Top Themen in der Web-Compliance:
Der Europäische Datenschutzausschuss hat Informationspflichten nach Art. 12–14 DSGVO zum europaweiten Prüfschwerpunkt 2026 erklärt. Welche Pflichtinhalte muss eine Datenschutzerklärung haben und wie gestalten Unternehmen Online-Auftritte rechtssicher?
Der Europäische Datenschutzausschuss (EDPB) hat die Transparenz- und Informationspflichten nach Art. 12–14 DSGVO zum europaweiten Prüfschwerpunkt 2026 erklärt. Im Rahmen des Coordinated Enforcement Framework (CEF) prüfen die europäischen Datenschutzaufsichtsbehörden koordiniert, wie Unternehmen diesen Pflichten gegenüber betroffenen Personen nachkommen.
Das ist kein theoretisches Risiko. Die CEF-Reihe der letzten Jahre zeigt ein klares Muster: Auf koordinierte Prüfungen folgen regelmäßig Bußgeldverfahren und Abhilfemaßnahmen.
Eine Datenschutzerklärung, die seit 2018 kein Update gesehen hat, ist damit kein kleines Versäumnis mehr — sie ist ein aktives Compliance-Risiko.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenErfahrungsgemäß fallen Datenschutzerklärungen bei der Prüfung ihrer Informationspflichten nach DSGVO in drei Musterprobleme, die bei Behördenprüfungen immer wieder auftauchen:
Texte, die neue Verarbeitungen nicht abbilden: KI-Tools, neue Dienstleister, geänderte Zwecke, neue US-Datentransfers. Die Erklärung beschreibt eine technische Realität von vor Jahren — während auf der Website längst andere Tools im Einsatz sind.
Eine Datenschutzerklärung, die erst nach mehreren Klicks durch Untermenüs erreichbar ist oder kontrastarme Schrift im Footer verwendet, erfüllt das Gebot der leichten Zugänglichkeit nach Art. 12 DSGVO nicht. Behörden erfassen solche Dark Patterns — Gestaltungsmuster, die Betroffene von der Wahrnehmung ihrer Rechte abhalten — gesondert (vgl. EDPB Guidelines 03/2022 zu Dark Patterns).
Wer im Text „minimale Datenerhebung“ kommuniziert, im Hintergrund aber umfangreiche Marketing-Automatisierung mit zahlreichen Drittanbietern betreibt, lädt die Aufsicht zur näheren Prüfung ein. Eine Datenschutzerklärung, die nicht mehr die tatsächliche Datenverarbeitung widerspiegelt, ist kein formaler Mangel — sie ist ein inhaltlicher Fehler mit Haftungsrelevanz.
Eine Datenschutzerklärung informiert Website-Besucher darüber, welche personenbezogenen Daten erhoben, verarbeitet und gespeichert werden. Rechtsgrundlage ist Art. 13 DSGVO – der zentrale Artikel für Informationspflichten bei der Direkterhebung von Daten. Werden Daten nicht direkt bei der betroffenen Person erhoben, gilt ergänzend Art. 14 DSGVO.
Die DSGVO und das Bundesdatenschutzgesetz (BDSG-neu) verlangen vollständige Transparenz. Einfache Muster-Datenschutzerklärungen reichen nicht mehr aus: Inhalt und Umfang hängen vom konkreten Tool-Setup der jeweiligen Website ab. Eine generische Vorlage schützt nicht — sie kann sogar schaden, wenn nicht genutzte Tools aufgeführt oder aktuelle Dienste vergessen werden.
Neben Namen und E-Mail-Adressen gelten auch IP-Adressen, Cookie-IDs und Nutzerverhaltensdaten als personenbezogen — sobald eine Identifizierung einer natürlichen Person möglich ist. Selbst anonymisierte Analysen müssen in der Datenschutzerklärung erwähnt werden, wenn der Rückschluss auf einzelne Personen theoretisch möglich bleibt. Das betrifft fast jeden Analyse-, Tracking- oder Werbedienst auf einer Website.
Eine rechtssichere Datenschutzerklärung folgt einer klaren Struktur. Die folgende Gliederung deckt alle Pflichtinhalte nach Art. 13 und 14 DSGVO ab und dient als Orientierungsrahmen für die eigene Umsetzung:
Jeder Abschnitt muss die tatsächlich eingesetzten Tools und Verfahren widerspiegeln — keine generischen Formulierungen, sondern konkrete Angaben zu den genutzten Diensten. Eine Vorlage kann nur die Struktur liefern; der Inhalt muss individuell befüllt werden.
