Die Datenschutzerklärung ist der meistignoriertere Pflicht-Baustein jeder Website. Die meisten nutzen Generatoren, kopieren Inhalte und prüfen nie. Das Problem: DSGVO-Strafen können bis zu 20 Millionen Euro oder 4 % des weltweiten Konzernumsatzes betragen. Und die österreichische Datenschutzbehörde prüft.
Pflichtinhalte nach DSGVO Art. 13 & 14
Die DSGVO listet in Artikel 13 und 14 explizit auf, was in eine Datenschutzerklärung gehört. Eine Liste ohne eines dieser Elemente ist nicht konform. egal wie lang sie ist.
- Name und Kontaktdaten des Verantwortlichen (Ihres Unternehmens)
- Kontaktdaten des Datenschutzbeauftragten (falls benannt)
- Zwecke der Verarbeitung (z.B. „Kontaktformular“, „Newsletter“)
- Rechtsgrundlage der Verarbeitung (Art. 6 DSGVO: Einwilligung, Vertrag, berechtigtes Interesse)
- Empfänger der Daten (z.B. Hoster, E-Mail-Provider, Analyse-Dienste)
- Übermittlung in Drittländer (USA!) mit Schutzgarantien (SCCs, DPF)
- Speicherdauer oder Kriterien für die Dauer
- Rechte der Betroffenen (Auskunft, Löschung, Widerspruch, Datenübertragbarkeit)
- Beschwerderecht bei der zuständigen Datenschutzbehörde (in AT: DSB)
- Ob Datenbereitstellung gesetzlich/vertraglich vorgeschrieben ist
- Automatisierte Entscheidungsfindung/Profiling (falls zutreffend)
Die häufigsten Drittländer-Fallen
Seit dem „Schrems II“-Urteil und dem Auslaufen des Privacy Shield ist die Übermittlung in die USA ein juristisches Minenfeld. Das EU-US Data Privacy Framework (DPF) löst das Problem teilweise. aber nur, wenn der konkrete US-Anbieter auch DPF-zertifiziert ist. Die meisten Websites nennen diese Details nicht.
- Google Analytics / Google Fonts / Google Maps → USA (DPF-zertifiziert)
- Meta Pixel / Facebook Login → USA (DPF-zertifiziert, aber zusätzliche Risiken)
- CDN-Dienste wie Cloudflare → USA
- E-Mail-Marketing wie Mailchimp → USA (DPF-zertifiziert)
- ChatGPT / OpenAI Integrationen → USA (eingeschränkt DPF)
Cookies und Einwilligung
Seit der TKG-Novelle 2021 in Österreich und parallelen Regeln in DE und CH: Für nicht-essenzielle Cookies (Analyse, Marketing, Social Media) braucht es aktive Einwilligung. Opt-out reicht nicht, vorangekreuzte Boxen reichen nicht, „durch die weitere Nutzung stimmen Sie zu“ reicht nicht.
Was ein rechtssicherer Cookie-Banner können muss
- „Ablehnen“-Button auf gleicher Ebene wie „Akzeptieren“
- Keine Cookies laden, bevor der Nutzer entschieden hat
- Granulare Einstellungen (Kategorie-weise Einwilligung)
- Einwilligung widerrufbar (Link in Footer)
- Dokumentation der Einwilligungen (Nachweispflicht)
Sprache und Verständlichkeit
Die DSGVO fordert „klar, verständlich und transparent“. Juristendeutsch erfüllt diese Anforderung nicht. Die Datenschutzerklärung muss für durchschnittliche Internetnutzer lesbar sein. ohne Fachvokabular, ohne verschachtelte Sätze, ohne Copy-Paste aus dem Gesetzestext.
Häufige Fragen
- Kann ich Datenschutzerklärungen einfach kopieren?
- Rechtlich nein (Urheberrecht) und inhaltlich katastrophal. Jede Website hat andere Verarbeitungen, andere Dienstleister, andere Drittlandstransfers. Eine kopierte Erklärung ist fast garantiert falsch oder unvollständig.
- Brauche ich einen Datenschutzbeauftragten?
- In Österreich: nein, wenn Sie keine „umfangreiche regelmäßige Überwachung“ oder „besondere Kategorien“ von Daten verarbeiten. KMU typischerweise nicht pflichtig. In Deutschland: ab 20 Mitarbeitern, die mit personenbezogenen Daten arbeiten.
- Was macht das Lacop-Studio-Tool anders?
- Unser Datenschutz-Generator fragt konkret ab, welche Dienste Sie nutzen (Analytics, Mailer, Plugins, Payment) und erzeugt nur die passenden Abschnitte. keine generischen „Falls Sie XY nutzen“-Blöcke. Inkl. aktueller DPF-Zertifizierungen der wichtigsten US-Anbieter.