März 2026
Viele Unternehmer fragen sich: Muss ich wirklich Geld für eine Datenschutzerklärung ausgeben, oder kann ich sie nicht einfach selbst schreiben? Rechtlich dürfen Sie das. Ob Sie es sollten, hängt von Ihrer Situation ab. Die Realität ist komplexer als die Theorie.
Was rechtlich erlaubt ist und was praktisch funktioniert
Grundsätzlich ist es nicht verboten, eine Datenschutzerklärung selbst zu formulieren. Online finden sich Anleitungen, was in eine solche Erklärung gehört und wie sie aufgebaut sein sollte. Dies ist aber aus vielerlei Gründen aber nicht empfehlenswert, da fehlerhafte Datenschutzerklärungen weitreichende Konsequenzen haben können.
Eine Datenschutzerklärung selbst zu erstellen ist mühsam und gerade für Laien kein Leichtes. Denn die Informationen müssen so aufbereitet werden, dass sie für Nutzer in verständlicher Weise abrufbar sind.
Das Problem liegt in der Komplexität der Anforderungen. Artikel 13 DSGVO enthält eine Liste der Informationen, die zwingend in einer Datenschutzerklärung stehen müssen. Diese Liste ist umfangreich: Name und Kontaktdaten des Verantwortlichen, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten, Speicherdauer, Betroffenenrechte, Hinweise zu Drittlandübermittlungen und vieles mehr (dazu haben wir in unserem Beitrag zu Art. 13 genauer ausgeführt).
Datenschutzerklärungen: Nicht nur für die Website
Viele Unternehmer denken bei Datenschutzerklärungen nur an ihre Website. Die Informationspflicht nach Art. 13 DSGVO gilt jedoch für jede Datenverarbeitung bei von betroffenen Personen, unabhängig vom Medium.
Sie benötigen Datenschutzinformationen für alle Verarbeitungsprozesse in Ihrem Unternehmen. Gegenüber Bewerbern müssen Sie im Bewerbungsformular oder spätestens bei Eingang der Bewerbung über die Verarbeitung ihrer Daten informieren. Gegenüber Kunden bei Vertragsschluss, Registrierung oder Kontaktaufnahme. Gegenüber Mitarbeitern zum Zeitpunkt der Einstellung und bei jeder neuen Datenverarbeitung im Beschäftigungsverhältnis.
Auch wenn Sie Daten in einem Ladengeschäft erheben, etwa durch Kundenkarten oder Gewinnspiele, müssen Sie die Informationspflicht erfüllen. Hier erfolgt dies häufig durch Aushänge, Flyer oder Hinweise auf den Formularen selbst.
Die Herausforderung dabei ist es, dass jede dieser Datenschutzerklärungen auf den spezifischen Kontext zugeschnitten sein muss. Die Datenverarbeitung bei Bewerbern unterscheidet sich erheblich von der bei Kunden oder Mitarbeitern. Da sich Speicherdauer, Zwecke und Empfänger je nach Verarbeitungszweck unterscheiden, empfiehlt es sich, für jeden Prozess eine eigene Datenschutzerklärung zu erstellen.
Datenschutzerklärungen sind mehr als Art. 13 DSGVO
Oftmals wird unterschätzt, dass sich die Pflichten nicht nur aus Art. 13 und 14 DSGVO ergeben. Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht nach Art. 21 DSGVO hingewiesen werden. Dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.
Die Komplexität zeigt sich auch an den Formanforderungen. Die Informationspflichten müssen präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache bereitgestellt werden. Was genau das bedeutet, legen letztlich die Datenschutzbehörden aus.
Die verschärfte Auslegung durch Datenschutzbehörden wird zur Herausforderung. Die europäischen Datenschutzbehörden haben sich für das Jahr 2026 vorgenommen, die Umsetzung der Informationspflichten gemäß Art. 12-14 DSGVO zu überprüfen. Im Rahmen des Coordinated Enforcement Framework führt der Europäische Datenschutzausschuss koordinierte Prüfaktionen durch.
Die Datenschutzbehörden prüfen, ob Datenschutzerklärungen, Einwilligungserklärungen und Kommunikationswege den Vorgaben entsprechen. Das Ziel ist ein umfassender Bericht, der Grundlage für weitere Maßnahmen auf nationaler und EU-Ebene sein wird.
