Datenschutzerklärung: Pflichtangaben, Aktualisierungsrhythmus und strukturierte Verantwortung

Art. 13 und 14 DSGVO verpflichten Verantwortliche, betroffene Personen zum Zeitpunkt der Datenerhebung vollständig über Zweck, Rechtsgrundlage, Speicherdauer und ihre Rechte zu informieren. Eine fehlende oder veraltete Datenschutzerklärung ist kein formaler Mangel, sondern ein messbares Bußgeldrisiko: Die deutschen Datenschutzaufsichtsbehörden werten unvollständige Transparenzpflichten regelmäßig als Verstoß gegen den Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO und können nach Art. 83 Abs. 2 DSGVO Bußgelder bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes verhängen.

Dieser Artikel legt dar, welche Pflichtbestandteile eine Datenschutzerklärung enthalten muss, welche Änderungen eine Aktualisierungspflicht auslösen, wie die Verantwortlichkeit zwischen Rechtsabteilung, IT und Datenschutzbeauftragtem geregelt wird und wie ein strukturierter Pflegeprozess die Auditfestigkeit dauerhaft sichert. Ziel ist kein Musterdokument, sondern ein Verständnis der rechtlichen Anforderungen, das die Geschäftsleitung in die Lage versetzt, die eigene Erklärung fundiert zu beurteilen und den Pflegeprozess organisatorisch zu verankern.

Die DSGVO unterscheidet zwei Informationssituationen. Art. 13 DSGVO gilt, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, etwa über Website-Formulare, Bestellprozesse, Bewerbungsverfahren oder Newsletter-Anmeldungen. Art. 14 DSGVO gilt, wenn Daten nicht direkt bei der Person erhoben werden, sondern von Dritten stammen, etwa aus gekauften Adresslisten, öffentlichen Registern oder übermittelten Datensätzen von Geschäftspartnern.

In beiden Fällen muss die Information zum Zeitpunkt der Erhebung bereitgestellt werden (Art. 13 Abs. 1 DSGVO) beziehungsweise innerhalb angemessener Frist, spätestens nach einem Monat ab Kenntnis der Daten (Art. 14 Abs. 3 DSGVO). Für Website-Betreiber bedeutet das konkret: Die Datenschutzerklärung muss vor dem ersten Aufruf einer Seite zugänglich sein, die Daten erhebt. Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien 10/2020 klargestellt, dass die Erklärung mit maximal zwei Klicks erreichbar sein und im Fußbereich jeder Seite verlinkt werden muss.

Unternehmen, die Adressen zukaufen oder aus beruflichen Netzwerken extrahieren, müssen einen separaten Informationsprozess nach Art. 14 DSGVO sicherstellen und dokumentieren. Eine reine Website-Datenschutzerklärung reicht für diese Fälle nicht aus. Die laufende Prüfung beider Konstellationen gehört zur regelmäßigen Prüfroutine des Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. b DSGVO, der die Einhaltung der Verordnung überwacht und den Verantwortlichen berät. Diese Prüfverantwortung ist nicht delegierbar: Fehlt ein bestellter DSB, verbleibt die gesamte Prüfpflicht beim Verantwortlichen selbst, und im Prüfungsfall kann fehlende Fachkenntnis nicht als Entschuldigungsgrund geltend gemacht werden.

Art. 13 Abs. 1 DSGVO listet die Mindestinhalte abschließend auf, die einer betroffenen Person bei direkter Datenerhebung mitgeteilt werden müssen. Dazu gehören: Identität und Kontaktdaten des Verantwortlichen (Name, Anschrift, E-Mail, ggf. EU-Vertreter nach Art. 27 DSGVO), Kontaktdaten des Datenschutzbeauftragten sofern einer bestellt ist, Zwecke und Rechtsgrundlagen der Verarbeitung mit explizitem Verweis auf den jeweiligen Art.-6-Tatbestand sowie berechtigte Interessen des Verantwortlichen oder Dritter, wenn Art. 6 Abs. 1 lit. f die Grundlage bildet. Außerdem sind Empfänger oder Empfängerkategorien sowie Drittlandtransfers mit den dabei eingesetzten Garantien anzugeben, zum Beispiel Standardvertragsklauseln nach Art. 46 DSGVO oder die Zertifizierung unter dem EU-US Data Privacy Framework, das seit Juli 2023 in Kraft ist.

