Datenschutzerklärung Website erstellen lassen: DSGVO-fest, dokumentiert, prüfbar

Nach Art. 13 DSGVO muss jeder Verantwortliche betroffene Personen zum Zeitpunkt der Datenerhebung transparent informieren, in präziser, verständlicher und leicht zugänglicher Form. Für Websites bedeutet das eine vollständige Datenschutzerklärung, die jede Verarbeitung benennt: vom Hosting-Logfile über das Kontaktformular bis zum Conversion-Pixel. Aufsichtsbehörden wie die LfDI Baden-Württemberg und der LfD Bayern haben in den vergangenen Jahren mehrfach Bußgelder im fünfstelligen Bereich verhängt, weil Erklärungen veraltet waren, unklare Empfänger nannten oder Drittlandtransfers verschwiegen. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit weist regelmäßig auf unzureichende Cookie-Banner und auf Lücken bei der Information zu Webanalyse-Diensten hin. Hinzu kommt der wachsende Druck durch wettbewerbsrechtliche Abmahnungen, die seit dem BGH-Urteil VI ZR 1116/22 noch häufiger geworden sind.

Wer eine Datenschutzerklärung erstellen lassen will, steht vor drei Optionen: Generator, Kanzlei oder externer Datenschutzbeauftragter. Dieser Artikel beschreibt, welche Variante zu welcher Risikolage passt, welche elf Pflichtangaben gemäß Art. 13 und Art. 14 DSGVO nicht fehlen dürfen, wie Sie das Verarbeitungsverzeichnis nach Art. 30 DSGVO konsistent halten und wie die Compliance-Plattform und Officer-as-a-Service von CIVAC die Erklärung samt Auftragsverarbeitungsverträgen, TOM-Dokumentation und Bestellurkunde in einem Workspace bündelt. Sie erhalten konkrete Entscheidungskriterien, eine realistische Kostenrechnung und einen Vorschlag, wie Sie aus einer rechtlichen Pflichtübung einen belastbaren Bestandteil Ihres Compliance-Stacks machen. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Art. 13 DSGVO listet die Informationspflichten bei Direkterhebung. Dazu gehören Name und Kontaktdaten des Verantwortlichen, gegebenenfalls Vertreter in der Union, Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung, berechtigte Interessen bei Art. 6 Abs. 1 lit. f, Empfänger oder Kategorien von Empfängern, Drittlandtransfers samt Garantien, Speicherdauer oder Kriterien für deren Festlegung, Betroffenenrechte nach Art. 15 bis 22, das Beschwerderecht bei der Aufsichtsbehörde, die Frage der Erforderlichkeit und das Bestehen automatisierter Entscheidungsfindung. Wer Daten nicht direkt beim Betroffenen erhebt, etwa durch Anreicherung aus dem Handelsregister oder durch Lead-Listen, muss zusätzlich die Vorgaben aus Art. 14 DSGVO erfüllen.

Eine Webseite verarbeitet in der Regel mehr Datenkategorien, als auf den ersten Blick sichtbar sind: Server-Logfiles, Cookies und vergleichbare Technologien nach § 25 TTDSG, Kontaktformular, Newsletter mit Double-Opt-In, Bewerbungsportal, Webanalyse, Re-Targeting, Karten, Schriften, Video-Einbindungen, Chat-Widgets, A/B-Testing-Tools, Conversion-Tracking und Push-Benachrichtigungen. Jede einzelne Verarbeitung braucht eine eigene Beschreibung mit Rechtsgrundlage, Zweck, Empfängern, Datenkategorien und Speicherdauer. Wer hier pauschalisiert, riskiert eine Anordnung der Aufsichtsbehörde nach Art. 58 DSGVO und schlimmstenfalls ein Bußgeld nach Art. 83 Abs. 5 DSGVO. Der externe externe Datenschutzbeauftragte prüft im CIVAC Workspace anhand einer Tool-Matrix, welche Verarbeitungen tatsächlich auf der Website stattfinden, gleicht das Ergebnis mit dem Verarbeitungsverzeichnis nach Art. 30 DSGVO ab, kontrolliert die zugehörigen Auftragsverarbeitungsverträge und ergänzt fehlende Klauseln. So entsteht aus einer Sammlung von Tools eine in sich stimmige Dokumentation. Auch Konzernstrukturen mit gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO werden im Workspace abgebildet, sodass die Aufgabenverteilung zwischen Mutter- und Tochtergesellschaft schriftlich festgehalten ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software.

Generatoren erzeugen aus einem Fragebogen einen Standardtext. Für eine reine Visitenkarten-Website ohne Tracking, ohne Formulare und ohne Drittanbieter kann das ausreichen, sofern der Anbieter regelmäßig aktualisiert und die Quelle der Generierung zitiert wird. Sobald Webanalyse, Conversion-Tracking, Bewerbungsformulare, ein Shop oder ein Kundenportal ins Spiel kommen, wird die Erklärung zur juristischen Bewertung: Rechtsgrundlagen, Drittlandtransfers, TIA, gemeinsame Verantwortlichkeit nach Art. 26 DSGVO und Cookie-Consent nach § 25 TTDSG müssen sauber zusammengeführt werden. Der typische Fehler liegt darin, einen Generatortext auf eine komplexe Website zu legen und Tools, die nicht in der Vorlage stehen, schlicht zu ignorieren.

Kanzleien liefern hochwertige Texte, oft jedoch ohne laufende Pflege. Eine Datenschutzerklärung ist aber kein Einmaldokument. Sie wandelt sich, sobald ein neues Tool integriert wird, ein Auftragsverarbeiter wechselt, ein Sub-Prozessor hinzukommt oder eine Rechtsprechung sich ändert. Der externe Datenschutzbeauftragte verbindet beide Ebenen: rechtliche Bewertung plus operative Pflege. Im CIVAC Workspace liegt die Erklärung versioniert neben Verarbeitungsverzeichnis, AV-Verträgen und TOM-Dokumentation. Jede Änderung erzeugt einen Audit-Trail mit Autor, Datum und Anlass. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beides liefert denselben Nachweis: Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Prüfer ruft an, der Nachweis liegt bereit. Für Unternehmen mit mehreren Domains, internationalen Tochtergesellschaften oder häufig wechselnden Marketing-Stacks ist diese Versionierung der entscheidende operative Vorteil gegenüber Word-Dokumenten oder Wiki-Seiten. Hinzu kommt die Möglichkeit, Aufgaben aus der Erklärung direkt in einen Tickets-Workflow zu überführen, sodass die Pflege nicht an einer einzelnen Person hängt, sondern als Prozess mit Vertretungsregelung läuft.

§ 25 TTDSG verlangt für jeden nicht zwingend erforderlichen Zugriff auf Endeinrichtungen eine Einwilligung. Das betrifft praktisch alle Marketing- und Analyse-Cookies sowie lokalspeicher-basierte Tracker, Fingerprinting-Verfahren und Pixel von Drittanbietern. Die Einwilligung muss informiert, freiwillig, granular und ebenso einfach widerrufbar wie erteilbar sein. Cookie-Banner mit voreingestellten Häkchen, Dark Patterns oder fehlender Ablehnen-Schaltfläche sind unzulässig. Die Datenschutzkonferenz hat in ihren Orientierungshilfen klargestellt, dass auch Wackelgrafiken, Farbverläufe, asymmetrische Buttons und Klickfallen die Einwilligung unwirksam machen. Der EuGH hat in Planet49 (C-673/17) bereits 2019 die Pflicht zur aktiven Einwilligung bestätigt, der BGH ist dem in BGH I ZR 7/16 gefolgt.

Die Datenschutzerklärung muss in diesem Zusammenhang nicht nur jeden Cookie listen, sondern auch Anbieter, Zweck, Laufzeit, Datenkategorien, Empfänger und Drittlandsbezug. Wer Google Analytics 4, Meta Pixel, LinkedIn Insight Tag, TikTok Pixel oder Microsoft Clarity einsetzt, transferiert Daten in die USA. Hier sind das EU-US Data Privacy Framework zu prüfen, die Zertifizierungsnummern zu nennen und ergänzende Maßnahmen, insbesondere bei Sub-Prozessoren ohne DPF-Zertifizierung, zu dokumentieren. Im CIVAC Workspace gibt es 490 einsatzbereite Audit-Vorlagen, darunter eine vollständige Tool-Matrix für Web-Tracking. Der Datenschutzbeauftragte trägt die Tools pro Domain ein, das System leitet daraus die nötigen Klauseln ab und erzeugt eine versionierte Datenschutzerklärung samt separater Cookie-Erklärung. Wenn ein Tool entfernt oder ergänzt wird, propagiert sich die Änderung automatisch in die Erklärung und in das Verzeichnis nach Art. 30. Ergänzend prüft der DSB, ob das eingesetzte Consent-Management-Tool eine revisionssichere Protokollierung der Einwilligungen liefert, da Beweislast für die Einwilligung beim Verantwortlichen liegt (Art. 7 Abs. 1 DSGVO). Audit-fest, dokumentiert, § 25 TTDSG-fest.

