Datenschutz

Datenschutzerklärung Muster Website 2026: Vorlage nach DSGVO + TDDDG

Datenschutzerklärung Muster für Websites 2026: vollständige Vorlage nach DSGVO Art. 13 und TDDDG (Cookies), zum Kopieren, mit Anpassungsanleitung.

In einem Satz. Ein Datenschutzerklärung-Muster für Websites setzt die Informationspflichten aus Art. 13 DSGVO um und ergänzt sie um die Cookie- und Endgeräte-Regeln des TDDDG (§ 25) — es informiert Besucher verständlich über Verantwortlichen, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und ihre Betroffenenrechte.

Jede Website, die Kontaktformulare, Analyse-Tools oder Cookies nutzt, braucht eine Datenschutzerklärung. Seit dem 14. Mai 2024 heißt das frühere TTDSG offiziell TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) — inhaltlich unverändert für Cookies. Dieses Muster deckt die Standardfälle ab. Ein allgemeineres Muster finden Sie unter Datenschutzerklärung Muster.

Wichtige Punkte

  • Pflicht nach Art. 13 DSGVO (Direkterhebung).
  • Cookies/Tracking: Einwilligung nach § 25 TDDDG, außer technisch notwendig.
  • Muss zum Zeitpunkt der Erhebung leicht zugänglich sein.
  • Verständliche Sprache, keine Rechtsfloskeln (Art. 12 Abs. 1).
  • Bußgeld bis 20 Mio. € / 4 % (Art. 83 Abs. 5).

Das Muster (Grundgerüst)

DATENSCHUTZERKLÄRUNG

1. Verantwortlicher
[Firma, Anschrift, E-Mail, Telefon]
Datenschutzbeauftragter (falls bestellt): [Kontakt]

2. Zwecke und Rechtsgrundlagen
Wir verarbeiten personenbezogene Daten nach der DSGVO. Rechtsgrund-
lagen sind Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertrag),
lit. c (rechtliche Pflicht) und lit. f (berechtigtes Interesse).

3. Bereitstellung der Website / Server-Logfiles
Beim Aufruf erheben wir automatisch: IP-Adresse, Datum/Uhrzeit,
abgerufene Seite, Browser, Betriebssystem. Zweck: sicherer Betrieb,
Rechtsgrundlage Art. 6 Abs. 1 lit. f. Speicherdauer: [7–90 Tage].

4. Kontaktformular / E-Mail
Bei Kontaktaufnahme verarbeiten wir Ihre Angaben zur Bearbeitung der
Anfrage. Rechtsgrundlage Art. 6 Abs. 1 lit. b bzw. lit. f. Löschung
nach abschließender Bearbeitung, sofern keine Aufbewahrungspflicht.

5. Cookies und Reichweitenmessung (§ 25 TDDDG)
Technisch notwendige Cookies setzen wir ohne Einwilligung
(§ 25 Abs. 2 TDDDG). Alle anderen (Analyse, Marketing) erst nach
Ihrer Einwilligung über das Cookie-Banner (Art. 6 Abs. 1 lit. a,
§ 25 Abs. 1 TDDDG). Widerruf jederzeit möglich.

6. Newsletter
Versand nur nach Double-Opt-In-Einwilligung (Art. 6 Abs. 1 lit. a).
Abmeldung jederzeit über den Link in jeder E-Mail.

7. Empfänger / Auftragsverarbeiter
[Hosting-Anbieter, Newsletter-Tool, Analyse-Dienst] verarbeiten Daten
in unserem Auftrag auf Basis eines AVV (Art. 28).

8. Drittlandübermittlung
Bei Diensten mit US-Bezug erfolgt die Übermittlung auf Grundlage von
Standardvertragsklauseln (Art. 46) bzw. Angemessenheitsbeschluss.

9. Speicherdauer
Wir speichern Daten nur so lange, wie es für die genannten Zwecke
oder gesetzliche Aufbewahrungsfristen erforderlich ist.

10. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16),
Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit
(Art. 20) und Widerspruch (Art. 21). Einwilligungen können Sie
jederzeit widerrufen (Art. 7 Abs. 3). Beschwerderecht bei einer
Aufsichtsbehörde (Art. 77).

Stand: [Datum]

So passen Sie das Muster an

  1. Nur einsetzen, was Sie nutzen. Streichen Sie Abschnitte zu Diensten, die Sie nicht verwenden. Eine Erklärung, die Google Analytics beschreibt, obwohl Sie es nicht einsetzen, ist irreführend.
  2. Jedes Tool benennen. Analyse-, Karten-, Video- und Marketing-Dienste einzeln mit Anbieter, Zweck und Rechtsgrundlage aufführen.
  3. Cookie-Banner korrekt konfigurieren. Nicht notwendige Cookies dürfen erst nach aktiver Einwilligung laden — die Grundlagen dazu im Leitfaden zu Art. 7 Einwilligung und im Einwilligungs-Muster.
  4. Drittland ehrlich abbilden. Nutzt ein Dienst US-Server, brauchen Sie Standardvertragsklauseln; die Details der internationalen Datenübermittlung gehören transparent gemacht.
  5. Speicherdauern konkretisieren. Statt „so lange wie nötig" nach Möglichkeit konkrete Fristen — abgestimmt mit Ihrem Löschkonzept.

Der häufigste Streitpunkt bei Websites ist das Cookie-Banner. § 25 Abs. 1 TDDDG verlangt für das Speichern und Auslesen von Informationen auf dem Endgerät eine Einwilligung, sofern es nicht technisch unbedingt erforderlich ist (§ 25 Abs. 2). Diese Einwilligung muss den Anforderungen der DSGVO genügen: freiwillig, informiert, aktiv und ebenso leicht widerrufbar wie erteilbar. Praktisch heißt das: „Ablehnen" muss auf der ersten Ebene genauso leicht erreichbar sein wie „Akzeptieren". Vorausgewählte Häkchen, versteckte Ablehnen-Optionen oder ein „Weiter"-Button, der als Zustimmung gewertet wird, sind unzulässig — bestätigt durch EuGH Planet49 (C-673/17) und die Orientierungshilfe der Datenschutzkonferenz zu Telemedien.

Technisch dürfen einwilligungspflichtige Skripte (Analyse, Marketing, externe Medien) erst nach aktiver Zustimmung geladen werden. Ein Banner, das zwar fragt, die Tracker aber schon im Hintergrund lädt, ist wirkungslos und riskant. Prüfen Sie deshalb nicht nur den Text, sondern das tatsächliche Ladeverhalten Ihrer Seite. Die eingesetzten Dienste und ihre Rechtsgrundlagen sollten sich exakt in der Einwilligung und in der Datenschutzerklärung wiederfinden.

Pflicht auch ohne Cookies

Ein Irrtum hält sich hartnäckig: „Ohne Tracking brauche ich keine Datenschutzerklärung." Falsch. Sobald Ihre Website ein Kontaktformular anbietet, Server-Logfiles schreibt (was praktisch jeder Webserver tut) oder Schriftarten von externen Servern lädt, verarbeiten Sie personenbezogene Daten und lösen die Informationspflicht nach Art. 13 aus. Auch eine schlichte Visitenkarten-Website braucht daher eine Datenschutzerklärung. Der Umfang richtet sich nach den tatsächlichen Verarbeitungen — eine reine Info-Seite kommt mit wenigen Abschnitten aus, ein Online-Shop mit Zahlungsdienstleistern, Versand und Marketing benötigt deutlich mehr.

Häufige Fehler

  • Generator-Text ungeprüft übernehmen. Muster beschreiben oft Dienste, die gar nicht im Einsatz sind, oder lassen tatsächlich genutzte weg. Beides ist ein Verstoß gegen Art. 13.
  • Cookies vor Einwilligung laden. Der EuGH (C-673/17 Planet49) und der BGH haben klargestellt: nicht notwendige Cookies erst nach aktiver Einwilligung. Ein vorangekreuztes Kästchen genügt nicht.
  • Impressum und Datenschutzerklärung vermischen. Es sind zwei getrennte Pflichtangaben mit unterschiedlicher Rechtsgrundlage.
  • Keine Aktualisierung. Neue Tools ohne Anpassung der Erklärung führen zu Lücken. Google wurde 2019 von der CNIL mit 50 Mio. € sanktioniert — Kern war unter anderem intransparente Information; die Anforderung an Verständlichkeit gilt EU-weit.
  • Unverständliche Sprache. Art. 12 Abs. 1 verlangt klare, einfache Sprache — verschachtelte Juristendeutsch-Sätze sind ein eigener Verstoß.

Damit Ihre Datenschutzerklärung zu Ihren tatsächlichen Verarbeitungen passt, hilft ein gepflegtes Verarbeitungsverzeichnis. Legiscope synchronisiert Verzeichnis, Auftragsverarbeiter und Speicherfristen, sodass die Erklärung nicht von der Realität abweicht.

FAQ

Heißt es jetzt TTDSG oder TDDDG?

Seit dem 14. Mai 2024 lautet der offizielle Name TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Es handelt sich um dieselbe Regelung wie das frühere TTDSG; die Cookie-Vorschrift ist weiterhin § 25. Ältere Muster mit „TTDSG" sind inhaltlich nicht falsch, aber veraltet bezeichnet.

Brauche ich für rein technische Cookies eine Einwilligung?

Nein. § 25 Abs. 2 TDDDG erlaubt das Speichern und Auslesen ohne Einwilligung, wenn es für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich ist (z. B. Warenkorb, Login, Lastverteilung). Für Analyse und Marketing gilt dagegen die Einwilligungspflicht nach § 25 Abs. 1.

Muss die Datenschutzerklärung von jeder Seite erreichbar sein?

Ja. Sie muss ohne Umwege, in der Regel über einen ständig sichtbaren Link im Footer, von jeder Unterseite erreichbar sein. Die Information muss zum Zeitpunkt der Datenerhebung vorliegen (Art. 13 Abs. 1).

Darf ich Google Fonts oder Maps einfach einbinden?

Nur mit Sorgfalt. Werden externe Ressourcen wie Schriftarten, Karten oder Videos direkt von Servern in Drittländern geladen, wird bereits beim Seitenaufruf die IP-Adresse übermittelt — das LG München I hat die dynamische Einbindung von Google Fonts 2022 als Rechtsverstoß gewertet. Lösung: Solche Ressourcen lokal hosten oder erst nach Einwilligung laden und den Transfer in der Erklärung transparent machen, gestützt auf Standardvertragsklauseln.

Wie oft muss ich die Datenschutzerklärung aktualisieren?

Immer dann, wenn sich die zugrunde liegenden Verarbeitungen ändern — und mindestens einmal jährlich zur Kontrolle. Neue Tools (ein zusätzliches Analyse- oder Chat-Tool), geänderte Dienstleister, neue Zahlungsanbieter oder eine geänderte Rechtslage (wie die Umbenennung des TTDSG in TDDDG) erfordern eine Anpassung. Ein häufiger Fehler ist die „Set-and-forget"-Erklärung, die einmal erstellt und dann jahrelang nicht angefasst wird, während die Website längst neue Dienste einbindet. Koppeln Sie die Aktualisierung deshalb an Ihren Change-Prozess: Wer ein neues Tool auf der Website einbindet, muss zugleich Verarbeitungsverzeichnis, AVV und Datenschutzerklärung prüfen. Das Datum „Stand: …" am Ende der Erklärung sollte die letzte inhaltliche Prüfung widerspiegeln.

Fazit

Eine belastbare Datenschutzerklärung bildet exakt die Dienste ab, die Ihre Website wirklich nutzt — nicht mehr und nicht weniger. Nutzen Sie das Muster als Gerüst, benennen Sie jedes Tool konkret und trennen Sie sauber zwischen notwendigen und einwilligungspflichtigen Cookies. Den Normtext des TDDDG finden Sie unter gesetze-im-internet.de, die DSGVO bei EUR-Lex.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →