Braucht jede Website eine Datenschutzerklärung?

Praktisch ja. Sobald eine Website personenbezogene Daten verarbeitet, verlangt Art. 13 DSGVO eine Datenschutzerklärung. Schon das Ausliefern einer Seite erzeugt Server-Logfiles mit IP-Adressen, und ein Kontaktformular verarbeitet Namen und E-Mail-Adressen – beides sind personenbezogene Daten. Eine Website ganz ohne Datenverarbeitung gibt es in der Praxis kaum. Die Pflicht besteht unabhängig davon, ob ein Cookie-Banner nötig ist.

Was muss in eine Datenschutzerklärung rein?

Nach Art. 13 DSGVO mindestens: Name und Kontakt des Verantwortlichen, die Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten (z. B. Hosting-Dienstleister), Speicherdauer sowie die Betroffenenrechte (Auskunft, Löschung, Widerspruch) und das Beschwerderecht bei einer Aufsichtsbehörde. Hinzu kommen konkrete Abschnitte zu den tatsächlich genutzten Funktionen: Server-Logfiles, Kontaktformular, eingebundene Dienste und gegebenenfalls Cookies.

Reicht eine kostenlose Vorlage für die Datenschutzerklärung?

Ein seriöser Generator ist ein guter Startpunkt, aber keine fertige Lösung. Die Datenschutzerklärung muss zu den tatsächlich auf Ihrer Website genutzten Diensten passen. Beschreibt sie Google Analytics, obwohl Sie es nicht einsetzen – oder schweigt sie über ein eingebundenes Buchungstool, das Sie sehr wohl nutzen –, ist sie falsch. Falsche Angaben sind oft riskanter als gar keine. Die Vorlage muss also an den realen Dienste-Mix angepasst werden.

Was ist der Unterschied zwischen Datenschutzerklärung und Impressum?

Das Impressum (Pflicht nach § 5 DDG) sagt, wer hinter der Website steht – Name, Anschrift, Kontakt, ggf. Registereintrag. Die Datenschutzerklärung (Pflicht nach Art. 13 DSGVO) erklärt, welche personenbezogenen Daten die Website wie und warum verarbeitet. Beides sind getrennte Pflichtseiten mit unterschiedlichem Zweck; beide gehören auf jede geschäftsmäßige Website und sollten von jeder Seite aus erreichbar sein.

Wo muss die Datenschutzerklärung auf der Website stehen?

Sie muss leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein – üblicherweise über einen klar bezeichneten Link 'Datenschutz' oder 'Datenschutzerklärung' im Footer, der auf jeder Unterseite erscheint. Sie sollte ohne Umwege mit einem Klick erreichbar sein und nicht hinter einem Cookie-Banner oder in einer Sammelseite versteckt werden.

Datenschutzerklärung für die eigene Website: Was 2026 reinmuss (KMU)

Von allen Pflichtseiten einer Website ist die Datenschutzerklärung die, die am häufigsten falsch ist – seltener fehlend, öfter schlicht unpassend. Da beschreibt eine Vorlage akribisch Google Analytics auf einer Seite, die gar kein Analytics nutzt, und verschweigt dafür das eingebundene Buchungstool, das tatsächlich Daten an einen Drittanbieter schickt. Dabei ist die Logik dahinter überschaubar: Eine gute Datenschutzerklärung beschreibt ehrlich, was Ihre Website wirklich tut – nicht mehr und nicht weniger.

Kurz gesagt: Eine Datenschutzerklärung ist nach Art. 13 DSGVO für praktisch jede Website Pflicht – sobald personenbezogene Daten verarbeitet werden, und das tun schon Server-Logfiles und jedes Kontaktformular. Sie muss verständlich darüber informieren, wer (Verantwortlicher), welche Daten zu welchem Zweck auf welcher Rechtsgrundlage verarbeitet, wer sie erhält, wie lange sie gespeichert werden und welche Rechte Besucher haben (Auskunft, Löschung, Widerspruch, Beschwerde bei der Aufsichtsbehörde). Wichtig: Diese Pflicht besteht unabhängig vom Cookie-Banner – auch eine Website ganz ohne Tracking braucht eine Datenschutzerklärung. Eine generische Vorlage ist nur ein Startpunkt; entscheidend ist, dass die Erklärung zu Ihren tatsächlich genutzten Diensten passt. Dieser Beitrag ist keine Rechtsberatung.

Auf einen Blick

Fast immer Pflicht: Art. 13 DSGVO greift, sobald personenbezogene Daten verarbeitet werden – Server-Logs und Kontaktformular genügen.
Unabhängig vom Banner: Eine Website ohne Cookie-Banner braucht trotzdem eine Datenschutzerklärung.
Sechs Pflicht-Bausteine: Verantwortlicher · Zwecke & Rechtsgrundlagen · Empfänger · Speicherdauer · Betroffenenrechte · Beschwerderecht.
Passend statt generisch: Die Erklärung muss den realen Dienste-Mix abbilden – falsche Angaben sind riskanter als knappe.