Die Anforderungen werden laufend verschärft. Die europäischen Aufsichtsbehörden verschärfen die Kontrollen zur DSGVO-Transparenz. Unternehmen müssen nun lückenlos nachweisen, dass sie Nutzer verständlich informieren.
Der WhatsApp-Fall: Wenn selbst Tech-Giganten scheitern
Wie schwierig das Erstellen einer rechtssicheren Datenschutzerklärung sein kann, zeigt sich am eindrucksvollsten an einem der größten Bußgelder der DSGVO-Geschichte. Im September 2021 verhängte die irische Datenschutzbehörde gegen WhatsApp Ireland ein Bußgeld von 225 Millionen Euro wegen Verstößen gegen die Transparenzpflichten der Artikel 12, 13 und 14 DSGVO.
WhatsApp hat erhebliche Ressourcen, ein Team von Rechtsexperten und dennoch reichte die Datenschutzerklärung nicht aus. Der Vorwurf: WhatsApp habe seinen Nutzern nicht transparent genug erklärt, wie personenbezogene Daten verarbeitet werden und wie Informationen zwischen WhatsApp und anderen Unternehmen der Facebook-Gruppe ausgetauscht werden.
Das Häppchenweise-Problem wurde zum Stolperstein. Die irische Datenschutzbeauftragte kritisierte, dass WhatsApp Informationen scheibchenweise bereitstellte. Nutzer mussten sich durch verschiedene verlinkte Dokumente klicken, wobei die Informationen teilweise widersprüchlich waren und sich überschnitten.
Die Aufsichtsbehörde stellte fest, dass Nutzer nicht hart arbeiten müssen sollten, um die vorgeschriebenen Informationen zu erhalten. Sie sollten auch nicht im Unklaren darüber sein, ob sie alle verfügbaren Informationsquellen ausgeschöpft haben, und sie sollten nicht versuchen müssen, Widersprüche zwischen verschiedenen Informationen an unterschiedlichen Stellen zu klären.
Wenn WhatsApp mit den ihnen verfügbaren Ressourcen eine Datenschutzerklärung erstellt, die ein Bußgeld von 225 Millionen Euro nach sich zieht, sollte das jedem mittelständischen Unternehmen zu denken geben.
Generator oder Anwalt: Die Abwägung zwischen Kosten und Risiko
Für die meisten Unternehmen gibt es zwei realistische Optionen: Einen Datenschutz-Generator oder einen spezialisierten Rechtsanwalt. Ein Generator für Datenschutzerklärungen erstellt anhand weniger Eingaben angepasste Texte. Rechtsanwälte oder spezialisierte Anbieter bieten maßgeschneiderte, individuelle Lösungen, beraten dabei in den Einzelheiten und bieten oft Hinweise zur Notwendigkeit von Updates bei Gesetzesänderungen.
Die Kosten-Nutzen-Erwägung spielt eine zentrale Rolle. Rechtsanwälte als Experten kosten Geld. Ein Generator ist deutlich günstiger. Bei einem Generator ist keine Spezialberatung gegeben und Sie nehmen ein gewisses Risiko mit. Ein Generator ist aber immer noch besser als nichts. Gerade bei kleinen Unternehmen oder Hobbyprojekten kann diese Kosten-Nutzen-Erwägung Sinn ergeben.
In anderen Situationen sollten Sie unbedingt zum Anwalt gehen, namentlich immer dann, wenn es etwas komplexder wird. Als Online-Shop, weil in der Datenschutzerklärung immer auch über die Datenverarbeitung zur Bestellabwicklung informiert werden muss. Bei SaaS-Produkten, Websites mit Interaktionsmöglichkeiten wie Foren und Plattformen, Websites mit ausgefallenen Tools, Websites mit problematischen Tools wie Google Analytics und Websites mit Tools, bei denen es zu Drittstaatenübermittlungen kommt. Für Ihre Mitarbeiter- oder Bewerberdatenschutzerklärung, weil es sich um teilweise sehr senisble Verarbeitungen handelt und im Falle von Kündigungen der Datenschutz oft als Waffe im Arbeitsrechtsverfahren eingesetzt wird.
Unternehmen sollten einen Anwalt konsultieren, wenn sie sehr große Mengen personenbezogener Daten sammeln, Kategorien besonders geschützter Arten von personenbezogenen Daten erheben, auf Minderjährige unter 18 Jahren abzielen oder Daten von internationalen Website-Besuchern sammeln oder Daten international übertragen.
Die versteckten Risiken: Was gerne übersehen wird.
