Datenschutzerklärung schreiben: Anleitung

Takeaway

Eine Datenschutzerklärung ist kein Copy-Paste-Template. Sie muss exakt beschreiben welche Daten du sammelst, warum, und wie lange du sie speicherst. Jede Änderung an deiner Website erfordert eine Aktualisierung der DSE.

Die Datenschutzerklärung auf einer Website ist wie eine Steuererklärung: Jeder braucht eine, niemand will sie schreiben, und die meisten sind falsch. Der Unterschied: Bei der Steuererklärung merkt es das Finanzamt. Bei der Datenschutzerklärung merkt es der Mitbewerber, der Abmahnanwalt oder die Aufsichtsbehörde, und dann wird es teuer.

Art. 13 DSGVO listet exakt auf, was in einer Datenschutzerklärung stehen muss. Das Problem: Die meisten Websitebetreiber nutzen einen Generator, passen den Text nie an und vergessen, dass jede Änderung an der Website, neues Plugin, neuer Newsletter-Dienst, neues Analytics-Tool, eine Aktualisierung erfordert.

Dieser Artikel zeigt dir Schritt für Schritt, wie du eine vollständige, aktuelle Datenschutzerklärung erstellst. Mit Vorlage, Checkliste und einem Prompt, der die komplette DSE für deine Website generiert.

// 01 / 07Was muss rein? Die Pflichtangaben nach Art. 13 DSGVO

Art. 13 DSGVO ist die zentrale Norm. Jede dieser Informationen muss in der Datenschutzerklärung stehen, fehlt eine, ist die Erklärung unvollständig und damit angreifbar:

Die 10 Pflichtangaben

1. Verantwortlicher, Name, Adresse, E-Mail, ggf. Datenschutzbeauftragter
2. Datenarten, Welche personenbezogenen Daten werden erhoben (IP, E-Mail, Name...)
3. Zweck, Wozu werden die Daten verarbeitet
4. Rechtsgrundlage, Art. 6 Abs. 1 lit. a/b/c/f DSGVO je Verarbeitung
5. Empfänger, Wer erhält die Daten (Dienstleister, Drittanbieter)
6. Drittlandtransfer, Übermittlung außerhalb der EU mit Garantien
7. Speicherdauer, Konkrete Fristen oder Kriterien
8. Betroffenenrechte, Auskunft, Löschung, Widerspruch etc.
9. Widerruf, Wie kann die Einwilligung widerrufen werden
10. Beschwerderecht, Zuständige Aufsichtsbehörde mit Kontakt

// 02 / 07Schritt für Schritt: DSE erstellen

Schritt 1: Dienste-Inventur. Bevor du schreibst, brauchst du eine Liste aller Dienste auf deiner Website. Öffne deine Website in den DevTools (Network-Tab, Inkognito), klicke auf Akzeptieren und notiere jeden externen Request. Typische Kandidaten: Hoster, Analytics, Fonts, CDN, Newsletter, Formulare, Chat, Payment, Embeds (YouTube, Maps, Social), Consent-Tool.

Schritt 2: Pro Dienst dokumentieren. Für jeden Dienst brauchst du: Anbieter (Name, Adresse, Land), erfasste Datenarten, Zweck der Verarbeitung, Rechtsgrundlage, Speicherdauer, ob Drittlandtransfer stattfindet und welche Garantien es gibt.

Schritt 3: Cookie-Tabelle bauen. Die Cookie-Tabelle muss exakt mit dem Cookie-Banner übereinstimmen. Gleiche Kategorien, gleiche Cookie-Namen, gleiche Laufzeiten. Jede Diskrepanz ist ein potentieller Verstoß.

Praxisbeispiel, while.chat

Unsere DSE hat 12 Abschnitte. Der Cookie-Banner hat 3 Kategorien (Notwendig, Statistik, Marketing). Die Cookie-Tabelle in der DSE listet exakt die gleichen Cookies wie der Detail-Layer im Banner: wc_consent (Notwendig), _ga und _ga_* (Statistik), _gcl_au, _gcl_aw und _gac_* (Marketing). Ändert sich ein Cookie im Banner, ändert sich die Tabelle in der DSE, und umgekehrt.