Was ist eine Datenschutzerklärung – und warum brauche ich sie?

Eine Datenschutzerklärung ist die Pflichtinformation, mit der eine Website ihren Besuchern nach Art. 13 DSGVO transparent mitteilt, welche personenbezogenen Daten sie zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet – und welche Rechte die Betroffenen dabei haben. Sie ist eine Bringschuld: Der Betreiber muss informieren, bevor er Daten verarbeitet, ohne dass der Nutzer danach fragen muss.

Der häufigste Irrtum lautet: „Ich sammle doch gar keine Daten.” Doch personenbezogene Daten entstehen auf jeder Website fast zwangsläufig. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO) – dazu zählt ausdrücklich auch die IP-Adresse, die jeder Server beim Ausliefern einer Seite protokolliert. Sobald also jemand Ihre Seite aufruft, ein Kontaktformular abschickt oder Sie eine eingebettete Karte anzeigen, werden personenbezogene Daten verarbeitet – und die Informationspflicht greift.

Die sechs Pflicht-Bausteine nach Art. 13 DSGVO

Diese Kerninhalte verlangt Art. 13 DSGVO – unabhängig von Branche und Größe:

Pflicht-Baustein	Was konkret rein muss
Verantwortlicher	Name und Kontaktdaten der Person/Firma, die über die Datenverarbeitung entscheidet; ggf. Datenschutzbeauftragter
Zwecke & Rechtsgrundlagen	Wofür werden Daten verarbeitet – und auf welcher Grundlage (Art. 6 DSGVO: z. B. Einwilligung, Vertrag, berechtigtes Interesse)
Empfänger	An wen gehen Daten – Hosting-Anbieter, Newsletter-Dienst, Zahlungsdienstleister, ggf. Drittländer
Speicherdauer	Wie lange werden Daten aufbewahrt – oder nach welchen Kriterien sich die Dauer bemisst
Betroffenenrechte	Auskunft (Art. 15), Berichtigung (16), Löschung (17), Einschränkung (18), Datenübertragbarkeit (20), Widerspruch (21)
Beschwerderecht	Hinweis auf das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren

Diese sechs Bausteine sind das Gerüst. Bei einer Einwilligung als Rechtsgrundlage kommt das Recht hinzu, sie jederzeit zu widerrufen; bei Datenübermittlung in Drittländer (etwa in die USA) sind zusätzliche Angaben nötig.

Die website-spezifischen Abschnitte

Über das gesetzliche Gerüst hinaus muss die Erklärung beschreiben, was Ihre Website konkret tut. Die typischen Abschnitte einer kleinen Dienstleister-Website:

Server-Logfiles: Jeder Hoster protokolliert IP-Adresse, Zeitpunkt, abgerufene Seite und Browser. Rechtsgrundlage ist meist das berechtigte Interesse am sicheren Betrieb (Art. 6 Abs. 1 lit. f).
Kontaktformular / E-Mail: Welche Felder werden erhoben, wofür werden die Angaben genutzt, wie lange bleiben sie gespeichert. Worauf es beim Formular selbst datenschutzrechtlich ankommt, vertieft der Beitrag DSGVO-konformes Kontaktformular: Was rein muss.
Hosting & Auftragsverarbeitung: Wer hostet die Seite – und besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO?
Eingebundene Dienste: Schriften, Karten, Videos, Buchungstools, Analyse-Werkzeuge – jeder externe Dienst, der Daten erhält, gehört benannt.
Cookies & Einwilligung: Falls einwilligungspflichtige Cookies gesetzt werden, gehört das hier erklärt – inhaltlich verzahnt mit dem Cookie-Banner.

Genau an diesem letzten Punkt setzt der komplementäre Beitrag Cookie-Banner & DSGVO 2026: Was kleine Websites wirklich brauchen an: Er klärt, wann ein Banner überhaupt nötig ist – die Datenschutzerklärung dagegen ist immer Pflicht, auch wenn der Banner entfällt.

Warum eine generische Vorlage selten reicht

Datenschutz-Generatoren seriöser Anbieter (etwa von Anwaltskanzleien oder Datenschutzverbänden) sind ein sinnvoller Startpunkt – aber sie produzieren ein Baukasten-Dokument, das jemand an die Realität Ihrer Website anpassen muss. Die zwei typischen Fehler:

Zu viel: Die Vorlage beschreibt Dienste, die Sie gar nicht nutzen (Google Analytics, Facebook-Pixel, Newsletter), weil man im Generator einfach alles angeklickt hat. Das wirkt nicht „sicherheitshalber gründlich”, sondern schlicht falsch.
Zu wenig: Ein später eingebautes Tool – ein Buchungskalender, ein Chat-Widget, eine eingebettete Karte – fehlt in der Erklärung, weil niemand sie nachgezogen hat.

