Datenschutzerklärung-Generator 2026 (DSGVO Art. 13)

Die DSGVO schreibt vor, dass Betroffene bei Datenerhebung **proaktiv** informiert werden. Pflichtinhalte:

- Name und Kontaktdaten des Verantwortlichen - Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden) - Zwecke der Verarbeitung und Rechtsgrundlage (Art. 6 DSGVO) - Berechtigte Interessen bei Art. 6 (1) f DSGVO - Empfänger der Daten (Dienstleister, Behörden) - Absicht, Daten in Drittland zu übermitteln (+ Schutzmaßnahmen) - Speicherdauer oder Kriterien dafür - Betroffenenrechte (Art. 15-22) - Widerrufsrecht bei Einwilligung - Beschwerderecht bei Aufsichtsbehörde - Hinweis auf automatisierte Entscheidungsfindung/Profiling

Fehlerhafte Datenschutzerklärungen sind der Haupt-Grund für Abmahnungen - teils bis 50.000 EUR.

Diese Tools/Services lösen DSGVO-Pflichten aus:

- **Google Analytics / GA4** - mit Anonymisierung + Opt-In - **Google Fonts (Online-Laden)** - besser selbst-gehostet - **Google Maps** - nur nach Consent - **Meta Pixel / Facebook Tracking** - nur nach expliziter Einwilligung - **LinkedIn Insight Tag** - nur nach Consent - **Hotjar, Matomo, Plausible** - Consent-Pflicht bei IP-Speicherung - **YouTube Videos (eingebettet)** - besser Plattform-agnostisch - **Mailchimp / Brevo / ConvertKit** - AVV abschließen + DSE-Eintrag - **Stripe / PayPal** - bei Zahlungsabwicklung - **Calendly / Cal.com** - Buchungs-Tools

Jedes dieser Tools muss in der Datenschutzerklärung mit Zweck, Rechtsgrundlage und Speicherdauer aufgefuehrt sein.

Seit dem Schrems-II-Urteil (Juli 2020) ist US-Hosting ohne zusätzliche Maßnahmen nicht DSGVO-konform. Ab Juli 2023 gibt es das **Data Privacy Framework (DPF)** - ein Nachfolger des gescheiterten Privacy Shield. US-Anbieter müssen sich dafür zertifizieren.

**Empfehlung für KMU:** - Hosting in Deutschland/EU (Hetzner, IONOS, netcup, OVH EU) - E-Mail-Service in Deutschland (mailbox.org, Hosteurope) - Bei US-Tools: nur mit DPF-Zertifizierung oder EU-Cloud-Variante - In Datenschutzerklärung: immer Server-Standort angeben

Eine Datenschutzerklärung ist kein einmaliges Dokument, sondern muss den tatsächlichen Stand Ihrer Datenverarbeitung abbilden. Veraltete Erklärungen sind ein häufiger Abmahngrund.

Anlässe für eine Aktualisierung:

- **Neues Tool eingebunden** (Analytics, Newsletter, Chat, Buchungssystem) - jeder Dienst muss mit Zweck, Rechtsgrundlage und Speicherdauer ergänzt werden - **Tool entfernt** - nicht mehr genutzte Dienste streichen, sonst informieren Sie über etwas, das gar nicht stattfindet - **Neue Rechtsprechung** - EuGH- und BGH-Urteile können konkrete Formulierungen erforderlich machen - **Geänderte Verarbeitungszwecke** - z.B. neue Marketing-Aktivitäten oder Profiling

Praktischer Rhythmus: einmal jährlich vollständig prüfen, bei jeder technischen Änderung sofort anpassen. Wer mehrere Tools einsetzt, hält am besten eine interne Liste aller datenverarbeitenden Dienste vor - das ist zugleich die Grundlage für das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.