Datenschutz

Pflicht zur Datenschutzerklärung — Wann ist sie erforderlich?

Fast jede Website ist verpflichtet, eine Datenschutzerklärung bereitzustellen. Die Pflicht entsteht nicht erst bei gewerblicher Nutzung — sie entsteht mit der Verarbeitung personenbezogener Daten. Das ist auf nahezu jeder Website der Fall, noch bevor der erste Nutzer ein Formular ausfüllt.

Die rechtliche Grundlage: Art. 13 und 14 DSGVO

Die DSGVO verpflichtet Verantwortliche in Art. 13 und 14, betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten zu informieren. „Verantwortliche" im Sinne der DSGVO sind alle, die über Zweck und Mittel einer Datenverarbeitung entscheiden — also Website-Betreiber, sobald ihre Website Daten verarbeitet.

Die Pflicht ist nicht an Gewinnabsicht, Unternehmensgröße oder Branche geknüpft. Sie entsteht mit der Verarbeitung. Die Ausnahme für „rein persönliche oder familiäre Tätigkeiten" (Art. 2 Abs. 2 lit. c DSGVO) ist eng gefasst und trifft auf öffentlich zugängliche Websites in der Praxis kaum zu.

In der Praxis sind Datenschutzerklärungen regelmäßig vorhanden — aber nicht vollständig. Sie erfassen typischerweise die Verarbeitungsvorgänge zum Zeitpunkt ihrer Erstellung. Seitdem hinzugekommene externe Dienste, neue Plugins und geänderte Konfigurationen werden nicht automatisch erfasst. Die Lücke zwischen dokumentiertem und tatsächlichem Zustand wächst mit jeder Website-Änderung.

Ob diese Konfiguration auf Ihrer Website tatsächlich so umgesetzt ist, lässt sich ohne technische Analyse nicht feststellen. Eine visuelle Prüfung der Website reicht dafür nicht aus.

Diese Abweichung entsteht strukturell — nicht als Ausnahme, sondern als typischer Zustand.

Website nicht gewerblich ≠ Datenschutzerklärung nicht erforderlich

Kein Formular vorhanden ≠ keine Datenverarbeitung

Datenschutzerklärung vorhanden ≠ alle Verarbeitungsvorgänge erfasst

Die Datenschutzerklärung beschreibt einen dokumentierten Zustand — nicht zwingend den tatsächlichen technischen Zustand. In vielen Fällen stimmen beide nicht überein.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen

Warum Datenschutzerklärungen in der Praxis in den meisten Fällen unvollständig sind

Eine Datenschutzerklärung wird einmalig erstellt — und danach selten systematisch geprüft. Jede neue Plugin-Installation, jede neue Dienstleister-Integration, jedes neue Analytics-Tool erzeugt potenzielle Dokumentationslücken. Der Betreiber weiß typischerweise nicht vollständig, welche Dienste tatsächlich aktiv sind. Was der Webdesigner oder das automatisch aktualisierte CMS im Hintergrund aktiviert hat, bleibt in vielen Fällen unsichtbar.

Diese Lücken entstehen nicht durch Fahrlässigkeit. Sie entstehen durch das Auseinanderfallen von Website-Entwicklung und Datenschutzdokumentation — zwei Prozesse, die in der Praxis selten synchronisiert werden. Für Websites, die länger als ein Jahr ohne explizite Datenschutzprüfung betrieben werden, ist eine unvollständige Datenschutzerklärung die Regel.

Warum sich Lücken von außen erkennen lassen

Welche externen Dienste eine Website beim Seitenaufruf aktiviert, ist durch HTTP-Traffic-Analyse ohne Zugang zum Quellcode feststellbar. Automatisierte Systeme können systematisch ermitteln, welche Drittanbieter-Domains Datenpakete empfangen. Der Abgleich dieser Dienste mit dem Text der Datenschutzerklärung ist durch automatisierte Textanalyse reproduzierbar. Ob ein erkannter Dienst in der Erklärung namentlich genannt ist, lässt sich dokumentieren.

Diese Prüfung ist von außen ohne Kenntnis des Betreibers durchführbar — und wird von Datenschutzbehörden, Verbraucherschutzorganisationen und Abmahnkanzleien systematisch eingesetzt.

Was personenbezogene Daten auf einer Website auslöst

Jeder der folgenden Vorgänge verarbeitet personenbezogene Daten und löst damit die Informationspflicht aus:

  • Server-Logdateien speichern IP-Adressen bei jedem Seitenaufruf — auch ohne Nutzeraktion
  • Einbindung externer Dienste wie Google Fonts, YouTube-Embeds oder Kartendienste: bei Seitenaufruf wird die IP-Adresse des Nutzers an externe Server übertragen
  • Kontaktformulare: Name, E-Mail-Adresse, Nachricht — personenbezogene Daten nach Art. 4 Nr. 1 DSGVO
  • Analytics-Dienste wie Google Analytics oder Matomo: Nutzungsverhalten, Gerätedaten, Session-IDs
  • Newsletter-Anmeldungen: E-Mail-Adresse, Zeitstempel der Einwilligung, IP-Adresse
  • Cookies, die Nutzerpräferenzen oder Session-IDs speichern

Diese Punkte lassen sich nicht zuverlässig manuell prüfen, da sie von technischen Zuständen und Template-Strukturen abhängen.

Eine Website ohne jede Datenverarbeitung in diesem Sinne ist praktisch nicht denkbar — allein das Hosting auf einem Webserver erzeugt IP-Logfiles.

Was die Datenschutzerklärung enthalten muss

Die Datenschutzerklärung muss für jeden Verarbeitungsvorgang mindestens nennen:

  • Welche Daten verarbeitet werden
  • Zu welchem Zweck die Verarbeitung stattfindet
  • Auf welcher Rechtsgrundlage (Art. 6 DSGVO)
  • Wer die Daten empfängt — auch externe Dienstleister und Drittländer
  • Wie lange die Daten gespeichert werden
  • Welche Rechte Betroffene haben (Auskunft, Löschung, Widerspruch)

Generische Formulierungen wie „Ihre Daten werden nicht weitergegeben" oder „Wir nehmen Datenschutz ernst" erfüllen diese Anforderungen nicht.

Typische Fehlannahme

Annahme: „Meine Website ist nicht kommerziell — ich brauche keine Datenschutzerklärung."

Tatsächlich: Die DSGVO unterscheidet nicht nach Gewinnabsicht. Die Pflicht entsteht mit der Verarbeitung personenbezogener Daten — und die findet auf jeder öffentlich zugänglichen Website statt. Ein Blog, eine Vereinswebsite, eine Portfolio-Seite: Alle laden externe Schriftarten, setzen Session-Cookies oder verwenden Server-Logfiles. In allen diesen Fällen greift die Informationspflicht. Die Einschätzung „nicht gewerblich = keine DSGVO" ist rechtlich unzutreffend — und führt in vielen Fällen dazu, dass Websites ohne jede Datenschutzerklärung betrieben werden, was von außen durch einfachen Seitenaufruf nachweisbar ist.

Warum das Vorhandensein der Erklärung nicht ausreicht

Ob eine Datenschutzerklärung vorhanden ist, lässt sich durch einen Link im Footer feststellen. Ob sie vollständig ist — ob sie alle tatsächlich aktiven Dienste und Datenflüsse korrekt abdeckt — ist eine andere Frage. Viele Websites setzen nach der Erstellung der Datenschutzerklärung neue Dienste ein, ohne die Erklärung zu aktualisieren. Das erzeugt eine Lücke zwischen dokumentiertem und tatsächlichem Zustand.

Diese Lücke ist ohne systematischen Abgleich zwischen aktivem HTTP-Traffic und dokumentierten Diensten nicht verlässlich erkennbar — weder dem Betreiber noch einer externen Person, die nur die Datenschutzerklärung liest. Die subjektive Einschätzung „meine Erklärung ist vollständig" ist in der Praxis in vielen Fällen nicht durch den tatsächlichen technischen Zustand gedeckt.

Der entscheidende Zustand ist nicht das, was auf der Website sichtbar ist, sondern das, was im Hintergrund technisch passiert. Dieser Zustand ist ohne Analyse nicht zugänglich.

Die Analyse bildet genau diese technische Prüfung ab — tatsächliche Erreichbarkeit, technische Einbindung und reale Lade- und Verarbeitungsprozesse.

Website prüfen
Diese Inhalte stellen keine Rechtsberatung dar. Für verbindliche Einschätzungen wenden Sie sich an eine qualifizierte Fachperson.

Die Einschätzung, dass die eigene Website korrekt umgesetzt ist, basiert in vielen Fällen nicht auf einer technischen Prüfung, sondern auf Annahmen über den Zustand der Implementierung.

Diese Annahmen sind ohne externe Analyse nicht verifizierbar.

In vielen Fällen besteht bereits eine Abweichung zwischen dem angenommenen und dem tatsächlichen Zustand der Website.

Ob Ihre Datenschutzerklärung alle Datenverarbeitungsvorgänge abdeckt, lässt sich ohne technische Prüfung nicht feststellen.

Die Analyse bildet genau diese Prüfung ab.

Website prüfen