Art. 13 DSGVO definiert die Pflichtinhalte. Die CEF-Prüfung 2026 erweitert den Fokus zusätzlich auf fünf Bereiche, die in vielen bestehenden Datenschutzerklärungen noch fehlen oder veraltet sind.
Vollständige Kontaktdaten des Verantwortlichen sowie — sofern benannt — des Datenschutzbeauftragten. Rechtsgrundlage: Art. 13 Abs. 1, Art. 14 Abs. 1 DSGVO. Hinzu kommen: alle Verarbeitungszwecke und ihre Rechtsgrundlagen (Art. 6 DSGVO), Empfänger oder Empfängerkategorien sowie Speicherdauern oder Kriterien für deren Festlegung.
Wer KI-Systeme einsetzt — Chatbots, Scoring-Systeme, personalisierte Analysen — muss deren Funktionsweise, Zweck und bei automatisierten Entscheidungen oder Profiling die zugrundeliegende Logik sowie die Tragweite der Verarbeitung transparent darstellen (Art. 22 DSGVO). Der AI Act (VO (EU) 2024/1689) verschärft diese Pflichten zusätzlich für bestimmte Hochrisiko-Systeme. Viele Datenschutzerklärungen von 2022 oder früher decken KI-Einsatz noch gar nicht ab.
Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben — etwa über Schnittstellen, Partner oder öffentliche Register — müssen Herkunft und Kategorien der Daten explizit benannt werden. Pauschalformulierungen wie „von Partnerunternehmen“ genügen nicht. Dies betrifft insbesondere Unternehmen, die CRM-Daten aus externen Quellen importieren oder Besucher-Retargeting über Partner-Pixel betreiben.
Art. 12 DSGVO verlangt „präzise, transparente, verständliche und leicht zugängliche“ Informationen — nicht juristische Auflistungen. Besonders das Widerspruchsrecht nach Art. 21 DSGVO muss ausdrücklich und optisch hervorgehoben werden — nicht als Fußnote, sondern erkennbar. Folgende Betroffenenrechte müssen vollständig benannt sein:
Die Datenschutzerklärung muss mit einem Klick vom Footer aus erreichbar sein. Kontrastarme oder minimierte Links sind ein direkter Transparenzverstoß nach Art. 12 DSGVO. Dark Patterns — Gestaltungsmuster, die Betroffene von der Wahrnehmung ihrer Rechte abhalten — werden von Behörden gesondert erfasst und geahndet (vgl. EDPB Guidelines 03/2022).
Der modulare Aufbau einer Datenschutzerklärung bedeutet: Für jedes eingesetzte Tool braucht es einen eigenen Abschnitt. Diese drei Dienste stehen bei Aufsichtsbehörden und Abmahnern besonders im Fokus.
GA4 überträgt Nutzungsdaten an Google-Server in den USA. Die Datenschutzerklärung muss angeben: Zweck der Analyse, Rechtsgrundlage (regelmäßig Art. 6 Abs. 1 lit. a DSGVO — Einwilligung via Cookie-Banner), Hinweis auf Datenspeicherung bei Google, Opt-out-Möglichkeit über das Google Analytics Opt-out Browser-Add-on sowie die Datenübermittlung in die USA auf Basis von Standardvertragsklauseln (SCC).
Der Einsatz des Meta-Pixels erfordert zwingend eine Einwilligung per Cookie-Consent-Banner. Die DSE muss enthalten: Verarbeitungszweck (Conversion-Tracking, Zielgruppenbildung), Datenübermittlung an Meta Platforms Ireland Ltd. sowie Meta Platforms Inc. (USA), Hinweis auf Custom Audiences und Remarketing-Funktionen. Ohne aktive Einwilligung darf der Meta-Pixel nicht gesetzt werden.
