Datenschutzerklärung erstellen: Leitfaden für kleine Unternehmen
Aktualisiert: Juli 2026Lesezeit: 8 Min.
Fast jede Website braucht eine Datenschutzerklärung, und fehlt sie oder ist sie fehlerhaft, kann das teuer werden. Die gute Nachricht: Wenn du weißt, was reingehört und worauf es ankommt, ist die Datenschutzerklärung machbar. Hier führen wir dich ruhig durch die Pflichtinhalte, die richtige Einbindung und die häufigsten Stolperfallen.
Das Wichtigste in 30 Sekunden
Fast immer Pflicht: Jede Website und jedes Unternehmen, das personenbezogene Daten verarbeitet, braucht eine Datenschutzerklärung.
Leicht erreichbar: Sie muss von jeder Unterseite mit einem Klick erreichbar sein, idealerweise im Footer, und verständlich formuliert.
Immer aktuell: Sie muss zu deinen tatsächlichen Datenverarbeitungen passen und regelmäßig überprüft werden.
Fehler kosten: Fehlende oder falsche Datenschutzerklärungen können Abmahnungen und hohe Bußgelder nach sich ziehen.
Warum eine Datenschutzerklärung unverzichtbar ist
Die Datenschutzerklärung ist der Ort, an dem du transparent machst, wie du mit den Daten deiner Nutzer umgehst. Sie ist keine Formsache, sondern eine zentrale Pflicht aus der DSGVO. Wer sie ignoriert oder schludert, riskiert nicht nur Abmahnungen, sondern auch spürbare Bußgelder, denn Verstöße gegen die DSGVO können bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes kosten.
Rechtliche Grundlagen: DSGVO und BDSG
Die Datenschutz-Grundverordnung (DSGVO) gilt seit dem 25. Mai 2018 EU-weit. In Deutschland wird sie durch das Bundesdatenschutzgesetz (BDSG-neu) ergänzt. Diese beiden Regelwerke bilden die Grundlage für deine Datenschutzerklärung.
Zwei Begriffe solltest du kennen:
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Dazu zählen Name, Adresse, E-Mail, aber auch die IP-Adresse.
Rechtmäßigkeit der Verarbeitung: Jede Datenverarbeitung braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, etwa eine Einwilligung, die Erfüllung eines Vertrags oder ein berechtigtes Interesse.
i
Die Datenschutzerklärung ist der Baustein, mit dem du einen Teil deiner DSGVO-Pflichten erfüllst. Den Gesamtüberblick gibt dir unser Beitrag DSGVO für kleine Unternehmen.
Wer ist zur Datenschutzerklärung verpflichtet?
Kurz: fast alle. Nahezu jeder Websitebetreiber, Unternehmer und Onlineshop benötigt eine Datenschutzerklärung, weil er personenbezogene Daten verarbeitet. Schon ein einfaches Kontaktformular reicht aus. Und auch bei rein analoger Datenverarbeitung, etwa in der Kundenkartei, gelten die Regeln der DSGVO.
Diese Inhalte gehören hinein
Eine rechtssichere Datenschutzerklärung besteht aus einem allgemeinen und einem besonderen Teil.
Allgemeiner Teil
Verantwortlicher: Name, Anschrift und E-Mail-Adresse der verantwortlichen Person oder des Unternehmens.
Datenschutzbeauftragter: Name und Kontaktdaten, sofern du einen benennen musst.
Besonderer Teil
Zweck und Rechtsgrundlage für jede einzelne Datenverarbeitung (Kontaktformular, Analysetools, eingebettete Dienste, Onlineshop).
Speicherdauer beziehungsweise die Kriterien, nach denen du sie festlegst.
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit (Art. 15 bis 21 DSGVO).
!
Kopiere keine fremde Datenschutzerklärung. Sie muss zu deinen tatsächlichen Datenverarbeitungen passen. Nennst du Tools und Dienste, die du gar nicht nutzt, oder fehlen welche, die du einsetzt, ist die Erklärung angreifbar.
So bindest du sie korrekt ein
Der beste Text nützt nichts, wenn ihn niemand findet. Deine Datenschutzerklärung muss von jeder Unterseite mit maximal einem Klick erreichbar sein, üblicherweise über einen deutlichen Link im Footer. Sie darf nicht im Kleingedruckten verschwinden und muss die gleiche Schriftgröße und -art wie der übrige Website-Inhalt haben.
Ein enger Nachbar ist das Impressum: Beide sind Pflichtangaben und stehen meist direkt nebeneinander. Was ins Impressum gehört, liest du im Beitrag Impressumspflicht: Was muss rein?.
Häufige Fehler und Ausblick
Die typischen Fehler wiederholen sich:
Es ist gar keine Datenschutzerklärung vorhanden oder sie ist schwer auffindbar.
Sie ist veraltet, unvollständig oder nicht auf die eigenen Datenverarbeitungen zugeschnitten.
Angaben zu Betroffenenrechten oder Rechtsgrundlagen fehlen.
Einwilligungen werden mit voreingestellten Häkchen eingeholt, statt mit einem sauberen Double-Opt-in.
Für die kommenden Jahre lohnt ein Blick nach vorn: Neue EU-Regelwerke wie DORA, die EU-KI-Verordnung und NIS2 bringen ab 2025 zusätzliche Anforderungen mit sich, die je nach Tätigkeit auch kleine Unternehmen betreffen können. Umso wichtiger ist es, die Datenschutzerklärung nicht einmal zu schreiben und dann zu vergessen, sondern sie regelmäßig zu überprüfen.
✓
Erfasse zuerst alle deine Datenverarbeitungen, ordne jeder eine Rechtsgrundlage zu, formuliere verständlich und binde die Erklärung leicht auffindbar ein. Dann trägst du dir eine wiederkehrende Erinnerung ein, sie zu aktualisieren, und bist gut aufgestellt.
PDF
Checkliste: DSGVO-konforme Datenschutzerklärung in 7 Schritten
* Anzeige (Affiliate-Link): Schließt du über diesen Link ein eRecht24-Paket ab, erhalten wir eine Provision. Für dich ändert sich am Preis nichts.
◆ Wie unternio hilft
Die Datenschutzerklärung aktuell halten, ohne es zu vergessen
Eine Datenschutzerklärung ist nie fertig: Neue Tools, neue Dienste, neue Rechtslage. Mit dem Kontrollregister von unternio legst du eine wiederkehrende Aufgabe an, deine Datenschutzerklärung regelmäßig zu prüfen, und wirst rechtzeitig erinnert. So bleibt sie aktuell und du musst nicht daran denken, bis dich eine Abmahnung erinnert.
✓ Wiederkehrende Prüf-Aufgaben zentral verwalten✓ Rechtzeitige Erinnerung vor Fälligkeit✓ DSGVO, Hosting in Deutschland
Jedes Unternehmen und jede Website, die personenbezogene Daten von Nutzern erhebt, verarbeitet oder nutzt, muss eine Datenschutzerklärung bereitstellen. Das trifft auf fast alle Selbstständigen und kleinen Unternehmen zu.
Was sind personenbezogene Daten?
Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, zum Beispiel Name, Adresse, E-Mail-Adresse, IP-Adresse oder Standortdaten (Art. 4 Nr. 1 DSGVO).
Wo muss die Datenschutzerklärung auf der Website stehen?
Sie muss von jeder Unterseite aus jederzeit leicht und mit maximal einem Klick erreichbar sein, idealerweise über einen Link im Footer. Sie darf nicht im Kleingedruckten versteckt werden.
Was passiert, wenn meine Datenschutzerklärung fehlt oder fehlerhaft ist?
Es drohen kostenpflichtige Abmahnungen, hohe Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sowie Schadensersatzforderungen von Betroffenen.
Behalte dein Unternehmen im Griff
Aufgaben, Fristen, Verträge und Kunden an einem ruhigen, klaren Ort.