# Gestaltung und Praxis der Datenschutzerklärung
Wie man eine Datenschutzerklärung aufbaut: Aufbaumuster, Schichtenmodell, Detailtiefe je Angabe, Bereitstellungswege, typische Fehler, Aktualisierung und eine Checkliste.
> Quelle: https://www.thomashelbing.com/de/wissen/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.4-gestaltung-und-praxis
> Sprache: de
Die Pflichtangaben aus [Art. 13](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.2-inhalt-bei-direkterhebung) und [Art. 14 DSGVO](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.3-inhalt-bei-dritterhebung) sind das Pflichtprogramm; ihre Gestaltung entscheidet darüber, ob die Information ihren Zweck erfüllt. Diese Seite zeigt, wie sich Vollständigkeit und Verständlichkeit in Einklang bringen lassen.
**Das Wichtigste in Kürze**
* Für den Aufbau gibt es drei Muster: nach **Pflichtangaben**, nach **Themen** oder nach **Rechtsgrundlagen**.
* Ein **Schichtenmodell** stellt die wichtigsten Angaben voran und verlinkt die Details, das vermeidet Informationsüberflutung.
* **Datenarten, Zwecke und Rechtsgrundlage** müssen einander zugeordnet bleiben; das ist der häufigste Schwachpunkt.
* Bei **wesentlichen Änderungen** ist aktiv zu informieren; ein Verweis „prüfen Sie regelmäßig" genügt nicht.
* Die **Detailtiefe** richtet sich nach Verständlichkeit und Pflegbarkeit: nicht zu generisch, nicht detailverliebt.
## 1. Aufbau [#1-aufbau]
### 1.1 Drei Aufbaumuster [#11-drei-aufbaumuster]
| Muster | Aufbau | Eignet sich für |
| --------------------- | -------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------- |
| Nach Pflichtangaben | Der Katalog der Art. 13, 14 DSGVO dient als Gliederung (Verantwortlicher, Zwecke, Empfänger, Speicherdauer und so weiter). | Einfachere Verarbeitungen mit überschaubaren Zwecken. |
| Nach Themen | Generische Angaben vorweg, dann je Thema oder Datenart eigene Abschnitte, ergänzt um Auffang-Bestimmungen. | Gut trennbare Themenkomplexe, etwa bei Websites (Kontaktformular, Newsletter, Nutzerkonto, Analyse). |
| Nach Rechtsgrundlagen | Gliederung nach Rechtsgrundlagen, darunter jeweils Daten, Zwecke und Speicherdauer. | Komplexe, vielschichtige Verarbeitungen, etwa allgemeine Mitarbeiter- oder Kundenhinweise. |
Der Aufbau nach Rechtsgrundlagen prägt vor allem die allgemeinen Hinweise für Kunden, Geschäftspartner und Beschäftigte. Die Gliederung folgt dort den Erlaubnistatbeständen: zur Erfüllung vertraglicher Pflichten (Art. 6 Abs. 1 lit. b DSGVO), im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO), aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Unter jeder Rechtsgrundlage werden die zugehörigen Zwecke, Datenarten und Speicherfristen zusammengefasst. Für dauerhafte Geschäfts- oder Beschäftigungsverhältnisse mit vielen, ineinandergreifenden Verarbeitungen ist dieser Aufbau übersichtlicher als der Themen-Aufbau, weil er die rechtliche Bewertung in den Vordergrund stellt.
### 1.2 Auffang-Bestimmungen [#12-auffang-bestimmungen]
Beim themenbezogenen Aufbau empfiehlt sich eine Rückfall-Regelung am Ende: „Soweit oben nicht anders angegeben, gilt ...". So bleibt das Dokument auch dann vollständig, wenn eine Verarbeitung nicht eigens aufgeführt ist. Ohne Auffang-Bestimmung entstehen Lücken, sobald ein neuer Zweck hinzukommt.
### 1.3 Ein bewährtes Architekturmuster [#13-ein-bewährtes-architekturmuster]
Für umfangreiche Online-Dienste hat sich ein gestuftes Muster bewährt, das die drei Aufbaumuster und die Auffang-Bestimmung verbindet. Es gliedert die Hinweise in fünf Teile:
1. **Generische Angaben vorweg:** Verantwortlicher, gegebenenfalls Datenschutzbeauftragter und Vertreter, dazu ein kurzer Hinweis, für welche Dienste und welche Zielgruppe die Hinweise gelten.
