§DSGVO.pro
Zum Blog
Datenschutz3. Mai 2026 · 6 Min. Lesezeit

Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen

DSGVO Art. 13/14 verlangt vollständige Auflistung aller Datenverarbeiter in der Datenschutzerklärung. Wer Google Analytics nutzt, aber nicht erwähnt, riskiert Bußgelder durch die Datenschutzaufsicht. Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen.

KI-unterstützt verfasst · redaktionell geprüft
Datenschutzerklärung-Vollständigkeit: Wie Sie Ihre /datenschutz-Seite mit der technischen Realität abgleichen
KI-generiert · synthetisches Bild

Der häufigste DSGVO-Compliance-Gap im deutschen Web ist nicht ein fehlendes Cookie-Banner — sondern ein mismatch zwischen der technischen Realität der Website und dem, was in der Datenschutzerklärung steht.

Wer Google Analytics auf der Startseite lädt, das aber nicht in der /datenschutz-Seite erwähnt, verstößt gegen Art. 13 DSGVO (Informationspflichten bei Erhebung). Bußgeldrisiko: bis zu 4 % des weltweiten Jahresumsatzes oder €20 Mio (Art. 83 Abs. 5 DSGVO) — wobei die Datenschutzaufsicht bei mittelständischen Verstößen typischerweise im Bereich €5 000 bis €50 000 sanktioniert.

Was Art. 13 DSGVO verlangt

Wenn personenbezogene Daten direkt beim Betroffenen erhoben werden — und ein Website-Besuch mit IP-Adresse, Cookies oder Browser-Fingerprint zählt dazu — muss der Verantwortliche zum Zeitpunkt der Erhebung u. a. mitteilen:

  • Identität des Verantwortlichen
  • Zwecke der Verarbeitung
  • Rechtsgrundlage (Art. 6 DSGVO — meist Einwilligung Abs. 1 lit. a oder berechtigtes Interesse Abs. 1 lit. f)
  • Empfänger der Daten (alle Verarbeiter, alle Drittländer-Übermittlungen)
  • Speicherdauer (oder Kriterien dafür)
  • Rechte des Betroffenen (Auskunft, Löschung, Widerspruch)
  • Beschwerderecht bei der Aufsichtsbehörde

In der Praxis kommt diese Information über die Datenschutzerklärung — meist erreichbar als Footer-Link /datenschutz oder /datenschutzerklaerung.

Die häufigsten Vollständigkeits-Lücken

Analytics-Tools, die im Footer stehen — aber nicht in der Erklärung

Klassiker: Google Tag Manager (GTM) lädt im <head> der Startseite — aber die Datenschutzerklärung erwähnt ihn nicht, weil GTM technisch nur ein Container ist. Das reicht nicht: GTM selbst ist Verarbeiter (lädt Daten zu Google), und jedes Tool, das innerhalb GTM aktiv ist, muss separat genannt werden.

Häufige Lücken:

  • Google Analytics 4 ist gelistet, aber Google Tag Manager als Container nicht
  • Microsoft Clarity (Heatmap-Tool) ist nirgends erwähnt, läuft aber im Hintergrund
  • Hotjar wird genannt — aber die konkrete Datenkategorie («Bewegungsprofile, Klick-Pfade») fehlt

Marketing-Pixel mit Drittland-Übermittlung

Facebook/Meta Pixel überträgt Daten in die USA. Ohne expliziten Hinweis auf den Drittland-Transfer und die zugrundeliegende Rechtsgrundlage (Standardvertragsklauseln, EU-US Data Privacy Framework) fehlt eine Pflichtangabe. Gleiches gilt für TikTok-Pixel, LinkedIn Insight Tag, Reddit Pixel.

CDNs und Embed-Provider

  • Cloudflare wird oft als «technische Infrastruktur» abgestempelt und nicht erwähnt — verarbeitet aber IP-Adressen aller Besucher
  • jsDelivr / cdnjs / unpkg (Open-Source-CDNs) liefern JavaScript-Bibliotheken aus und sehen User-IPs
  • YouTube-Embeds überträgt Daten an Google, auch ohne dass das Video gestartet wird (außer mit youtube-nocookie.com Variante)
  • Google Maps Embed zählt als Embed mit Datenverarbeitung
  • Vimeo, Spotify-Player, SoundCloud-Player — gleicher Pattern

Cookie-Consent-Manager — selbst Verarbeiter

Ironisch, aber häufig vergessen: Der Cookie-Banner selbst (Cookiebot, Usercentrics, Consentmanager, Borlabs Cookie, OneTrust) verarbeitet personenbezogene Daten — Consent-Status, IP-Adresse zur Zuordnung. Der CMP-Anbieter ist Auftragsverarbeiter und muss in der Datenschutzerklärung gelistet sein.