Wer YouTube-Videos einbettet, hat zwei DSGVO-konforme Optionen: den erweiterten Datenschutzmodus von YouTube aktivieren — oder eine Einwilligungslösung (Two-Click-Methode / Consent Overlay) vorschalten. Wie YouTube datenschutzkonform eingebunden wird, erklärt der weiterführende Ratgeber. In der Datenschutzerklärung sind Verarbeitungszweck, Cookie-Verhalten und der Hinweis auf Google als Datenempfänger Pflicht.
Seit dem Schrems-II-Urteil des EuGH (2020) und dem EU-U.S. Data Privacy Framework (seit Juli 2023) ist die Datenweitergabe in Drittländer ein besonderer Prüfschwerpunkt. Die Datenschutzerklärung muss für jeden US-Transfer dokumentieren:
Häufige Dienste mit US-Datentransfer: Google (Analytics, Fonts, Maps, reCAPTCHA), Meta (Facebook Pixel), Amazon Web Services, Cloudflare, HubSpot, Mailchimp. Eine fehlende oder veraltete Angabe zu Drittlandübermittlungen — etwa noch mit Verweis auf das ungültige Privacy Shield — gehört zu den häufigsten Abmahnungsgründen.
Viele Websites verstoßen unbewusst gegen die DSGVO – durch Tools wie reCAPTCHA, Google Fonts oder nicht konforme Cookie-Banner. Unser kostenloser Web-Compliance-Check deckt alle kritischen Punkte auf.
Eine Datenschutzerklärung zu überprüfen ist nicht nur bei der erstmaligen Erstellung notwendig. Diese Situationen machen eine sofortige Prüfung erforderlich:
Für eine erste Einschätzung des eigenen Handlungsbedarfs steht ein kostenloser DSGVO-Website-Check zur Verfügung. Beim Datenschutzerklärung überprüfen geht es nicht nur um Vollständigkeit, sondern auch um Aktualität. Neben der Prüfung bestehender Erklärungen übernimmt Cortina Consult auch die vollständige Erstellung von Datenschutzerklärungen — individuell für das konkrete Tool-Setup Ihrer Website. Ein professioneller Datenschutzerklärung Check sollte zwei Ebenen umfassen:
Welche Tools, Dienstleister und Datenflüsse existieren auf der Website tatsächlich? Die technische Analyse identifiziert alle aktiven Tracking-Technologien, Cookies, eingebetteten Dienste und Datentransfers — unabhängig davon, was in der DSE steht. Erst dieser Abgleich zeigt, ob Text und Realität übereinstimmen.
Der Datenschutzbeauftragte prüft die inhaltliche Vollständigkeit und rechtliche Konformität der Erklärung: Sind alle Rechtsgrundlagen aktuell? Sind Betroffenenrechte verständlich formuliert? Sind US-Transfers korrekt dokumentiert? Sind KI-Tools und Drittquellen erfasst? Die Pflicht, alle tatsächlichen Verarbeitungen vollständig zu dokumentieren, liegt beim Verantwortlichen — der DSB stellt die rechtliche Qualität sicher. Beides zusammen ergibt eine Datenschutzerklärung, die 2026 standhält.
Verstöße gegen Informationspflichten sind keine Bagatellen. Das DSGVO-Sanktionsregime und deutsches Wettbewerbsrecht greifen gemeinsam:
Verstöße gegen Informationspflichten: bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO). Schwerwiegende Verstöße bei unrechtmäßiger Datenverarbeitung: bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.
Eine fehlende oder fehlerhafte Datenschutzerklärung stellt einen abmahnfähigen Wettbewerbsverstoß dar (§ 3a UWG). Abmahnungen sind mit Streitwerten von mehreren tausend Euro und Anwaltskosten verbunden.
Datenschutzerklärung und Cookie-Consent-Banner erfüllen unterschiedliche Funktionen — und werden häufig verwechselt.
Die Datenschutzerklärung informiert Nutzer über alle Datenverarbeitungen. Sie muss jederzeit über einen Footer-Link in einem Klick erreichbar sein. Eine Zustimmung des Nutzers ist nicht erforderlich.
Der Cookie-Consent-Banner holt aktiv Einwilligungen für nicht-technisch-notwendige Cookies ein. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 TDDDG (seit Mai 2024 Nachfolger des TTDSG). Opt-in und Opt-out müssen gleichwertig gestaltet sein — kein vorausgewähltes Akzeptieren.
Technisch notwendige Cookies: Kein Consent erforderlich, aber Informationspflicht in der DSE. Hierzu zählen Session-Cookies, Login-Cookies und Warenkorb-Cookies.