Art. 13 Abs. 2 DSGVO ergänzt diese Liste um die Speicherdauer oder die Kriterien für ihre Festlegung, die Betroffenenrechte nach Art. 15-22 DSGVO, das Beschwerderecht bei einer Aufsichtsbehörde sowie das Vorliegen automatisierter Entscheidungsfindung einschließlich Profiling nach Art. 22 DSGVO. In der behördlichen Praxis fehlen am häufigsten konkrete Speicherfristen und die exakte Rechtsgrundlage je Verarbeitungstätigkeit. Eine pauschale Formulierung wie „so lange wie gesetzlich erforderlich“ genügt nicht; die einschlägigen Fristen sind zu benennen, etwa § 257 HGB (sechs bzw. zehn Jahre) oder § 147 AO für Buchungsbelege. Ohne präzise Fristen liegt ein eigenständiger Verstoß gegen Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) vor.

Art. 12 Abs. 1 DSGVO verlangt, dass Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache übermittelt werden. Für juristisch geschulte Verfasser bedeutet das eine Übersetzungsaufgabe: Rechtliche Pflichtangaben müssen so formuliert sein, dass eine Person ohne Datenschutzkenntnisse sie versteht. Juristische Fachbegriffe sind entweder zu erläutern oder durch allgemein verständliche Formulierungen zu ergänzen.

Die Datenschutzkonferenz (DSK) empfiehlt für Websites einen mehrschichtigen Ansatz: Eine kurze, leicht verständliche Kurzversion (sogenannte Schicht 1) mit Links zu den vollständigen Angaben (Schicht 2). Dieser Ansatz erfüllt sowohl die Verständlichkeitsanforderung als auch die Vollständigkeitspflicht und hat sich in der deutschen Aufsichtspraxis als akzeptiertes Gestaltungsmodell etabliert. Entscheidend ist, dass auch die Kurzversion die Pflichtelemente des Art. 13 Abs. 1 DSGVO vollständig enthält und nicht nur auf die ausführliche Version verweist.

Aus struktureller Sicht hat sich die Gliederung nach Verarbeitungstätigkeiten bewährt: Jeder Abschnitt beschreibt eine spezifische Datenverarbeitungsaktivität mit Zweck, Rechtsgrundlage, Empfängern und Speicherfrist. Das erleichtert die interne Pflege, weil Änderungen an einzelnen Verarbeitungstätigkeiten gezielt vorgenommen werden können, ohne die gesamte Erklärung neu schreiben zu müssen. Für die Auditfestigkeit ist eine versionierte Ablage entscheidend: Jede Version sollte mit Datum, Freigabe-Signatur und Namen der freigebenden Person archiviert werden, damit im Prüfungsfall nachgewiesen werden kann, welcher Text zu welchem Zeitpunkt zugänglich war. Dieser Nachweis ist besonders relevant, wenn eine betroffene Person geltend macht, nicht ordnungsgemäß informiert worden zu sein.

Für Websites mit Tracking und Cookies gelten über die reinen DSGVO-Transparenzpflichten hinaus die Anforderungen des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG). § 25 TTDSG enthält eine eigenständige Einwilligungsvorschrift für den Zugriff auf Endgeräte der Nutzer. Die Datenschutzerklärung muss daher sowohl die DSGVO-Informationspflichten als auch die TTDSG-relevanten Verarbeitungen vollständig abdecken, damit beide Regelwerke gleichzeitig erfüllt werden.

Technisch notwendige Cookies, die ausschließlich der Übertragung einer Kommunikation oder dem ausdrücklich gewünschten Dienst dienen, sind von der Einwilligungspflicht ausgenommen (§ 25 Abs. 2 TTDSG). Alle anderen Cookies, insbesondere für Analyse, Marketing und Personalisierung, benötigen eine vorherige, informierte und freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Die Ablehnung darf nicht zu einem eingeschränkten Dienst oder zu einer schlechteren Nutzererfahrung führen.

Die Datenschutzerklärung sollte eine Cookie-Tabelle enthalten, die für jede Cookie-Kategorie Zweck, Anbieter, Speicherdauer und Rechtsgrundlage transparent macht. Eingebundene Drittanbieter wie Google Analytics, Meta Pixel oder LinkedIn Insight Tag sind namentlich aufzuführen und mit den jeweiligen Datenschutzhinweisen des Anbieters zu verlinken. Seit dem EU-US Data Privacy Framework (Juli 2023) gilt für zertifizierte US-Anbieter Art. 45 DSGVO als Übertragungsgrundlage; ohne aktuelle Zertifizierung sind Standardvertragsklauseln nach Art. 46 DSGVO zu dokumentieren. Einwilligungsnachweise eines Consent Management Providers (CMP) sind mindestens drei Jahre aufzubewahren, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.

Eine Datenschutzerklärung ist kein statisches Dokument. Jede wesentliche Änderung der Verarbeitungstätigkeiten zieht eine Aktualisierungspflicht nach sich. Die häufigsten Trigger in der Praxis sind: Einbindung neuer SaaS-Dienste oder Analyse-Tools mit neuen Cookie-Kategorien oder Empfängern, Wechsel oder Ergänzung von Auftragsverarbeitern nach Art. 28 DSGVO insbesondere bei US-Anbietern, neue Verarbeitungszwecke wie Lead-Nurturing-E-Mails oder KI-gestützte Personalisierung sowie Änderungen im Produktkatalog mit eigenen Datenprozessen, etwa ein neues Kundenkonto oder ein Bonusprogramm.

Hinzu kommen Gesetzesänderungen oder neue Leitlinien des EDSA, die bestehende Formulierungen obsolet machen. Die deutschen Aufsichtsbehörden empfehlen eine mindestens jährliche Vollprüfung aller Pflichtangaben gegen den aktuellen Rechtsstand sowie eine anlassbezogene Überprüfung bei jedem der genannten Trigger. In der Praxis scheitern viele Unternehmen nicht an der ersten Erstellung, sondern am fortlaufenden Updateprozess, weil keine verantwortliche Person und kein strukturierter Workflow für die Pflege definiert sind. Genau an dieser Stelle liegt das größte Bußgeldrisiko.

Wird die Datenschutzerklärung wesentlich geändert, ist betroffenen Personen die Änderung mitzuteilen. Bei Newsletter-Empfängern genügt in der Regel eine Information in der nächsten regulären Kommunikation; bei Kunden mit laufendem Vertrag kann eine aktive E-Mail-Benachrichtigung erforderlich sein. Der Datenschutzbeauftragte überwacht diesen Prozess, dokumentiert jeden Überprüfungsanlass mit Datum und Ergebnis, hält fest, welche Änderungen keine Aktualisierungspflicht ausgelöst haben, und stellt sicher, dass die Freigabedokumentation mit der Veröffentlichung auf der Website synchronisiert ist. Frist läuft ab Kenntnis der Änderung, nicht ab deren Umsetzung.

Die rechtliche Verantwortung für die Datenschutzerklärung liegt beim Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO, in der Praxis also bei der Geschäftsleitung. Die operative Erstellung und Pflege liegt im Schnittstellenbereich zwischen Rechtsabteilung, IT/Webentwicklung, Marketing und Datenschutzbeauftragtem. Diese Schnittstelle ist in vielen Unternehmen nicht klar definiert, was regelmäßig zu Pflegerückständen führt.

