Datenschutzerklärung 2026: Die 7 häufigsten Fehler und wie Sie sie vermeiden

Die Datenschutzerklärung ist das am häufigsten fehlerhafte Rechtsdokument auf deutschen Websites. Branchenstudien zeigen: 71 % der KMU-Websites haben eine Datenschutzerklärung, die mindestens in einem wesentlichen Punkt unvollständig oder veraltet ist. Die Konsequenz: Bußgelder bis 25.000 Euro und Abmahnrisiko.

Fehler 1: Die Datenschutzerklärung wurde nie aktualisiert

Das häufigste Problem: Die Datenschutzerklärung wurde 2018 beim DSGVO-Start erstellt und seitdem nicht angefasst. Inzwischen nutzt die Website:

• Neue Analyse-Tools (Google Analytics 4 statt Universal Analytics)
• WhatsApp-Business-Button mit Datenübermittlung an Meta
• Newsletter-Dienst (Mailchimp, CleverReach, Brevo)
• Online-Buchungssystem mit Calendly oder Doctolib
• Cookie-Consent-Manager (Cookiebot, Usercentrics)
• KI-Chatbot auf der Website

Regel: Jeder Dienst, der personenbezogene Daten verarbeitet, muss in der Datenschutzerklärung genannt werden — mit Zweck, Rechtsgrundlage und Speicherdauer.

Fehler 2: Rechtsgrundlagen fehlen oder sind falsch

Art. 13 Abs. 1c DSGVO verlangt die Angabe der Rechtsgrundlage für jede Datenverarbeitung. Die drei relevanten Grundlagen für Websites:

Häufiger Fehler: Google Analytics wird auf „berechtigtes Interesse" gestützt. Das ist nach aktueller Rechtsprechung nicht haltbar — Tracking erfordert eine Einwilligung (Art. 6 Abs. 1a).

Fehler 3: Drittlandtransfers nicht dokumentiert

Seit dem Schrems-II-Urteil müssen Übermittlungen in Drittländer (insbesondere USA) besonders dokumentiert werden:

• EU-US Data Privacy Framework: Gilt seit Juli 2023, aber nur für Unternehmen, die DPF-zertifiziert sind. Prüfen Sie die Zertifizierung auf dataprivacyframework.gov
• Standardvertragsklauseln (SCCs): Für nicht-DPF- zertifizierte Unternehmen — müssen in der Datenschutzerklärung genannt werden
• Transfer Impact Assessment (TIA): Muss vorliegen, auch wenn nicht veröffentlicht

Fehler 4: Speicherdauern fehlen

Art. 13 Abs. 2a DSGVO verlangt die Angabe der Speicherdauer oder der Kriterien für die Festlegung der Dauer. 58 % der geprüften Websites nennen keine Speicherdauern.

Fehler 5: Betroffenenrechte unvollständig

Art. 13 Abs. 2 verlangt die Aufklärung über alle Betroffenenrechte. Häufig fehlen:

• Recht auf Datenübertragbarkeit (Art. 20) — 67 % vergessen
• Recht auf Einschränkung der Verarbeitung (Art. 18) — 54 % vergessen
• Widerspruchsrecht bei berechtigtem Interesse (Art. 21) — 41 % vergessen
• Beschwerderecht bei Aufsichtsbehörde (Art. 77) — 44 % vergessen, inkl. Kontaktdaten der zuständigen Behörde

Fehler 6: Generator-Texte nicht angepasst

Datenschutzerklärungs-Generatoren (eRecht24, Datenschutz-Generator.de) sind ein guter Startpunkt — aber der generierte Text muss an die tatsächliche Website angepasst werden:

• Dienste, die nicht genutzt werden, müssen entfernt werden
• Dienste, die genutzt werden, müssen hinzugefügt werden
• Kontaktdaten des Datenschutzbeauftragten eintragen (falls bestellt)
• Tatsächliche Speicherdauern eintragen

Risiko: Eine Datenschutzerklärung, die Dienste nennt, die nicht verwendet werden, ist genauso problematisch — sie suggeriert Datenverarbeitungen, die nicht stattfinden, und verwirrt Betroffene.

Fehler 7: SSL/TLS-Verschlüsselung nicht erwähnt

Auch wenn die Website HTTPS nutzt, muss die SSL/TLS-Verschlüsselung in der Datenschutzerklärung erwähnt werden — als technisch-organisatorische Maßnahme nach Art. 32 DSGVO. Viele Generatoren fügen diesen Abschnitt automatisch ein, aber bei manuell erstellten Texten fehlt er oft.

Sie sind unsicher, ob Ihre Datenschutzerklärung alle tatsächlich genutzten Dienste abdeckt? Unser kostenloser DSGVO Website-Check erkennt automatisch, welche Dienste und Cookies Ihre Website lädt — so sehen Sie sofort, was in der Datenschutzerklärung fehlt.

Praxis-Checkliste 2026