Ohne Datenschutzerklärung geht gar nichts
Deine Website ist live, die ersten Besucher kommen -- und damit hast du schon die erste DSGVO-Pflicht: Du brauchst eine Datenschutzerklärung. Nicht irgendwann, nicht "wenn es ernst wird", sondern ab der ersten Sekunde. Jede Website verarbeitet personenbezogene Daten, mindestens über Server-Logfiles (IP-Adressen), meistens aber auch über Kontaktformulare, Analytics-Tools, eingebettete Schriften oder Social-Media-Plugins.
Bei Startup Burgenland sehen wir regelmäßig Gründer, die ihre Website launchen und die Datenschutzerklärung auf "mach ich nächste Woche" schieben. Das Problem: Eine fehlende oder mangelhafte Datenschutzerklärung ist einer der häufigsten Gründe für Beschwerden bei der österreichischen Datenschutzbehörde (DSB). Und die können teuer werden -- wie wir in den DSGVO-Grundlagen besprochen haben.
In diesem Post zeige ich dir Schritt für Schritt, was in deine Datenschutzerklärung gehört, welche Generatoren dir die Arbeit erleichtern, wie du die generierten Texte individuell anpasst und wann du doch einen Anwalt brauchst.
Was die DSGVO vorschreibt -- Art. 13 und 14 im Detail
Die DSGVO regelt in Art. 13 (Datenerhebung bei der betroffenen Person) und Art. 14 (Daten aus anderen Quellen), welche Informationen du bereitstellen musst. Das sind keine optionalen Empfehlungen, sondern gesetzliche Pflichtangaben. Fehlt auch nur eine davon, ist deine Datenschutzerklärung unvollständig und damit angreifbar.
| Pflichtangabe | Erklärung | Beispiel |
|---|---|---|
| Name und Kontakt des Verantwortlichen | Dein Unternehmen mit vollständiger Adresse | Muster GmbH, Hauptstraße 1, 7000 Eisenstadt |
| Kontakt des Datenschutzbeauftragten | Nur wenn du einen hast (Art. 37 DSGVO) | datenschutz@muster.at |
| Zwecke und Rechtsgrundlage | Warum und auf welcher Basis du verarbeitest | Vertragserfüllung gem. Art. 6 Abs. 1 lit. b |
| Berechtigte Interessen | Falls du dich auf Art. 6 Abs. 1 lit. f stützt | IT-Sicherheit durch Logfile-Auswertung |
| Empfänger der Daten | An wen du Daten weitergibst | Hosting-Provider, Newsletter-Dienst, Zahlungsdienstleister |
| Drittlandtransfer | Übermittlung außerhalb EU/EWR | USA -- EU-US Data Privacy Framework |
| Speicherdauer | Wie lange du Daten behältst | Logfiles: 30 Tage, Kundendaten: 7 Jahre (BAO) |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung etc. | Art. 15--22 DSGVO |
| Beschwerderecht | Hinweis auf Aufsichtsbehörde | DSB, Barichgasse 40-42, 1030 Wien |
| Pflicht zur Bereitstellung | Ob die Datenangabe nötig ist | Für Vertragserfüllung erforderlich |
| Automatisierte Entscheidungsfindung | Falls Profiling eingesetzt wird | Meist nicht relevant für Startups |
Ein wichtiger Punkt, der oft vergessen wird: Du musst die Informationen zum Zeitpunkt der Datenerhebung bereitstellen. Bei einer Website bedeutet das: Die Datenschutzerklärung muss von jeder Seite aus erreichbar sein, typischerweise über einen Link im Footer. Bei Formularen (Kontaktformular, Newsletter-Anmeldung, Checkout) sollte der Link zur Datenschutzerklärung direkt beim Formular stehen, damit die betroffene Person die Informationen vor der Datenangabe lesen kann.
Tipp: Verlinke in der Datenschutzerklärung auch auf die Kontaktdaten der österreichischen DSB (Barichgasse 40-42, 1030 Wien, dsb.gv.at) und auf deine Cookie-Einstellungen, damit Betroffene ihre Einwilligung einfach widerrufen können.
