Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Datenschutz erfordert Transparenz. Im Fall von Webseiten zum Beispiel darf die Datenschutzerklärung nicht fehlen. Alleine das Vorhandensein reicht aber nicht, die Privacy Policy muss auch vollständig und aktuell sein. Hieran mangelt es bei vielen Unternehmen.
Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen. Man muss sie dauerhaft aktuell halten.
(Bild: peterschreiber.media - stock.adobe.com)
Was macht viel Arbeit, obwohl den Text kaum einer lesen wird? Für viele Unternehmen liegt die Antwort auf der Hand, es ist die Datenschutzerklärung, die bei der Website der Firma nicht fehlen darf.
Man findet zwar immer noch Websites, die gar keine Privacy Policy vorweisen können, aber im Prinzip ist die Datenschutzerklärung bei Webseiten inzwischen nahezu Standard, im Gegensatz zu mobilen Apps, die ebenfalls eine Datenschutzerklärung benötigen, aber noch deutlich häufiger darauf „verzichten“.
Tatsächlich sind Datenschutzerklärungen bei vielen Webseiten wirklich Standard, es sind nämlich Standarddatenschutzerklärungen. Man nimmt also ein Muster aus dem Internet und glaubt dann, diese Privacy Policy genüge den Anforderungen. Selbst wenn das Gefühl aufkommt, eine solche Standarderklärung könne zu wenig sein, ändert man nichts daran. Immerhin macht dies viel Aufwand, und es liest ja keiner.
Da kann man sich aber irren. Datenschutzerklärungen lassen sich automatisiert einer Vorkontrolle unterziehen, die dann auf übliche Musterformulierungen hinweist. Wenn eine Aufsichtsbehörde für den Datenschutz eine solche Prüfung startet, kann dies schnell zu Ärger führen und auch Sanktionen nach sich ziehen.
Vorsicht vor Standarderklärungen, die nicht angepasst werden
Das Bayerische Landesamt für Datenschutzaufsicht sagt ganz klar: Es gibt kein allgemein gültiges Muster für eine Datenschutzerklärung, weil jede Website unterschiedliche Funktionen hat. Wer jetzt daran denkt, bisher ein Muster genutzt und keine Anpassungen vorgenommen zu haben, sollte sich umgehend an seine Datenschutzerklärung machen.
Aber auch individuell erstellte Datenschutzerklärungen sind nicht „in Stein gemeißelt“. Es gibt viele Gründe, warum man seine Privacy Policy regelmäßig prüfen und aktualisieren muss. Hier empfiehlt sich ein Prozess im Unternehmen, der zum Beispiel bei Implementierung neuer Web-Funktionen immer auch die Datenschutzerklärung ins Blickfeld rückt.
Ein Beispiel für eine neue Funktion, die schnell vergessen wird: Die Webseite ist dank Internet überall erreichbar. Wenn man nun Kunden in einen Land ansprechen will, in dem man bisher nicht aktiv war, erstellt man passende Webinhalte in der jeweiligen Sprache. Dann sollte man aber auch nicht vergessen zu prüfen, ob es auch eine Übersetzung der Datenschutzerklärung gibt.
Andernfalls kann dies hohe Bußgelder nach sich ziehen, insbesondere wenn man einen Online-Dienst auch für Kinder anbietet und dann nur eine Datenschutzerklärung in Englisch anbietet, nicht aber in der Landessprache. Das durfte TikTok erleben, als die zuständige Aufsicht in den Niederlanden aktiv wurde, weil es keine Datenschutzerklärung in der Landessprache gab.
Neue Tracking-Verfahren? Privacy Policy nicht vergessen
Werden neue Dienste von Dritten eingebunden, andere Cookies genutzt oder neue Verfahren für ein Online-Tracking eingeführt, dann fordert die Datenschutz-Grundverordnung, dass sich dies auch in einer entsprechend angepassten Datenschutzerklärung wiederfindet.
Die Datenschutzaufsichtsbehörden berichten allerdings: In der Praxis fallen regelmäßig Webseiten und Apps auf, in deren Bannern zur Einwilligungsabfrage andere Informationen enthalten sind als in der Datenschutzerklärung, insbesondere andere Rechtsgrundlagen, andere Drittanbieter, andere Zwecke.
Was bei den sogenannten Cookie-Bannern ebenfalls falsch gemacht wird: Der Zugriff auf Impressum und Datenschutzerklärung darf durch das Einwilligungsbanner nicht behindert werden. Es geht also nicht, dass man zwar eine Datenschutzerklärung auf der Website hat, dann diese aber gut versteckt, entweder durch falsche Platzierung des Links zur Datenschutzerklärung oder durch ein Cookie-Banner, das sich über den Link zur Datenschutzerklärung legt.
Hinweise auf Newsletter, Videos & Co dürfen nicht fehlen
Wenn man als Unternehmen einen Newsletter anbieten möchte und entsprechend das Abonnieren des neuen Newsletters über die Website anbieten will, dann muss auch der Newsletter in der Datenschutzerklärung genannt sein.
Zu beschreiben ist, zu welchem Zweck die Daten bei der Newsletter-Bestellung verarbeitet werden, welche Daten wo gespeichert werden sollen, welche Rechtsgrundlage für die Datenverarbeitung besteht, ob die Newsletter-Anmeldedaten an Dritte weitergegeben werden sollen, an wen und zu welchem Zweck, wie lange die Daten gespeichert, wann sie also gelöscht werden sollen. Zudem muss geklärt sein, wie man zum Beispiel seine Zustimmung widerrufen kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn man nun denkt, man hat doch nur eine Website, ohne Zusatzfunktionen wie eine Anmeldung zum Newsletter oder ein Kontaktformular, sollte man aber nicht glauben, man kann auf eine Datenschutzerklärung verzichten.
Die Aufsichtsbehörden begründen dies so, dass die Nutzerinnen und Nutzer wenigstens über den Verantwortlichen und über die Betroffenenrechte informiert werden müssen. Der Datenschutz ist eben auch dann zu beachten, denn bei dem Besuch der Website fallen Informationen an, wie z. B. IP-Adressen, MAC-Adressen, Werbe-IDs oder sonstige Geräte-Identifikationsnummern. Diese gelten als personenbezogene Daten, weil sie Rückschluss auf einen konkreten Nutzer ermöglichen. Aus diesem Grund sind die Pflichten der DSGVO zu beachten, so der Hinweis der Aufsicht.
Es zeigt sich: Es reicht nicht, einmal eine Datenschutzerklärung zu erstellen, sondern man muss sie aktuell halten. Neue Sprachversionen, neue Webfunktionen, neue Dienste von Dritten, neue Tracking-Verfahren, das sind Beispiele, warum ein Update der Privacy Policy zur Pflege und Weiterentwicklung der Website immer dazu gehört. Selbst die beste Mustererklärung reicht zudem nicht, sie ist weder angepasst an das Unternehmen, noch kann sie auf Dauer aktuell sein.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/58/6b/586b015e29ceb53f18004b5628be486b/0128339562v2.jpeg "Um Datenschutz zu gewährleisten braucht es weit mehr, als ein hübsches Cookie-Banner zu schalten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/49/15/491526396c84a7c0a953767b933eaeb5/0125189237v1.jpeg "Laut Sicherheitsforschern nutzen Meta (Facebook) und Yandex eine Lücke in Androids Sicherheitsarchitektur aus, um Web- und App-Identitäten heimlich zusammenzuführen und so detaillierte Surf-Profile zu erstellen. (Bild: © Art_spiral - stock.adobe.com)")