Website Security

Rechtssicheres Impressum & Datenschutz für Ihre Website

Andreas Straub • 05. Feb. 2026

10 Min. Lesezeit

Ein korrektes Impressum und sauber umgesetzter Datenschutz sind Pflicht für jede Website. Dieser Artikel zeigt, worauf es ankommt und wie Websites von Anfang an rechtssicher aufgebaut werden.
Person arbeitet am Laptop und berührt ein leuchtendes Schildsymbol, das rechtssichere Anbieterkennzeichnung und Datenschutz auf einer Website darstellt

Inhaltsverzeichnis

Das Wichtigste in Kürze

  • Impressum ist Pflicht: Geschäftlich genutzte Websites brauchen eine vollständige Anbieterkennzeichnung nach §5 DDG, seit Mai 2024 die Nachfolgenorm des alten §5 TMG.
  • Datenschutz ab dem ersten Formular: Sobald personenbezogene Daten verarbeitet werden, greift die Informationspflicht nach Art. 13 DSGVO.
  • Cookies nur mit Einwilligung: Tracking- und Marketing-Cookies setzen eine vorherige Einwilligung nach §25 TDDDG voraus.
  • Bußgelder sind real: Verstöße gegen die DSGVO-Informationspflichten fallen in die obere Bußgeldstufe von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (Art. 83 DSGVO).

Ein rechtssicheres Impressum und eine saubere Datenschutzerklärung sind keine Kür. Sie sind gesetzliche Pflicht für nahezu jede geschäftlich genutzte Website. Die Grundlage liefert seit Mai 2024 das Digitale-Dienste-Gesetz, das in §5 DDG die früheren Vorgaben des Telemediengesetzes übernommen hat. Wer hier schludert, riskiert Abmahnungen und Bußgelder. Dieser Beitrag zeigt, welche Angaben verpflichtend sind, wann eine Datenschutzerklärung greift und wo die teuren Fallen liegen.

Bei einer neuen Website steht meist das Design im Vordergrund. Optik und Nutzerführung sind wichtig, keine Frage. Über Erfolg oder Risiko entscheiden aber zwei rechtliche Bausteine, die selten Aufmerksamkeit bekommen: die Anbieterkennzeichnung und der Umgang mit personenbezogenen Daten. Beide sind unsichtbar, bis etwas schiefgeht. Dann werden sie sehr sichtbar und teuer.

Was muss ein rechtssicheres Impressum nach §5 DDG enthalten?

Ein rechtssicheres Impressum muss klar benennen, wer hinter einer Website steht. Die Pflichtangaben regelt §5 DDG, seit dem 14. Mai 2024 die Nachfolgenorm des oft noch zitierten §5 TMG. Das Telemediengesetz wurde abgelöst, der Inhalt der Pflicht blieb nahezu gleich. Viele Vorlagen im Netz hinken hier hinterher.

Diese Pflichtangaben gehören ins Impressum

Zur Anbieterkennzeichnung gehören Name beziehungsweise Firma samt Rechtsform, eine ladungsfähige Anschrift und schnelle Kontaktmöglichkeiten. Ein Postfach reicht nicht. Eine E-Mail-Adresse ist Pflicht, dazu ein zweiter, schneller Weg wie eine Telefonnummer. Je nach Unternehmensform kommen Registereintrag, Registernummer und die Umsatzsteuer-Identifikationsnummer nach §27a UStG hinzu.

Reglementierte Berufe haben zusätzliche Pflichten. Ärztinnen, Anwälte, Architekten oder Steuerberater müssen Kammer, Berufsbezeichnung und zuständige Aufsichtsbehörde angeben. Bei journalistisch-redaktionellen Angeboten ist außerdem ein Verantwortlicher nach §18 Abs. 2 MStV zu benennen. Klingt nach Detailarbeit. Ist es auch.

Erreichbarkeit: zwei Klicks, zwei Kanäle

Auch die Erreichbarkeit ist genau geregelt. Das Impressum muss eine unmittelbare und effiziente Kontaktaufnahme ermöglichen. Eine reine E-Mail-Adresse reicht der Rechtsprechung oft nicht, weil sie keine schnelle Rückmeldung garantiert. Ein zweiter Kanal, etwa Telefon oder ein zeitnah bearbeitetes Kontaktformular, schließt diese Lücke. Wichtig ist außerdem, dass das Impressum von jeder Seite aus mit höchstens zwei Klicks erreichbar und klar als solches bezeichnet ist. Versteckte Links oder unklare Bezeichnungen wie "Info" genügen der Pflicht nicht.

Aus zahlreichen Mittelstands-Projekten bei Evelan weiß ich, dass gerade die ladungsfähige Anschrift und der zweite Kontaktweg regelmäßig fehlen. Beides ist leicht angreifbar.

Warum kopierte Vorlagen riskant sind

Ein verbreiteter Irrtum: Das Impressum sei mit Name und E-Mail erledigt. Tatsächlich richtet sich der Umfang nach Rechtsform und Tätigkeit. Eine Einzelunternehmerin braucht weniger Angaben als eine GmbH mit Handelsregistereintrag. Ein Online-Shop hat andere Pflichten als ein reiner Firmenauftritt. Wer Inhalte aus einem anderen Projekt kopiert, übernimmt fast immer Angaben, die nicht passen, und vergisst solche, die fehlen. Genau das macht das Impressum angreifbar.

Die folgende Tabelle fasst die zentralen Pflichtangaben nach §5 DDG zusammen und zeigt, für wen sie jeweils gelten.

Pflichtangabe / Gilt für

Pflichtangabe
Name oder Firma plus Rechtsform
Gilt für
Alle geschäftlichen Anbieter
Pflichtangabe
Ladungsfähige Anschrift, kein Postfach
Gilt für
Alle geschäftlichen Anbieter
Pflichtangabe
E-Mail plus schnelle Kontaktmöglichkeit
Gilt für
Alle geschäftlichen Anbieter
Pflichtangabe
Vertretungsberechtigte Person
Gilt für
Juristische Personen wie GmbH oder UG
Pflichtangabe
Handels- oder Vereinsregister plus Registernummer
Gilt für
Eingetragene Unternehmen und Vereine
Pflichtangabe
Umsatzsteuer-Identifikationsnummer nach 27a UStG
Gilt für
Anbieter mit USt-IdNr
Pflichtangabe
Kammer, Berufsbezeichnung, Aufsichtsbehörde
Gilt für
Reglementierte Berufe
Pflichtangabe
Verantwortlicher nach 18 Abs. 2 MStV
Gilt für
Journalistisch-redaktionelle Angebote

Wer eine neue Website plant, sollte diese Punkte früh klären. Bei unseren Website-Projekten prüfen wir die Pflichtangaben passend zur Rechtsform und Branche, statt eine Standardvorlage einzusetzen.

Wann braucht eine Website eine Datenschutzerklärung?

Eine Datenschutzerklärung wird fällig, sobald personenbezogene Daten verarbeitet werden. Die Informationspflicht ergibt sich aus Art. 13 DSGVO. In der Praxis ist das fast immer der Fall. Schon ein Kontaktformular, Server-Logfiles oder die IP-Adresse beim Seitenaufruf genügen.

Wann personenbezogene Daten entstehen

Personenbezogene Daten entstehen früher, als viele denken. Newsletter-Anmeldung, eingebettete Karten, Schriftarten von Drittservern, Analyse-Tools, Social-Media-Buttons: All das verarbeitet Daten. Jede dieser Funktionen braucht eine eigene Bewertung und einen passenden Abschnitt in der Datenschutzerklärung.

Schon der bloße Aufruf einer Seite löst eine Verarbeitung aus. Der Server speichert die IP-Adresse, den Zeitpunkt und den verwendeten Browser. Diese Logfiles sind technisch sinnvoll, etwa zur Abwehr von Angriffen, aber rechtlich relevant. Auch sie gehören in die Datenschutzerklärung, mit Angabe von Zweck, Rechtsgrundlage und Speicherdauer. Wer hier nur die offensichtlichen Formulare beschreibt, hat die Erklärung schon unvollständig gemacht.

Grafik zeigt digitale Akte, Browserfenster und Schild mit Häkchen vor dunklem Hintergrund.

Was in die Datenschutzerklärung gehört

Die Erklärung muss verständlich darlegen, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet werden. Pflicht sind außerdem Angaben zu Speicherdauer, Empfängern und den Rechten der Betroffenen. Dazu zählen Auskunft, Berichtigung, Löschung und Widerspruch. Eine kopierte Vorlage deckt diese Punkte selten vollständig ab.

In Projekten mit B2B-Kunden sehe ich regelmäßig Datenschutzerklärungen, die ein Tool beschreiben, das längst getauscht wurde. Genau diese Lücke zwischen Text und Technik ist der teure Fehler. Eine gut gepflegte Website hält beides synchron.

Externe Dienste und laufende Pflege

Besonders anspruchsvoll wird es bei externen Diensten. Ein Kartendienst überträgt schon beim Laden Daten an einen Drittanbieter, oft in Länder außerhalb der EU. Webfonts, Videoeinbettungen und Social-Media-Plugins funktionieren genauso. Jede dieser Übertragungen braucht eine Rechtsgrundlage und einen Hinweis in der Datenschutzerklärung. Fehlt er, liegt schnell ein Verstoß gegen die Informationspflicht vor.

Auch die Pflege gehört dazu. Eine Datenschutzerklärung ist kein einmaliges Dokument. Sie altert mit jedem neuen Tool, jeder Funktionserweiterung und jeder Gesetzesänderung. Wer sie einmal schreibt und dann vergisst, hat nach einem Jahr oft ein Dokument, das die Realität der Website nicht mehr abbildet.

Welche Rolle spielen Cookies und Einwilligung?

Cookies, die nicht technisch zwingend nötig sind, dürfen erst nach aktiver Einwilligung gesetzt werden. Das schreibt §25 TDDDG vor, die Nachfolgenorm des früheren TTDSG. Für Analyse-, Marketing- und Tracking-Cookies bedeutet das: kein Setzen vor der Zustimmung.

Ein technisch wirksamer Cookie-Banner

Ein Cookie-Banner muss daher technisch korrekt funktionieren, nicht nur optisch. Lädt ein Analyse-Skript schon vor dem Klick auf "Akzeptieren", ist die Einwilligung wertlos. Voreingestellte Häkchen sind unzulässig. Ablehnen muss genauso einfach sein wie Zustimmen.

Das ist der Punkt, an dem viele Banner durchfallen. Sie sehen sauber aus, feuern die Skripte aber trotzdem sofort ab. Wir binden Tracking- und Marketing-Tools deshalb so ein, dass sie erst nach der Einwilligung starten.

Banner und Datenschutzerklärung gehören zusammen

Wichtig ist die Trennung zwischen Cookie-Einwilligung und Datenschutzerklärung. Das eine ersetzt das andere nicht. Der Banner regelt, ob ein nicht zwingend nötiges Cookie überhaupt gesetzt werden darf. Die Datenschutzerklärung erklärt darüber hinaus, welche Daten anschließend wie verarbeitet werden. Beide Ebenen müssen vorhanden sein und zueinander passen. Ein Banner ohne passende Erklärung ist genauso lückenhaft wie eine Erklärung ohne wirksamen Banner.

Was kostet ein fehlerhaftes Impressum oder ein DSGVO-Verstoß?

Die Bandbreite reicht von der Abmahnung bis zum Bußgeld in Millionenhöhe. Verstöße gegen die Informationspflichten nach Art. 13 DSGVO fallen in die obere Bußgeldstufe: bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 DSGVO). Das ist die gesetzliche Obergrenze, nicht der Regelfall.

Die Abmahnung trifft den Mittelstand häufiger

Häufiger als das Bußgeld trifft kleine und mittlere Betreiber die Abmahnung. Fehlende oder unvollständige Impressen zählen zu den häufigsten Abmahngründen im deutschen Wettbewerbsrecht. Eine einzige Abmahnung verursacht Anwaltskosten, Unterlassungserklärungen und im Wiederholungsfall Vertragsstrafen.

Der Ablauf ist für Betroffene unangenehm. Ein Mitbewerber, eine Verbraucherzentrale oder ein Verband stellt den Verstoß fest und schickt ein anwaltliches Schreiben. Darin wird eine strafbewehrte Unterlassungserklärung gefordert, dazu die Erstattung der Anwaltskosten. Wer unterschreibt, ist gebunden. Jeder erneute Verstoß löst dann eine Vertragsstrafe aus, oft im vierstelligen Bereich. Wer nicht reagiert, riskiert eine einstweilige Verfügung mit weiteren Kosten. In beiden Fällen ist der Aufwand deutlich höher als der Aufwand für eine saubere Vorbereitung.

Der zweite Schaden: verlorenes Vertrauen

Neben den direkten Kosten gibt es einen zweiten Schaden, der schwerer zu beziffern ist: den Vertrauensverlust. Eine Website, die ihre Daten transparent erklärt und klar benennt, wer dahintersteht, wirkt seriös. Besucher füllen eher ein Formular aus oder stellen eine Anfrage. Fehlt diese Klarheit, entsteht Unsicherheit, auch wenn niemand abmahnt. Rechtssicherheit ist insofern nicht nur Schutz, sondern auch ein Conversion-Faktor.