Häufig vergessene Angaben -- und warum sie wichtig sind
In der Praxis fehlen in Datenschutzerklärungen besonders oft folgende Angaben, die die DSB bei Überprüfungen gerne moniert:
Konkrete Speicherdauer: Viele Gründer schreiben nur "so lange wie nötig" oder "für die Dauer der Geschäftsbeziehung". Das reicht nicht. Du musst entweder konkrete Fristen nennen (z. B. "7 Jahre nach Ende der Geschäftsbeziehung gemäß BAO") oder zumindest nachvollziehbare Kriterien angeben, anhand derer die Speicherdauer bestimmt wird.
Drittlandtransfer: Wenn du Google Analytics, Mailchimp, HubSpot, AWS oder andere US-Dienste nutzt, findet ein Datentransfer in die USA statt. Das muss in der Datenschutzerklärung stehen -- inklusive der Rechtsgrundlage für den Transfer (EU-US Data Privacy Framework, Standardvertragsklauseln oder beides). Mehr dazu findest du im Beitrag zu US-Tools.
Empfänger konkret benennen: Es reicht nicht, nur Kategorien zu nennen ("Hosting-Provider"). Die DSB erwartet, dass du den konkreten Anbieter nennst. Statt "Wir nutzen einen externen Hosting-Provider" also: "Wir nutzen Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen, Deutschland, als Hosting-Provider."
Cookie-Informationen: Wenn du Cookies setzt, gehören diese in die Datenschutzerklärung -- inklusive Name, Zweck, Speicherdauer und Anbieter jedes einzelnen Cookies. Das Cookie-Banner allein reicht nicht (siehe Cookie-Banner und Consent-Management). Am besten erstellst du eine Cookie-Tabelle.
Kontaktmöglichkeit für Betroffenenrechte: Du musst eine E-Mail-Adresse oder ein anderes Kontaktmittel angeben, über das Betroffene ihre Rechte (Auskunft, Löschung etc.) geltend machen können. Eine dedizierte datenschutz@-Adresse wirkt professionell und hilft dir, Anfragen zentral zu verwalten.
Generatoren -- welche taugen und welche nicht
Du musst die Datenschutzerklärung nicht von Grund auf selbst schreiben. Es gibt brauchbare Generatoren, die dir einen Großteil der Arbeit abnehmen. Aber: Kein Generator ersetzt das Nachdenken über deine konkreten Datenverarbeitungen.
Datenschutz-Generator von Dr. Schwenke (datenschutz-generator.de): Der wohl bekannteste deutschsprachige Generator. Die kostenlose Basisversion reicht für die meisten kleinen Startups. Er deckt Standard-Tools ab (Google Analytics, Social Media, Kontaktformulare, Newsletter). Die Premium-Version ab ca. EUR 100 pro Jahr bietet mehr Optionen, automatische Updates und eine Haftungsübernahme des Anbieters. Der Generator ist sehr gut gepflegt und wird regelmäßig an die aktuelle Rechtsprechung angepasst.
E-Recht24 Datenschutz-Generator (e-recht24.de): Ebenfalls kostenlose Basis-Variante mit guter Abdeckung. Besonders gut für WordPress-Websites. Die Premiumversion bietet automatische Updates bei Rechtsänderungen und zusätzliche Textbausteine. Die Texte sind etwas juristischer formuliert als bei Dr. Schwenke.
WKO Muster-Datenschutzerklärung: Die Wirtschaftskammer Österreich bietet kostenlos ein Muster speziell für österreichische Unternehmen an. Es ist eher basic gehalten, enthält aber die wichtigsten Elemente und berücksichtigt das DSG. Als Startpunkt brauchbar, aber du musst es deutlich individualisieren.
Schweizerischer Generator von datenschutzpartner.ch: Falls du auch Kunden in der Schweiz hast, gibt es hier Vorlagen, die sowohl DSGVO als auch das Schweizer DSG abdecken.
Was die Generatoren nicht können
Generatoren funktionieren gut für Standard-Websites mit üblichen Tools. Aber sie haben Grenzen:
- Individuelle Geschäftsmodelle (Health-Tech, Fintech, EdTech, Plattformen mit Nutzerprofilen) brauchen maßgeschneiderte Texte
- Komplexe Datenflüsse zwischen mehreren Systemen werden nicht abgebildet
- Branchenspezifische Pflichten (z. B. Telekommunikation, Gesundheit) kennen Generatoren nicht
- Österreichische DSG-Besonderheiten fehlen in deutschen Generatoren manchmal
Faustregel: Wenn dein Startup personenbezogene Daten als Kerngeschäft verarbeitet oder besondere Datenkategorien betroffen sind, lass die Datenschutzerklärung von einem spezialisierten Anwalt prüfen. Über das Startup-Burgenland-Netzwerk findest du Rechtsberater, die Startup-freundliche Konditionen anbieten.
Was kostet eine anwaltliche Prüfung?
Die Kosten für eine Prüfung einer generator-basierten Datenschutzerklärung liegen typischerweise bei EUR 200 bis EUR 500. Das ist überschaubar, vor allem wenn du bedenkst, dass ein Bußgeld wegen fehlerhafter Datenschutzerklärung bei EUR 2.000 bis EUR 15.000 liegen kann. Eine vollständige Neuerstellung durch einen Anwalt kostet EUR 500 bis EUR 2.000, je nach Komplexität deines Geschäftsmodells.
Wann sich die anwaltliche Prüfung lohnt:
- Du verarbeitest besondere Datenkategorien (Gesundheitsdaten, Finanzdaten)
- Du hast ein Plattform-Geschäftsmodell mit komplexen Datenflüssen
- Du bist in einer regulierten Branche tätig
- Du hast B2B-Kunden, die Compliance-Nachweise verlangen
- Du planst eine Finanzierungsrunde (Investoren prüfen zunehmend den Datenschutz-Status)
Die generierte Datenschutzerklärung individuell anpassen
Ein Generator liefert dir ein Grundgerüst. Aber du musst es an deine konkrete Situation anpassen. Hier die wichtigsten Schritte:
Schritt 1 -- Bestandsaufnahme deiner Datenverarbeitungen: Bevor du den Generator nutzt, mach eine Liste aller Tools und Dienste, die auf deiner Website Daten verarbeiten. Öffne deine Website im Browser, öffne die Entwicklertools (F12) und schau dir an, welche externen Skripte geladen werden, welche Cookies gesetzt werden und welche Netzwerkanfragen an Drittanbieter gehen. Du wirst überrascht sein, was alles dabei ist -- Google Fonts, YouTube-Embeds, Social-Media-Buttons, Chat-Widgets.
Schritt 2 -- Generator durcharbeiten: Wähle im Generator alle relevanten Dienste aus. Nimm dir Zeit dafür und überspringe keine Fragen. Wenn du unsicher bist, ob etwas relevant ist, nimm es lieber mit auf.
Schritt 3 -- Text individualisieren: Ersetze Platzhalter durch deine tatsächlichen Daten (Firmenname, Adresse, E-Mail). Passe Speicherfristen an deine tatsächliche Praxis an. Ergänze die österreichische DSB als Aufsichtsbehörde (Barichgasse 40-42, 1030 Wien, dsb.gv.at). Füge konkrete Anbieternamen ein, wo der Generator nur Kategorien nennt.
Schritt 4 -- Sprachliche Anpassung: Generatoren erzeugen oft juristisch korrekte, aber schwer lesbare Texte. Du darfst (und sollst!) die Sprache vereinfachen, solange der Inhalt korrekt bleibt. Die DSGVO verlangt "klare und einfache Sprache" (Art. 12 Abs. 1). Bandwurmsätze mit drei Nebensätzen sind weder DSGVO-konform noch benutzerfreundlich.
Schritt 5 -- Sonderfälle prüfen: Hast du besondere Verarbeitungen, die der Generator nicht abdeckt? Eigene APIs, die personenbezogene Daten verarbeiten? Integrationen mit Drittanbietern, die über Standard-Tools hinausgehen? Prüfe, ob diese im generierten Text fehlen, und ergänze sie manuell.
Schritt 6 -- Rechtliche Prüfung: Wenn du unsicher bist, lass den angepassten Text von einem Anwalt prüfen. Das kostet bei einem Generator-basierten Text deutlich weniger als eine Erstellung von Grund auf -- typischerweise EUR 200 bis EUR 500.
Die richtige Platzierung und Auffindbarkeit
Die beste Datenschutzerklärung nützt nichts, wenn sie niemand findet. Die DSGVO verlangt, dass die Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form" bereitgestellt werden (Art. 12 Abs. 1).
Das bedeutet in der Praxis:
- Eigene Unterseite mit einem klaren Titel wie "Datenschutz" oder "Datenschutzerklärung"
- Von jeder Seite aus erreichbar -- typischerweise über einen Link im Footer
- Maximal zwei Klicks von jeder Seite entfernt
- Nicht mit dem Impressum vermischen -- das sind zwei separate Pflichtseiten mit unterschiedlichen rechtlichen Grundlagen (die Impressumspflicht kommt aus dem ECG/MedienG, die Datenschutzerklärung aus der DSGVO)
- Keine versteckten Untermenüs -- der Link muss sichtbar sein, nicht in einem Akkordeon oder hinter einem Hamburger-Menü versteckt
- Auch auf Landing Pages -- auch Seiten ohne Navigation (z. B. Lead-Capture-Pages) brauchen einen Link zur Datenschutzerklärung
- Auch in der mobilen Version zugänglich -- prüfe, ob der Footer-Link auf dem Smartphone sichtbar ist
Mehrsprachige Websites
Wenn deine Website in mehreren Sprachen verfügbar ist, brauchst du die Datenschutzerklärung in jeder Sprache. Die DSGVO verlangt, dass die Informationen in der Sprache bereitgestellt werden, in der die betroffene Person angesprochen wird. Eine englische Website mit einer deutschen Datenschutzerklärung ist nicht konform.
Aktualität sicherstellen
Deine Datenschutzerklärung ist kein statisches Dokument. Du musst sie aktualisieren, wenn du ein neues Tool einführst (z. B. von Mailchimp zu Brevo wechselst), neue Datenverarbeitungen startest, sich die Rechtslage ändert oder du neue Auftragsverarbeiter hinzufügst. Setz dir einen Kalendereintrag -- einmal pro Quartal die Datenschutzerklärung checken. Dokumentiere das Datum der letzten Aktualisierung (manche zeigen es direkt auf der Seite an, das ist aber nicht verpflichtend) und speichere alte Versionen, damit du bei einer Beschwerde nachweisen kannst, was zu welchem Zeitpunkt galt.
Häufige Fehler -- und wie du sie vermeidest
Aus der Praxis bei Startup Burgenland kenne ich diese immer wiederkehrenden Fehler:
1. Copy-Paste von anderen Websites: Nein. Einfach nein. Eine Datenschutzerklärung muss zu deiner Website passen. Wenn du Google Analytics auflistest, es aber gar nicht nutzt, ist das irreführend. Wenn du es nutzt, aber nicht auflistest, ist es ein DSGVO-Verstoß. Beides ist problematisch. Und abgesehen davon kann es ein urheberrechtliches Problem sein, wenn du den Text eines Anwalts kopierst.
2. Tools nicht vollständig aufgelistet: Geh deine Website systematisch durch und prüfe jedes eingebundene Tool: Analytics, Fonts (Google Fonts!), Maps (Google Maps!), YouTube-Embeds, Vimeo, Chat-Widgets, Payment-Provider, Social-Media-Buttons, CDNs, reCAPTCHA, Hotjar. Jedes davon verarbeitet Daten und gehört in die Datenschutzerklärung. Google Fonts ist hier ein Klassiker -- viele Websites laden Schriften direkt von Google-Servern, was einen Datentransfer in die USA auslöst. In München wurde 2022 ein Websitebetreiber zu EUR 100 Schadenersatz verurteilt, weil er Google Fonts ohne Einwilligung eingebunden hatte. Lösung: Fonts lokal hosten.
3. Veraltete Rechtsgrundlagen für US-Transfers: Das EU-US Privacy Shield ist seit dem Schrems-II-Urteil 2020 ungültig. Seit Juli 2023 gibt es das EU-US Data Privacy Framework (DPF). Stell sicher, dass deine Datenschutzerklärung die aktuelle Rechtsgrundlage nennt. Mehr dazu in US-Tools und Datenschutz.
4. Keine konkreten Speicherfristen: "So lange wie nötig" ist zu vage. Nenne konkrete Zeiträume oder zumindest die Kriterien, nach denen du die Speicherdauer bestimmst. Beispiel: "Rechnungsdaten speichern wir 7 Jahre ab Ende des Geschäftsjahres gemäß Paragraph 132 BAO."
5. Impressum und Datenschutzerklärung vermischt: Das sind zwei verschiedene Pflichtdokumente. Das Impressum regelt die Anbieterkennzeichnung (ECG, MedienG), die Datenschutzerklärung informiert über die Datenverarbeitung (DSGVO). Trenne sie auf zwei separate Seiten.
Die Cookie-Tabelle -- ein oft vergessenes Pflicht-Element
Wenn deine Website Cookies setzt -- und das tut sie fast sicher --, gehört eine detaillierte Cookie-Tabelle in die Datenschutzerklärung. Das Cookie-Banner allein reicht nicht, denn das Banner informiert nur oberflächlich. Die vollständige Information muss in der Datenschutzerklärung stehen.
Eine Cookie-Tabelle sollte folgende Spalten enthalten:
| Cookie-Name | Anbieter | Zweck | Kategorie | Speicherdauer | Typ |
|---|---|---|---|---|---|
| _ga | Google LLC | Web-Analytics (GA4) | Statistik | 2 Jahre | HTTP-Cookie |
| _ga_XXXXXXX | Google LLC | Sitzungsidentifikation (GA4) | Statistik | 2 Jahre | HTTP-Cookie |
| cookieyes-consent | CookieYes | Speichert Cookie-Einwilligung | Notwendig | 1 Jahr | HTTP-Cookie |
| PHPSESSID | Eigene Website | Session-Management | Notwendig | Sitzung | HTTP-Cookie |
| _fbp | Meta Platforms | Facebook Pixel Tracking | Marketing | 90 Tage | HTTP-Cookie |
Consent-Management-Plattformen wie Cookiebot oder Usercentrics können diese Tabelle automatisch generieren. Wenn du die Tabelle manuell erstellst, nutze die Browser-Entwicklertools (Application > Cookies), um alle gesetzten Cookies zu identifizieren.
Tipp: Prüfe deine Cookie-Tabelle regelmäßig. Wenn du ein WordPress-Plugin aktualisierst, ein neues Tool einbindest oder ein YouTube-Video einbettest, können neue Cookies entstehen, die in der Tabelle fehlen.
Sonderthema: Google Fonts und externe Ressourcen
Ein Klassiker in der Datenschutz-Beratung: Google Fonts. Viele Websites laden Schriften direkt von Google-Servern (fonts.googleapis.com). Dabei wird die IP-Adresse des Website-Besuchers an Google in die USA übermittelt -- ein Datentransfer ohne Einwilligung.
Das Landgericht München hat 2022 einem Website-Besucher EUR 100 Schadenersatz zugesprochen, weil Google Fonts ohne Einwilligung eingebunden waren. In Österreich hat die DSB sich zu diesem spezifischen Fall noch nicht geäußert, aber die Logik ist dieselbe: Ein Drittlandtransfer ohne Rechtsgrundlage verstößt gegen die DSGVO.
Die Lösung ist einfach: Lade Google Fonts lokal herunter und binde sie von deinem eigenen Server ein. Das dauert 15 Minuten und eliminiert das Problem vollständig. Anleitungen findest du für jedes CMS und Framework online. Bei Astro, Next.js oder Nuxt ist das trivial -- bei WordPress gibt es Plugins wie "OMGF" (Optimize My Google Fonts).
Das gleiche Prinzip gilt für andere externe Ressourcen: YouTube-Videos (nutze die youtube-nocookie.com-Domain oder einen Facade-Ansatz), Google Maps (einbetten nur nach Consent oder als statisches Bild mit Link), Social-Media-Buttons (nutze Shariff oder ähnliche datenschutzfreundliche Lösungen, die erst nach Klick Daten übermitteln).
Impressum vs. Datenschutzerklärung -- zwei getrennte Welten
Ein häufiger Fehler: Impressum und Datenschutzerklärung werden auf einer Seite zusammengeworfen. Das ist problematisch, weil es sich um zwei verschiedene rechtliche Pflichten handelt, die auf unterschiedlichen Gesetzen basieren.
Das Impressum basiert auf dem ECG (E-Commerce-Gesetz, Paragraph 5) und dem MedienG (Mediengesetz). Es enthält die Anbieterkennzeichnung: Firmenname, Rechtsform, Adresse, Kontaktdaten, UID-Nummer, Firmenbuchgericht, Aufsichtsbehörde (bei regulierten Berufen).
Die Datenschutzerklärung basiert auf der DSGVO (Art. 13, 14) und informiert über die Verarbeitung personenbezogener Daten: Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Betroffenenrechte.
Beides muss auf separaten Unterseiten stehen, beide müssen von jeder Seite aus erreichbar sein (typischerweise im Footer), und beide sollten klar benannt sein ("Impressum" und "Datenschutz" oder "Datenschutzerklärung").
Checkliste: Deine Datenschutzerklärung in 90 Minuten
Hier die Schritt-für-Schritt-Anleitung, mit der du in eineinhalb Stunden eine solide Datenschutzerklärung erstellst:
- Bestandsaufnahme (20 Min): Liste alle Tools, Dienste und Datenverarbeitungen auf deiner Website auf
- Generator nutzen (15 Min): Geh auf datenschutz-generator.de und wähle alle relevanten Dienste aus
- Text generieren und kopieren (5 Min): Übernimm den generierten Text in deine Website
- Österreich-Anpassung (10 Min): Ergänze DSB-Kontaktdaten, prüfe DSG-Besonderheiten
- Individualisierung (20 Min): Passe Firmendaten, Speicherfristen und Empfänger an
- Cookie-Tabelle ergänzen (10 Min): Liste alle Cookies mit Name, Zweck und Laufzeit auf
- Platzierung prüfen (5 Min): Ist die Seite im Footer verlinkt und von überall erreichbar?
- Gegencheck (5 Min): Stimmt die Datenschutzerklärung mit dem tatsächlichen Setup überein?
Dokumentiere das Datum der Erstellung und speichere eine Kopie als PDF. Wenn sich etwas ändert, aktualisiere die Erklärung und speichere die neue Version.
Sonderthemen: Was viele Startups vergessen
Kontaktformulare und Chat-Widgets
Wenn du ein Kontaktformular oder einen Live-Chat auf deiner Website hast, ist das eine eigene Datenverarbeitung, die in der Datenschutzerklärung aufgeführt werden muss. Nenne den Zweck (Bearbeitung von Anfragen), die Rechtsgrundlage (vorvertragliche Maßnahmen oder berechtigtes Interesse), die Speicherdauer und den Anbieter des Chat-Widgets (falls extern, z. B. Intercom, Crisp, Tawk.to).
Beim Kontaktformular gilt: Frage nur die Daten ab, die du wirklich brauchst. Name und E-Mail reichen in der Regel. Telefonnummer, Firma und Adresse als Pflichtfelder sind nur dann gerechtfertigt, wenn du sie für die Bearbeitung tatsächlich benötigst.
Social-Media-Präsenzen
Wenn du Links zu deinen Social-Media-Profilen auf der Website hast (Instagram, LinkedIn, TikTok), brauchst du dafür in der Regel keinen Eintrag in der Datenschutzerklärung -- solange es sich um einfache Links handelt. Wenn du aber Social-Media-Plugins einbindest (Like-Buttons, Share-Buttons, Instagram-Feeds), die beim Laden der Seite bereits Daten an die Plattform übermitteln, muss das in die Datenschutzerklärung. Nutze in diesem Fall datenschutzfreundliche Lösungen wie Shariff, die erst nach Klick Daten übermitteln.
Eingebettete Videos
YouTube-Videos, Vimeo-Videos oder andere eingebettete Medien übermitteln beim Laden Daten an den jeweiligen Anbieter (IP-Adresse, Browser-Daten). Das muss in der Datenschutzerklärung stehen. Bei YouTube nutze die datenschutzfreundliche Domain youtube-nocookie.com. Noch besser: Zeige ein Vorschaubild mit Play-Button und lade das Video erst nach Klick des Nutzers (sogenannter "Facade"-Ansatz). Das vermeidet den Datentransfer ohne Interaktion.
Bewerbungsformulare und Karriereseiten
Wenn du auf deiner Website Stellenausschreibungen hast oder ein Bewerbungsformular anbietest, ist das eine eigene Verarbeitung. Du musst informieren über: Zweck (Personalauswahl), Rechtsgrundlage (vorvertragliche Maßnahmen nach Art. 6 Abs. 1 lit. b), Speicherdauer (6 Monate nach Absage, mit Einwilligung länger), Empfänger (falls du ein Recruiting-Tool wie Personio oder Recruitee nutzt) und Betroffenenrechte.
Web-Analytics in der Datenschutzerklärung
Die Beschreibung deines Analytics-Tools in der Datenschutzerklärung muss präzise sein. Nenne das konkrete Tool (Google Analytics 4, Matomo, Plausible), den Anbieter mit Adresse, den Zweck, die Rechtsgrundlage (Einwilligung bei Cookie-basiertem Tracking), ob und wohin ein Drittlandtransfer stattfindet, welche Daten verarbeitet werden (IP-Adresse, Seitenaufrufe etc.) und die Speicherdauer. Verweise auf das Cookie-Banner und die Möglichkeit, die Einwilligung zu widerrufen.
Was tun bei einer Abmahnung wegen fehlerhafter Datenschutzerklärung?
In Österreich gibt es bisher keine systematische Abmahnwelle wegen Datenschutzerklärungen, wie sie in manchen deutschen Gerichtsbezirken vorkommt. Aber einzelne Fälle nehmen zu -- und Beschwerden bei der DSB sind jederzeit möglich.
Wenn du eine Beschwerde oder Abmahnung erhältst:
- Ruhe bewahren -- nicht sofort reagieren, aber auch nicht ignorieren
- Frist notieren und einhalten
- Den Sachverhalt prüfen: Ist die Beanstandung berechtigt?
- Wenn ja: Fehler sofort korrigieren und die Korrektur dokumentieren
- Antwort formulieren: Sachlich, kooperativ, mit Nachweis der Korrektur
- Bei unklaren oder umfangreichen Beanstandungen: Rechtsanwalt einschalten
- Über das Startup-Burgenland-Netzwerk findest du spezialisierte Anwälte, die schnell und zu fairen Konditionen helfen
Prävention: Die beste Verteidigung gegen Abmahnungen und Beschwerden ist eine korrekte, aktuelle Datenschutzerklärung. Investiere einmal 90 Minuten (mit der Checkliste oben) und prüfe sie dann vierteljährlich. Das ist deutlich günstiger als die Bearbeitung einer Abmahnung.
Zusammenfassung und Handlungsempfehlung
Du hast jetzt deine Datenschutzerklärung erstellt -- sehr gut. Aber die Datenschutzerklärung allein reicht nicht, wenn deine Website Cookies setzt. Im nächsten Beitrag zeigen wir dir, wie du ein Cookie-Banner und Consent-Management korrekt einrichtest. Bei Startup Burgenland unterstützen wir dich mit Vorlagen und Zugang zu Rechtsberatung, damit du von Anfang an sauber aufgestellt bist.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.