§DSGVO.pro
Zum Blog
Datenschutz3. Mai 2026 · 6 Min. Lesezeit

Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen

DSGVO Art. 13/14 verlangt vollständige Auflistung aller Datenverarbeiter in der Datenschutzerklärung. Wer Google Analytics nutzt, aber nicht erwähnt, riskiert Bußgelder durch die Datenschutzaufsicht. Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen.

Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen

Der häufigste DSGVO-Compliance-Gap im deutschen Web ist nicht ein fehlendes Cookie-Banner — sondern ein mismatch zwischen der technischen Realität der Website und dem, was in der Datenschutzerklärung steht.

Wer Google Analytics auf der Startseite lädt, das aber nicht in der /datenschutz-Seite erwähnt, verstößt gegen Art. 13 DSGVO (Informationspflichten bei Erhebung). Bußgeldrisiko: bis zu 4 % des weltweiten Jahresumsatzes oder €20 Mio (Art. 83 Abs. 5 DSGVO) — wobei die Datenschutzaufsicht bei mittelständischen Verstößen typischerweise im Bereich €5 000 bis €50 000 sanktioniert.

Was Art. 13 DSGVO verlangt

Wenn personenbezogene Daten direkt beim Betroffenen erhoben werden — und ein Website-Besuch mit IP-Adresse, Cookies oder Browser-Fingerprint zählt dazu — muss der Verantwortliche zum Zeitpunkt der Erhebung u. a. mitteilen:

  • Identität des Verantwortlichen
  • Zwecke der Verarbeitung
  • Rechtsgrundlage (Art. 6 DSGVO — meist Einwilligung Abs. 1 lit. a oder berechtigtes Interesse Abs. 1 lit. f)
  • Empfänger der Daten (alle Verarbeiter, alle Drittländer-Übermittlungen)
  • Speicherdauer (oder Kriterien dafür)
  • Rechte des Betroffenen (Auskunft, Löschung, Widerspruch)
  • Beschwerderecht bei der Aufsichtsbehörde

In der Praxis kommt diese Information über die Datenschutzerklärung — meist erreichbar als Footer-Link /datenschutz oder /datenschutzerklaerung.

Die häufigsten Vollständigkeits-Lücken

Analytics-Tools, die im Footer stehen — aber nicht in der Erklärung

Klassiker: Google Tag Manager (GTM) lädt im <head> der Startseite — aber die Datenschutzerklärung erwähnt ihn nicht, weil GTM technisch nur ein Container ist. Das reicht nicht: GTM selbst ist Verarbeiter (lädt Daten zu Google), und jedes Tool, das innerhalb GTM aktiv ist, muss separat genannt werden.

Häufige Lücken:

  • Google Analytics 4 ist gelistet, aber Google Tag Manager als Container nicht
  • Microsoft Clarity (Heatmap-Tool) ist nirgends erwähnt, läuft aber im Hintergrund
  • Hotjar wird genannt — aber die konkrete Datenkategorie («Bewegungsprofile, Klick-Pfade») fehlt

Marketing-Pixel mit Drittland-Übermittlung

Facebook/Meta Pixel überträgt Daten in die USA. Ohne expliziten Hinweis auf den Drittland-Transfer und die zugrundeliegende Rechtsgrundlage (Standardvertragsklauseln, EU-US Data Privacy Framework) fehlt eine Pflichtangabe. Gleiches gilt für TikTok-Pixel, LinkedIn Insight Tag, Reddit Pixel.

CDNs und Embed-Provider

  • Cloudflare wird oft als «technische Infrastruktur» abgestempelt und nicht erwähnt — verarbeitet aber IP-Adressen aller Besucher
  • jsDelivr / cdnjs / unpkg (Open-Source-CDNs) liefern JavaScript-Bibliotheken aus und sehen User-IPs
  • YouTube-Embeds überträgt Daten an Google, auch ohne dass das Video gestartet wird (außer mit youtube-nocookie.com Variante)
  • Google Maps Embed zählt als Embed mit Datenverarbeitung
  • Vimeo, Spotify-Player, SoundCloud-Player — gleicher Pattern

Cookie-Consent-Manager — selbst Verarbeiter

Ironisch, aber häufig vergessen: Der Cookie-Banner selbst (Cookiebot, Usercentrics, Consentmanager, Borlabs Cookie, OneTrust) verarbeitet personenbezogene Daten — Consent-Status, IP-Adresse zur Zuordnung. Der CMP-Anbieter ist Auftragsverarbeiter und muss in der Datenschutzerklärung gelistet sein.

Newsletter und Formulare

  • Brevo / Sendinblue / Mailchimp als Newsletter-Service muss genannt werden mit Datentyp («E-Mail, Vorname, Klick-Verhalten»)
  • Kontaktformular-Backend (z.B. WPForms speichert in WP-DB, oder Formspree als externer Provider) muss aufgeführt sein

Self-Audit in 15 Minuten

So gleichen Sie technische Realität und Datenschutzerklärung manuell ab:

  1. Browser DevTools öffnen (F12 in Chrome/Firefox)
  2. Network Tab auswählen, Filter «All»
  3. Cookies löschen + Reload der Startseite (ohne Consent-Klick)
  4. Liste aller Third-Party-Domains sammeln — alles, was nicht Ihre eigene Domain ist
  5. Wiederholen mit Consent-Klick — neue Domains notieren
  6. Datenschutzerklärung öffnen, Abschnitt «Diese Dienste werden eingesetzt» (oder ähnlich)
  7. Cross-Check: Jede Third-Party-Domain aus Schritt 4 + 5 muss in der Erklärung genannt sein

Wenn eine Domain fehlt, gibt es zwei mögliche Korrekturen:

  • Option A: Den Dienst aus der Website entfernen (z.B. Hotjar deaktivieren)
  • Option B: Den Dienst in die Datenschutzerklärung mit allen Pflichtangaben aufnehmen

Was zu jedem Dienst rein muss

Jeder gelistete Dienst braucht in der Erklärung mindestens:

  • Name des Dienstes und Anbieter
  • Sitzland des Anbieters (relevant für Drittland-Übermittlung)
  • Zweck der Datenverarbeitung
  • Datenkategorien («IP-Adresse, User-Agent, Klick-Pfade»)
  • Rechtsgrundlage (Art. 6 Abs. 1 lit. a für Einwilligung, lit. f für berechtigtes Interesse)
  • Speicherdauer oder Kriterien
  • Auftragsverarbeitungsvertrag (AVV) — Hinweis, dass einer geschlossen wurde
  • Drittland-Hinweis, falls Daten in Nicht-EU-Länder übermittelt werden, mit Schutzmaßnahme (SCC, EU-US DPF)

Was Sie jetzt tun sollten

  1. DevTools-Audit Ihrer Startseite — Liste aller Third-Party-Domains erstellen
  2. Cross-Check mit /datenschutz — fehlende Dienste identifizieren
  3. Lücken schließen — Dienste entfernen oder Erklärung ergänzen
  4. Quartalsweise wiederholen — neue Tools, die marketing oder dev hinzufügen, fallen sonst durchs Raster
  5. CMP-Eintrag prüfen — Cookie-Banner-Anbieter selbst ist häufig die vergessene Lücke

Tipp: Unser Compliance-Scanner detektiert Third-Party-Services auf Ihrer Site und checkt sie gegen die /datenschutz-Seite. Lücken werden automatisch markiert. Jetzt kostenlos prüfen →

Ähnliche Artikel

Weiterlesen

Die 6 Gesetze, die jede deutsche Website kennen muss
Datenschutz16. April 2026 · 4 Min.

Die 6 Gesetze, die jede deutsche Website kennen muss

DSGVO, BDSG, TDDDG, DDG, KI-VO, BFSG — sechs Gesetze, die jeden deutschen Website-Betreiber betreffen. Wir erklären, welchen Bereich jedes Gesetz regelt und welche Pflichten daraus für Ihre Website konkret folgen.

Weiterlesen
Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen
Datenschutz10. April 2026 · 4 Min.

Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen

Google Fonts via CDN überträgt IP-Adressen ans Google in die USA. LG München I 2022 hat das als DSGVO-Verstoß bestätigt. Wie Sie Google Fonts lokal hosten — Schritt für Schritt.

Weiterlesen
Newsletter · monatlich

Compliance-Neuigkeiten per E-Mail

Updates zu Gesetzes­änderungen, Urteilen und Datenschutz-Tipps.