Statistik-Cookies (z.B. GA4): Einwilligung erforderlich nach TDDDG und DSGVO. DSE-Eintrag mit Verarbeitungszweck, Speicherdauer und Opt-out-Möglichkeit.
Marketing-Cookies (z.B. Meta-Pixel): Zwingend Einwilligung per Opt-in. DSE-Eintrag mit vollständiger Tool-Beschreibung, Datenempfänger und Drittlandtransfer.
Die Datenschutzerklärung ist kein statisches Dokument. Eine Aktualisierungspflicht entsteht bei jeder relevanten Änderung:
Empfehlung: Mindestens alle sechs Monate eine vollständige Überprüfung durchführen — auf beiden Ebenen: technische Bestandsaufnahme und rechtliche Qualitätsprüfung, zu der auch die Synchronisation von Cookie-Banner und Datenschutzerklärung zählt. Websites mit regelmäßigen Plugin-Updates oder A/B-Tests benötigen ein automatisches Monitoring-System.
Kategorie | Speicherdauer | Hinweis / Grundlage |
|---|---|---|
Server-Logs / Access-Logs | 7–14 Tage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
GA4-Rohdaten | 2 oder 14 Monate | Einwilligung; in GA4 konfigurierbar |
Cookie-Einwilligungen (Log) | Bis 3 Jahre | Nachweispflicht Art. 7 DSGVO |
Newsletter-Abonnenten | Bis zur Abmeldung | Einwilligung + 3 J. Nachweis |
Kontaktformular-Anfragen | 6 Monate – 3 Jahre | Je nach Verarbeitungskontext |
Meta-Pixel-Daten | 90–180 Tage | Einwilligung; Meta-seitig begrenzt |
E-Commerce-Transaktionen | 10 Jahre | § 257 HGB / § 147 AO (Steuerrecht) |
Bewerberdaten (abgelehnt) | 6 Monate | Antidiskriminierungsrecht (AGG) |
Individuelle Speicherfristen müssen im Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentiert sein. Die Tabelle dient als Orientierungsrahmen — die konkreten Fristen hängen vom jeweiligen Verarbeitungskontext und den anwendbaren gesetzlichen Aufbewahrungspflichten ab.
Mobile Apps unterliegen denselben DSGVO-Grundregeln wie Websites — haben aber eigene technische und rechtliche Anforderungen, die eine separate oder erweiterte Datenschutzerklärung erfordern.
Sowohl Apple App Store als auch Google Play Store verlangen eine öffentlich zugängliche Datenschutzerklärung vor der Veröffentlichung. Apple verlangt zusätzlich ein Datenschutz-Label (Privacy Nutrition Label) mit Angaben zur Datenerfassung und -verknüpfung — unterteilt in „Data Linked to You“, „Data Used to Track You“ und „Data Not Linked to You“. Diese Angaben müssen mit der DSGVO-Datenschutzerklärung konsistent sein.
Jede Geräteberechtigung — Kamera, Mikrofon, Standort, Kontakte, Push-Notifications — muss in der DSE erläutert werden: Zweck, Rechtsgrundlage und Abschaltmöglichkeit. Seit iOS 14.5 müssen Apps im Apple-Ökosystem zudem eine explizite Einwilligung zum geräteübergreifenden Tracking einholen (App Tracking Transparency, ATT) — unabhängig und zusätzlich zur DSGVO-Einwilligung. Wer ATT-Consent nicht einholt, riskiert sowohl Datenschutzverstöße als auch App-Store-Sperrungen.
SDKs wie Firebase Analytics, Amplitude, Mixpanel oder Crashlytics erzeugen eigene Datenflüsse, die vollständig in der DSE abgebildet werden müssen — inklusive Datenübertragung in die USA und den zugrunde liegenden Standardvertragsklauseln. Wer eine App betreibt, benötigt entweder eine eigenständige App-Datenschutzerklärung oder eine klar strukturierte Erweiterung der Website-DSE mit einem separaten App-Abschnitt.
Die DSGVO gilt für alle Unternehmen — die Anforderungen an den Inhalt einer Datenschutzerklärung variieren jedoch stark je nach Branche und eingesetzten Technologien. Diese drei Typen haben besondere Anforderungen:
E-Commerce-Betreiber müssen neben Standard-Pflichtinhalten zusätzlich dokumentieren: Zahlungsabwicklung (Stripe, PayPal, Klarna) mit Datenübermittlung und Speicherfristen, Bestellhistorie und Kundenkonto-Daten, Retargeting-Maßnahmen via Facebook Pixel oder Google Ads, Kundenbewertungen und Bewertungsplattformen sowie Loyalty-Programme. Transaktions- und Rechnungsdaten unterliegen der 10-jährigen Aufbewahrungspflicht nach Handels- und Steuerrecht (§ 257 HGB, § 147 AO). Hinzu kommen bei Einbindung von Zahlungsdienstleistern regelmäßig US-Datentransfers, die explizit dokumentiert werden müssen.
Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Ihre Verarbeitung erfordert einen spezifischen Erlaubnistatbestand (z.B. Art. 9 Abs. 2 lit. h für Gesundheitsversorgung). Arztpraxen müssen in der DSE die Verarbeitung von Patientendaten, elektronische Kommunikation (Online-Terminbuchung, Patientenportal), Übermittlung an Krankenkassen und Labore sowie ggf. den Einsatz von Telematik-Infrastruktur transparent machen. Bei systematischer Verarbeitung sensibler Gesundheitsdaten ist häufig eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich.
Auch B2B-Unternehmen erheben personenbezogene Daten — nämlich von natürlichen Ansprechpartnern bei Geschäftspartnern. Die DSE muss die Verarbeitung von Kontaktdaten aus CRM-Systemen (HubSpot, Salesforce), E-Mail-Marketing an Geschäftskontakte sowie Videokonferenz-Tools (Zoom, Microsoft Teams) abdecken. Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO spielt im B2B-Kontext eine größere Rolle als im B2C — muss aber dennoch klar dokumentiert und gegen die Interessen der Betroffenen abgewogen werden.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Ja — mit einer Ausnahme: Websites, die ausschließlich zu privaten oder familiären Zwecken betrieben werden (Haushaltsprivileg, Art. 2 Abs. 2 lit. c DSGVO), benötigen keine DSE. Alle gewerblichen und beruflichen Websites sind verpflichtet — unabhängig von Größe oder Branche.
Die europäischen Datenschutzbehörden prüfen 2026 koordiniert, ob Datenschutzerklärungen den Anforderungen von Art. 12–14 DSGVO entsprechen. Konkret bedeutet das: vollständige Pflichtangaben, Transparenz über KI-Einsatz und Drittquellen, korrekte US-Transfer-Dokumentation und eine leicht erreichbare, verständlich formulierte Erklärung ohne Dark Patterns. Unternehmen, die nach diesem Maßstab prüfen, sind gut vorbereitet.
Nein. Muster und Generatoren liefern eine Vorlage, keine rechtssichere individuelle DSE. Jede Website hat ein einzigartiges Tool-Setup. Generische Vorlagen schützen nicht — und können schaden, wenn nicht genutzte Tools aufgeführt werden oder aktuelle Dienste wie KI-Tools, neue US-Datentransfers oder Drittquellen fehlen.
Inhaltlich dasselbe — unterschiedliche Terminologie. Art. 13/14 DSGVO spricht von „Informationen“. In der Praxis sind „Datenschutzerklärung“, „Datenschutzhinweise“ und „Privacy Policy“ synonyme Begriffe mit identischen Anforderungen.
Veraltete Datenschutzerklärungen — etwa mit Verweis auf das ungültige Privacy Shield, ohne KI-Tool-Angaben oder mit pauschalen Speicherdauerformulierungen — sind fehlerhaft und abmahnbar. Aufsichtsbehörden können Bußgelder verhängen, auch ohne vorherige Abmahnung durch Dritte. Im CEF-Prüfjahr 2026 ist das Risiko besonders erhöht.
Müheloses Website-Compliance Management für Ihr Unternehmen.
Wir helfen Unternehmen dabei, die gesetzlichen Anforderungen für Websites, Apps und Social Media umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Mit unserer DSGVO-Software, spezialisierten E-Learnings oder in der Beratung zu Consent Management sorgen wir dafür, dass die gesetzlichen Vorschriften eingehalten und rechtliche Risiken minimiert werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen