Als Websitebetreiber bist du rechtlich nicht erst dann „dran“, wenn du einen Online-Shop hast. Schon eine scheinbar einfache Seite mit Kontaktformular, eingebetteten Karten oder Tracking kann Pflichten auslösen – vor allem aus Datenschutzrecht (DSGVO), Telemedien-/Digitale-Dienste-Pflichten (Impressum), Wettbewerbsrecht und – seit 2025 besonders relevant – Barrierefreiheit für bestimmte Angebote.

Wichtig ist dabei nicht die Frage „Brauche ich irgendwas?“, sondern: Welche Pflichten gelten konkret für meinen Zweck und mein Setup – und wer ist davon betroffen? Genau das ist der rote Faden dieses Artikels.

Hinweis: Das ist eine praxisnahe Übersicht (keine Rechtsberatung). Für risikoreiche Setups (Tracking, US-Dienste, Shop) lohnt sich eine juristische Prüfung.

1) Impressum: Anbieterkennzeichnung sauber und leicht auffindbar

Worum geht’s?

Das Impressum sorgt dafür, dass Nutzer (und Behörden) eindeutig erkennen können, wer hinter einem Online-Auftritt steht und wie man dich rechtssicher kontaktieren kann. Es muss typischerweise leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein (praktisch: Footer-Link „Impressum“).

Wer muss das machen?

• Muss: Fast alle, die eine Website nicht rein privat betreiben – insbesondere Unternehmen, Selbständige, Agenturen, Praxen, Kanzleien, Vereine, Projekte mit Außenwirkung, viele Blogs mit dauerhaftem/öffentlichkeitswirksamem Zweck.
• Kann entfallen (Ausnahme): Wirklich rein private Seiten ohne Außenwirkung, ohne Werbung/Monetarisierung und ohne dauerhaft „geschäftsmäßigen“ Charakter. Das ist in der Praxis selten und sollte sehr kritisch geprüft werden.

Typische Pflichtangaben (je nach Rechtsform)

• Name/Firma, ladungsfähige Anschrift
• Kontakt (mindestens E-Mail; häufig zusätzlich Telefon empfehlenswert)
• Vertretungsberechtigte (z. B. Geschäftsführer)
• Registerangaben (HR/Vereinsregister) + Nummer (falls vorhanden)
• USt-ID (falls vorhanden)
• Bei reglementierten Berufen ggf. Kammer/Aufsichtsbehörde und berufsrechtliche Angaben

Häufige Fehler

• Postfach statt ladungsfähiger Anschrift
• Impressum nur im PDF, in Bildern oder schwer auffindbar
• Unvollständige Angaben bei Kapitalgesellschaften (Vertretung/Registernummer)

2) Datenschutzerklärung: Transparenz über Datenverarbeitung (DSGVO)

Worum geht’s?

Sobald du personenbezogene Daten verarbeitest, musst du transparent informieren. Auf Websites passiert das praktisch immer: Server-Logs, IP-Adresse, Kontaktanfragen, Einbettungen, Analyse-Tools, Newsletter etc.

Wer muss das machen?

• Muss: Nahezu jede Website, die nicht komplett „offline ohne Daten“ wäre (realistisch: fast alle).
• Besonders wichtig: Sobald du Tools einsetzt, die Daten an Dritte senden (Hosting-Dienstleister, Newsletter-Tools, Analyse-/Tracking-Tools, Karten, Videos, Chat-Widgets).

Was sollte in eine gute Datenschutzerklärung rein?

• Verantwortlicher + Kontakt
• Zwecke der Verarbeitung (z. B. Betrieb/Sicherheit, Kommunikation, Reichweitenmessung, Marketing)
• Rechtsgrundlagen (z. B. Vertrag, berechtigtes Interesse, Einwilligung)
• Empfänger / Dienstleister (Hosting, CDN, Newsletter, CRM, Zahlungsanbieter)
• Drittlandübermittlungen (z. B. USA) + Schutzmechanismen
• Speicherdauer / Kriterien
• Betroffenenrechte + Beschwerdemöglichkeit
• Hinweise zu Einwilligungen/Widerruf (und wie man Einstellungen ändert)

Häufige Fehler

• Tools sind eingebaut, aber nicht beschrieben
• Unklare Rechtsgrundlagen („Wir dürfen das halt“)
• Keine klare Widerrufs-/Opt-Out-Info bei Tracking/Marketing

3) Cookies & Consent: Wann brauchst du ein Cookie-Banner – und wann nicht?

Worum geht’s?

Rechtlich ist nicht der „Banner“ das Ziel, sondern die Einwilligung (Opt-in), wenn du nicht notwendige Technologien einsetzt, die Informationen auf dem Endgerät speichern/auslesen oder Nutzer über Websites hinweg wiedererkennen (Tracking, Marketing, viele Analytics-Setups).

Wer muss das machen?

• Muss (Consent nötig): Wenn du Tracking/Marketing/Retargeting einsetzt, personalisierte Werbung schaltest, Social-Pixel nutzt oder viele Analyse-Tools betreibst, die nicht strikt erforderlich sind.
• Kann ohne Consent auskommen: Bei technisch notwendigen Cookies/Technologien (z. B. Warenkorb, Login-Session, Sicherheits-/Load-Balancing, Consent-Speicher selbst).
  Aber: Auch dann brauchst du meist mindestens Transparenz (Datenschutzerklärung) – und je nach Tool trotzdem Consent.

Was ein professionelles Consent-Setup können sollte

• Vorab-Blockierung: zustimmungspflichtige Tools laden erst nach Opt-in
• Cookie Consent – „Ablehnen“ so leicht wie „Akzeptieren“
• Granularität (z. B. Statistik / Marketing / Externe Medien)
• Nachweis/Protokollierung (Consent-Log)
• Widerruf jederzeit (Footer-Link „Cookie-Einstellungen“)
• Keine „Zwangseinwilligung“ für Inhalte, die auch ohne Tracking nutzbar sein sollten (außer echte Cookie-Walls in sehr speziellen Fällen)

4) Google Analytics: Reichweitenmessung – aber nur mit sauberer Einbindung

Worum geht’s?

Google Analytics (z. B. GA4) ist ein Analyse-Tool zur Reichweitenmessung. Es verarbeitet dabei regelmäßig Nutzungsdaten, Endgeräte-Informationen und in vielen Konfigurationen auch Identifikatoren, die ein Tracking ermöglichen können. In der Praxis ist Analytics deshalb fast immer ein Consent-Thema und muss sehr sauber dokumentiert werden.

Wer muss das machen?

• Muss (Consent + Dokumentation): Jeder, der Google Analytics einsetzt, sollte in der Regel:
  
  1. Einwilligung vor Aktivierung einholen (Kategorie „Statistik/Analytics“),
  2. die Nutzung in der Datenschutzerklärung detailliert beschreiben,
  3. die Konfiguration datenschutzärmer gestalten (z. B. keine unnötigen Verknüpfungen/Signale),
  4. Dienstleister-/Vertragsdokumente (z. B. Auftragsverarbeitung) im Blick haben.
• Kann entfallen: Wer kein Analytics nutzt, braucht natürlich kein Analytics-Kapitel im Consent-Banner – aber Achtung: Viele Website-Builder/Plugins bringen „unsichtbar“ Statistikfunktionen mit.

Was du bei Google Analytics praktisch beachten solltest

• Vorher blocken: Analytics-Script darf erst nach Opt-in geladen werden.
• Saubere Zweckbeschreibung: In Banner und Datenschutzerklärung muss klar sein, wozu Daten verarbeitet werden (Reichweitenmessung, Produktoptimierung etc.).
• Konfiguration prüfen:
  
  • Keine unnötigen Werbefunktionen aktivieren, wenn du sie nicht brauchst.
  • Verknüpfungen (z. B. mit Google Ads) nur, wenn du dafür auch einen Marketing-Consent und passende Infos hast.
• Drittlandtransfer & Rollen klären: Bei internationalen Anbietern musst du die Datenflüsse und Rechtsgrundlagen im Blick haben.
• Alternative ohne Consent? „Consent-freies Analytics“ ist selten belastbar, weil die meisten Reichweitenmessungen eben nicht „notwendig“ sind. Wenn du unbedingt ohne Opt-in messen willst, sind datensparsame, selbst gehostete Lösungen oder serverseitige, streng anonymisierte Ansätze manchmal eher diskutierbar – aber auch das ist kein Automatismus und gehört sauber geprüft.