Schritt 4: Betroffenenrechte aufschlüsseln. „Sie haben verschiedene Rechte" reicht nicht. Jedes Recht einzeln mit Artikel-Nummer: Art. 15 (Auskunft), Art. 16 (Berichtigung), Art. 17 (Löschung), Art. 18 (Einschränkung), Art. 20 (Datenübertragbarkeit), Art. 21 (Widerspruch), Art. 7 Abs. 3 (Widerruf).

Schritt 5: Aufsichtsbehörde angeben. „Die zuständige Aufsichtsbehörde" reicht nicht. Gefragt sind Name, Adresse, Telefon, E-Mail, Website. In NRW etwa: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Postfach 20 04 44, 40102 Düsseldorf.

// 03 / 07DSE-Pflichtabschnitte im Überblick

Klicke einen Abschnitt an, um zu sehen, welche Pflichtangaben jeweils hineingehören.

DSE-Pflichtabschnitte, Klicke einen Abschnitt an

Hosting Analytics Cookies Betroffenenrechte Behörde

Hosting-Anbieter

Pflichtangaben: Anbieter (Name, Adresse), Serverstandort, IP-Adressen-Verarbeitung, Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO), Speicherdauer der Server-Logs.

Beispiel Vercel: „Wir nutzen Vercel (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA). Serverstandort: EU-Region. Serverprotokolle werden nach 30 Tagen gelöscht. Drittlandtransfer in die USA auf Basis von Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO)."

Analytics & Tracking

Pflichtangaben: Tool-Name + Measurement-ID, erfasste Daten (IP, Gerät, Verhalten), Zweck, Rechtsgrundlage (Art. 6 Abs. 1 lit. a DSGVO bei GA4 mit Consent), Speicherdauer, Opt-Out-Möglichkeit.

Wichtig: Wenn du GA4 über Consent Mode nutzt, ist die Rechtsgrundlage Art. 6 Abs. 1 lit. a (Einwilligung). Gib die Measurement-ID an und verlinke auf die Google-Datenschutzrichtlinie.

Cookie-Tabelle

Muss exakt mit dem Cookie-Banner übereinstimmen. Pro Cookie: Name, Anbieter, Zweck, Kategorie, Laufzeit. Jede Diskrepanz zwischen Banner und DSE ist ein potentieller Verstoß.

Tipp: Cookie-Tabelle und Banner-Detail-Layer aus derselben Quelle pflegen, eine Änderung, beide aktuell.

Betroffenenrechte

Jedes Recht einzeln mit Artikel-Nummer: Art. 15 Auskunft · Art. 16 Berichtigung · Art. 17 Löschung · Art. 18 Einschränkung · Art. 20 Übertragbarkeit · Art. 21 Widerspruch · Art. 7 Abs. 3 Widerruf

Nicht erlaubt: „Sie haben verschiedene Rechte nach DSGVO." Das ist zu unspezifisch, jedes Recht muss explizit benannt sein.

Aufsichtsbehörde

Vollständige Angaben erforderlich: Name, vollständige Adresse, Telefon, E-Mail, Website-URL. Nicht nur „die zuständige Aufsichtsbehörde".