2. **Themenblöcke je Funktion:** ein eigener Abschnitt für jede Funktion, die der Nutzer als solche wahrnimmt, etwa Serverbetrieb, eingebundene Drittanbieter-Inhalte, Kontaktformular, Newsletter und Nutzerkonto. Jeder Block nennt knapp die verarbeiteten Daten, den Zweck, die Rechtsgrundlage und die Besonderheiten.
3. **Ergänzender allgemeiner Teil:** übergreifende Angaben, die für mehrere Blöcke gelten, etwa eine Aufstellung der Nutzungszwecke mit zugeordneten Datenarten und Rechtsgrundlagen, die Speicherdauer, die Empfängerkategorien und die Drittlandübermittlung. Hier wirkt zugleich die Auffang-Bestimmung: Was oben nicht eigens geregelt ist, richtet sich nach diesem Teil.
4. **Glossar:** einmalige Definition der wiederkehrenden Begriffe (Datenarten, Zwecke, Rechtsgrundlagen, zentrale Rollen), auf die die Blöcke verweisen.
5. **Rechte der betroffenen Person:** Betroffenenrechte, Widerspruchsrecht und Beschwerderecht, gebündelt am Ende.
Der Gewinn dieses Musters liegt im Zusammenspiel: Die Themenblöcke bleiben kurz, weil Datenarten und Zwecke nur einmal im Glossar erklärt werden; der allgemeine Teil samt Auffang-Bestimmung verhindert Lücken, wenn ein neuer Dienst hinzukommt; und die Rechte stehen an einer festen, leicht auffindbaren Stelle. Das Muster lässt sich auf Apps und andere Online-Dienste übertragen.
> **Formulierungsbeispiel (Themenblock Serverbetrieb):** Wenn Sie unsere Website aufrufen, erfasst unser Server automatisch Zugriffsdaten, etwa Ihre IP-Adresse, Datum und Uhrzeit des Zugriffs, die abgerufene Seite sowie Angaben zu Browser und Betriebssystem. Wir nutzen diese Daten, um Ihnen die angeforderten Inhalte auszuliefern, sowie zur Sicherheit und zum Schutz vor missbräuchlicher Nutzung. Wir speichern die Zugriffsdaten für die Dauer der Speicherfrist für Zugriffsdaten (\[7 Tage]). Rechtsgrundlage sind unsere berechtigten Interessen an einem sicheren und störungsfreien Betrieb unserer Website (Art. 6 Abs. 1 lit. f DSGVO).
## 2. Schichtenmodell [#2-schichtenmodell]
Angesichts der Menge an Pflichtangaben empfiehlt sich ein mehrstufiger Aufbau (Layered Approach): Die wichtigsten Angaben stehen vorab, der Rest folgt gesondert, etwa über einen Link oder einen aufklappbaren Text. „Wichtig" sind in der Regel: Verantwortlicher, Daten, Zweck, Rechte und Kontaktmöglichkeit.
Die erste Ebene ist das hauptsächliche Mittel des Erstkontakts; sie sollte die Kernangaben und die für die Person wichtigsten Folgen der Verarbeitung enthalten. Daneben helfen kontextbezogene Hinweise unmittelbar an der Stelle der Datenerhebung (etwa eine kurze Erklärung neben dem Feld für die Telefonnummer) und, bei laufenden Diensten, ein Datenschutz-Dashboard, über das die Person ihre Einstellungen einsehen kann ([Artikel-29-Datenschutzgruppe, WP 260 rev.01, Leitlinien für Transparenz, angenommen am 11.04.2018](https://www.edpb.europa.eu/our-work-tools/our-documents/article-29-working-party-guidelines-transparency-under-regulation_en), Rn. 35 ff.). Wichtig: Die Schichten dürfen einander nicht widersprechen, und die erste Ebene darf keine Pflichtangabe verstecken.