Typische Fehler

• Analytics läuft beim Seitenaufruf sofort (kein echtes Opt-in)
• „Statistik“ lässt sich nicht ablehnen oder ist versteckt
• Datenschutzerklärung erwähnt Analytics nur in einem Satz ohne Details

5) Google Fonts & andere „externe Ressourcen“: Kleine Einbindung, großer Effekt

Worum geht’s?

Wenn Ressourcen (Schriften, Bibliotheken, Icons) von externen Servern geladen werden, kann das zu Datenübermittlungen führen (mindestens IP-Adresse, Header-Infos). Das betrifft oft Google Fonts, CDNs, Skriptbibliotheken.

Wer muss das machen?

• Muss handeln: Jeder, der extern Ressourcen nachlädt, sollte prüfen:
  
  • Ist die externe Einbindung notwendig?
  • Brauche ich dafür Consent?
  • Ist lokale Einbindung möglich?
• Best Practice: Schriften und statische Assets lokal hosten (oder System-Fonts nutzen). Das reduziert Consent-/Datenschutzrisiko massiv.

Typische Fehler

• Fonts werden „unbemerkt“ über Themes/Builder nachgeladen
• Consent-Banner erwähnt Fonts/CDNs nicht, obwohl extern geladen wird

6) Externe Dienste: YouTube, Google Maps, Social Feeds, Chat-Widgets

Worum geht’s?

Embeds sind bequem – aber datenschutzrechtlich häufig heikel, weil beim Laden der Seite Daten an Drittanbieter fließen können (Tracking-IDs, Cookies, Geräteinfos). Bei vielen dieser Dienste ist Consent vor dem Laden das sicherere Standardmuster.

Wer muss das machen?

• Muss (meist Consent): Wer YouTube-Videos, Karten, Social-Feeds, Bewertungs-Widgets, Chat-Tools oder ähnliche Drittinhalte einbindet, sollte:
  
  • Inhalte erst nach Einwilligung laden (z. B. „2-Klick-Lösung“),
  • die Dienste in Datenschutzerklärung und Consent-Tool korrekt aufführen.
• Kann einfacher sein: Wenn du statt Embeds nur Links setzt oder datenschutzfreundliche Einbettungsvarianten nutzt.

Praxis-Tipp

„Externe Medien“ als eigene Consent-Kategorie ist häufig sinnvoll, weil Nutzer bewusst entscheiden können: „Video anzeigen“ vs. „ohne Tracking weiterlesen“.

7) Barrierefreiheit: Wann wird das Pflicht – und was bedeutet das?

Worum geht’s?

Seit 2025 ist Barrierefreiheit für Websites und bestimmte digitale Angebote nicht mehr nur Qualitätsmerkmal, sondern kann rechtlich verpflichtend sein – insbesondere bei Angeboten, die Verbraucher online nutzen, um Leistungen zu beziehen oder Verträge anzubahnen/abzuschließen.

Wer muss das machen?

• Typisch betroffen: Betreiber von B2C-E-Commerce und vergleichbaren Online-Dienstleistungen, bei denen Verbraucher digital zum Abschluss geführt werden (Shop, Buchung, Ticketing, Vertragsstrecken).
• Oft nicht betroffen: Reine Unternehmensseiten ohne Abschlussstrecke können außerhalb des Pflichtbereichs liegen – sollten aber trotzdem barrierearm gestaltet werden (Usability, SEO, Konversion).
• Ausnahmen möglich: Für sehr kleine Anbieter können Ausnahmen/Erleichterungen greifen (z. B. je nach Ausgestaltung als Kleinstunternehmen). Das sollte man konkret einordnen, weil es von Angebot und Unternehmensgröße abhängt.

Was du praktisch umsetzen solltest (typische Baustellen)

• Tastaturbedienbarkeit (Menüs, Modale, Formulare)
• Kontraste, Schriftgrößen, Fokus-Indikatoren
• Alternativtexte, sinnvolle Überschriftenstruktur
• Formular-Labels, Fehlermeldungen, verständliche Hinweise
• Barrierearme Checkout-/Buchungsprozesse

8) E-Commerce & Online-Verträge: Informationspflichten, Widerruf, Preisangaben

Worum geht’s?

Sobald du online an Verbraucher verkaufst oder Buchungen/Verträge anbietest, gelten zusätzliche Pflichten aus Verbraucherrecht. Das ist oft der Bereich, in dem Abmahnrisiken am schnellsten entstehen.

Wer muss das machen?

• Muss: Betreiber von Online-Shops, Buchungsstrecken, digitalen Dienstleistungen mit B2C-Abschluss.
• Meist nicht relevant: Reine Kontaktseiten ohne Bestellmöglichkeit (aber Achtung: „Angebot anfordern“ kann je nach Prozess trotzdem vorvertragliche Pflichten auslösen).

Typische Pflichten (Auszug)

• Widerrufsbelehrung + Muster-Widerrufsformular (B2C)
• Vollständige Preisangaben (inkl. Steuern, Versand, Zusatzkosten)
• Lieferzeiten/Leistungsbeschreibung
• „Button-Lösung“ (klarer Bestellbutton)
• Transparente Vertragsinfos (AGB, Checkout-Hinweise)

9) Wettbewerbsrecht, Werbung, Influencer/Affiliate: Kennzeichnung und Transparenz

Worum geht’s?

Sobald du Werbung machst – auch indirekt über Affiliate-Links oder gesponserte Inhalte – greift das Wettbewerbsrecht. Ziel: Verbraucher dürfen nicht getäuscht werden.

Wer muss das machen?

• Muss: Alle, die
  
  • Affiliate-Links setzen,
  • Sponsoring/Kooperationen haben,
  • Testimonials/Bewertungen einsetzen,
  • mit „Rabatt“, „nur heute“, „Testsieger“ etc. werben.
• Kann geringer sein: Rein private Inhalte ohne Monetarisierung – aber sobald Einnahmen/Promotion im Spiel sind, ist Kennzeichnung Pflichtmaßstab.

Häufige Fehler

• Affiliate-Links ohne klare Werbekennzeichnung
• „Kundenbewertungen“ ohne Herkunft/Prüfung transparent zu machen

10) Urheberrecht & Lizenzen: Bilder, Texte, Icons, Templates

Worum geht’s?

Websites sind schnell „zusammengebaut“ – aber jedes Bild, Icon, Stock-Video, Theme, Font und sogar manche Textbausteine haben Lizenzbedingungen.

Wer muss das machen?

• Muss: Jeder, der fremde Inhalte nutzt (also praktisch jeder).
• Besonders relevant: Agentur-Websites und Unternehmen, die viele Assets einkaufen/übernehmen.

Best Practices

• Lizenzen dokumentieren (Quelle, Lizenztyp, Nutzungsumfang)
• Urheberbenennung einhalten, wenn gefordert
• Vorsicht bei „kostenlosen“ Ressourcen: Bedingungen genau lesen

Der sichere Weg ist ein „Setup-Denken“, kein Textbaustein-Denken

Rechtssicherheit entsteht nicht dadurch, dass man irgendwo ein Impressum und eine Datenschutzerklärung „hinlegt“, sondern dadurch, dass Technik, Inhalte und Dokumentation zusammenpassen:

• Was lädt die Seite technisch wirklich nach?
• Welche Daten fließen wohin?
• Ist die Nutzerentscheidung (Consent) echt freiwillig und wirksam?
• Sind Pflichtinformationen aktuell und zur richtigen Zielgruppe passend?