen Union gilt das sogenannte Marktortprinzip: Auch Unternehmen außerhalb der EU unterliegen der DSGVO, wenn sie sich an EU-Bürger richten. Der Europäische Datenschutzausschuss (EDSA) und der Bundesgerichtshof (BGH) haben in mehreren Entscheidungen – u.a. BGH VI ZR 135/13 zur Datenweitergabe und EuGH C-311/18 (Schrems II) zur Drittlandübermittlung – die Anforderungen an die Datenschutzerklärung präzisiert.

Die Datenschutzerklärung Website für Deutschland muss auf jeder Seite der Website über einen gut sichtbaren Link erreichbar sein – üblicherweise in der Fußzeile neben dem Impressum. Betreiber, die Google Analytics, Facebook Pixel oder ähnliche Dienste verwenden, müssen deren Datenverarbeitung ausdrücklich offenlegen und eine Rechtsgrundlage nach DSGVO Art. 6 benennen (Einwilligung Art. 6 Abs. 1 lit. a oder berechtigtes Interesse Art. 6 Abs. 1 lit. f).

Eine Datenschutzerklärung für eine Website in Deutschland ist in folgenden Situationen zwingend erforderlich:

**Jede kommerzielle Website:** Jede gewerbliche Website – vom Online-Shop über einen Blog mit Werbeeinnahmen bis zum professionellen Dienstleistungsangebot – muss eine DSGVO-konforme Datenschutzerklärung vorhalten. Selbst eine einfache Kontaktseite mit E-Mail-Formular verarbeitet personenbezogene Daten.

**Verwendung von Cookies:** TTDSG §25 schreibt vor, dass für technisch nicht notwendige Cookies eine Einwilligung des Nutzers erforderlich ist. Die Datenschutzerklärung muss alle gesetzten Cookies und ihre Zwecke erläutern. Das Landgericht Rostock und das Landgericht Frankfurt haben Websites abgemahnt, die keine oder unvollständige Cookie-Informationen enthielten.

**Google Analytics und andere Tracking-Dienste:** Wer Google Analytics, Matomo, Facebook Pixel, LinkedIn Insight Tag oder ähnliche Tracking-Tools verwendet, muss dies in der Datenschutzerklärung offenlegen und eine Rechtsgrundlage nach DSGVO Art. 6 benennen. Der EuGH (C-40/17, Fashion ID) hat klargestellt, dass Website-Betreiber für Daten, die durch eingebundene Drittdienste erhoben werden, mitverantwortlich sind.

**Social-Media-Präsenz und Einbindung von Widgets:** Das Einbinden von Facebook-Like-Buttons, YouTube-Videos oder Instagram-Feeds überträgt Nutzerdaten an US-Server. Nach dem EuGH-Urteil Schrems II (C-311/18) ist die Übermittlung personenbezogener Daten in die USA ohne Standardvertragsklauseln (SCC) oder Angemessenheitsbeschluss grundsätzlich unzulässig.

**Kontaktformulare und Newsletter:** Die Erhebung von E-Mail-Adressen für Newsletter erfordert eine ausdrückliche Einwilligung (Double-Opt-In-Verfahren) und eine detaillierte Information in der Datenschutzerklärung. Das LG München I hat wiederholt Unternehmen abgemahnt, die keine ausreichende Datenschutzinformation zu ihrem Newsletter enthielten.

**E-Commerce:** Online-Shops verarbeiten besonders sensible Daten (Zahlungsinformationen, Kaufhistorie, Adressdaten). Die Datenschutzerklärung muss alle Verarbeitungszwecke, Dienstleister (Zahlungsabwickler, Versanddienstleister) und Speicherdauern offenlegen.

Eine vollständige Datenschutzerklärung Website Deutschland nach DSGVO Art. 13/14 und TTDSG enthält folgende Pflichtbestandteile:

**1. Identität und Kontakt des Verantwortlichen (DSGVO Art. 13 Abs. 1 lit. a)** Name und vollständige Anschrift des Website-Betreibers oder des verantwortlichen Unternehmens, E-Mail-Adresse, Telefonnummer. Bei Unternehmen mit mehr als 20 Beschäftigten in der Datenverarbeitung: Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) nach BDSG §38; Kontaktdaten des DSB ebenfalls anzugeben.

**2. Kontaktdaten des Datenschutzbeauftragten (DSGVO Art. 13 Abs. 1 lit. b)** Falls ein Datenschutzbeauftragter bestellt ist, müssen Name und Kontaktdaten angegeben werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) führt ein Register der behördlichen Datenschutzbeauftragten.

**3. Zwecke und Rechtsgrundlagen der Verarbeitung (DSGVO Art. 13 Abs. 1 lit. c/d)** Für jeden Verarbeitungszweck muss die Rechtsgrundlage nach DSGVO Art. 6 angegeben werden: Einwilligung (Art. 6 Abs. 1 lit. a), Vertragserfüllung (lit. b), rechtliche Verpflichtung (lit. c), berechtigtes Interesse (lit. f). Berechtigte Interessen müssen konkret benannt werden (DSGVO Art. 13 Abs. 1 lit. d).

