Datenschutz HubEinzelthemenTransparenzpflichten

Gestaltung und Praxis der Datenschutzerklärung

Wie man eine Datenschutzerklärung aufbaut: Aufbaumuster, Schichtenmodell, Detailtiefe je Angabe, Bereitstellungswege, typische Fehler, Aktualisierung und eine Checkliste.

Als Markdown ansehen

Die Pflichtangaben aus Art. 13 und Art. 14 DSGVO sind das Pflichtprogramm; ihre Gestaltung entscheidet darüber, ob die Information ihren Zweck erfüllt. Diese Seite zeigt, wie sich Vollständigkeit und Verständlichkeit in Einklang bringen lassen.

Das Wichtigste in Kürze

  • Für den Aufbau gibt es drei Muster: nach Pflichtangaben, nach Themen oder nach Rechtsgrundlagen.
  • Ein Schichtenmodell stellt die wichtigsten Angaben voran und verlinkt die Details, das vermeidet Informationsüberflutung.
  • Datenarten, Zwecke und Rechtsgrundlage müssen einander zugeordnet bleiben; das ist der häufigste Schwachpunkt.
  • Bei wesentlichen Änderungen ist aktiv zu informieren; ein Verweis „prüfen Sie regelmäßig" genügt nicht.
  • Die Detailtiefe richtet sich nach Verständlichkeit und Pflegbarkeit: nicht zu generisch, nicht detailverliebt.

1. Aufbau

1.1 Drei Aufbaumuster

MusterAufbauEignet sich für
Nach PflichtangabenDer Katalog der Art. 13, 14 DSGVO dient als Gliederung (Verantwortlicher, Zwecke, Empfänger, Speicherdauer und so weiter).Einfachere Verarbeitungen mit überschaubaren Zwecken.
Nach ThemenGenerische Angaben vorweg, dann je Thema oder Datenart eigene Abschnitte, ergänzt um Auffang-Bestimmungen.Gut trennbare Themenkomplexe, etwa bei Websites (Kontaktformular, Newsletter, Nutzerkonto, Analyse).
Nach RechtsgrundlagenGliederung nach Rechtsgrundlagen, darunter jeweils Daten, Zwecke und Speicherdauer.Komplexe, vielschichtige Verarbeitungen, etwa allgemeine Mitarbeiter- oder Kundenhinweise.

Der Aufbau nach Rechtsgrundlagen prägt vor allem die allgemeinen Hinweise für Kunden, Geschäftspartner und Beschäftigte. Die Gliederung folgt dort den Erlaubnistatbeständen: zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO), im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO), aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Unter jeder Rechtsgrundlage werden die zugehörigen Zwecke, Datenarten und Speicherfristen zusammengefasst. Für dauerhafte Geschäfts- oder Beschäftigungsverhältnisse mit vielen, ineinandergreifenden Verarbeitungen ist dieser Aufbau übersichtlicher als der Themen-Aufbau, weil er die rechtliche Bewertung in den Vordergrund stellt.

1.2 Auffang-Bestimmungen

Beim themenbezogenen Aufbau empfiehlt sich eine Rückfall-Regelung am Ende: „Soweit oben nicht anders angegeben, gilt ...". So bleibt das Dokument auch dann vollständig, wenn eine Verarbeitung nicht eigens aufgeführt ist. Ohne Auffang-Bestimmung entstehen Lücken, sobald ein neuer Zweck hinzukommt.

1.3 Ein bewährtes Architekturmuster

Für umfangreiche Online-Dienste hat sich ein gestuftes Muster bewährt, das die drei Aufbaumuster und die Auffang-Bestimmung verbindet. Es gliedert die Hinweise in fünf Teile:

  1. Generische Angaben vorweg: Verantwortlicher, gegebenenfalls Datenschutzbeauftragter und Vertreter, dazu ein kurzer Hinweis, für welche Dienste und welche Zielgruppe die Hinweise gelten.
  2. Themenblöcke je Funktion: ein eigener Abschnitt für jede Funktion, die der Nutzer als solche wahrnimmt, etwa Serverbetrieb, eingebundene Drittanbieter-Inhalte, Kontaktformular, Newsletter und Nutzerkonto. Jeder Block nennt knapp die verarbeiteten Daten, den Zweck, die Rechtsgrundlage und die Besonderheiten.
  3. Ergänzender allgemeiner Teil: übergreifende Angaben, die für mehrere Blöcke gelten, etwa eine Aufstellung der Nutzungszwecke mit zugeordneten Datenarten und Rechtsgrundlagen, die Speicherdauer, die Empfängerkategorien und die Drittlandübermittlung. Hier wirkt zugleich die Auffang-Bestimmung: Was oben nicht eigens geregelt ist, richtet sich nach diesem Teil.
  4. Glossar: einmalige Definition der wiederkehrenden Begriffe (Datenarten, Zwecke, Rechtsgrundlagen, zentrale Rollen), auf die die Blöcke verweisen.
  5. Rechte der betroffenen Person: Betroffenenrechte, Widerspruchsrecht und Beschwerderecht, gebündelt am Ende.

Der Gewinn dieses Musters liegt im Zusammenspiel: Die Themenblöcke bleiben kurz, weil Datenarten und Zwecke nur einmal im Glossar erklärt werden; der allgemeine Teil samt Auffang-Bestimmung verhindert Lücken, wenn ein neuer Dienst hinzukommt; und die Rechte stehen an einer festen, leicht auffindbaren Stelle. Das Muster lässt sich auf Apps und andere Online-Dienste übertragen.

Formulierungsbeispiel (Themenblock Serverbetrieb): Wenn Sie unsere Website aufrufen, erfasst unser Server automatisch Zugriffsdaten, etwa Ihre IP-Adresse, Datum und Uhrzeit des Zugriffs, die abgerufene Seite sowie Angaben zu Browser und Betriebssystem. Wir nutzen diese Daten, um Ihnen die angeforderten Inhalte auszuliefern, sowie zur Sicherheit und zum Schutz vor missbräuchlicher Nutzung. Wir speichern die Zugriffsdaten für die Dauer der Speicherfrist für Zugriffsdaten ([7 Tage]). Rechtsgrundlage sind unsere berechtigten Interessen an einem sicheren und störungsfreien Betrieb unserer Website (Art. 6 Abs. 1 lit. f DSGVO).

2. Schichtenmodell

Angesichts der Menge an Pflichtangaben empfiehlt sich ein mehrstufiger Aufbau (Layered Approach): Die wichtigsten Angaben stehen vorab, der Rest folgt gesondert, etwa über einen Link oder einen aufklappbaren Text. „Wichtig" sind in der Regel: Verantwortlicher, Daten, Zweck, Rechte und Kontaktmöglichkeit.

Die erste Ebene ist das hauptsächliche Mittel des Erstkontakts; sie sollte die Kernangaben und die für die Person wichtigsten Folgen der Verarbeitung enthalten. Daneben helfen kontextbezogene Hinweise unmittelbar an der Stelle der Datenerhebung (etwa eine kurze Erklärung neben dem Feld für die Telefonnummer) und, bei laufenden Diensten, ein Datenschutz-Dashboard, über das die Person ihre Einstellungen einsehen kann (Artikel-29-Datenschutzgruppe, WP 260 rev.01, Leitlinien für Transparenz, angenommen am 11.04.2018, Rn. 35 ff.). Wichtig: Die Schichten dürfen einander nicht widersprechen, und die erste Ebene darf keine Pflichtangabe verstecken.

