Die Datenschutzerklärung auf einer Website ist wie eine Steuererklärung: Jeder braucht eine, niemand will sie schreiben, und die meisten sind falsch. Der Unterschied: Bei der Steuererklärung merkt es das Finanzamt. Bei der Datenschutzerklärung merkt es der Mitbewerber, der Abmahnanwalt oder die Aufsichtsbehörde — und dann wird es teuer.

Art. 13 DSGVO listet exakt auf, was in einer Datenschutzerklärung stehen muss. Das Problem: Die meisten Websitebetreiber nutzen einen Generator, passen den Text nie an und vergessen, dass jede Änderung an der Website — neues Plugin, neuer Newsletter-Dienst, neues Analytics-Tool — eine Aktualisierung erfordert.

Dieser Artikel zeigt dir Schritt für Schritt, wie du eine vollständige, aktuelle Datenschutzerklärung erstellst. Mit Vorlage, Checkliste und einem Prompt, der die komplette DSE für deine Website generiert.

I

Was muss rein? Die Pflichtangaben nach Art. 13 DSGVO

Art. 13 DSGVO ist die zentrale Norm. Jede dieser Informationen muss in der Datenschutzerklärung stehen — fehlt eine, ist die Erklärung unvollständig und damit angreifbar:

Die 10 Pflichtangaben

1. Verantwortlicher — Name, Adresse, E-Mail, ggf. Datenschutzbeauftragter
2. Datenarten — Welche personenbezogenen Daten werden erhoben (IP, E-Mail, Name...)
3. Zweck — Wozu werden die Daten verarbeitet
4. Rechtsgrundlage — Art. 6 Abs. 1 lit. a/b/c/f DSGVO je Verarbeitung
5. Empfänger — Wer erhält die Daten (Dienstleister, Drittanbieter)
6. Drittlandtransfer — Übermittlung außerhalb der EU mit Garantien
7. Speicherdauer — Konkrete Fristen oder Kriterien
8. Betroffenenrechte — Auskunft, Löschung, Widerspruch etc.
9. Widerruf — Wie kann die Einwilligung widerrufen werden
10. Beschwerderecht — Zuständige Aufsichtsbehörde mit Kontakt

II

Schritt für Schritt: DSE erstellen

Schritt 1: Dienste-Inventur. Bevor du schreibst, brauchst du eine Liste aller Dienste auf deiner Website. Öffne deine Website in den DevTools (Network-Tab, Inkognito), klicke auf Akzeptieren und notiere jeden externen Request. Typische Kandidaten: Hoster, Analytics, Fonts, CDN, Newsletter, Formulare, Chat, Payment, Embeds (YouTube, Maps, Social), Consent-Tool.

Schritt 2: Pro Dienst dokumentieren. Für jeden Dienst brauchst du: Anbieter (Name, Adresse, Land), erfasste Datenarten, Zweck der Verarbeitung, Rechtsgrundlage, Speicherdauer, ob Drittlandtransfer stattfindet und welche Garantien es gibt.

Schritt 3: Cookie-Tabelle bauen. Die Cookie-Tabelle muss exakt mit dem Cookie-Banner übereinstimmen. Gleiche Kategorien, gleiche Cookie-Namen, gleiche Laufzeiten. Jede Diskrepanz ist ein potentieller Verstoss.

Praxisbeispiel — while.chat

Unsere DSE hat 12 Abschnitte. Der Cookie-Banner hat 3 Kategorien (Notwendig, Statistik, Marketing). Die Cookie-Tabelle in der DSE listet exakt die gleichen Cookies wie der Detail-Layer im Banner: wc_consent (Notwendig), _ga und _ga_* (Statistik), _gcl_au, _gcl_aw und _gac_* (Marketing). Ändert sich ein Cookie im Banner, ändert sich die Tabelle in der DSE — und umgekehrt.