**4. Empfänger und Drittlandübermittlungen (DSGVO Art. 13 Abs. 1 lit. e/f)** Alle Empfänger personenbezogener Daten (Hosting-Anbieter, Zahlungsdienstleister, Analyse-Tools) müssen genannt werden. Übermittlungen in Drittländer (USA, UK) erfordern Angabe der Schutzmaßnahmen (Standardvertragsklauseln nach DSGVO Art. 46, EU-US Data Privacy Framework).

**5. Speicherdauer (DSGVO Art. 13 Abs. 2 lit. a)** Angabe, wie lange personenbezogene Daten gespeichert werden. Falls keine konkreten Fristen möglich sind: Kriterien für die Festlegung (z.B. gesetzliche Aufbewahrungsfristen nach HGB §257: 10 Jahre für Buchungsbelege; AO §147: 10 Jahre für steuerrelevante Daten).

**6. Betroffenenrechte (DSGVO Art. 13 Abs. 2 lit. b/c/d)** Erläuterung der Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Übertragbarkeit (Art. 20), Widerspruch (Art. 21). Recht auf Beschwerde bei Aufsichtsbehörde (Art. 77) – zuständige Behörde angeben (z.B. Bayerisches Landesamt für Datenschutzaufsicht, Berliner Beauftragte für Datenschutz und Informationsfreiheit).

**7. Cookies und Tracking (TTDSG §25)** Auflistung aller gesetzten Cookies mit Name, Anbieter, Zweck und Speicherdauer. Unterscheidung: technisch notwendige Cookies (keine Einwilligung erforderlich) vs. Analyse- und Marketing-Cookies (Einwilligung nach TTDSG §25 Abs. 1 erforderlich). Cookie-Consent-Tool-Anbieter angeben.

**8. Hosting und Server-Logs** Angaben zum Hosting-Anbieter (z.B. Hetzner, IONOS, Strato, AWS Frankfurt Region) und zu gespeicherten Server-Log-Daten (IP-Adresse, Datum, Uhrzeit, Browsertyp). Zweck: Betrieb und Sicherheit der Website (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f). forms-legal.com stellt eine vollständige, DSGVO-konforme Datenschutzerklärung-Vorlage für Websites in Deutschland bereit.

Das Ausfüllen einer Datenschutzerklärung für eine Website in Deutschland erfordert folgende Schritte:

**Schritt 1: Verantwortlichen identifizieren** Tragen Sie vollständigen Namen oder Firmennamen, Anschrift, E-Mail und Telefonnummer des Website-Betreibers ein. Bei Unternehmen: Handelsregisternummer (Amtsgericht, HRB). Prüfen Sie, ob ein Datenschutzbeauftragter (DSB) nach BDSG §38 zu benennen ist (bei mehr als 20 Mitarbeitern in der Datenverarbeitung oder bei systematischer Verarbeitung besonderer Kategorien nach DSGVO Art. 9).

**Schritt 2: Verarbeitungszwecke auflisten** Erstellen Sie eine vollständige Liste aller Datenverarbeitungsvorgänge Ihrer Website: Webhosting (Server-Logs), Kontaktformular, Newsletter, Shop-Bestellprozess, Analytics, Social-Media-Einbindungen. Weisen Sie jedem Zweck eine Rechtsgrundlage nach DSGVO Art. 6 zu.

**Schritt 3: Dienste und Tools angeben** Listen Sie alle eingesetzten Drittdienste auf: Google Analytics (Standard Contractual Clauses mit Google LLC, USA), Matomo (EU-Server, kein Drittlandtransfer), Cloudflare (CDN, USA), PayPal, Stripe (Zahlungsabwicklung). Prüfen Sie für US-Dienste, ob das EU-US Data Privacy Framework gilt (seit Juli 2023 mit Angemessenheitsbeschluss der EU-Kommission).

**Schritt 4: Cookie-Typen kategorisieren** Unterscheiden Sie: technisch notwendige Cookies (Session-ID, Warenkorb-Cookie – keine Einwilligung erforderlich) und Analyse-/Marketing-Cookies (Google Analytics, Facebook Pixel – Einwilligung nach TTDSG §25 Abs. 1 erforderlich). Geben Sie für jedes Cookie: Name, Anbieter, Zweck, Speicherdauer.

**Schritt 5: Betroffenenrechte ausformulieren** Erläutern Sie alle Rechte nach DSGVO Art. 15–21 und nennen Sie die für Sie zuständige Landesdatenschutzbehörde. Geben Sie eine Kontaktadresse für Datenschutzanfragen an (E-Mail genügt).