## 3. Detailtiefe je Angabe [#3-detailtiefe-je-angabe]
* **Zwecke:** konkret fassen, nicht in Leerformeln verfallen (Beispiele unter [Allgemeine Anforderungen](/docs/dsgvo-hub/einzelthemen/transparenzpflichten/1.3.5.1-allgemeine-anforderungen)).
* **Speicherdauer:** Es genügen Kriterien; empfehlenswert sind allgemeine Kriterien plus konkrete Fristen, wo sie feststehen. „Solange erforderlich" reicht nicht.
* **Empfänger:** Empfängerkategorien genügen, sollten aber aussagekräftig sein. Intern sind das Abteilungen, extern auch Auftragsverarbeiter und gemeinsam Verantwortliche. Wo sinnvoll, konkret benennen, sonst Sektor (etwa Transportdienstleister) oder Standort (etwa Hosting-Anbieter in Deutschland). Beim Detailgrad zählen Aktualisierbarkeit, Relevanz und Geheimhaltungsinteressen.
* **Drittland:** konkretes Land nennen, angeben, ob ein Angemessenheitsbeschluss vorliegt, und auf den Garantiemechanismus hinweisen (etwa Standardvertragsklauseln und ihre Abrufbarkeit).
Über die einzelnen Angaben hinaus lohnt es, wiederkehrende Begriffe einmal zu erläutern und dann konsistent zu verwenden. Das betrifft vor allem Datenarten (etwa Zugriffsdaten als die bei jedem Seitenaufruf automatisch anfallenden Server-Daten oder Endgeräte-Daten als Angaben zu Gerätetyp, Betriebssystem und Browser), zentrale Zwecke (etwa Funktionsbereitstellung oder Missbrauchsschutz) und Rollen (etwa Auftragsverarbeiter). Solche Definitionen verkürzen die einzelnen Abschnitte und verbessern zugleich Verständlichkeit und Pflegbarkeit, weil eine Änderung nur an einer Stelle nachzuziehen ist.
## 4. Bereitstellungswege [#4-bereitstellungswege]
Wie die Information die Person erreicht, hängt vom Erhebungskontext ab. Bewährte Wege:
* per E-Mail;
* Fußzeile von Websites; Rückseite oder Fußzeile von Formularen;
* Links oder QR-Codes auf Gegenständen und Verpackungen;
* mündlicher Hinweis mit Verweis auf die abrufbaren Hinweise;
* Schilder und Aufsteller bei Videoüberwachung oder Veranstaltungen;
* E-Mail-Signaturen, Rechnungen, Geschäftsbriefe.
## 5. Tipps und typische Fehler [#5-tipps-und-typische-fehler]
### 5.1 Tipps [#51-tipps]
**Einleitung voranstellen:**
klarstellen, wofür die Hinweise gelten und für welche Zielgruppe.
**Datenarten erläutern**
und die Darstellung gedanklich danach differenzieren.
**Auffang-Bestimmungen**
vorsehen, damit keine Verarbeitung ungeregelt bleibt.
**Begriffe erläutern**
, wo nötig (etwa „IP-Adresse"), und vergleichbare Dienste zur Orientierung heranziehen.
**Cookies und Einwilligungen**
getrennt von den Datenschutzhinweisen behandeln.
Den Begriff
**Datenschutzhinweise**
verwenden, nicht „Datenschutzerklärung", weil es um Information geht, nicht um eine Erklärung der Person.
### 5.2 Typische Fehler [#52-typische-fehler]
* Die **Zuordnung** zwischen Datenart, Zweck und Rechtsgrundlage geht verloren; die Verarbeitung wird intransparent.
* **Abdriften in Extreme:** zu generisch (nichtssagend) oder detailverliebt (unverständlich, kaum pflegbar).
* **Keine Übersicht** oder Kurzzusammenfassung; die Person findet die wichtigen Angaben nicht.
* **Keine kontextbezogenen Hinweise** dort, wo Daten tatsächlich erhoben werden.