Newsletter und Formulare

  • Brevo / Sendinblue / Mailchimp als Newsletter-Service muss genannt werden mit Datentyp («E-Mail, Vorname, Klick-Verhalten»)
  • Kontaktformular-Backend (z.B. WPForms speichert in WP-DB, oder Formspree als externer Provider) muss aufgeführt sein

Self-Audit in 15 Minuten

So gleichen Sie technische Realität und Datenschutzerklärung manuell ab:

  1. Browser DevTools öffnen (F12 in Chrome/Firefox)
  2. Network Tab auswählen, Filter «All»
  3. Cookies löschen + Reload der Startseite (ohne Consent-Klick)
  4. Liste aller Third-Party-Domains sammeln — alles, was nicht Ihre eigene Domain ist
  5. Wiederholen mit Consent-Klick — neue Domains notieren
  6. Datenschutzerklärung öffnen, Abschnitt «Diese Dienste werden eingesetzt» (oder ähnlich)
  7. Cross-Check: Jede Third-Party-Domain aus Schritt 4 + 5 muss in der Erklärung genannt sein

Wenn eine Domain fehlt, gibt es zwei mögliche Korrekturen:

  • Option A: Den Dienst aus der Website entfernen (z.B. Hotjar deaktivieren)
  • Option B: Den Dienst in die Datenschutzerklärung mit allen Pflichtangaben aufnehmen

Was zu jedem Dienst rein muss

Jeder gelistete Dienst braucht in der Erklärung mindestens:

  • Name des Dienstes und Anbieter
  • Sitzland des Anbieters (relevant für Drittland-Übermittlung)
  • Zweck der Datenverarbeitung
  • Datenkategorien («IP-Adresse, User-Agent, Klick-Pfade»)
  • Rechtsgrundlage (Art. 6 Abs. 1 lit. a für Einwilligung, lit. f für berechtigtes Interesse)
  • Speicherdauer oder Kriterien
  • Auftragsverarbeitungsvertrag (AVV) — Hinweis, dass einer geschlossen wurde
  • Drittland-Hinweis, falls Daten in Nicht-EU-Länder übermittelt werden, mit Schutzmaßnahme (SCC, EU-US DPF)

Was Sie jetzt tun sollten

  1. DevTools-Audit Ihrer Startseite — Liste aller Third-Party-Domains erstellen
  2. Cross-Check mit /datenschutz — fehlende Dienste identifizieren
  3. Lücken schließen — Dienste entfernen oder Erklärung ergänzen
  4. Quartalsweise wiederholen — neue Tools, die marketing oder dev hinzufügen, fallen sonst durchs Raster
  5. CMP-Eintrag prüfen — Cookie-Banner-Anbieter selbst ist häufig die vergessene Lücke

Im Gesetzestext nachlesen

Häufige Fragen

Muss ich Google Tag Manager separat in der Datenschutzerklärung nennen?

Ja. Der Tag Manager ist selbst ein Verarbeiter, der Daten an Google überträgt — es reicht nicht, nur die darüber geladenen Tools wie Google Analytics zu nennen. GTM gehört als eigener Dienst in die Erklärung.

Zählt der Cookie-Banner selbst als Datenverarbeiter?

Ja. Consent-Tools wie Cookiebot, Usercentrics oder Borlabs verarbeiten den Consent-Status und die IP-Adresse zur Zuordnung. Der Anbieter ist Auftragsverarbeiter und muss in der Datenschutzerklärung gelistet sein.

Wie hoch ist das Bußgeld bei einer unvollständigen Datenschutzerklärung?

Der Bußgeldrahmen nach Art. 83 Abs. 5 DSGVO reicht bis zu 20 Mio € oder 4 % des weltweiten Jahresumsatzes. Bei mittelständischen Verstößen sanktionieren die Aufsichtsbehörden in der Praxis meist im Bereich von 5.000 bis 50.000 €.

Reicht es, einen Dienst nur zu nennen, oder muss ich Details angeben?

Pro Dienst gehören mindestens Name und Anbieter, Sitzland, Zweck, Datenkategorien, Rechtsgrundlage nach Art. 6 DSGVO, Speicherdauer und ein Hinweis auf den Auftragsverarbeitungsvertrag in die Erklärung — bei Übermittlung in Drittländer zusätzlich die konkrete Schutzmaßnahme.

Wie finde ich heraus, welche Dienste meine Website wirklich lädt?

Öffne die Browser-DevTools (F12), wechsle in den Network-Tab, lösche die Cookies und lade die Seite neu — einmal ohne und einmal mit Consent-Klick. Jede fremde Domain in dieser Liste muss in der Datenschutzerklärung auftauchen.

Tipp: Unser Compliance-Scanner detektiert Third-Party-Services auf Ihrer Site und checkt sie gegen die /datenschutz-Seite. Lücken werden automatisch markiert. Jetzt kostenlos prüfen →

Verwandte Themen

Ab 19. Juni 2026 gilt die Widerrufsbutton-Pflicht (§ 356a BGB) — fehlende Umsetzung ist abmahnfähig. Prüfen Sie Ihre Website, bevor es ein Wettbewerber tut.

Ähnliche Artikel

Weiterlesen

Die 6 Gesetze, die jede deutsche Website kennen muss
Datenschutz16. April 2026 · 4 Min.

Die 6 Gesetze, die jede deutsche Website kennen muss

DSGVO, BDSG, TDDDG, DDG, KI-VO, BFSG — sechs Gesetze, die jeden deutschen Website-Betreiber betreffen. Wir erklären, welchen Bereich jedes Gesetz regelt und welche Pflichten daraus für Ihre Website konkret folgen.

Weiterlesen
Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen
Datenschutz10. April 2026 · 4 Min.

Google Fonts und DSGVO: Warum CDN-Einbindung ein Verstoß ist — und wie Sie ihn schließen

Google Fonts via CDN überträgt IP-Adressen ans Google in die USA. LG München I 2022 hat das als DSGVO-Verstoß bestätigt. Wie Sie Google Fonts lokal hosten — Schritt für Schritt.

Weiterlesen
Newsletter · monatlich

Compliance-Neuigkeiten per E-Mail

Updates zu Gesetzes­änderungen, Urteilen und Datenschutz-Tipps.