Risiko 1: Die Haftungsfalle bei Generatoren
Für die über den Datenschutzerklärungs-Generator generierten Datenschutzerklärungen wird oftmals keine Haftung übernommen. Sie müssen selbst sicherstellen, dass alle von Ihnen verwendeten Plugins und Website-Elemente, über die personenbezogene Daten verarbeitet werden, auch in der Datenschutzerklärung erwähnt werden.
Ein Generator kann weder Rechtsfragen prüfen noch Aussagen über die Rechtmäßigkeit der Datenverarbeitung treffen.
Risiko 2: Veraltete oder unvollständige Texte
Oftmals versuchen Website-Betreiber mit Hilfe von Online-Generatoren selbst eine Datenschutzerklärung zu erstellen und sind sich dabei der vielen Fehler gar nicht bewusst. Das Problem ist, dass sich das Datenschutzrecht ständig weiterentwickelt. Seit 2018 gab es mehrere EuGH-Urteile sowie eine vielzahl an behördlichen Entscheidungen und Guidance, die Datenschutzerklärungen maßgeblich beeinflussen.
Risiko 3: Die Kosten einer fehlerhaften Datenschutzerklärung
Verstöße gegen Art. 13 DSGVO können mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Abmahnungen von Mitbewerbern oder Verbraucherschutzverbänden, Ordnungswidrigkeiten mit Bußgeldern und Reputationsschäden durch Vertrauensverlust bei Kunden sind mögliche Folgen. Gerade angesichts einer Reihe jüngst ergangener Urteile des OPLG Dresden, in denen Klägern aufgrund von Datenschutzverstößen auf Websites je 1.500 Euro zugesprochen wurden, scheint das Risiko 2026 nochmals angestiegen zu sein.
Risiko 4: Die Vielzahl notwendiger Datenschutzerklärungen
Viele Unternehmer übersehen, dass sie nicht nur eine, sondern mehrere Datenschutzerklärungen benötigen. Die Datenschutzerklärung für die Website ist nur ein Teil. Hinzu kommen Informationspflichten gegenüber Bewerbern, Kunden im Vertragsverhältnis, Mitarbeitern, Besuchern im Ladengeschäft oder Newsletter-Abonnenten. Jede dieser Situationen erfordert spezifische Angaben zu Zwecken, Rechtsgrundlagen und Speicherfristen.
Praktische Empfehlung: Der richtige Weg für Ihr Unternehmen
Schritt 1: Bewerten Sie realistisch die Komplexität Ihrer Datenverarbeitung. Nutzen Sie nur Standard-Tools wie ein einfaches Kontaktformular und Newsletter-Versand oder haben sie kritische oder Umfangreiche Verarbeitungen?
Schritt 2: Verstehen Sie die Grenzen. Kein Generator kann rechtliche Beratung im Einzelfall ersetzen. Besonders bei komplexen Datenverarbeitungen, wenn besondere Kategorien personenbezogener Daten verarbeitet werden oder bei internationalen Datentransfers sollte ein Anwalt konsultiert werden.
Schritt 3: Erstellen Sie eine vollständige Übersicht aller Verarbeitungsprozesse, für die Sie Datenschutzinformationen benötigen. Website, Bewerbermanagement, Kundenverwaltung, Mitarbeiterdaten, Geschäftspartnerkontakte. Für jeden dieser Bereiche benötigen Sie angepasste Datenschutzhinweise. Natürlich können Sie sich auch in diesem Schritt schon die Unterstützung eines spezialisierten Experten holen.
Schritt 4: Prüfen Sie regelmäßig, ob Ihre Datenschutzerklärung noch aktuell ist. Bei jeder Änderung sollte eine Überprüfung erfolgen, um Gesetzesanpassungen zu berücksichtigen. Zwingende Aktualisierungen sind bei jeder Änderung der Datenverarbeitungen (z.B: neue Funktionalitäten, Tools etc.) erforderlich.
Schritt 5: Beachten Sie, dass die Anforderungen durch die Aufsichtsbehörden laufend verschärft werden.
Sie möchten sichergehen, dass Ihre Datenschutzerklärungen allen Anforderungen entsprechen?
MAINLY unterstützt mittelständische Unternehmen und Startups dabei, Datenschutzerklärungen zu erstellen, die nicht nur rechtssicher sind, sondern auch Ihre spezifischen Geschäftsprozesse abbilden und kontinuierlich auf dem aktuellen Stand gehalten werden.
