Datenschutzerklärung fehlt oder veraltet ist 2025 eine der drei häufigsten Abmahn-Ursachen in Deutschland. Rechtsgrundlage: Art. 13 DSGVO, Art. 14, Art. 12 Transparenz. Einschlägig zitiert: OLG Hamm 4 U 66/20 (DSE-Inhalt unvollständig). Betroffen sind laut Abmahn-Trackern 35 % aller DSGVO-Checks finden veraltete oder lückenhafte Erklärungen.
Die technische Diagnose: Art. 13 erfordert 11 konkrete Pflichtangaben, inkl. Empfänger, Speicherdauer, Rechte. Moderne CMS-Plugins (CookieBot, Borlabs, Complianz) lösen das in zwei Mausklicks. Für statische HTML-Seiten genügt eine Template-Änderung in <10 Zeilen.
Unser DSGVO-Check analysiert Ihre Website in 60 Sekunden und zeigt konkrete Risiken auf — inklusive Website ohne Datenschutzerklärung.
DSGVO-Check starten →Lösungsweg: Datenschutzgenerator (e-recht24, Datenschutz-Generator.de) nutzen + Individualisierung pro Service. Schritt für Schritt in 3 Etappen: (1) Ist-Stand dokumentieren, (2) Fix ausrollen, (3) mit automatisiertem Scanner nachverifizieren.
Wirtschaftlich klar: Fix ~100 € einmalig, Risiko 600–3.500 € Abmahnung durch Wettbewerber und IDO. Trotzdem unterschätzen viele KMU das — weil Abmahnungen statistisch als 'passiert anderen' empfunden werden. 2025 sind sie jedoch systematisch und automatisiert.
Was Aufsichtsbehörden 2025/26 prüfen: die Kombination aus 'Datenschutzerklärung fehlt' mit weiteren technischen Defiziten (Analytics ohne Consent, Google Fonts extern). Die Bewertung erfolgt ganzheitlich — eine einzelne Schwachstelle wird selten isoliert sanktioniert; aber ein Scan zeigt meist mehrere gleichzeitig.
Abmahn-Industrialisierung: Scanner-Bots der Kanzleien durchsuchen gezielt nach 'Datenschutzerklärung fehlt'. Sichtbarkeit ist verpflichtend (Impressum), aber Scan-Muster der Bots sind dokumentiert. Ein eigener automatischer Gegen-Scan (wöchentlich) ist die einfachste Gegenmaßnahme.
Checkliste 'Datenschutzerklärung fehlt': (1) aktuelle Implementierung dokumentieren, (2) technischen Fix planen, (3) Fix ausrollen, (4) mit zwei Scannern nachprüfen, (5) im internen VVT (Art. 30) eintragen, (6) Datenschutzerklärung anpassen, (7) Mitarbeiter informieren.
Der Scanner deckt in einem Durchlauf zehn Pflicht-Themen ab — inkl. 'Datenschutzerklärung fehlt'. Eine gute Start-Diagnose vor jedem größeren Website-Update.
Die erste DSGVO-Welle produzierte viele Erklärungen, die heute nicht mehr aktuell sind. TTDSG-Hinweise fehlen, neue Tools (Webfonts, Analytics v4) sind nicht erfasst. Mindestempfehlung: jährliche Aktualisierung.
Ein Generator liefert Bausteine — keine fertige Erklärung. Wer nur den Standard-Text übernimmt, listet Tools auf, die gar nicht eingesetzt werden, und unterschlägt tatsächlich genutzte. Beides ist abmahnfähig.
Google Maps, YouTube-Einbettungen, Schriftarten, CDN-Dienste — jeder Drittanbieter muss konkret mit Firmensitz, Verarbeitungszweck und Rechtsgrundlage aufgeführt sein.
Formulierungen wie 'solange erforderlich' sind zu unbestimmt. Konkrete Fristen (drei Jahre nach Vertragsende, 14 Monate für Analytics, zehn Jahre für Rechnungsdaten nach HGB) sind erforderlich.
Nutzer müssen einfach nachvollziehen können, an wen sie sich bei Auskunft, Löschung oder Widerspruch wenden. Eine pauschale 'info@'-Adresse ohne Zusatz ist ungenügend.
Jede Verarbeitung braucht eine eigene Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht). Eine Sammelnennung reicht nicht.
Die zuständige Aufsichtsbehörde hängt vom Bundesland des Unternehmenssitzes ab. Verweise auf 'die Datenschutzbehörde' ohne konkrete Benennung sind unzureichend.
Art. 32 DSGVO verlangt Transportverschlüsselung. Die Datenschutzerklärung sollte auf den TLS-Einsatz hinweisen und die Rechtsgrundlage nennen.
