Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Welche häufigen Fehler gibt es bei der Datenschutzerklärung?

Die häufigsten Fehler sind: veraltete Datenschutzerklärung (nicht aktualisiert bei neuen Diensten), fehlende Drittlandübermittlung bei US-Diensten, keine konkreten Speicherfristen und schwer auffindbare Datenschutzerklärung.

Kann ich einen Datenschutz-Generator nutzen?

Ja, für einfache Websites eignen sich Generatoren wie eRecht24, Datenschutz-Generator.de (Dr. Schwenke) oder activeMind AG. Bei komplexeren Websites sollten Sie einen spezialisierten Anwalt hinzuziehen.

Welche Betroffenenrechte muss ich in der Datenschutzerklärung nennen?

Alle Rechte nach DSGVO: Auskunftsrecht (Art. 15), Recht auf Berichtigung (Art. 16), Recht auf Löschung (Art. 17), Recht auf Einschränkung (Art. 18), Recht auf Datenübertragbarkeit (Art. 20), Widerspruchsrecht (Art. 21) und Beschwerderecht (Art. 77).

DSGVO16. Februar 2026· 10 Min. Lesezeit

Datenschutzerklärung erstellen: Anleitung & Muster (2026)

Seit Inkrafttreten der DSGVO am 25. Mai 2018 ist eine Datenschutzerklärung Pflicht für jede Website, die personenbezogene Daten verarbeitet — und das trifft auf fast alle zu. In diesem Artikel erfahren Sie Schritt für Schritt, wie Sie eine rechtssichere Datenschutzerklärung erstellen.

Fehlende Datenschutzerklärung = Abmahnung

Eine fehlende oder unvollständige Datenschutzerklärung ist einer der häufigsten Abmahngründe. Streitwert: 3.000–8.000 €. Abmahnkosten: 300–800 € plus Schadenersatz.

Wann brauche ich eine Datenschutzerklärung?

Sie benötigen eine Datenschutzerklärung, sobald Ihre Website personenbezogene Daten verarbeitet. Das umfasst bereits:

• IP-Adressen (werden automatisch beim Seitenaufruf gespeichert)
• Kontaktformulare (Name, E-Mail-Adresse)
• Cookies (Tracking, Analytics, Werbung)
• Newsletter-Anmeldung (E-Mail, Name)
• Externe Dienste (Google Fonts, YouTube-Videos, Social-Media-Buttons)

Fazit: Nahezu jede Website braucht eine Datenschutzerklärung — selbst einfache Visitenkarten-Websites, da allein das Speichern von Server-Logs (IP-Adressen) bereits Datenverarbeitung ist.

Rechtsgrundlagen: Art. 13 & 14 DSGVO

Die Datenschutzerklärung muss die Informationspflichten nach Art. 13 und 14 DSGVO erfüllen:

Art. 13 DSGVO — Direkterhebung

Gilt, wenn Sie Daten direkt von der Person erheben (z.B. Kontaktformular, Newsletter-Anmeldung). Pflichtangaben:

1. Name und Kontaktdaten des Verantwortlichen
2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
3. Zwecke und Rechtsgrundlage der Verarbeitung
4. Berechtigte Interessen (bei Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO)
5. Empfänger / Kategorien von Empfängern
6. Drittlandübermittlung (z.B. USA bei Google Analytics)
7. Speicherdauer
8. Betroffenenrechte (Auskunft, Löschung, Widerspruch etc.)
9. Widerrufsrecht bei Einwilligung
10. Beschwerderecht bei Aufsichtsbehörde
11. Pflicht zur Bereitstellung der Daten (inkl. Folgen bei Nichtbereitstellung)

Art. 14 DSGVO — Indirekte Erhebung

Gilt, wenn Sie Daten aus anderen Quellen erhalten (z.B. Adressdatenbanken, Social Media Scraping). Zusätzliche Pflichtangabe: Herkunft der Daten.

Schritt-für-Schritt: Datenschutzerklärung erstellen

Schritt 1: Datenverarbeitungen identifizieren

Listen Sie alle Datenverarbeitungen auf Ihrer Website auf:

• Webserver-Logs (IP-Adresse, Browser, Uhrzeit)
• Kontaktformular (Name, E-Mail, Nachricht)
• Google Analytics / Matomo / Plausible
• Google Fonts (lokal oder extern?)
• YouTube-Videos (eingebettet?)
• Newsletter-Tool (Mailchimp, Sendinblue, Brevo)
• CDN (Cloudflare, Amazon CloudFront)
• Social-Media-Plugins (Facebook Pixel, LinkedIn Insight Tag)

Tipp: DSGVO-Scanner nutzen

Unser kostenloser DSGVO-Scanner erkennt automatisch externe Dienste und gibt Ihnen eine vollständige Liste aller Datenverarbeitungen.

Schritt 2: Rechtsgrundlage für jede Verarbeitung bestimmen

Jede Datenverarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO:

Rechtsgrundlage	Anwendungsfall
Art. 6 Abs. 1 lit. a (Einwilligung)	Newsletter, Cookies, Google Analytics
Art. 6 Abs. 1 lit. b (Vertragserfüllung)	Bestellprozess, Kundenkonto, Rechnungsstellung
Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung)	Aufbewahrungspflicht für Rechnungen (10 Jahre)
Art. 6 Abs. 1 lit. f (berechtigtes Interesse)	Server-Logs, Kontaktformular, Spam-Schutz

Schritt 3: Hosting & Server-Logs beschreiben

Jeder Webserver speichert automatisch Server-Logs mit IP-Adressen, Browser-Typ, Uhrzeit und aufgerufener Seite. Beispieltext:

Hosting & Server-Logs

Unsere Website wird bei [Hoster-Name] gehostet. Der Hoster erhebt und speichert automatisch Informationen in sogenannten Server-Logfiles:
• IP-Adresse des anfragenden Rechners
• Datum und Uhrzeit der Anfrage
• Name und URL der abgerufenen Datei
• Website, von der aus der Zugriff erfolgt (Referrer-URL)
• Verwendeter Browser und ggf. Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an technischer Sicherheit, Missbrauchserkennung und Optimierung).
Speicherdauer: 7 Tage, danach automatische Löschung.

Schritt 4: Cookies & Tracking-Dienste dokumentieren

Listen Sie alle Cookies und Tracking-Dienste mit Name, Zweck, Anbieter und Speicherdauer auf. Beispiel Google Analytics:

Google Analytics

Wir nutzen Google Analytics zur Analyse der Website-Nutzung. Google Analytics setzt Cookies und übermittelt anonymisierte Nutzungsdaten (IP-Adresse gekürzt) an Server in den USA.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung via Cookie-Banner)
Drittlandübermittlung: USA (Angemessenheitsbeschluss EU-US Data Privacy Framework)
Speicherdauer: 14 Monate
Widerspruch: Browser-Add-on oder Opt-Out über Cookie-Banner

Schritt 5: Kontaktformular & Newsletter

Beispieltext für Kontaktformular:

Kontaktformular

Bei Nutzung des Kontaktformulars erheben wir:
• Name (Pflichtfeld)
• E-Mail-Adresse (Pflichtfeld)
• Nachricht (Pflichtfeld)
• Zeitpunkt der Anfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kommunikation)
Speicherdauer: 3 Jahre, danach Löschung (außer gesetzliche Aufbewahrungspflicht)
Empfänger: Nur wir, keine Weitergabe an Dritte

Schritt 6: Betroffenenrechte aufführen

Informieren Sie über die Rechte nach Art. 15–21 DSGVO:

• Auskunftsrecht (Art. 15) — Welche Daten werden gespeichert?
• Recht auf Berichtigung (Art. 16) — Falsche Daten korrigieren
• Recht auf Löschung (Art. 17) — „Recht auf Vergessenwerden"
• Recht auf Einschränkung (Art. 18) — Verarbeitung pausieren
• Recht auf Datenübertragbarkeit (Art. 20) — Daten in maschinenlesbarem Format erhalten
• Widerspruchsrecht (Art. 21) — Verarbeitung widersprechen (z.B. Newsletter abbestellen)
• Beschwerderecht (Art. 77) — Beschwerde bei Datenschutzbehörde einreichen

Datenschutz-Generatoren: Empfehlungen

Für einfache Websites können Sie einen Datenschutz-Generator nutzen. Empfehlenswerte (kostenlose) Generatoren:

•eRecht24 (kostenlos für Basis-Version, Premium-Funktion gegen Gebühr) — sehr umfangreich, deckt fast alle Dienste ab
•Datenschutz-Generator.de (Dr. Schwenke) — kostenlos, sehr aktuell, spezialisiert auf deutsche Rechtslage
•activeMind AG — kostenlos, einfach, für kleine Websites geeignet

Achtung: Generatoren sind keine Rechtsberatung

Datenschutz-Generatoren erstellen Mustertexte. Sie müssen diese an Ihre Website anpassen. Bei komplexen Datenverarbeitungen (Shop, Newsletter, Tracking) sollten Sie einen spezialisierten Anwalt hinzuziehen.

Häufige Fehler vermeiden

•Veraltete Datenschutzerklärung: Wenn Sie neue Dienste einbinden (z.B. Google Analytics), müssen Sie die Datenschutzerklärung aktualisieren.
•Fehlende Drittlandübermittlung: Bei US-Diensten (Google, Facebook, Mailchimp) muss die Übermittlung in die USA explizit erwähnt werden.
•Keine konkreten Speicherfristen: „Wir speichern Ihre Daten so lange wie nötig" ist zu vague. Geben Sie konkrete Zeiträume an (z.B. 3 Jahre).
•Datenschutzerklärung schwer auffindbar: Die Datenschutzerklärung muss von jeder Seite per Link erreichbar sein (Footer-Link).

Checkliste: Ist meine Datenschutzerklärung vollständig?

✓ Verantwortlicher mit Kontaktdaten genannt?
✓ Alle Datenverarbeitungen aufgeführt (Server-Logs, Cookies, Formulare, externe Dienste)?
✓ Rechtsgrundlage für jede Verarbeitung angegeben?
✓ Drittlandübermittlung (USA) erwähnt?
✓ Speicherfristen konkret benannt?
✓ Betroffenenrechte vollständig aufgelistet?
✓ Link zur Datenschutzerklärung im Footer auf jeder Seite?

Weiterführende Artikel

Rechtssicher in 60 Minuten?

Wir erstellen Ihre Datenschutzerklärung nach aktuellem Stand inkl. Impressum & Cookie-Banner.

DSGVO-Paket beauftragen