Der Datenschutzbeauftragte nach Art. 37-39 DSGVO hat eine beratende und überwachende Funktion. Er prüft die Vollständigkeit der Pflichtangaben, identifiziert Aktualisierungsbedarf und dokumentiert die Überprüfungen. Die formale Freigabe verbleibt beim Verantwortlichen selbst. Praxistauglich ist ein formaler Freigabeprozess mit klar definierten Rollen: Der DSB prüft und gibt eine schriftliche Empfehlung ab, die Rechtsabteilung oder ein externer Rechtsbeistand prüft die rechtliche Qualität, und die Geschäftsleitung gibt formal frei. Jeder Schritt wird mit Datum und Name dokumentiert und archiviert.

Unternehmen ohne bestellten DSB tragen diesen Prozess allein oder beauftragen externen Rechtsbeistand. Die Aufsichtsbehörden bewerten das Fehlen eines DSB bei Unternehmen, die nach Art. 37 DSGVO oder § 38 BDSG bestellpflichtig sind, als eigenständigen Verstoß. Maßgeblich für die Bestellpflicht ist unter anderem die regelmäßige Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder die Beschäftigung von mindestens 20 Personen mit automatisierter Verarbeitung (§ 38 Abs. 1 BDSG). Prüfen Sie daher zunächst, ob eine Bestellpflicht für Ihr Unternehmen besteht, bevor Sie die Verantwortungsstruktur festlegen.

Im B2B-Kontext gelten für die Datenschutzerklärung auf Websites grundsätzlich dieselben Anforderungen wie im B2C-Bereich, da auch Geschäftspartner natürliche Personen sein können: Kontaktpersonen, Ansprechpartner, Gesellschafter. Darüber hinaus verarbeiten viele B2B-Unternehmen Daten in Kontexten, die spezifische Transparenzpflichten auslösen, die in der öffentlichen Datenschutzerklärung berücksichtigt werden müssen. Die Praxis zeigt, dass B2B-Unternehmen diese Kontexte häufig übersehen und damit stille Compliance-Lücken aufbauen.

Für das Bewerbungsmanagement gilt Art. 13 DSGVO auch für Bewerberdaten; viele Unternehmen pflegen dafür eine separate Datenschutzinformation im Bewerbungsprozess, die in der allgemeinen Erklärung verlinkt werden sollte. Werden Videokonferenzen aufgezeichnet oder Webinar-Teilnehmerlisten gespeichert, ist das gesondert zu adressieren. Für die Datenverarbeitung im Beschäftigungsverhältnis gilt § 26 BDSG; diese Informationspflichten werden typischerweise in einer separaten Mitarbeiterdatenschutzinformation erfüllt, die in der öffentlichen Erklärung zumindest erwähnt sein sollte.

Werden im Rahmen von Lieferanten-Audits oder nach den Sorgfaltspflichten des § 4 LkSG personenbezogene Daten von Lieferantenmitarbeitern verarbeitet, greift Art. 14 DSGVO. Unternehmen, die als Auftragsverarbeiter nach Art. 28 DSGVO tätig sind, werden von ihren Auftraggebern hinsichtlich ihrer Datenschutzpraxis geprüft. Eine vollständige und aktuelle Datenschutzerklärung ist dabei ein erster Vertrauensindikator und Bestandteil der Lieferanten-Due-Diligence. Die Darstellung in der Erklärung sollte die Rolle als Auftragsverarbeiter transparent machen und auf die Vertragsgrundlage nach Art. 28 DSGVO hinweisen, damit Auftraggeber die Compliance-Qualität des Dienstleisters ohne eigene Recherche einschätzen können.