## 6. Aktualisierung [#6-aktualisierung]
Die Transparenzpflicht gilt während des gesamten Verarbeitungszyklus, nicht nur bei der Erhebung. Ändert sich eine Datenschutzerklärung **wesentlich**, etwa bei einer Zweckänderung, einem Wechsel des Verantwortlichen oder einer neuen Art der Rechtewahrnehmung, ist die Änderung der betroffenen Person aktiv mitzuteilen (per E-Mail, Brief oder deutlichem Hinweis), eigens und nicht mit Werbung vermischt. Ein bloßer Verweis, die Person möge die Hinweise „regelmäßig auf Änderungen prüfen", genügt nicht und widerspricht dem Grundsatz von Treu und Glauben (WP 260 rev.01, Rn. 29 ff.). Rein redaktionelle Korrekturen müssen nicht mitgeteilt werden.
Hinter der Aktualisierungspflicht steht der Gedanke, dass Transparenz den gesamten Verarbeitungszyklus begleitet, nicht nur den Moment der Erhebung. Über die schon genannten Fälle hinaus zählen in der Praxis vor allem ein neuer Empfänger oder Dienstleister und eine erstmalige Übermittlung in ein Drittland zu den wesentlichen Änderungen, weil sie die Lage der betroffenen Person spürbar berühren. Maßstab bleibt stets, ob sich für die Person etwas an Inhalt oder Tragweite der Verarbeitung ändert.
## 7. Checkliste [#7-checkliste]
Vor Veröffentlichung lässt sich die Datenschutzerklärung anhand der Pflichtangaben durchgehen. Für jede Angabe gilt: erteilt, der Person bereits bekannt, ausnahmsweise entbehrlich oder von einer Ausnahme erfasst (siehe die Übersicht im [Kapitelüberblick](/docs/dsgvo-hub/einzelthemen/transparenzpflichten)).
* [ ] Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters
* [ ] Kontaktdaten des Datenschutzbeauftragten (falls benannt)
* [ ] Zwecke und Rechtsgrundlage, einander zugeordnet
* [ ] Berechtigte Interessen benannt (bei Art. 6 Abs. 1 lit. f DSGVO)
* [ ] Empfänger oder aussagekräftige Empfängerkategorien
* [ ] Drittlandübermittlung und Garantien (falls einschlägig)
* [ ] Speicherdauer oder Kriterien (keine Leerformel)
* [ ] Betroffenenrechte und Beschwerderecht, Widerspruchsrecht hervorgehoben
* [ ] Hinweis auf Widerruf der Einwilligung (falls einschlägig)
* [ ] Pflicht zur Bereitstellung und Folgen (nur Direkterhebung)
* [ ] Hinweis auf automatisierte Entscheidung und involvierte Logik (falls einschlägig)
* [ ] Kategorien der Daten und Quelle (nur Dritterhebung)
* [ ] Einleitung, Auffang-Bestimmung und kontextbezogene Hinweise vorhanden
* [ ] Information aktiv bereitgestellt, leicht zugänglich, unentgeltlich
## 8. Häufige Fragen [#8-häufige-fragen]
Inhaltlich gleichbedeutend. Treffender ist „Datenschutzhinweise", weil es um eine Information geht und nicht um eine Erklärung oder Zustimmung der betroffenen Person. Der gebräuchlichere Begriff „Datenschutzerklärung" schadet aber nicht.
Auf einer Website ist ein klar erkennbarer Link unter einem geläufigen Begriff auf jeder Seite die Regel. Entscheidend ist, dass die Person die Hinweise vor der Erhebung tatsächlich zur Kenntnis nehmen kann. Wo Daten über ein Formular erhoben werden, gehört ein Hinweis an die Erhebungsstelle.
Nein. Die Datenschutzerklärung verlangt keine Zustimmung. Ein Häkchen suggeriert eine Einwilligung, die hier weder nötig noch gewollt ist. Eine Einwilligung wird nur dort eingeholt, wo die Verarbeitung tatsächlich darauf gestützt wird.
Nur bei wesentlichen Änderungen (Zweck, Verantwortlicher, Art der Rechtewahrnehmung). Rein redaktionelle Korrekturen müssen nicht mitgeteilt werden. Ein Verweis, die Person möge selbst regelmäßig prüfen, genügt nicht.
## 9. Primärquellen [#9-primärquellen]
---
## Über den Autor
Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/de) verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/de#auszeichnungen).
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein [beruflicher Hintergrund](https://www.thomashelbing.com/de#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen [Mandanten](https://www.thomashelbing.com/de#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.