Eine Datenschutzerklärung ist der Bereich auf Ihrer Website, in dem Sie transparent darlegen, welche personenbezogenen Daten Sie verarbeiten. Sie erklären, zu welchen Zwecken die Erhebung erfolgt, auf welcher Rechtsgrundlage sie beruht, wie lange die Daten gespeichert werden und welche Rechte Nutzende haben. Rechtlich basiert das auf den Informationspflichten der Datenschutzgrundverordnung, kurz DSGVO. Diese schreibt Ihnen vor, was Sie auf Ihrer Website angeben müssen.
Versetzen Sie sich in die Perspektive einer Person, die Ihren E-Commerce-Shop besucht. Sie möchte nachvollziehen können, was mit ihren Daten geschieht. Typische Fragen sind:
Welche Daten werden beim Besuch der Website automatisch verarbeitet, beispielsweise durch Server-Logs?
Welche Angaben sind für eine Bestellung erforderlich?
Welche Zahlungs- und Versanddienstleistende sind eingebunden und erhalten diese Daten?
Werden Cookies oder Analyse-Tools eingesetzt?
Wie kann ich Auskunft über meine gespeicherten Daten erhalten oder deren Löschung verlangen?
Im Online-Business ist die Datenverarbeitung selten auf den ersten Blick überschaubar. Gerade beim Online-Verkauf greifen Bestellabwicklung, Zahlungsanbieter, Versandprozesse und Marketingmaßnahmen ineinander. Eine vollständige Datenschutzerklärung ist gesetzliche Pflicht und schafft Vertrauen bei Ihrer Kundschaft.
Wie erstelle ich eine Datenschutzerklärung?
Wenn Sie eine Datenschutzerklärung erstellen, geht es nicht in erster Linie um Formulierungen, sondern um Substanz. Zentral ist, dass Sie Ihre tatsächlichen Datenverarbeitungen vollständig erfassen und nachvollziehbar beschreiben. Ein strukturiertes Vorgehen hilft dabei, keine wichtigen Informationen zu vergessen.
Der wichtigste Schritt findet nicht im Textdokument statt, sondern davor. Verschaffen Sie sich einen vollständigen Überblick darüber, welche Daten auf Ihrer Website oder in Ihrem Onlineshop verarbeitet werden. Typische Bereiche sind:
Tracking und Analyse: Reichweitenmessung, Tracking der Conversion-Rate, Remarketing
Einbindungen externer Inhalte: Google Maps, YouTube oder Vimeo, Social Plugins, Webfonts von Drittanbietenden
Fragen Sie sich bei jedem Punkt, welche Daten konkret erhoben werden, wer sie erhält und wozu die Daten benötigt werden. Je detaillierter Ihre Bestandsaufnahme ist, desto präziser wird später Ihre Datenschutzerklärung. Viele Fehler entstehen schlicht dadurch, dass Tools oder Funktionen übersehen werden.
Auf Basis Ihrer Analyse strukturieren Sie die Datenschutzerklärung entlang der gesetzlichen Informationspflichten. Die DSGVO gibt dabei klar vor, welche Angaben erforderlich sind. Typischerweise sollte Ihre Datenschutzerklärung folgende Punkte enthalten:
Verantwortliche Person für die Datenverarbeitung (inkl. Kontaktdaten)
Zweck der Verarbeitung und Rechtsgrundlage
Empfangende oder Kategorien von Empfangenden (z. B. Zahlungs- oder Versanddienstleistende)
Speicherdauer
Betroffenenrechte wie Auskunft, Berichtigung, Löschung, Widerspruch oder Datenübertragbarkeit
Hinweise zu Drittlandtransfers, wenn Daten außerhalb der EU verarbeitet werden
Informationen zu Cookies, Tracking und Einwilligungsmechanismen
Wichtig ist, dass diese Angaben nicht nur vorhanden sind, sondern auch zu Ihrem konkreten Fall passen. Eine pauschale Beschreibung ohne Bezug zu Ihren tatsächlichen Prozessen genügt nicht.
Auch wenn eine Datenschutzerklärung juristische Inhalte transportiert, sollte sie für Ihre Kundschaft gut lesbar bleiben. Klare Überschriften, eine nachvollziehbare Struktur und verständliche Sprache helfen dabei, Vertrauen aufzubauen. Ebenso entscheidend ist die Einbindung der Datenschutzerklärung auf Ihrer Website: Sie muss leicht auffindbar und jederzeit abrufbar sein. In der Regel geschieht dies über einen dauerhaft sichtbaren Link im Footer, der von jeder Seite aus erreichbar ist. Sie sollte nicht hinter Login-Bereichen oder schwer auffindbaren Unterseiten versteckt werden.
Ein häufiger Fehler ist die Annahme, dass die Datenschutzerklärung nach einmaliger Erstellung erledigt ist. Tatsächlich handelt es sich um ein dynamisches Dokument. Sobald Sie ein neues Analyse-Tool einbinden, eine zusätzliche Zahlungsart freischalten, Ihr Newsletter-System wechseln oder neue Marketingfunktionen integrieren, müssen diese Änderungen auch in der Datenschutzerklärung für Ihre Website berücksichtigt werden.