Seit dem Urteil des EuGH in Schrems II (C-311/18) müssen Verantwortliche bei jedem Datentransfer in ein Drittland prüfen, ob das Schutzniveau dem der DSGVO im Wesentlichen gleichwertig ist. Für die USA gilt seit Juli 2023 das EU-US Data Privacy Framework als Angemessenheitsbeschluss nach Art. 45 DSGVO, allerdings nur für zertifizierte Empfänger. Wer einen nicht zertifizierten Sub-Prozessor einsetzt, braucht weiterhin Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO plus ein Transfer Impact Assessment. Bei Transfers nach Indien, China, Großbritannien oder in die Schweiz gelten zusätzliche Besonderheiten. Großbritannien profitiert von einem eigenen Angemessenheitsbeschluss, Indien und China bedürfen ergänzender technischer und organisatorischer Maßnahmen.

In der Datenschutzerklärung müssen Sie diese Konstellation transparent darstellen: Welche konkreten Daten gehen wohin, auf welcher Rechtsgrundlage, mit welchen Garantien, wie können Betroffene eine Kopie der SCC erhalten. Floskeln wie "Daten können in Drittländer übertragen werden" reichen nicht aus. Aufsichtsbehörden prüfen gezielt, ob die genannten Garantien zur tatsächlichen Tool-Landschaft passen. Die Compliance-Plattform und Officer-as-a-Service von CIVAC pflegt eine Liste der zertifizierten DPF-Teilnehmer, mappt sie gegen Ihre Tool-Matrix und ergänzt die fehlenden TIA-Bewertungen. Jeder Eintrag bekommt eine Quellenangabe und einen Prüfvermerk des DSB. So entsteht aus einer Marketing-Praxis eine prüfbare Dokumentation, die Sie der Aufsichtsbehörde innerhalb der gesetzlichen Frist vorlegen können. Wenn ein Anbieter aus dem DPF austritt, was in den letzten zwei Jahren bei mehreren US-Diensten geschehen ist, weist das System auf die Lücke hin und schlägt Maßnahmen vor. Bei Anbietern mit asiatischer Konzernstruktur, etwa TikTok oder Alibaba Cloud, werden zusätzliche Risikoindikatoren wie Gerichtszugriffsrechte und Behördenanfragen geprüft und im TIA dokumentiert. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Art. 30 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Das Verzeichnis ist intern, die Datenschutzerklärung extern, doch beide müssen inhaltlich konsistent sein. Wenn die Erklärung HubSpot, Hotjar und Vimeo benennt, das interne Verzeichnis aber nur HubSpot kennt, ist die Aufsichtsbehörde im Recht, wenn sie Bußgelder nach Art. 83 Abs. 4 DSGVO verhängt. Inkonsistenzen sind der häufigste Befund bei Audits und der häufigste Anlass für Nachfragen aus dem Konzern-Auditausschuss. Auch im Rahmen einer Due-Diligence-Prüfung bei M&A-Transaktionen werden Datenschutzerklärung und Verzeichnis abgeglichen, oft mit Punktabzügen, wenn die Strukturen nicht zueinander passen.

Der CIVAC Workspace verzahnt beide Dokumente: Jede neue Verarbeitung wird zentral angelegt, das System propagiert die Information automatisch in das Verzeichnis nach Art. 30, das Verzeichnis der Auftragsverarbeiter, die Datenschutzerklärung und gegebenenfalls die DSFA nach Art. 35 DSGVO. Versionen werden mit Zeitstempel und Verantwortlichem geführt. Das schafft die Konsistenz, die Prüfer erwarten. Mehr Hintergrund zum Zusammenspiel der Dokumente findet sich in der CIVAC FAQ. Wer eine Datenschutzerklärung erstellen lässt, sollte dieselbe Quelle nutzen, die das Verarbeitungsverzeichnis pflegt. So entstehen keine Brüche zwischen interner Dokumentation und externer Kommunikation. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Auch das Berichtswesen an Geschäftsführung und Aufsichtsrat profitiert: Quartalsweise Reports zeigen, welche Verarbeitungen hinzugekommen sind, welche AV-Verträge erneuert wurden, wo Handlungsbedarf besteht und welche Risikoeinstufungen die jeweilige Verarbeitung nach Art. 35 DSGVO trägt. Diese Sichtbarkeit ist insbesondere für Aufsichtsgremien wichtig, die nach § 91 Abs. 2 AktG ein angemessenes Risikomanagement nachweisen müssen.