NRW: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Postfach 20 04 44, 40102 Düsseldorf, poststelle@ldi.nrw.de, www.ldi.nrw.de

// 04 / 07Generator vs. selbst schreiben

Generatoren wie eRecht24, Datenschutz-Generator.de oder IT-Recht-Kanzlei liefern eine solide Grundlage. Aber sie haben Grenzen:

Generatoren können

Standardformulierungen für gängige Dienste (GA4, Mailchimp, Stripe etc.) liefern

Die Grundstruktur nach Art. 13 DSGVO vorgeben

Betroffenenrechte korrekt formulieren

Bei manchen Anbietern: automatisch scannen und aktualisieren

Generatoren können nicht

Prüfen ob die aufgelisteten Dienste auch im Einsatz sind

Dienste erkennen die nicht in ihrer Datenbank sind

Die Konsistenz zwischen Banner und DSE sicherstellen

Individuelle Verarbeitungen (eigene APIs, Custom-Tools) abbilden

Pragmatischer Mittelweg: Generator als Ausgangsbasis, dann manuell anpassen und mit dem Cookie-Banner abgleichen. Oder den Claude-Prompt aus der FAP-Sektion nutzen, der eine vollständige DSE basierend auf deiner individuellen Dienste-Liste erzeugt.

// 05 / 07Checkliste: Datenschutzerklärung

Diese Checkliste hilft dir, alle Pflichtangaben zu prüfen. Für eine vollständige technische Überprüfung nutze threefor.one, der Audit prüft auch SSL, Meta-Tags und weitere Compliance-Signale automatisch.

Pflichtangaben

Verantwortlicher, Name, Adresse, E-Mail. DSB falls bestellt Alle Dienste aufgelistet, Hosting, Analytics, Fonts, Newsletter, Forms, Embeds, Payment Zweck + Rechtsgrundlage, Pro Verarbeitung: Art. 6 Abs. 1 lit. a/b/c/f Cookie-Tabelle, Name, Anbieter, Zweck, Laufzeit. Konsistent mit Banner Drittlandtransfer, USA-Transfers mit Garantien dokumentiert Speicherdauer, Konkrete Fristen oder Kriterien pro Kategorie Betroffenenrechte einzeln, Art. 15-21 + Widerruf Art. 7 Abs. 3 Aufsichtsbehörde, Name, Adresse, Telefon, E-Mail, URL

Qualität

Banner-Konsistenz, Gleiche Kategorien und Cookies wie im Banner Von jeder Seite erreichbar, Footer-Link, max. 2 Klicks Verständliche Sprache, Kein Juristendeutsch, trotzdem präzise Stand-Datum, Wann zuletzt aktualisiert SSL/TLS erwähnt, Verschlüsselung dokumentiert

0 / 13 erledigt

◆ Kostenlos testen

Datenschutz gecheckt? threefor.one prüft den Rest: Meta-Tags, Schema, Core Web Vitals, Links, in 60 Sekunden.

Jetzt scannen →

// 06 / 07Quellen

Rechtsgrundlagen

Art. 13 DSGVO, Informationspflichten (EUR-Lex)

Art. 14 DSGVO, Daten nicht beim Betroffenen erhoben

Generatoren

Datenschutz-Generator, Dr. Thomas Schwenke

Datenschutz-Generator, eRecht24 (Premium)

Praxisleitfäden

Datenschutzerklärung Website, bussgeldkatalog.org

Was muss in eine DSE, Giel Rechtsanwalt

DSGVO Website Checkliste, SIWA

// 07 / 07Frequently Asked Prompts

Kopiere diese Prompts direkt in Claude, ChatGPT oder ein anderes LLM. Ersetze die Platzhalter in eckigen Klammern mit deinen eigenen Daten.

DSGVO Quick-Check

Prüfe die Website [URL] auf DSGVO-Konformität. Checke: SSL, Impressum, Datenschutzerklärung, Cookie-Banner (Opt-in, gleichwertige Buttons, granulare Auswahl), Tracking vor Consent, Google Fonts extern, Embeds ohne Consent. Für jeden Punkt: Status (OK/PROBLEM/KRITISCH) + konkreter Fix. Priorisierte To-Do-Liste am Ende. Deutsch, kein Juristendeutsch. Kopieren

Datenschutzerklärung generieren

Erstelle eine vollständige Datenschutzerklärung nach Art. 13 DSGVO für folgende Website: - URL: [URL] - Betreiber: [Name, Adresse, E-Mail] - Hosting: [Anbieter, Land] - Analytics: [z.B. Google Analytics 4, Measurement-ID] - Cookie-Tools: [z.B. eigener Banner, Cookiebot] - Formulare: [Kontaktformular, Newsletter mit Double-Opt-in] - Fonts: [lokal gehostet / Google Fonts CDN] - Embeds: [YouTube, Google Maps, Social Buttons] - Payment: [Stripe, PayPal, keins] Für jeden Dienst: Anbieter + Adresse, erfasste Daten, Zweck, Rechtsgrundlage (Art. 6 DSGVO), Speicherdauer, Drittlandtransfer mit Garantien. Betroffenenrechte einzeln mit Artikel-Nummern. Aufsichtsbehörde mit Kontaktdaten. Sprache: verständliches Deutsch. Aktueller Rechtsstand 2026 (TDDDG statt TTDSG). Kopieren

Cookie-Banner Code generieren

Erstelle einen DSGVO- und TDDDG-konformen Cookie-Consent-Banner als Vanilla JavaScript (kein Framework, keine externe Abhängigkeit). Anforderungen: - Granulare Kategorien: Notwendig (immer aktiv), Statistik, Marketing - Keine vorausgewählten Checkboxen - 3 gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren" - Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit) - Google Consent Mode v2 (default denied, update auf granted) - Consent in localStorage speichern (Zeitpunkt, Version, Auswahl) - Footer-Link "Cookie-Einstellungen" für Widerruf - Scripts erst NACH Consent laden (kein Tracking vor Klick) - Tracking-IDs: GTM [GTM-ID], GA4 [GA4-ID] - Design: [Dark/Light], passend zu [Farbschema] - Mobile-responsive, accessible (role=dialog, aria-label) Kopieren

Cookie-Audit einer Website

Führe einen Cookie-Audit für [URL] durch. Ich will wissen: 1. Welche Cookies werden gesetzt BEVOR ich auf "Akzeptieren" klicke? (→ Verstoß) 2. Welche Cookies nach Consent? (→ müssen in Datenschutzerklärung stehen) 3. Welche Drittanbieter-Requests gehen raus? (→ Drittlandtransfer?) 4. Ist der Cookie-Banner konform? (gleichwertige Buttons, granular, kein Dark Pattern) 5. Stimmt die Datenschutzerklärung mit den tatsächlichen Cookies überein? Erstelle eine Tabelle: Cookie-Name | Anbieter | Kategorie | Vor/Nach Consent | In DSE dokumentiert? Kopieren

Impressum prüfen

Prüfe dieses Impressum auf Vollständigkeit nach § 5 DDG (seit Mai 2024, früher § 5 TMG): [IMPRESSUM-TEXT HIER EINFÜGEN] Check: Name/Firma, Adresse, E-Mail, Telefon, Handelsregister (falls Firma), USt-IdNr (falls vorhanden), Vertretungsberechtigte, Berufsrechtliche Angaben (falls regulierter Beruf). Was fehlt? Was ist falsch? Korrigierte Version ausgeben. Kopieren

AVV-Check Dienstleister

Ich nutze folgende Dienste auf meiner Website: [Liste: z.B. Vercel Hosting, Google Analytics 4, Mailchimp Newsletter, Stripe Payment]. Für welche brauche ich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO? Wo finde ich den AVV bei jedem Anbieter (direkter Link wenn möglich)? Welche sind Auftragsverarbeiter, welche eigenständige Verantwortliche? Kopieren

// FAQHäufige Fragen

MG

Max Götte

SEO Strategist · Founder · while.chat

SEO-Berater aus Bochum. Spezialisiert auf technisches SEO, Local SEO und Generative Engine Optimization für KMU im DACH-Raum. Von Audit über Content-Strategie bis Local SEO, evidenzbasiert, ohne Hype-Versprechen.

projekt anfragen → WhatsApp mehr Artikel