3. Detailtiefe je Angabe

  • Zwecke: konkret fassen, nicht in Leerformeln verfallen (Beispiele unter Allgemeine Anforderungen).
  • Speicherdauer: Es genügen Kriterien; empfehlenswert sind allgemeine Kriterien plus konkrete Fristen, wo sie feststehen. „Solange erforderlich" reicht nicht.
  • Empfänger: Empfängerkategorien genügen, sollten aber aussagekräftig sein. Intern sind das Abteilungen, extern auch Auftragsverarbeiter und gemeinsam Verantwortliche. Wo sinnvoll, konkret benennen, sonst Sektor (etwa Transportdienstleister) oder Standort (etwa Hosting-Anbieter in Deutschland). Beim Detailgrad zählen Aktualisierbarkeit, Relevanz und Geheimhaltungsinteressen.
  • Drittland: konkretes Land nennen, angeben, ob ein Angemessenheitsbeschluss vorliegt, und auf den Garantiemechanismus hinweisen (etwa Standardvertragsklauseln und ihre Abrufbarkeit).

Über die einzelnen Angaben hinaus lohnt es, wiederkehrende Begriffe einmal zu erläutern und dann konsistent zu verwenden. Das betrifft vor allem Datenarten (etwa Zugriffsdaten als die bei jedem Seitenaufruf automatisch anfallenden Server-Daten oder Endgeräte-Daten als Angaben zu Gerätetyp, Betriebssystem und Browser), zentrale Zwecke (etwa Funktionsbereitstellung oder Missbrauchsschutz) und Rollen (etwa Auftragsverarbeiter). Solche Definitionen verkürzen die einzelnen Abschnitte und verbessern zugleich Verständlichkeit und Pflegbarkeit, weil eine Änderung nur an einer Stelle nachzuziehen ist.

4. Bereitstellungswege

Wie die Information die Person erreicht, hängt vom Erhebungskontext ab. Bewährte Wege:

  • per E-Mail;
  • Fußzeile von Websites; Rückseite oder Fußzeile von Formularen;
  • Links oder QR-Codes auf Gegenständen und Verpackungen;
  • mündlicher Hinweis mit Verweis auf die abrufbaren Hinweise;
  • Schilder und Aufsteller bei Videoüberwachung oder Veranstaltungen;
  • E-Mail-Signaturen, Rechnungen, Geschäftsbriefe.

5. Tipps und typische Fehler

5.1 Tipps

Einleitung voranstellen: klarstellen, wofür die Hinweise gelten und für welche Zielgruppe.
Datenarten erläutern und die Darstellung gedanklich danach differenzieren.
Auffang-Bestimmungen vorsehen, damit keine Verarbeitung ungeregelt bleibt.
Begriffe erläutern, wo nötig (etwa „IP-Adresse"), und vergleichbare Dienste zur Orientierung heranziehen.
Cookies und Einwilligungen getrennt von den Datenschutzhinweisen behandeln.
Den Begriff Datenschutzhinweise verwenden, nicht „Datenschutzerklärung", weil es um Information geht, nicht um eine Erklärung der Person.

5.2 Typische Fehler

  • Die Zuordnung zwischen Datenart, Zweck und Rechtsgrundlage geht verloren; die Verarbeitung wird intransparent.
  • Abdriften in Extreme: zu generisch (nichtssagend) oder detailverliebt (unverständlich, kaum pflegbar).
  • Keine Übersicht oder Kurzzusammenfassung; die Person findet die wichtigen Angaben nicht.
  • Keine kontextbezogenen Hinweise dort, wo Daten tatsächlich erhoben werden.

6. Aktualisierung

Die Transparenzpflicht gilt während des gesamten Verarbeitungszyklus, nicht nur bei der Erhebung. Ändert sich eine Datenschutzerklärung wesentlich, etwa bei einer Zweckänderung, einem Wechsel des Verantwortlichen oder einer neuen Art der Rechtewahrnehmung, ist die Änderung der betroffenen Person aktiv mitzuteilen (per E-Mail, Brief oder deutlichem Hinweis), eigens und nicht mit Werbung vermischt. Ein bloßer Verweis, die Person möge die Hinweise „regelmäßig auf Änderungen prüfen", genügt nicht und widerspricht dem Grundsatz von Treu und Glauben (WP 260 rev.01, Rn. 29 ff.). Rein redaktionelle Korrekturen müssen nicht mitgeteilt werden.