Drei Formulare auf einer Website erzeugen drei eigenständige Verarbeitungen: das Karriereformular, der Newsletter und das Kontaktformular. Für Bewerberdaten gilt § 26 BDSG, für Newsletter Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 7 UWG, für allgemeine Kontaktanfragen meist Art. 6 Abs. 1 lit. b oder lit. f DSGVO. Jede dieser Rechtsgrundlagen löst eigene Pflichten aus: bei Bewerberdaten eine Löschfrist von in der Regel sechs Monaten nach Absage gemäß AGG-Beweissicherung, bei Newslettern ein Double-Opt-In mit Protokollierung der IP-Adresse, des Zeitstempels und des Bestätigungslinks und beim Kontaktformular eine Aufbewahrung im Rahmen der HGB- und AO-Fristen, wenn ein Geschäftsvorgang folgt.

Eine pauschale Datenschutzerklärung deckt diese Differenzierungen nicht ab. Wer beispielsweise Bewerbungen über ein Drittanbieter-System wie Personio, Workday oder SAP SuccessFactors entgegennimmt, muss den Auftragsverarbeiter benennen, den AV-Vertrag dokumentieren, die Speicherdauer transparent darstellen und gegebenenfalls auf eine Talent-Pool-Funktion mit gesonderter Einwilligung hinweisen. Der CIVAC Workspace stellt für jeden dieser Pfade eine fertige Klauselbibliothek bereit, die der externe DSB freigibt. Im Verarbeitungsverzeichnis liegt parallel das Risikomanagement: Wenn ein Sub-Prozessor wechselt, generiert das System eine Benachrichtigung an den DSB und an die betroffenen Fachbereiche, sodass die Erklärung aktualisiert und intern kommuniziert wird, bevor ein Bewerber oder Newsletter-Abonnent eine Auskunft nach Art. 15 DSGVO verlangt. Aus dem Lesen einen Auftrag machen: Wenn das in Ihrem Haus heute noch in einer Excel-Tabelle organisiert ist, lohnt sich ein Blick auf den Workspace. Auch die in der Praxis besonders fehleranfällige Verzahnung mit dem Bewerbermanagement und dem Marketing-Automation-System wird so beherrschbar, weil Änderungen über alle Verarbeitungen hinweg sichtbar werden.

Eine Datenschutzerklärung altert. Tools werden eingeführt, abgeschafft oder gewechselt, Auftragsverarbeiter ändern ihre Sub-Prozessoren-Liste, neue Urteile und Leitlinien der Datenschutzkonferenz (DSK) verschieben die Pflichten. Wer zum Zeitpunkt einer Prüfung nicht belegen kann, wann welche Fassung welcher Erklärung galt, verliert in der Argumentation. § 31 BDSG und Art. 24 DSGVO verlangen den Nachweis der Einhaltung, nicht nur die Behauptung. Auch in Auseinandersetzungen mit Mitbewerbern, die ein wettbewerbsrechtliches Vorgehen auf Grundlage des UWG oder der UGP-Richtlinie erwägen, ist eine sauber versionierte Erklärung ein wichtiges Verteidigungsmittel.

Der CIVAC Workspace führt jede Datenschutzerklärung als versioniertes Dokument. Änderungen werden mit Autor, Datum, Anlass und Freigabe protokolliert. Bei Veröffentlichung wird die neue Fassung auf der Website verlinkt, die alte bleibt für die Dauer der Aufbewahrungspflicht recherchierbar. Das spart Diskussionen mit der Aufsichtsbehörde, wenn ein Vorfall aus dem Vorjahr aufgegriffen wird. Mehr zur Methodik der Bestellung und Dokumentation finden Sie auf der Übersicht der CIVAC Beauftragten-Rollen. Der Prüfer ruft an, der Nachweis liegt bereit. Frist läuft ab Kenntnis: Bei einer Datenpanne hilft die saubere Versionierung, schnell zu rekonstruieren, welche Daten zu welchem Zeitpunkt nach welcher Rechtsgrundlage verarbeitet wurden, welcher Auftragsverarbeiter beteiligt war und welche TOMs in der jeweiligen Version dokumentiert waren. Ohne diese Datenbasis ist die 72-Stunden-Frist des Art. 33 DSGVO kaum einzuhalten. Ein versionierter Bestand ist außerdem die Grundlage dafür, dass externe Wirtschaftsprüfer im Rahmen einer SOC2- oder ISAE-3402-Prüfung die nötigen Belege erhalten, ohne dass jedes Quartal eine eigene Sonderausleitung gebaut werden muss. Bei einer Akquisition oder einem Investorenaudit ist diese strukturierte Historie ebenfalls ein wertvolles Asset, weil sie die Sorgfalt des Verantwortlichen über mehrere Jahre belegt.

Eine sauber erstellte Datenschutzerklärung für eine mittelständische Website kostet zwischen 800 und 3.500 Euro Erstaufwand, je nach Tool-Landschaft, Anzahl der Verarbeitungen, Anzahl der Domains und Drittlandbezug. Die laufende Pflege durch einen externen Datenschutzbeauftragten liegt häufig im Paket Officer-as-a-Service zwischen 350 und 1.500 Euro pro Monat, je nach Mitarbeiterzahl und Risikoprofil. Im Vergleich zu Bußgeldern nach Art. 83 DSGVO, die bei groben Verstößen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes betragen können, ist das eine vernünftige Investition in Rechtssicherheit. Hinzu kommen Reputationsschäden, die in der Regel deutlich schwerer wiegen als das Bußgeld selbst.

Die Lieferzeit ist der zweite Faktor. Klassische Anwaltskanzleien benötigen zwei bis sechs Wochen, abhängig von Auslastung und Rückfragen. Das CIVAC-SLA liegt bei zwei Werktagen für die Erstfassung, inklusive Tool-Matrix, Verarbeitungsverzeichnis-Eintrag und Bestellurkunde für den externen DSB. Möglich wird das durch die 490 einsatzbereiten Audit-Vorlagen, eine standardisierte Onboarding-Strecke im Workspace und ein Team aus 25 Beauftragten-Rollen, die quer durch Datenschutz, Informationssicherheit, Compliance und Arbeitssicherheit aufeinander abgestimmt arbeiten. Für viele Mittelständler ist das der entscheidende Unterschied: nicht der Stundensatz, sondern die Zeit bis zur belegbaren Compliance. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. In beiden Modellen erhalten Sie dieselbe Dokumentation, denselben Audit-Trail, dieselbe juristische Bewertung und eine EU-Datenresidenz für alle abgelegten Unterlagen. Der Vorteil aus Sicht der Geschäftsleitung liegt vor allem darin, dass die Verantwortlichkeit nach § 130 OWiG sauber dokumentiert ist und im Ernstfall ein Organisationsverschulden nicht vorgehalten werden kann.

Eine Datenschutzerklärung ist kein Endprodukt, sondern ein Knoten in einem Geflecht aus Verarbeitungsverzeichnis, AV-Verträgen, TOM-Dokumentation, Datenpannen-Meldepfad nach Art. 33 DSGVO (72 Stunden) und der NIS-2-Berichtslinie (24h Frühwarnung, 72h Folgemeldung). Die Compliance-Plattform und Officer-as-a-Service von CIVAC bündelt diese Elemente in einem Workspace, der mit EU-Datenresidenz betrieben wird und gegen ein nach ISO/IEC 27001:2022 aufgebautes ISMS gehärtet ist. Die 93 Controls und die 490 Vorlagen sind so verknüpft, dass eine Änderung an der Erklärung automatisch das Verarbeitungsverzeichnis, die DSFA-Liste und gegebenenfalls die Lieferantenbewertung anstößt. Das gilt auch für die Vorbereitung externer Audits durch Wirtschaftsprüfer, ISO-Zertifizierer oder die Aufsichtsbehörde selbst.

Sie haben zwei Pfade: Sie lizenzieren den Workspace und führen die Datenschutzerklärung mit Ihrem internen Datenschutzbeauftragten, oder Sie übergeben die Bestellung an CIVAC und erhalten einen externen DSB samt Bestellurkunde innerhalb von zwei Werktagen. In beiden Fällen verlassen die Daten nicht den europäischen Wirtschaftsraum, und in beiden Fällen liegt der Nachweis vor, bevor der Prüfer fragt. Auch hybride Modelle sind möglich: Sie behalten Ihren internen DSB und buchen einzelne Spezialthemen wie Drittlandtransfers, internationale Beschäftigtenverhältnisse oder KI-Verarbeitungen als Officer-as-a-Service hinzu. Aus dem Lesen einen Auftrag machen: Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten eine erste Einschätzung Ihrer Tool-Matrix, einen Vorschlag für die Bestellurkunde und einen verbindlichen Liefertermin für die fertige Datenschutzerklärung. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wenn Ihr Haus heute mit mehreren Word-Dokumenten, Sharepoint-Ablagen und einer Excel-Tabelle für AV-Verträge arbeitet, lässt sich der Wechsel in eine konsolidierte Lösung innerhalb weniger Wochen organisieren, ohne den laufenden Betrieb zu stören.