Schritt 4: Betroffenenrechte aufschlüsseln. Nicht "Sie haben verschiedene Rechte." Sondern: jedes Recht einzeln mit Artikel-Nummer. Art. 15 (Auskunft), Art. 16 (Berichtigung), Art. 17 (Löschung), Art. 18 (Einschränkung), Art. 20 (Datenübertragbarkeit), Art. 21 (Widerspruch), Art. 7 Abs. 3 (Widerruf).

Schritt 5: Aufsichtsbehörde angeben. Nicht nur "die zuständige Aufsichtsbehörde", sondern Name, Adresse, Telefon, E-Mail, Website. In NRW z.B.: Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Postfach 20 04 44, 40102 Düsseldorf.

III

Generator vs. selbst schreiben

Generatoren wie eRecht24, Datenschutz-Generator.de oder IT-Recht-Kanzlei liefern eine solide Grundlage. Aber sie haben Grenzen:

Generatoren können

Standardformulierungen für gängige Dienste (GA4, Mailchimp, Stripe etc.) liefern

Die Grundstruktur nach Art. 13 DSGVO vorgeben

Betroffenenrechte korrekt formulieren

Bei manchen Anbietern: automatisch scannen und aktualisieren

Generatoren können nicht

Prüfen ob die aufgelisteten Dienste auch wirklich im Einsatz sind

Dienste erkennen die nicht in ihrer Datenbank sind

Die Konsistenz zwischen Banner und DSE sicherstellen

Individuelle Verarbeitungen (eigene APIs, Custom-Tools) abbilden

Die beste Strategie: Generator als Ausgangsbasis, dann manuell anpassen und mit dem Cookie-Banner abgleichen. Oder: den Claude-Prompt aus der FAP-Sektion nutzen — der generiert eine vollständige DSE basierend auf deiner individuellen Dienste-Liste.

IV

Checkliste: Datenschutzerklärung

Pflichtangaben

Qualität

0 / 13 erledigt

V

Quellen

Rechtsgrundlagen

Art. 13 DSGVO — Informationspflichten (EUR-Lex)

Art. 14 DSGVO — Daten nicht beim Betroffenen erhoben

Generatoren

Datenschutz-Generator — Dr. Thomas Schwenke

Datenschutz-Generator — eRecht24 (Premium)

Praxisleitfäden

Datenschutzerklärung Website — bussgeldkatalog.org

Was muss in eine DSE — Giel Rechtsanwalt

DSGVO Website Checkliste — SIWA

Wichtiger Hinweis

Dieser Artikel dient ausschliesslich der allgemeinen Information und ersetzt keine Rechtsberatung. Die Inhalte wurden sorgfältig recherchiert, erheben aber keinen Anspruch auf Vollständigkeit oder Aktualität. Führe immer eine eigene Recherche durch und ziehe bei Unsicherheiten einen auf Datenschutzrecht spezialisierten Rechtsanwalt hinzu. Für die Richtigkeit der Angaben wird keine Haftung übernommen.

FAP

Frequently Asked Prompts

Kopiere diese Prompts direkt in Claude, ChatGPT oder ein anderes LLM. Ersetze die Platzhalter in eckigen Klammern mit deinen eigenen Daten.

DSGVO Quick-Check

Prüfe die Website [URL] auf DSGVO-Konformität. Checke: SSL, Impressum, Datenschutzerklärung, Cookie-Banner (Opt-in, gleichwertige Buttons, granulare Auswahl), Tracking vor Consent, Google Fonts extern, Embeds ohne Consent. Für jeden Punkt: Status (OK/PROBLEM/KRITISCH) + konkreter Fix. Priorisierte To-Do-Liste am Ende. Deutsch, kein Juristendeutsch.

Datenschutzerklärung generieren

Erstelle eine vollständige Datenschutzerklärung nach Art. 13 DSGVO für folgende Website: - URL: [URL] - Betreiber: [Name, Adresse, E-Mail] - Hosting: [Anbieter, Land] - Analytics: [z.B. Google Analytics 4, Measurement-ID] - Cookie-Tools: [z.B. eigener Banner, Cookiebot] - Formulare: [Kontaktformular, Newsletter mit Double-Opt-in] - Fonts: [lokal gehostet / Google Fonts CDN] - Embeds: [YouTube, Google Maps, Social Buttons] - Payment: [Stripe, PayPal, keins] Für jeden Dienst: Anbieter + Adresse, erfasste Daten, Zweck, Rechtsgrundlage (Art. 6 DSGVO), Speicherdauer, Drittlandtransfer mit Garantien. Betroffenenrechte einzeln mit Artikel-Nummern. Aufsichtsbehörde mit Kontaktdaten. Sprache: verständliches Deutsch. Aktueller Rechtsstand 2026 (TDDDG statt TTDSG).

Cookie-Banner Code generieren

Erstelle einen DSGVO- und TDDDG-konformen Cookie-Consent-Banner als Vanilla JavaScript (kein Framework, keine externe Abhängigkeit). Anforderungen: - Granulare Kategorien: Notwendig (immer aktiv), Statistik, Marketing - Keine vorausgewählten Checkboxen - 3 gleichwertige Buttons: "Nur Notwendige", "Auswahl speichern", "Alle akzeptieren" - Detail-Layer mit Cookie-Tabelle (Name, Anbieter, Zweck, Laufzeit) - Google Consent Mode v2 (default denied, update auf granted) - Consent in localStorage speichern (Zeitpunkt, Version, Auswahl) - Footer-Link "Cookie-Einstellungen" für Widerruf - Scripts erst NACH Consent laden (kein Tracking vor Klick) - Tracking-IDs: GTM [GTM-ID], GA4 [GA4-ID] - Design: [Dark/Light], passend zu [Farbschema] - Mobile-responsive, accessible (role=dialog, aria-label)

Cookie-Audit einer Website

Führe einen Cookie-Audit für [URL] durch. Ich will wissen: 1. Welche Cookies werden gesetzt BEVOR ich auf "Akzeptieren" klicke? (→ Verstoss) 2. Welche Cookies nach Consent? (→ müssen in Datenschutzerklärung stehen) 3. Welche Drittanbieter-Requests gehen raus? (→ Drittlandtransfer?) 4. Ist der Cookie-Banner konform? (gleichwertige Buttons, granular, kein Dark Pattern) 5. Stimmt die Datenschutzerklärung mit den tatsächlichen Cookies überein? Erstelle eine Tabelle: Cookie-Name | Anbieter | Kategorie | Vor/Nach Consent | In DSE dokumentiert?

Impressum prüfen

Prüfe dieses Impressum auf Vollständigkeit nach TMG/DDG: [IMPRESSUM-TEXT HIER EINFUEGEN] Check: Name/Firma, Adresse, E-Mail, Telefon, Handelsregister (falls Firma), USt-IdNr (falls vorhanden), Vertretungsberechtigte, Berufsrechtliche Angaben (falls regulierter Beruf). Was fehlt? Was ist falsch? Korrigierte Version ausgeben.

AVV-Check Dienstleister

Ich nutze folgende Dienste auf meiner Website: [Liste: z.B. Vercel Hosting, Google Analytics 4, Mailchimp Newsletter, Stripe Payment]. Für welche brauche ich einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO? Wo finde ich den AVV bei jedem Anbieter (direkter Link wenn möglich)? Welche sind Auftragsverarbeiter, welche eigenständige Verantwortliche?

Weiterlesen

DSGVO-Checkliste 2026: Was deine Website wirklich braucht Die vollständige DSGVO-Checkliste 2026 mit 24 Prüfpunkten für Website-Betreiber. Interaktive Checkliste, Cookie-Banne... Cookie-Banner DSGVO-konform bauen: So geht's richtig Cookie-Banner selber bauen oder Tool nutzen? Anforderungen nach TDDDG und DSGVO, Praxisbeispiel mit Code, Dark Patterns ... Dark Patterns: Wie Design dich manipuliert — und was du dagegen tun kannst Von Confirm Shaming bis Roach Motel: Die psychologischen Tricks hinter manipulativem Webdesign — und warum die EU sie je...