Wo Einwilligungen eingeholt werden (Newsletter, Cookies, Fotos), muss in der Datenschutzerklärung der einfache Widerruf erklärt werden — inklusive funktionierender Mechanismen.
Die folgenden Fälle zeigen, in welchen Größenordnungen sich die wirtschaftlichen Folgen bewegen. Alle Fälle sind öffentlich oder aus Abmahnregistern dokumentiert.
Diese Checkliste fasst die Mindestanforderungen zusammen. Jeder Punkt, den Sie mit "Nein" beantworten, ist ein potenzielles Risiko.
Für 25 deutsche Großstädte stellen wir detaillierte DSGVO-Analysen mit lokalen Daten bereit. Jede Seite nennt die zuständige Aufsichtsbehörde und stadtspezifische Bußgeld-Fälle.
Ein erster Selbstcheck beginnt mit der Auffindbarkeit: Der Link zur Datenschutzerklärung muss im Footer jeder Seite sichtbar sein und in maximal zwei Klicks erreichbar. Öffnen Sie Ihre Startseite, prüfen Sie den Footer-Bereich auf die Beschriftung 'Datenschutzerklärung' oder 'Datenschutz', klicken Sie, lesen Sie das Datum am Anfang oder Ende der Erklärung. Ein Datum älter als 24 Monate ist ein Warnsignal — zwischenzeitlich gab es TTDSG-Anpassungen, DDG-Einführung und erweiterte Hinweispflichten.
Als zweiten Schritt vergleichen Sie die Auflistung der eingesetzten Tools mit Ihrer tatsächlichen Website. Öffnen Sie die Browser-Entwicklertools (F12), wechseln Sie auf den Netzwerk-Tab, laden Sie Ihre Seite neu und notieren Sie alle externen Domains, zu denen Verbindungen aufgebaut werden (google.com, youtube.com, facebook.com, addtoany.com, jQuery-CDN, etc.). Jede dieser Domains muss in der Datenschutzerklärung mit Zweck, Anbieter und Rechtsgrundlage aufgeführt sein.
Der dritte Schritt betrifft die Rechte der Betroffenen: Versuchen Sie, aus der Datenschutzerklärung heraus eine Auskunftsanfrage zu stellen. Ist der Kontaktweg klar (E-Mail-Adresse oder Formular mit Verweis)? Wird das Recht auf Löschung erwähnt? Existiert ein Hinweis auf die Aufsichtsbehörde mit konkreter Nennung (Landesdatenschutzbeauftragter Ihres Bundeslandes)? Drei 'Nein' bedeuten: akuter Handlungsbedarf.
Der Bundesgerichtshof hat mit mehreren Urteilen festgestellt, dass das Fehlen einer ordnungsgemäßen Datenschutzerklärung einen Wettbewerbsverstoß nach §§ 3, 3a UWG darstellt (vgl. BGH I ZR 186/17). Abmahnanwälte nutzen diese Rechtsprechung systematisch. Das Landgericht Berlin hat 2024 (Az. 52 O 17/24) klargestellt, dass auch eine unvollständige Erklärung — etwa ohne Widerrufshinweis — abmahnfähig ist.
Auf europäischer Ebene hat der EuGH in der Rechtssache Meta Platforms Ireland (C-252/21) bestätigt, dass Verbraucherverbände direkt klagen dürfen. Parallel erlauben die deutschen Zivilgerichte zunehmend Schadensersatz nach Art. 82 DSGVO — Beträge von 100 bis 2.000 Euro pro Betroffenem sind üblich, bei schweren Verstößen auch höher.
Die Anforderungen an eine Datenschutzerklärung variieren nach Branche erheblich. Gesundheitsberufe müssen sehr detaillierte Angaben machen: Erfassung von Gesundheitsdaten, Nennung der Heilmittel-Lieferanten, ärztliche Schweigepflicht, Abrechnungsvorgänge mit Kassen. Eine pauschale Standarderklärung aus einem Generator reicht hier selten aus. Auch Rechtsanwaltskanzleien, Steuerberater und Wirtschaftsprüfer haben erweiterte Pflichten aus ihren Berufsordnungen, die in die Datenschutzerklärung einfließen müssen.
E-Commerce- und Shop-Betreiber stehen vor einer besonderen Herausforderung: Sie müssen Zahlungsdienstleister (Stripe, PayPal, Klarna), Versandpartner (DHL, DPD, Hermes), Bewertungstools (Trusted Shops, eKomi), Marketing-Automation (Klaviyo, ActiveCampaign) und CRM-Systeme konkret benennen. Einzelunternehmer und Freiberufler kommen mit deutlich schlankeren Erklärungen aus — wichtig bleibt die Vollständigkeit relativ zum tatsächlich eingesetzten Tool-Stack. Bei Vereinen ist zusätzlich die Mitgliederverwaltung transparent zu machen, einschließlich der Datenweitergabe an Dachverbände.
Wer ohne große Projekt-Struktur schnell zu einer belastbaren Lösung kommen möchte, arbeitet am besten in drei Phasen. Phase eins (15 Minuten): Bestandsaufnahme mit den oben beschriebenen Selbsttest-Werkzeugen. Dokumentieren Sie per Screenshot, was aktuell problematisch ist. Phase zwei (30 Minuten): Die konkrete technische Korrektur — meist genügt eine Plugin-Installation, ein Hoster-Klick oder eine kleine Code-Änderung. Phase drei (15 Minuten): Überprüfung mit dem Web-Skyline DSGVO-Check und paralleles Nachziehen der Datenschutzerklärung, damit Technik und Text übereinstimmen.
Diese Struktur verhindert den häufigsten Anfängerfehler: die technische Korrektur wird durchgeführt, die Datenschutzerklärung bleibt aber im alten Wortlaut. In der Folge widersprechen Dokument und tatsächliches Verhalten — genau diese Diskrepanz ist ein beliebter Abmahnansatz. Wer das Dreiklang-Modell (prüfen — korrigieren — validieren) diszipliniert umsetzt, reduziert sein Restrisiko auf ein Niveau, das sich im normalen Geschäftsbetrieb nicht weiter rechnen lässt. Eine jährliche Wiederholung des Zyklus (vor allem bei neuen Tools oder Rechtsformänderungen) sichert den erreichten Stand dauerhaft ab.
Eine belastbare Datenschutzerklärung entsteht aus drei Komponenten: solider Vorlage, individueller Anpassung und regelmäßiger Aktualisierung. Für die erste Komponente haben sich spezialisierte Generatoren wie eRecht24 Premium, Dr. Schwenke Datenschutz-Generator, die Mustertexte der Industrie- und Handelskammern oder der Service von Datenschutz.org etabliert. Die Generatoren liefern modulare Bausteine für jedes gängige Tool — entscheidend ist die korrekte Auswahl: Nur Bausteine übernehmen, die Ihr Setup tatsächlich widerspiegeln. Für die individuelle Anpassung empfiehlt sich die Konsultation eines spezialisierten Rechtsanwalts, insbesondere bei Sonderfällen wie Gesundheitsdaten, internationalen Empfängern oder komplexen Drittanbieter-Setups. Für die Aktualisierung gibt es Dienste wie activeMind, DataGuard oder ProjectDSGVO, die automatische Benachrichtigungen bei Rechtsänderungen versenden und zusätzlich ein Verarbeitungsverzeichnis inklusive Risikobewertung führen. Kostenlose Alternative: Die regelmäßige Prüfung mit dem Web-Skyline DSGVO-Check sowie das jährliche Update durch einen durchschauten Blick auf alle Abschnitte der Datenschutzerklärung. Wichtig in jedem Fall: Die Datenschutzerklärung mit Datum versehen, jeder Nutzer soll die Aktualität auf einen Blick erkennen können. Versionierung intern erleichtert Änderungsnachweise gegenüber der Aufsichtsbehörde.
Ja. Allein das Ausliefern einer Website verarbeitet IP-Adressen im Server-Log. Damit besteht eine Datenverarbeitung, und Art. 13 DSGVO greift.
Als Grundlage ja, als fertige Erklärung nein. Jeder Generator muss an das konkrete Setup angepasst werden — Tools ergänzen oder entfernen, Speicherdauern präzisieren, Firmenangaben einfügen.
Mindestens bei Änderungen des Setups (neues Tool, neuer Dienstleister, Rechtsformwechsel) und zusätzlich einmal jährlich als Routine. Das aktuelle Datum signalisiert Aktualität.
Abmahnungen liegen typischerweise zwischen 800 und 2.500 Euro. Bußgelder sind in vielen Fällen niedriger und auf einzelne Euro-Beträge begrenzt, können aber bei wiederholten Verstößen deutlich höher ausfallen.
Ja. Standard ist ein Link im Footer, der auf jeder Seite erreichbar ist. Zusätzlich sollte sie aus jedem Formular und Cookie-Banner verlinkt werden.
Nur wenn die Website sich primär an englischsprachige Nutzer richtet. Für Websites mit deutscher Zielgruppe ist eine deutschsprachige Fassung zwingend — eine zusätzliche englische Version ist zulässig, ersetzt die deutsche aber nicht.
Die Aufsichtsbehörde prüft den Sachverhalt meist zunächst schriftlich und gibt Gelegenheit zur Stellungnahme. Wer kooperativ reagiert und Mängel zügig behebt, kommt in vielen Fällen ohne Bußgeld aus.
60 Sekunden. Keine Anmeldung. Sofort-Ergebnis mit Handlungsempfehlungen.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewähr.