Die Frage „Brauche ich eine Datenschutzerklärung?“ hat eine kurze und eine lange Antwort. Die kurze: Ja, mit hoher Wahrscheinlichkeit. Die lange beschäftigt sich damit, warum die Pflicht so weitreichend ist, welche wenigen echten Ausnahmen es gibt und welche Anforderungen über die reine Existenz einer Datenschutzerklärung hinausgehen. Genau das schauen wir uns hier an.
Die rechtliche Grundlage: drei Gesetze, ein Ziel
In Deutschland greifen für die Datenschutzerklärung drei Regelwerke parallel:
- DSGVO (Datenschutz-Grundverordnung): Europäisches Recht, regelt die Grundlagen und insbesondere die Informationspflichten in Art. 13 und 14.
- BDSG (Bundesdatenschutzgesetz): Konkretisiert die DSGVO für Deutschland, etwa beim Datenschutzbeauftragten oder der Videoüberwachung.
- TDDDG (Digitale-Dienste-Datenschutz-Gesetz): Regelt Cookies, Tracking und Zugriffe auf Endgeräte. Hieß bis Mai 2024 TTDSG.
Das Zusammenspiel ist wichtig: Die DSGVO sagt, dass und worüber du informieren musst. Das TDDDG ergänzt, dass du für Cookies und Tracking eine aktive Einwilligung brauchst. Das BDSG füllt nationale Lücken. Eine vollständige Compliance entsteht erst, wenn alle drei Ebenen sauber abgedeckt sind.
Wann ist eine Datenschutzerklärung Pflicht?
Eine Datenschutzerklärung ist immer dann Pflicht, wenn du personenbezogene Daten verarbeitest. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare Person beziehen. Name, E-Mail-Adresse, Telefonnummer. Aber auch die IP-Adresse eines Websitebesuchers zählt dazu.
Und genau deshalb trifft die Pflicht nahezu jede Website. Schon wenn jemand deine Seite aufruft, landet die IP-Adresse im Server-Log deines Hosters. Das ist bereits eine Datenverarbeitung. Du musst darüber informieren.
Die wenigen echten Ausnahmen
Wenn die Pflicht so umfassend ist, hilft es zu wissen, wer wirklich ausgenommen ist. Die Liste ist kurz:
Rein private Nutzung ohne Öffentlichkeit. Eine Website, die ausschließlich im Familienkreis oder über ein internes Netzwerk zugänglich ist, fällt unter die sogenannte Haushaltsausnahme der DSGVO. Sobald die Seite jedoch öffentlich abrufbar ist, endet diese Ausnahme. Das gilt auch für unverlinkte oder kaum besuchte Seiten.
Komplett offline ohne digitale Tools. Wer keine Website betreibt, keine E-Mails sammelt und keine digitalen Verarbeitungen vornimmt, hat keine DSE-Pflicht. In der heutigen Geschäftsrealität trifft das praktisch niemanden mehr.
Spezialfälle nach Art. 13 Abs. 4 DSGVO. Die DSGVO kennt ein paar enge juristische Ausnahmen von der Informationspflicht: wenn die betroffene Person die Information bereits hat, wenn die Information unmöglich oder unverhältnismäßig aufwendig wäre, oder wenn ein Berufsgeheimnis greift. Für eine normale Website sind diese Ausnahmen praktisch irrelevant.
Alles andere ist pflichtig. Vom kleinen Vereinsauftritt über die einzelne Landingpage bis zum Hobbyblog mit zwei Besucher:innen pro Tag.
Auch für die Schweiz und EU-Ausländer:innen relevant: das Marktortprinzip
Ein Punkt, der gerne übersehen wird: Die DSGVO gilt nicht nur, wenn du in Deutschland sitzt. Nach Art. 3 DSGVO greift sie immer dann, wenn du Personen in der EU Waren oder Dienstleistungen anbietest oder ihr Verhalten beobachtest. Das nennt sich Marktortprinzip.
Konkret heißt das: Eine Schweizer Firma mit deutschen Kund:innen muss DSGVO beachten, zusätzlich zum Schweizer DSG. Eine US-Firma, die einen deutschen Online-Shop betreibt, ebenfalls. Und ein Blog, der gezielt deutschsprachige Leser:innen aus dem EWR anspricht, kann auch dann unter die DSGVO fallen, wenn der Betreiber in Großbritannien sitzt.
Pflicht erfüllt heißt nicht: irgendeine Datenschutzerklärung reicht
Eine Datenschutzerklärung zu haben ist die eine Sache. Die DSGVO stellt aber konkrete Anforderungen, wie sie aussehen muss. Art. 12 DSGVO formuliert vier Kriterien, die zusammen den Transparenzgrundsatz bilden:
- Präzise: Keine unklaren Formulierungen. Konkret benennen, welche Daten zu welchem Zweck verarbeitet werden.
- Vollständig: Alle eingesetzten Tools und Empfänger müssen erkennbar sein.
- Verständlich: In klarer und einfacher Sprache. Juristendeutsch ohne Erklärung verstößt gegen die DSGVO.
- Leicht zugänglich. Die Datenschutzerklärung muss von jeder Unterseite mit einem Klick erreichbar sein.
Wer eine veraltete Mustervorlage einbindet, die Google Analytics nicht erwähnt, erfüllt die Pflicht formal nicht.
Was noch dazugehört: Cookie-Banner und Impressum
Die Datenschutzerklärung ist ein Baustein. Für eine rechtssichere Website brauchst du zwei weitere:
Cookie-Banner: Sobald du nicht-notwendige Cookies oder Tracking-Technologien einsetzt, brauchst du eine aktive Einwilligung deiner Besucher:innen. Das regelt in Deutschland das TDDDG. Der Banner muss mit deiner Datenschutzerklärung inhaltlich zusammenpassen.
Impressum: Ein eigenes Pflichtdokument. Es sagt, wer hinter der Seite steht. Datenschutzerklärung und Impressum sind nicht dasselbe und dürfen nicht ineinander verschachtelt werden. Beide müssen eigenständig und leicht erreichbar sein.
Fehlt eines der drei Dokumente, ist deine Website nicht sauber aufgestellt. Die gute Nachricht: Alle drei lassen sich in einem Aufwasch einrichten.
Wer kann gegen dagegen vorgehen?
Bei einer fehlenden oder fehlerhaften Datenschutzerklärung haben gleich mehrere Akteure einen Hebel. Das macht das Risiko schwer kalkulierbar:
- Aufsichtsbehörden (in Deutschland 16 Landesdatenschutzbehörden plus der Bundesbeauftragte) können Bußgelder bis 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen. Seit Inkrafttreten der DSGVO wurden insgesamt 89,1 Millionen Euro DSGVO-Bußgelder verhängt.
- Mitbewerber können seit den BGH-Urteilen vom 27. März 2025 (Az. I ZR 222/19 und I ZR 223/19) DSGVO-Verstöße auch wettbewerbsrechtlich abmahnen.
- Verbraucherverbände wie die Wettbewerbszentrale verschickten 2024 über 1.300 Abmahnungen, mehr als die Hälfte wegen Irreführung und Informationspflichtverstößen. Die Anwaltskosten lagen dabei pauschal bei 350 Euro netto.
- Betroffene Personen können nach Art. 82 DSGVO Schadensersatz fordern, in der Praxis meist zwischen 100 und 2.500 Euro pro Fall.
Eine bundesweite Statistik, wie viele dieser Vorgänge konkret Websites betreffen, gibt es nicht. Klar ist: Die Risikolage hat sich 2025 mit dem BGH-Urteil verschärft. Wer keine saubere Datenschutzerklärung hat, ist für jede dieser fünf Akteursgruppen ein potenzielles Ziel.
Du bist pflichtig. Was jetzt?
Drei Wege führen grundsätzlich zu einer Datenschutzerklärung:
- Anwält:in beauftragen. Individuell, rechtssicher, teuer. Rechnet sich bei komplexen Setups mit vielen Tools und internationalem Bezug.
- Mustertext aus einer Datenschutzerklärung Vorlage kopieren. Günstig, aber heikel. Wenn der Text nicht zu deiner Website passt oder du ihn nicht aktualisierst, bist du wieder angreifbar.
- Mit PrivacyBee automatisch eine Datenschutzerklärung erstellen lassen. Wir scannen deine Website, erkennen alle Dienste und halten deine Erklärung laufend aktuell. Einmal eingerichtet, fertig.
Welcher Weg der richtige ist, hängt von deinem Setup ab. Wenn du unsicher bist, wirf einen Blick auf unsere Demo und schau, wie PrivacyBee deine Website analysieren würde.
Fazit
Die Datenschutzerklärung ist für nahezu jede Website Pflicht, vom Familienblog bis zum Online-Shop. Die echten Ausnahmen sind so eng, dass sie in der Praxis kaum greifen. Wer ohne Datenschutzerklärung unterwegs ist oder eine veraltete Vorlage einsetzt, riskiert Beanstandungen aus mehreren Richtungen gleichzeitig.
Die gute Nachricht: Du musst dich nicht stundenlang in Gesetzestexte einlesen. PrivacyBee übernimmt den Scan deiner Website, erstellt die passende Datenschutzerklärung und hält sie automatisch aktuell. So bleibt dein Auftritt konform, während du dich um dein eigentliches Geschäft kümmerst.
Häufige Fragen zur Datenschutzerklärung Pflicht
Brauche ich eine Datenschutzerklärung, wenn meine Website nur ein Impressum hat?
Ja. Ein Impressum ersetzt keine Datenschutzerklärung. Beides sind getrennte Pflichtdokumente mit unterschiedlichem Zweck. Das Impressum sagt, wer hinter der Seite steht. Die Datenschutzerklärung erklärt, was mit den Daten der Besucher:innen passiert.
Gilt die Pflicht auch für private Websites?
Rein private Websites, die ausschließlich im Familienkreis zugänglich sind, können unter die Haushaltsausnahme der DSGVO fallen. Sobald deine Seite aber öffentlich erreichbar ist, greift die Pflicht – unabhängig davon, ob du damit Geld verdienst oder nicht. Entscheidend ist, ob personenbezogene Daten verarbeitet werden. Und das passiert bei jeder öffentlichen Website automatisch.
Ab wann brauche ich eine Datenschutzerklärung?
Ab dem Moment, in dem deine Website online geht. Nicht ab einer bestimmten Besucherzahl, nicht ab einem bestimmten Umsatz. Die Pflicht gilt vom ersten Tag an. Auch eine Coming-Soon-Seite mit Kontaktformular ist bereits pflichtig.
Muss meine Datenschutzerklärung auf Englisch sein?
Pflicht ist eine englische Version nicht automatisch. Maßgeblich ist Art. 12 DSGVO: Die Erklärung muss für das Zielpublikum verständlich sein. Wer eine deutsche Website betreibt und deutschsprachige Kund:innen anspricht, kommt mit einer deutschen Erklärung aus. Wer aktiv internationale Märkte bedient, sollte mehrsprachig anbieten. Die Datenschutzerklärung von PrivacyBee ist in Deutsch, Englisch, Französisch und Italienisch verfügbar.
Was muss in einer Datenschutzerklärung stehen?
Pflichtangaben sind unter anderem: Verantwortliche Person, Zweck und Rechtsgrundlage der Verarbeitung, Empfänger der Daten, Speicherdauer und die Rechte der Betroffenen. Dazu müssen alle eingesetzten Tools einzeln aufgeführt werden. Eine vollständige Übersicht mit allen Pflichtangaben findest du in unserem Artikel Datenschutzerklärung Inhalt: Was muss rein?.
LegalTech Experte
Datenschutz Anwalt
- Zuletzt aktualisisert: 5. Februar 2026
