MicroSenorit
MicroSenorit
AnmeldenKostenlos starten
DSGVO6 Min. Lesezeit

Datenschutzerklärung generieren — DSGVO-konform in 5 Minuten

Eine vollständige Datenschutzerklärung nach Art. 13/14 DSGVO muss alle Verarbeitungsvorgänge abdecken: von Cookies über E-Mail-Marketing bis zum Hosting. Kein Generator kann anwaltliche Beratung ersetzen — aber diese Checkliste hilft, nichts zu vergessen.

Von Senorit
#datenschutz#dsgvo#datenschutzerklärung#art-13#cookies

Was eine Datenschutzerklärung leisten muss

Die Datenschutzerklärung ist das zentrale Dokument, mit dem Sie als Verantwortlicher Ihrer Informationspflicht nach Art. 13 und 14 DSGVO nachkommen. Ohne sie drohen Bußgelder (Art. 83 DSGVO) und Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände.

Entscheidend: Die Erklärung muss Ihre tatsächlichen Verarbeitungsvorgänge beschreiben — nicht eine theoretische Standardlösung. Wer eine generierte Vorlage unverändert übernimmt und beispielsweise Google Analytics darin nennt, aber tatsächlich PostHog nutzt, hat eine inhaltlich falsche Datenschutzerklärung.

Was zwingend hinein muss (Art. 13 DSGVO)

Für jeden Verarbeitungsvorgang, bei dem Sie Daten direkt vom Betroffenen erheben, sind anzugeben:

Allgemeine Angaben (einmalig)

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Kontaktdaten der zuständigen Aufsichtsbehörde (Beschwerderecht)

Pro Verarbeitungsvorgang

  • Zweck der Verarbeitung
  • Rechtsgrundlage (Art. 6 Abs. 1 DSGVO: Vertrag, Einwilligung, berechtigte Interessen etc.)
  • Empfänger oder Kategorien von Empfängern
  • Drittlandtransfer (falls vorhanden) und Schutzmaßnahmen (EU-US DPF, SCCs)
  • Speicherdauer oder Kriterien zur Bestimmung
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit

Pflichtbestandteile für typische SaaS-Websites

Kontaktformular

  • Zweck: Bearbeitung von Anfragen
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) oder lit. f (berechtigte Interessen)
  • Speicherdauer: bis Anfrage abgeschlossen oder gesetzliche Aufbewahrungsfrist

Newsletter / Marketing-E-Mails

  • Zweck: Direktmarketing
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) — mit Double-Opt-in
  • Widerrufsrecht klar benennen

Nutzungsanalyse / Analytics

  • Tool benennen (PostHog, Plausible, Matomo, Google Analytics)
  • Serverstandort angeben
  • Opt-out-Möglichkeit beschreiben

Hosting

  • Anbieter nennen (Vercel, AWS, Hetzner etc.)
  • Serverstandort
  • Hinweis auf AVV

Zahlungsabwicklung

  • Anbieter (Stripe, PayPal etc.)
  • Verweis auf deren Datenschutzerklärung
  • Klärung: Stripe ist teilweise eigenständig Verantwortlicher

Cookies

  • Technisch notwendige Cookies: keine Einwilligung nötig, aber Auflistung empfohlen
  • Analytische und Tracking-Cookies: Einwilligung erforderlich, im Cookie-Banner und in der Erklärung
  • Hinweis auf Widerrufsmöglichkeit (Cookie-Einstellungen ändern)

Generatoren: Was sie leisten, was nicht

Kostenpflichtige Generatoren wie Usercentrics CMP, e-recht24 oder iubenda erzeugen strukturierte Erklärungen auf Basis von Fragenkatalogen. Die Qualität ist besser als reine Copy-Paste-Texte.

Sinnvoll: Als Ausgangsentwurf, als Checkliste für vollständige Angaben.

Nicht ausreichend: Als fertige Rechtsberatung. Branchenspezifische Anforderungen (Gesundheit, Finanzdienstleistungen, Kinderprodukte) erfordern anwaltliche Prüfung.

Häufige Fehler

Veraltete Angaben: Google Analytics 3 wurde durch GA4 ersetzt — wenn Ihre Erklärung noch Universal Analytics nennt, ist sie inhaltlich falsch.

Fehlender AVV-Nachweis: Die Datenschutzerklärung kann auf den Auftragsverarbeitervertrag verweisen — aber der AVV muss tatsächlich abgeschlossen sein.

Sprache der Erklärung: In Deutschland ist die Erklärung auf Deutsch erforderlich. Englischsprachige Versionen können daneben stehen, ersetzen aber nicht die deutsche Fassung für deutsche Nutzer.

Kein Widerrufsrecht für Einwilligungen: Wenn Sie eine Einwilligung einholen (z.B. für Newsletter), muss die Erklärung erklären, wie diese widerrufen werden kann.

Aktualisierungspflicht

Eine einmal korrekte Datenschutzerklärung ist nicht dauerhaft gültig. Auslöser für Updates:

  • Neuer Dienstanbieter (Analytics, E-Mail, Hosting)
  • Gesetzesänderungen (z.B. DSA-Umsetzung durch DDG 2024)
  • Gerichtsurteile (z.B. EuGH-Entscheidungen zu US-Datentransfers)
  • Neue Verarbeitungszwecke (KI-Funktionen, neue Produktfeatures)

Planen Sie mindestens eine jährliche Prüfung ein.

Weiterführende Ressourcen

Häufige Fragen

Muss ich bei jeder Software-Aktualisierung die Datenschutzerklärung anpassen?
Nur wenn sich die Verarbeitungszwecke, Empfänger oder Rechtsgrundlagen ändern. Eine neue Schriftart oder ein UI-Update erfordert keine Anpassung. Wenn Sie einen neuen Analytics-Anbieter einbinden, müssen Sie die Erklärung innerhalb angemessener Frist aktualisieren.
Kann ich eine kostenlose Datenschutzerklärung von einem Generator verwenden?
Generator-Texte sind ein Ausgangspunkt, keine fertige Lösung. Sie müssen die erzeugte Erklärung an Ihre tatsächlichen Verarbeitungsvorgänge anpassen. Fehlende oder falsche Angaben können zu Abmahnungen führen, auch wenn der Originaltext aus einem seriösen Generator stammt.

Alles in einem Hub

ZUGFeRD-Rechnungen, DSGVO-Compliance, Credits-Wallet — MicroSenorit bündelt alles in vier modularen Produkten.

14 Tage kostenlos testenAlle Artikel