Datenschutzerklärung: Alle Rechtsvorschriften im Überblick — Was Ihr DSE-Generator abdecken muss

Eine Datenschutzerklärung (DSE) ist keine Formalität — sie ist rechtliche Pflicht. Doch welche Gesetze und Verordnungen bestimmen eigentlich, was in Ihrer DSE stehen muss? Die Antwort ist komplexer, als viele denken: Neben der DSGVO spielen das BDSG, das TDDDG, die ePrivacy-Richtlinie, das EU-US Data Privacy Framework und sogar das Wettbewerbsrecht eine Rolle.

In diesem Beitrag gehen wir jede relevante Rechtsvorschrift Punkt für Punkt durch — verständlich erklärt für Website-Betreiber, Shop-Inhaber und Datenschutzbeauftragte.

1. DSGVO (EU) 2016/679 — Das Fundament

Die Datenschutz-Grundverordnung ist das zentrale Regelwerk für den Datenschutz in der EU. Für Ihre Datenschutzerklärung sind insbesondere folgende Artikel relevant:

Art. 12–14: Informationspflichten

Art. 12 DSGVO legt die Rahmenbedingungen fest: Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitgestellt werden — in einer klaren und einfachen Sprache. Die DSE darf also kein Juristendeutsch sein, das niemand versteht.

Art. 13 regelt die Pflichtangaben bei Direkterhebung (also wenn Sie Daten direkt beim Betroffenen erheben — der Normalfall bei Websites). Art. 14 ergänzt die Pflichten für den Fall, dass Daten von Dritten stammen.

Art. 6: Die sechs Rechtsgrundlagen

Jede Datenverarbeitung braucht eine Rechtsgrundlage. Art. 6 DSGVO definiert sechs Erlaubnistatbestände:

1. Einwilligung (Art. 6 Abs. 1 lit. a) — z. B. Newsletter-Anmeldung, Tracking-Cookies
2. Vertragserfüllung (lit. b) — z. B. Bestellabwicklung im Online-Shop
3. Rechtliche Verpflichtung (lit. c) — z. B. Aufbewahrungspflichten nach HGB/AO
4. Lebenswichtige Interessen (lit. d) — in der Praxis selten relevant
5. Öffentliches Interesse (lit. e) — vor allem für Behörden
6. Berechtigtes Interesse (lit. f) — z. B. Webanalyse, Betrugsprävention, IT-Sicherheit

Ihre DSE muss für jeden Verarbeitungszweck die passende Rechtsgrundlage benennen. Ein DSE-Generator, der das nicht systematisch abbildet, ist unvollständig.

Art. 7: Einwilligung und Widerruf

Wird eine Verarbeitung auf Einwilligung gestützt, muss der Verantwortliche die Einwilligung nachweisen können. Außerdem muss der Widerruf jederzeit möglich sein und in der DSE erklärt werden — genauso einfach wie die Erteilung. Das betrifft direkt Ihr Cookie-Banner: Ein Widerruf muss mit einem Klick möglich sein, nicht erst über drei Unterseiten.

Art. 9: Besondere Kategorien personenbezogener Daten

Verarbeiten Sie Gesundheitsdaten (z. B. als Arztpraxis oder Apotheken-Shop), religiöse Überzeugungen oder biometrische Daten? Dann gelten verschärfte Anforderungen. Art. 9 Abs. 2 DSGVO erlaubt die Verarbeitung nur unter engen Voraussetzungen — meist ist eine ausdrückliche Einwilligung erforderlich. In der DSE muss das separat adressiert werden.

Art. 13 Abs. 1 lit. a–f: Die Pflichtangaben (Teil 1)

Diese sechs Punkte müssen in jeder DSE stehen:

• lit. a: Name und Kontaktdaten des Verantwortlichen
• lit. b: Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
• lit. c: Zwecke der Verarbeitung und Rechtsgrundlage
• lit. d: Berechtigte Interessen (wenn Art. 6 Abs. 1 lit. f die Grundlage ist)
• lit. e: Empfänger oder Kategorien von Empfängern
• lit. f: Absicht der Übermittlung an ein Drittland und die Garantien (SCC, DPF etc.)

Art. 13 Abs. 2 lit. a–f: Die Pflichtangaben (Teil 2)

Zusätzlich müssen folgende Informationen bereitgestellt werden:

• lit. a: Speicherdauer oder Kriterien für die Festlegung der Dauer
• lit. b: Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.)
• lit. c: Recht auf Widerruf der Einwilligung
• lit. d: Beschwerderecht bei einer Aufsichtsbehörde
• lit. e: Ob die Bereitstellung der Daten gesetzlich/vertraglich vorgeschrieben ist
• lit. f: Informationen über automatisierte Entscheidungsfindung einschließlich Profiling

Das sind 14 Pflichtangaben nach Art. 13 DSGVO. Ein DSE-Generator, der nicht alle 14 Punkte abdeckt, liefert eine unvollständige Datenschutzerklärung.

Art. 15–22: Betroffenenrechte im Detail

Ihre DSE muss die Betroffenen über ihre Rechte informieren:

• Art. 15: Auskunftsrecht
• Art. 16: Recht auf Berichtigung
• Art. 17: Recht auf Löschung (Recht auf Vergessenwerden)
• Art. 18: Recht auf Einschränkung der Verarbeitung
• Art. 20: Recht auf Datenübertragbarkeit
• Art. 21: Widerspruchsrecht (besonders wichtig bei berechtigtem Interesse!)
• Art. 22: Recht, nicht einer automatisierten Entscheidung unterworfen zu werden

Besonders Art. 21 wird häufig vergessen: Wenn Sie Daten auf Grundlage von Art. 6 Abs. 1 lit. f verarbeiten, haben Betroffene ein jederzeitiges Widerspruchsrecht. Der Hinweis darauf muss gesondert und in klarer Sprache erfolgen.

Art. 26: Gemeinsame Verantwortlichkeit

Betreiben Sie z. B. eine Facebook-Fanpage oder nutzen Sie Facebook Custom Audiences? Dann sind Sie laut EuGH-Rechtsprechung gemeinsam mit Meta verantwortlich. Art. 26 DSGVO verlangt, dass die jeweiligen Pflichten in einer Vereinbarung geregelt und das Wesentliche den Betroffenen mitgeteilt wird. Dieser Hinweis gehört in die DSE.

Art. 28: Auftragsverarbeitung (AVV)

Nutzen Sie externe Dienstleister wie Hosting-Provider, E-Mail-Dienste oder Analyse-Tools? Dann liegt regelmäßig eine Auftragsverarbeitung vor. In der DSE müssen Sie die Kategorien der Auftragsverarbeiter nennen und erklären, auf welcher Grundlage die Weitergabe erfolgt.

Art. 44–49: Drittlandtransfer

Übermitteln Sie Daten in Länder außerhalb des EWR — z. B. in die USA? Dann brauchen Sie eine rechtliche Grundlage:

• Art. 45: Angemessenheitsbeschluss (z. B. EU-US Data Privacy Framework)
• Art. 46: Geeignete Garantien, insbesondere Standardvertragsklauseln (SCC)
• Art. 47: Verbindliche interne Datenschutzvorschriften (BCR — eher für Konzerne)
• Art. 49: Ausnahmen für bestimmte Fälle (ausdrückliche Einwilligung, Vertragserfüllung)

Jeder Drittlandtransfer muss in der DSE konkret benannt werden — mit Angabe des Landes, des Empfängers und der Garantie.

Art. 77: Beschwerderecht

Jede DSE muss auf das Recht zur Beschwerde bei einer Aufsichtsbehörde hinweisen. Am besten mit konkretem Verweis auf die zuständige Behörde (z. B. LfDI Baden-Württemberg, BayLDA etc.).

2. BDSG — Bundesdatenschutzgesetz

Das BDSG ergänzt die DSGVO in Deutschland:

Paragraph 26: Beschäftigtendatenschutz

Haben Sie ein Bewerbungsformular auf Ihrer Website? Dann verarbeiten Sie Beschäftigtendaten im Sinne von Paragraph 26 BDSG. Die DSE muss den Zweck (Durchführung des Bewerbungsverfahrens), die Rechtsgrundlage (Paragraph 26 Abs. 1 BDSG i. V. m. Art. 88 DSGVO) und die Speicherdauer (in der Regel 6 Monate nach Abschluss des Verfahrens) benennen.

Paragraph 37–38: Pflicht zur Benennung eines DSB

Ab 20 Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. Dessen Kontaktdaten gehören dann zwingend in die DSE (Art. 13 Abs. 1 lit. b DSGVO).

3. TDDDG (vormals TTDSG) — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz

Paragraph 25 Abs. 1+2: Cookie-Einwilligung und Ausnahmen

Paragraph 25 TDDDG regelt den Zugriff auf Endeinrichtungen — also das Setzen und Lesen von Cookies und ähnlichen Technologien. Die Kernregel:

• Abs. 1: Zugriff auf Informationen in der Endeinrichtung (Cookies, Local Storage, Fingerprinting) erfordert eine Einwilligung des Nutzers.
• Abs. 2: Ausnahme für technisch notwendige Cookies — z. B. Warenkorb-Cookies, Session-IDs, Load-Balancing. Diese brauchen keine Einwilligung.

Zusammenspiel mit DSGVO Art. 6

Wichtig: Paragraph 25 TDDDG regelt nur den Zugriff auf das Endgerät. Die anschließende Verarbeitung der erhobenen Daten richtet sich nach Art. 6 DSGVO. In der Praxis bedeutet das: Für Tracking-Cookies brauchen Sie eine Einwilligung nach Paragraph 25 TDDDG und eine Rechtsgrundlage nach Art. 6 DSGVO (meist ebenfalls die Einwilligung). Beides muss in der DSE abgebildet werden.

4. ePrivacy-Richtlinie 2002/58/EG

Art. 5 Abs. 3: Die EU-Grundlage für Cookie-Consent

Die ePrivacy-Richtlinie ist die europäische Grundlage für die Cookie-Einwilligung. Art. 5 Abs. 3 verlangt, dass die Speicherung von Informationen auf dem Endgerät des Nutzers nur mit dessen Einwilligung erfolgen darf — es sei denn, der Zugriff ist für die Bereitstellung des Dienstes unbedingt erforderlich.

Umsetzung in Deutschland durch Paragraph 25 TDDDG

Deutschland hat Art. 5 Abs. 3 der ePrivacy-Richtlinie durch Paragraph 25 TDDDG in nationales Recht umgesetzt. In der DSE können Sie wahlweise auf die Richtlinie oder das nationale Umsetzungsgesetz verweisen — in der Praxis ist der Verweis auf Paragraph 25 TDDDG üblicher und konkreter.

Status der ePrivacy-Verordnung

Seit über einem Jahrzehnt wird eine ePrivacy-Verordnung diskutiert, die die Richtlinie ablösen soll. Sie ist jedoch immer noch nicht verabschiedet. Der aktuelle Stand (März 2026): Die Verhandlungen ruhen de facto. Das bedeutet: Paragraph 25 TDDDG bleibt auf absehbare Zeit die maßgebliche nationale Rechtsgrundlage.

5. EU-US Data Privacy Framework (DPF)

Angemessenheitsbeschluss 2023/1795

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen. Damit dürfen personenbezogene Daten an DPF-zertifizierte US-Unternehmen übermittelt werden, ohne dass zusätzliche Garantien wie SCC erforderlich sind.

Art. 45 DSGVO als Grundlage

Der DPF basiert auf Art. 45 DSGVO: Die Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau bietet. Für zertifizierte US-Unternehmen gilt dieses Niveau als gegeben.

Was das für Google, Meta, Stripe und Co. bedeutet

Die meisten großen US-Anbieter — Google, Meta, Microsoft, Amazon, Stripe, Cloudflare — sind DPF-zertifiziert. In der DSE können Sie bei diesen Anbietern auf den Angemessenheitsbeschluss verweisen, statt auf SCC zurückgreifen zu müssen. Aber Achtung: Die Zertifizierung muss aktuell gültig sein und regelmäßig geprüft werden.

DPF-Zertifizierung prüfen

Ob ein Unternehmen aktuell DPF-zertifiziert ist, können Sie auf dataprivacyframework.gov nachschlagen. Tipp: Dokumentieren Sie die Prüfung, falls eine Aufsichtsbehörde nachfragt. Ein guter DSE-Generator nimmt Ihnen diese Recherche ab und hinterlegt den aktuellen DPF-Status der gängigen Dienste automatisch.

6. UWG — Wettbewerbsrecht

Was viele übersehen: Eine fehlerhafte Datenschutzerklärung ist nicht nur ein Datenschutzproblem — sie kann auch wettbewerbsrechtliche Konsequenzen haben.

Paragraph 3a: Rechtsbruch als Wettbewerbsverstoß

Paragraph 3a UWG bestimmt: Wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln, handelt unlauter. Die Gerichte haben bestätigt, dass die Informationspflichten der DSGVO marktverhaltensregelnden Charakter haben — ein Verstoß kann also eine Wettbewerbsverletzung darstellen.

Paragraph 5 und 5a: Irreführung und Informationspflichten

Eine DSE, die falsche Angaben enthält (z. B. nicht vorhandene Zertifizierungen behauptet) oder wesentliche Informationen verschweigt, kann als irreführende geschäftliche Handlung gewertet werden. Das betrifft besonders Fälle, in denen die DSE als Vertrauenssignal eingesetzt wird (Wir nehmen Datenschutz ernst — ohne die gesetzlichen Pflichten tatsächlich zu erfüllen).

Paragraph 8: Unterlassungsansprüche und Abmahnungen

Paragraph 8 UWG gibt Wettbewerbern und Verbänden einen Unterlassungsanspruch. In der Praxis bedeutet das: Abmahnungen wegen fehlerhafter DSE sind möglich und kommen vor. Konkrete Beispiele:

• Fehlende oder unvollständige DSE: Wurde bereits mehrfach abgemahnt, insbesondere wenn Pflichtangaben nach Art. 13 DSGVO fehlen.
• Veraltete Rechtsgrundlagen: Verweis auf das alte EU-US Privacy Shield (seit 2020 ungültig) statt auf das DPF.
• Falsche Cookie-Kategorisierung: Marketing-Cookies als technisch notwendig deklariert — ein Verstoß gegen Paragraph 25 TDDDG, der über Paragraph 3a UWG abmahnfähig ist.
• Fehlender Hinweis auf Drittlandtransfer: Nutzung von Google Analytics ohne Angabe der Datenübermittlung in die USA.

Das Kostenrisiko einer Abmahnung liegt typischerweise bei 500 bis 3.000 Euro für die erste Abmahnung — bei Wiederholung deutlich mehr.

Fazit: Welche Vorschriften sind Pflicht, welche Kür?

Die gute Nachricht: Mit dem richtigen Werkzeug müssen Sie nicht jede Vorschrift selbst recherchieren. Der DSE-Generator von Consent by KaaTai deckt alle 14 Pflichtangaben nach Art. 13 DSGVO systematisch ab — inklusive Drittlandtransfer, DPF-Status, Speicherdauer und Betroffenenrechte. Consent by KaaTai gehört damit zu den wenigen Consent-Management-Anbietern, die eine derart vollständige, automatisch generierte Datenschutzerklärung bieten — was im Marktvergleich derzeit selten ist.

Jetzt testen: Informieren Sie sich über unsere Features oder vergleichen Sie direkt unsere Preispläne — die DSE-Generierung ist bereits in der kostenlosen Version enthalten.