Die deutschen Landesdatenschutzbehörden und der Bundesbeauftragte für den Datenschutz (BfDI) haben in den vergangenen Jahren systematisch Datenschutzerklärungen von Websites untersucht. Die Berliner Datenschutzbeauftragte und der Hamburgische Datenschutzbeauftragte haben Unternehmen wiederholt aufgefordert, ihre Erklärungen nachzubessern. Dabei zeigen sich wiederkehrende Beanstandungsmuster: fehlende oder veraltete Rechtsgrundlagen für US-Dienste nach dem Wegfall des Privacy Shield im Jahr 2020, unvollständige Angaben zu automatisierter Entscheidungsfindung sowie fehlende Kontaktangaben des Datenschutzbeauftragten bei bestellpflichtigen Unternehmen. Hinzu kommen fehlende Cookie-Tabellen und unzureichende Angaben zu Drittlandtransfers.

Bußgelder für Transparenzverstöße nach Art. 83 Abs. 2 DSGVO wurden bislang überwiegend im unteren bis mittleren fünfstelligen Bereich verhängt. Bei schwerwiegenden oder wiederholten Verstößen fallen sie erheblich höher aus, wie das Beispiel des Bußgelds der Berliner Datenschutzbehörde gegen einen Online-Händler (2019, 195.000 Euro) und der europäischen Vergleichsfälle zeigt. Hinzu kommen Verfahrenskosten, die Verpflichtung zur Nachbesserung unter Aufsicht und potenzielle Reputationsschäden. In Deutschland besteht außerdem ein Abmahnrisiko nach dem UWG, soweit Datenschutzverstöße als Wettbewerbsverstöße qualifiziert werden. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt, dass der Verantwortliche Compliance nicht nur erfüllt, sondern auch nachweist. Eine Datenschutzerklärung ohne Versionshistorie und Freigabedokumentation erfüllt diese Anforderung nicht vollständig und setzt das Unternehmen im Prüfungsfall einem vermeidbaren Risiko aus. Wer keine belastbare Dokumentation hat, muss bei jedem Bußgeldverfahren schlechtere Ausgangspositionen hinnehmen.

Die wichtigste Erkenntnis aus Behördenpraxis und Rechtsprechung ist eindeutig: Eine Datenschutzerklärung ist kein einmaliges Projekt, sondern ein laufender Prozess. Wer sie einmal erstellt und nicht mehr anfasst, riskiert binnen zwölf bis achtzehn Monaten einen veralteten Stand, der bei jeder behördlichen Überprüfung oder zivilrechtlichen Auseinandersetzung beanstandet werden kann.

Ein strukturierter Pflegeprozess umfasst vier Elemente: erstens eine jährliche Vollprüfung aller Pflichtangaben gegen den aktuellen Stand der DSGVO, des TTDSG und des EDSA-Leitlinienwerks; zweitens einen anlassbezogenen Trigger-Prozess bei jeder wesentlichen Änderung der Verarbeitungstätigkeiten; drittens eine versionierte Ablage mit Freigabeprotokoll, das Datum, prüfende Personen und das Ergebnis dokumentiert; und viertens eine regelmäßige Abstimmung zwischen Datenschutzbeauftragtem, Rechtsabteilung und IT, die sicherstellt, dass neue technische Verarbeitungstätigkeiten zeitnah in der Erklärung abgebildet werden. Jede abgeschlossene Prüfung wird mit Zeitstempel archiviert, damit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO jederzeit erfüllbar ist. Audit-fest, dokumentiert, Art.-13-fest.

CIVAC unterstützt diesen Prozess als Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder bestellen Sie unsere Beauftragten. Der CIVAC-Workspace strukturiert die wiederkehrenden Prüfaufgaben des Datenschutzbeauftragten mit vorgefertigten Audit-Vorlagen, einem dokumentierten Freigabepfad und einem lückenlosen Audit-Log. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Wenn Sie Ihre Datenschutzerklärung auf einen dokumentierten, revisionssicheren Stand bringen möchten, schreiben Sie uns: info@civac.de. Aus dem Lesen einen Auftrag machen.