**Schritt 6: Datenschutzerklärung veröffentlichen** Veröffentlichen Sie die Datenschutzerklärung unter einem eigenen URL (z.B. /datenschutz) und verlinken Sie diese auf jeder Seite Ihrer Website, insbesondere in der Fußzeile. Der Link muss gut sichtbar sein und darf nicht mit anderen Links verschmelzen (BGH I ZR 34/08 zu Impressumspflicht gilt analog für Datenschutzerklärung). Aktualisieren Sie die Datenschutzerklärung bei jeder Änderung der Datenverarbeitung.

Die Datenschutzerklärung Website Deutschland unterliegt einem umfangreichen Rechtsrahmen:

**DSGVO (Datenschutz-Grundverordnung, EU 2016/679):** Art. 13 und 14 regeln die Informationspflichten beim Erheben personenbezogener Daten. Art. 83 setzt Bußgelder fest: bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes bei Verstößen gegen die Grundsätze der Verarbeitung (Art. 5) oder die Betroffenenrechte (Art. 12–22).

**BDSG (Bundesdatenschutzgesetz):** Konkretisiert und ergänzt die DSGVO für Deutschland. §26 BDSG regelt die Verarbeitung von Beschäftigtendaten; §38 BDSG begründet die Pflicht zur Bestellung eines Datenschutzbeauftragten.

**TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz):** §25 TTDSG (in Kraft seit 01.12.2021) setzt die ePrivacy-Richtlinie (2009/136/EG) für Deutschland um. Danach ist für das Setzen von Cookies, die nicht technisch notwendig sind, eine Einwilligung des Nutzers erforderlich. Das Bundesverfassungsgericht (BVerfG) hat in seiner Kammerentscheidung die Anforderungen an die Einwilligung präzisiert.

**TMG (Telemediengesetz):** §13 TMG verpflichtet Diensteanbieter zur Unterrichtung der Nutzer über Art, Umfang und Zweck der Datenerhebung zu Beginn des Nutzungsvorgangs. Das TMG gilt subsidiär neben der DSGVO.

**Drittlandübermittlung (DSGVO Art. 44 ff.):** Datenübermittlungen in die USA oder andere Drittländer ohne Angemessenheitsbeschluss (Art. 45) erfordern Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) oder andere geeignete Garantien. Seit Juli 2023 gilt das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission), das für zertifizierte US-Unternehmen Datenübermittlungen ohne Standardvertragsklauseln ermöglicht.

**Abmahngefahr:** Verstöße gegen Datenschutzpflichten können von Mitbewerbern nach UWG §3a (Vorsprung durch Rechtsbruch) abgemahnt werden. Das Oberlandesgericht Hamburg hat wiederholt festgestellt, dass fehlende Datenschutzerklärungen wettbewerbswidrig sind.

Häufige Fehler bei der Datenschutzerklärung für Websites in Deutschland:

**Keine oder veraltete Datenschutzerklärung:** Wer seit 2018 (DSGVO-Inkrafttreten) noch keine oder eine veraltete Datenschutzerklärung hat, ist abmahnbar. Die Bundesbehörden – insbesondere das Bayerische Landesamt für Datenschutzaufsicht (LDA) und der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit – haben aktiv Verstöße geahndet.

**Google Analytics ohne Einwilligung:** Die Nutzung von Google Universal Analytics (vor GA4) ohne Einwilligung der Nutzer war bereits nach dem BGH-Urteil VI ZR 135/13 problematisch. Heute verlangt TTDSG §25 für alle nicht technisch notwendigen Tracking-Cookies eine ausdrückliche Einwilligung (Opt-in). Viele Websites haben noch kein DSGVO-konformes Cookie-Consent-Tool.

**Fehlende Drittlandinformationen:** Die Einbindung von Google Fonts, YouTube-Videos oder Stripe-Zahlungen überträgt Daten in die USA. Viele Datenschutzerklärungen fehlen die Angabe der Schutzmaßnahmen (Standardvertragsklauseln, EU-US Data Privacy Framework). Das LG München I hat 2022 die Einbindung von Google Fonts ohne Einwilligung als rechtswidrig eingestuft.

**Keine Angabe der Speicherdauer:** DSGVO Art. 13 Abs. 2 lit. a verlangt die Angabe von Speicherfristen oder Kriterien für die Festlegung. Viele Datenschutzerklärungen lassen diese Angabe weg oder verwenden vage Formulierungen wie 'solange gesetzlich erforderlich'.

**Falscher oder nicht aktueller Datenschutzbeauftragter:** Unternehmen mit Datenschutzbeauftragtem müssen dessen Kontaktdaten angeben (DSGVO Art. 13 Abs. 1 lit. b). Scheidet der DSB aus, muss die Datenschutzerklärung unverzüglich aktualisiert werden.

**Datenschutzerklärung nicht ausreichend verlinkt:** Der Link zur Datenschutzerklärung muss auf jeder Seite klar sichtbar sein (BGH-analoge Auslegung zum Impressum, I ZR 34/08). Ein versteckter Link im Seitenquellcode genügt nicht.