Gerade wachsende Onlineshops entwickeln sich kontinuierlich weiter, aber der Rechtstext bleibt oft unverändert. Dieses Missverhältnis birgt ein erhebliches Risiko. Wenn Sie die Datenschutzerklärung für Ihre Website nicht regelmäßig überprüfen und aktualisieren, laufen Sie Gefahr, unvollständige oder veraltete Informationen bereitzustellen.
Generatoren für Datenschutzerklärungen
Generatoren für Datenschutzerklärungen sind beliebt, sollten aber immer mit Bedacht eingesetzt werden. Die Tools versprechen eine schnelle Lösung: Fragen beantworten, Text generieren, einfügen und fertig. Viele Kanzleien und Online-Dienste stellen entsprechende Generatoren oder Vorlagen für eine Datenschutzerklärung zur Verfügung, meist in Form eines strukturierten Fragenkatalogs mit vorgefertigten Textbausteinen.
Generatoren für Datenschutzerklärungen haben durchaus Vorteile. Gerade ein Datenschutz-Generator, der kostenlos ist, ist für den Einstieg hilfreich:
Er bietet eine klare Grundstruktur für Ihre Datenschutzerklärung.
Er erinnert an typische Bereiche wie Kontaktformular, Newsletter oder Analyse-Tools.
Für sehr einfache Websites kann er ein praktischer Einstieg sein.
Gerade wenn Sie noch am Anfang stehen, kann ein Generator helfen, die wichtigsten Themen nicht zu übersehen.
Das eigentliche Problem ist weniger der Generator selbst, sondern viel eher die Kombination aus kostenlos, einmalig erstellt und ohne laufende Betreuung. Genau hier entstehen in der Praxis häufig Risiken:
Die generierte Datenschutzerklärung passt nicht zu Ihrem tatsächlichen Setup, weil einzelne Tools falsch ausgewählt oder vergessen wurden.
Änderungen an Ihrer Website werden nicht berücksichtigt.
Sie selbst müssen im Blick behalten, ob sich gesetzliche Anforderungen ändern.
Besonders bei Onlineshops steigt die Komplexität schnell: Verschiedene Dienste greifen parallel ineinander. Je mehr Komponenten Sie einsetzen, desto größer ist die Wahrscheinlichkeit, dass eine pauschale Generator-Lösung kostenloser Anbietender nicht vollständig passt.
Zudem weisen selbst Branchenverbände darauf hin, dass kostenlose Generatoren nicht immer aktuell gehalten werden oder wichtige Klauseln fehlen können. Wer sich ausschließlich darauf verlässt, trägt die Verantwortung selbst.
Der STRATO Abmahnschutz als starke Alternative
Ein kostenloser Generator für eine Datenschutzerklärung ist nicht vollständig sicher, wenn die Rechtstexte nicht aktuell gehalten werden. Anders ist das mit dem Abmahnschutz von STRATO. Dieser ist optional in allen STRATO Webshop Angeboten verfügbar und Sie können ihn dazubuchen.
In Zusammenarbeit mit der IT-Recht Kanzlei entstehen professionelle Rechtstexte wie Datenschutzerklärung, Impressum, AGB und Widerrufsbelehrung.
Bei Änderungen von rechtlichen Anforderungen oder relevanten Rahmenbedingungen aktualisiert der Abmahnschutz die Texte automatisiert. Zudem haftet die Kanzlei für die bereitgestellten Inhalte. Genau das ist der Unterschied zu einem klassischen Generator: Beim Abmahnschutz ist die Erstellung und fortlaufende Pflege Teil des Angebots.
Das hängt von der Größe Ihres Unternehmens und der Art der Datenverarbeitung ab. In Deutschland müssen Sie in der Regel einen Datenschutzbeauftragten (DSB) benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ein DSB jedoch immer dann Pflicht, wenn Sie besonders sensible Daten (z. B. Gesundheitsdaten) verarbeiten oder eine umfangreiche Überwachung (z. B. Profiling) stattfindet.
Die Datenschutzerklärung ist ein Informationsdokument, das über alle Datenverarbeitungen aufklärt. Das Cookie-Banner (Consent-Management-Plattform) ist hingegen ein Werkzeug zur Einholung von Einwilligungen. Während die Erklärung passiv informiert, muss das Banner aktiv verhindern, dass nicht-essenzielle Cookies (wie Marketing-Tracker) gesetzt werden, bevor eine aktive Zustimmung gegeben wurde.
In der Datenschutzerklärung muss jedoch detailliert beschrieben werden, welche Cookies zu welchem Zweck genutzt werden.
Ja. Wenn Sie als Unternehmen eine Fanpage oder ein Business-Profil auf Social-Media-Plattformen betreiben, besteht eine sogenannte gemeinsame Verantwortlichkeit mit der Plattform. Sie müssen in Ihrem Profil entweder eine eigene Datenschutzerklärung für diese Seite hinterlegen oder einen deutlich sichtbaren Link zu der Datenschutzerklärung auf Ihrer Website setzen, die einen spezifischen Abschnitt zur Nutzung der jeweiligen Social-Media-Plattform enthält.