Hinter der Aktualisierungspflicht steht der Gedanke, dass Transparenz den gesamten Verarbeitungszyklus begleitet, nicht nur den Moment der Erhebung. Über die schon genannten Fälle hinaus zählen in der Praxis vor allem ein neuer Empfänger oder Dienstleister und eine erstmalige Übermittlung in ein Drittland zu den wesentlichen Änderungen, weil sie die Lage der betroffenen Person spürbar berühren. Maßstab bleibt stets, ob sich für die Person etwas an Inhalt oder Tragweite der Verarbeitung ändert.

7. Checkliste

Vor Veröffentlichung lässt sich die Datenschutzerklärung anhand der Pflichtangaben durchgehen. Für jede Angabe gilt: erteilt, der Person bereits bekannt, ausnahmsweise entbehrlich oder von einer Ausnahme erfasst (siehe die Übersicht im Kapitelüberblick).

  • Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (falls benannt)
  • Zwecke und Rechtsgrundlage, einander zugeordnet
  • Berechtigte Interessen benannt (bei Art. 6 Abs. 1 lit. f DSGVO)
  • Empfänger oder aussagekräftige Empfängerkategorien
  • Drittlandübermittlung und Garantien (falls einschlägig)
  • Speicherdauer oder Kriterien (keine Leerformel)
  • Betroffenenrechte und Beschwerderecht, Widerspruchsrecht hervorgehoben
  • Hinweis auf Widerruf der Einwilligung (falls einschlägig)
  • Pflicht zur Bereitstellung und Folgen (nur Direkterhebung)
  • Hinweis auf automatisierte Entscheidung und involvierte Logik (falls einschlägig)
  • Kategorien der Daten und Quelle (nur Dritterhebung)
  • Einleitung, Auffang-Bestimmung und kontextbezogene Hinweise vorhanden
  • Information aktiv bereitgestellt, leicht zugänglich, unentgeltlich

8. Häufige Fragen

9. Primärquellen

Art. 12 DSGVO

Transparente Information, Kommunikation und Modalitäten.

Art. 13 DSGVO

Informationspflicht bei Erhebung beim Betroffenen.

Art. 14 DSGVO

Informationspflicht bei Erhebung aus anderen Quellen.

WP 260 rev.01

Leitlinien der Artikel-29-Datenschutzgruppe für Transparenz.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Inhalt bei Dritterhebung (Art. 14 DSGVO)

Welche Angaben die Datenschutzerklärung enthalten muss, wenn personenbezogene Daten nicht beim Betroffenen erhoben werden: zusätzliche Angaben zu Datenkategorien und Quelle, der Zeitpunkt der Information und die vier Ausnahmen des Art. 14 Abs. 5 DSGVO, mit Beispielen.

Verantwortliche und Auftragsverarbeiter

Übersicht über die datenschutzrechtlichen Rollen der DSGVO: Verantwortlicher, gemeinsam Verantwortliche, Auftragsverarbeiter und unterstellte Personen, Abgrenzung nach Zwecken und Mitteln, Pflichtenverteilung und Haftung.

Auf dieser Seite

1. Aufbau1.1 Drei Aufbaumuster1.2 Auffang-Bestimmungen1.3 Ein bewährtes Architekturmuster2. Schichtenmodell3. Detailtiefe je Angabe4. Bereitstellungswege5. Tipps und typische Fehler5.1 Tipps5.2 Typische Fehler6. Aktualisierung7. Checkliste8. Häufige Fragen9. Primärquellen