Die ehrliche Regel: Die Datenschutzerklärung muss die Website beschreiben, die Sie tatsächlich betreiben – nicht die, die eine Vorlage sich vorstellt. Das setzt voraus, dass Sie überhaupt wissen, was Ihre Seite im Hintergrund lädt. Genau dort liegt bei vielen kleinen Websites die eigentliche Arbeit.

First-Party-Beispiel: der datensparsame Weg

Aus meiner eigenen Praxis als Beispiel: Diese Website (fabian-reiter.com) ist bewusst datensparsam gebaut – kein Google Analytics, keine Marketing-Pixel, selbst gehostete Schriften statt extern geladener, keine eingebetteten Drittanbieter-Widgets, die Daten abziehen. Das hat einen angenehmen Nebeneffekt für die Datenschutzerklärung: Sie wird kurz und ehrlich, weil es schlicht wenig zu erklären gibt. Übrig bleiben im Wesentlichen Server-Logfiles und das Kontaktformular. Je weniger eine Website im Hintergrund tut, desto einfacher – und glaubwürdiger – wird ihre Datenschutzerklärung. Diese Architektur empfehle ich den meisten kleinen Unternehmen, mit denen ich von München aus für die ganze DACH-Region arbeite.

Welche Pflichtseiten eine vollständige KMU-Website sonst noch braucht – vom Impressum bis zur Leistungsseite – ordnet der Beitrag Die 9 Seiten, die jede KMU-Website 2026 braucht. Und ob zusätzlich das Barrierefreiheitsstärkungsgesetz für Sie gilt, klärt der Rechts-Überblick BFSG 2026: Muss Ihre Website barrierefrei sein?.

Ehrliche Grenze: keine Rechtsberatung

Ich bin Berater für Digitalisierung und Web, kein Jurist – dieser Beitrag ersetzt keine Rechtsberatung. Die Einordnung beruht auf den öffentlich zugänglichen Gesetzestexten (DSGVO, DDG) und den Veröffentlichungen der Aufsichtsbehörden, die unten verlinkt sind. Welche Rechtsgrundlage für welche konkrete Verarbeitung gilt, ob ein Auftragsverarbeitungsvertrag nötig ist und wie ein Drittlandtransfer korrekt abgesichert wird, hängt vom Einzelfall ab – im Zweifel von einer auf Datenschutz oder IT-Recht spezialisierten Stelle prüfen lassen. Was ich übernehmen kann, ist die technische Bestandsaufnahme: prüfen, welche Dienste Ihre Website tatsächlich lädt, damit die Datenschutzerklärung überhaupt zur Realität passt.

Fazit

Eine Datenschutzerklärung ist kein lästiges Beiwerk, sondern für praktisch jede Website Pflicht – und zwar unabhängig davon, ob ein Cookie-Banner nötig ist. Die sechs Bausteine aus Art. 13 DSGVO bilden das Gerüst; die website-spezifischen Abschnitte füllen es mit dem, was Ihre Seite real tut. Der wichtigste Schritt ist deshalb kein juristischer, sondern ein technischer: zu wissen, welche Daten Ihre Website überhaupt verarbeitet. Wer das weiß, kommt mit einer ehrlichen, passenden Erklärung weiter als mit der vollständigsten Vorlage, die zur falschen Website gehört.

Nächster Schritt: Sie sind unsicher, ob Ihre Datenschutzerklärung noch zu Ihrer Website passt – oder was Ihre Seite im Hintergrund überhaupt lädt? Bei einem Mini-Website-Refresh ab 490 € nehme ich genau das auf: welche Dienste eingebunden sind, was davon weg kann und ob die Pflichtseiten zur Realität passen. Schildern Sie mir kurz Ihren Fall – ich sage Ihnen ehrlich, wo Handlungsbedarf besteht.

Quellen

Art. 13 DSGVO – Informationspflicht bei Erhebung von Daten (EUR-Lex) – Pflichtinhalte der Datenschutzerklärung
Art. 4 DSGVO – Begriffsbestimmungen (EUR-Lex) – Definition personenbezogene Daten
Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung (EUR-Lex) – Rechtsgrundlagen
§ 5 DDG – Allgemeine Informationspflichten (Impressum) (gesetze-im-internet.de) – Abgrenzung Impressum
Der Bundesbeauftragte für den Datenschutz (BfDI) – Informationen für Verantwortliche (BfDI) – behördliche Orientierung
First-Party-Angabe: datensparsamer Aufbau von fabian-reiter.com (kein Tracking, selbst gehostete Schriften, keine Drittanbieter-Embeds), Stand Juni 2026