ScanCompliance.de
AnmeldenKostenlos prüfen
BlogDSGVO-Praxis

Datenschutzerklärung erstellen: Alle Pflichtangaben nach Art. 13 DSGVO

9 Min. Lesezeit
Datenschutzerklärung-Prüfer zeigt Pflichtangaben nach Art. 13 DSGVO mit Compliance-Status

Die Datenschutzerklärung gehört zu den wichtigsten Rechtstexten jeder Website. Trotzdem sind viele Datenschutzerklärungen unvollständig, veraltet oder einfach von anderen Websites kopiert. Dabei schreibt Art. 13 DSGVO genau vor, welche Informationen Sie Ihren Besuchern zur Verfügung stellen müssen. In diesem Leitfaden zeigen wir Ihnen Schritt für Schritt, wie Sie eine vollständige und rechtskonforme Datenschutzerklärung erstellen.

Warum die Datenschutzerklärung so wichtig ist

Die Datenschutzerklärung ist nicht nur eine rechtliche Pflicht – sie ist auch ein Vertrauenssignal für Ihre Besucher. Fehlende oder mangelhafte Datenschutzerklärungen sind einer der häufigsten Abmahngründe im Internet. Die Datenschutzbehörden prüfen regelmäßig Websites und verhängen bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.

Die Pflichtangaben nach Art. 13 DSGVO im Überblick

Art. 13 DSGVO regelt die Informationspflicht bei Erhebung personenbezogener Daten direkt bei der betroffenen Person. Folgende Angaben sind verpflichtend:

Checkliste: Pflichtangaben Art. 13 DSGVO

  • 1Name und Kontaktdaten des Verantwortlichen – Vollständiger Firmenname, Adresse, E-Mail und ggf. Telefonnummer.
  • 2Kontaktdaten des Datenschutzbeauftragten – Falls ein DSB bestellt wurde, müssen dessen Kontaktdaten angegeben werden.
  • 3Zwecke und Rechtsgrundlagen der Verarbeitung – Für jeden Verarbeitungszweck die passende Rechtsgrundlage (Art. 6 Abs. 1 DSGVO).
  • 4Berechtigte Interessen – Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird.
  • 5Empfänger oder Kategorien von Empfängern – An wen werden die Daten weitergegben? Z.B. Hosting-Anbieter, Payment-Provider.
  • 6Drittlandtransfers – Übermittlung an Länder außerhalb des EWR mit Angabe der Garantien (z.B. EU-US Data Privacy Framework).
  • 7Speicherdauer – Konkrete Angaben, wie lange die Daten gespeichert werden oder Kriterien für die Festlegung der Dauer.
  • 8Betroffenenrechte – Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
  • 9Beschwerderecht bei der Aufsichtsbehörde – Hinweis auf das Recht, sich bei einer Datenschutzbehörde zu beschweren.

Häufig vergessene Abschnitte

Unsere Analysen zeigen, dass bestimmte Pflichtangaben besonders häufig fehlen. Bei über 60% der geprüften Websites fehlt die Angabe zu Drittlandtransfers. Gerade wenn Sie Google Analytics, Cloudflare oder andere US-Dienste nutzen, müssen Sie erklären, auf welcher Grundlage die Datenübermittlung in die USA stattfindet.

Ebenfalls oft vergessen: Die konkrete Speicherdauer. Formulierungen wie "wir speichern Ihre Daten so lange wie nötig" reichen nicht aus. Sie müssen entweder konkrete Zeiträume nennen oder nachvollziehbare Kriterien angeben, nach denen die Speicherdauer bestimmt wird.

Typische Verarbeitungstätigkeiten die dokumentiert werden müssen

Je nachdem welche Dienste und Funktionen Ihre Website nutzt, müssen Sie unterschiedliche Verarbeitungstätigkeiten in der Datenschutzerklärung beschreiben:

  • Server-Logfiles – IP-Adresse, Browsertyp, Zeitstempel (Rechtsgrundlage: berechtigtes Interesse)
  • Kontaktformulare – Name, E-Mail, Nachricht (Rechtsgrundlage: vorvertragliche Maßnahmen oder Einwilligung)
  • Web-Analyse – Google Analytics, Matomo etc. (Rechtsgrundlage: Einwilligung nach § 25 TDDDG)
  • Newsletter – E-Mail-Adresse (Rechtsgrundlage: Einwilligung)
  • Online-Shop – Bestelldaten, Zahlungsinformationen (Rechtsgrundlage: Vertragserfüllung)
  • Social-Media-Plugins – Datenübermittlung an Facebook, Instagram etc. (Rechtsgrundlage: Einwilligung)
  • Eingebettete Inhalte – YouTube, Google Maps, Fonts (Rechtsgrundlage: Einwilligung oder berechtigtes Interesse)

Datenschutzgeneratoren: Helfer mit Grenzen

Kostenlose Datenschutzgeneratoren wie der von e-recht24.de oder der Datenschutz-Generator von Dr. Schwenke können ein guter Ausgangspunkt sein. Sie erstellen anhand eines Fragebogens eine Basis-Datenschutzerklärung. Allerdings haben diese Tools auch Grenzen: Sie kennen nicht alle Dienste, die auf Ihrer Website laufen, und können individuelle Besonderheiten nicht berücksichtigen.

Deshalb empfehlen wir: Nutzen Sie einen Generator als Ausgangsbasis, prüfen Sie das Ergebnis aber immer manuell. Gleichen Sie die generierte Erklärung mit den tatsächlich auf Ihrer Website eingesetzten Diensten ab. Ein automatisierter Website-Scan kann dabei helfen, alle eingebundenen Drittanbieter-Dienste zu identifizieren.

Aktuell halten: Regelmäßige Überprüfung

Eine Datenschutzerklärung ist kein statisches Dokument. Bei jeder Änderung an Ihrer Website – sei es ein neues Plugin, ein Wechsel des Hosting-Anbieters oder die Integration eines neuen Tools – muss die Datenschutzklärung angepasst werden. Wir empfehlen eine quartalsweise Überprüfung, idealerweise unterstützt durch einen automatisierten Scan.

Datenschutzerklärung automatisch prüfen

Unser Scanner erkennt fehlende Angaben und veraltete Drittanbieter-Referenzen in Ihrer Datenschutzerklärung.

Kostenlos prüfen lassen

Weitere Artikel

22. Januar 2026

Impressum-Pflichtangaben: Was wirklich rein muss

Weiterlesen
18. Januar 2026

DSGVO-konformes Kontaktformular: Anforderungen und Umsetzung

Weiterlesen

DSGVO-Radar Newsletter

Monatliche Updates zu regulatorischen Änderungen, neue Prüfpunkte und Scan-Statistiken. Kostenlos und jederzeit abbestellbar.

Kein Spam. Max. 1× monatlich.