Hinzu kommt der Zeitdruck. Abmahnungen setzen oft kurze Fristen, manchmal nur wenige Tage. Wer dann erst einen Anwalt sucht, gerät schnell unter Stress und trifft unter Druck schlechtere Entscheidungen. Eine saubere Vorbereitung verschiebt diesen Aufwand an eine Stelle, an der genug Zeit zum Nachdenken bleibt.

Der Aufwand für eine saubere Lösung steht in keinem Verhältnis zum Risiko. Ein korrektes Impressum ist in wenigen Stunden erstellt. Eine Abmahnung kostet Geld, Nerven und Zeit, und im Wiederholungsfall bleibt die Vertragsstrafe dauerhaft eine Belastung.

Geschäftsmann tippt auf einem Laptop mit einem Schildsymbol für Sicherheit auf dem Bildschirm

Wie oft müssen Impressum und Datenschutzerklärung aktualisiert werden?

Es gibt keine feste Frist, aber einen klaren Auslöser: jede Änderung an Daten oder Technik. Sobald sich die Rechtsform ändert, ein neues Tool dazukommt oder ein Dienstleister wechselt, müssen die Texte angepasst werden. Das gilt auch rückwirkend, wenn Gesetze sich ändern, wie beim Wechsel von TMG zu DDG.

Zwei Anlässe für ein Update

In der Praxis bedeutet das zwei Anlässe. Erstens jedes konkrete Ereignis, etwa eine neue Funktion oder ein Umzug. Zweitens eine regelmäßige Routinekontrolle, idealerweise einmal jährlich. Dabei wird geprüft, ob die beschriebenen Tools noch aktiv sind, ob neue hinzugekommen sind und ob die Rechtslage sich verändert hat.

Gerade die schleichenden Änderungen werden übersehen. Ein Marketing-Team bindet ein neues Tracking-Pixel ein, ohne dass jemand die Datenschutzerklärung anfasst. Wochen später passt der Text nicht mehr zur Realität. Wer Verantwortlichkeiten klar verteilt, vermeidet diese Lücke. Bei laufender Betreuung übernehmen wir diese Kontrolle und ziehen die Texte nach, sobald sich an der Website etwas ändert.

Warum macht die professionelle Umsetzung den Unterschied?

Impressum, Datenschutz und Cookie-Themen wirken einfach, gehören aber zu den häufigsten rechtlichen Schwachstellen einer Website. Schon eine vergessene Pflichtangabe oder ein falsch eingebundenes Tool genügt für eine Abmahnung. Gesetze ändern sich, die Umbenennung von TMG zu DDG und von TTDSG zu TDDDG zeigt das deutlich.

Drei Bausteine, eine Lösung

Wir betrachten diese drei Bereiche als zusammenhängende Bausteine. Das Impressum wird passend zur Rechtsform erstellt. Die Datenschutzerklärung spiegelt exakt die eingesetzten Tools. Der Cookie-Banner holt Einwilligungen technisch wirksam ein. Ändert sich ein Tool, wird der Text mitgezogen.

Der Hebel liegt im Timing

Der größte Hebel liegt im Timing. Werden Impressum und Datenschutz erst kurz vor dem Launch erstellt, passen sie selten zur fertigen Technik. Wir klären die Pflichtangaben und die eingesetzten Tools deshalb früh im Projekt, parallel zur Entwicklung. So entsteht keine Lücke zwischen dem, was die Website tut, und dem, was sie darüber aussagt.

Für Sie heißt das vor allem eines: Entlastung. Sie müssen sich nicht durch Gesetzestexte arbeiten. Unsere Webdesign-Agentur in Hamburg übernimmt die rechtlich saubere Umsetzung von Anfang an und hält sie aktuell.

Aus dem Evelan-Alltag

Eine norddeutsche Autovermietung kam mit einer veralteten Website zu uns. Online-Buchung war geplant, dazu eine Reihe externer Dienste: Kartendienst für die Stationen, ein Zahlungsdienstleister und mehrere Analyse-Tools. Das alte Impressum nannte nur eine E-Mail, der Datenschutz beschrieb kein einziges dieser Werkzeuge.

Wir haben die Anbieterkennzeichnung nach §5 DDG vervollständigt, die Datenschutzerklärung an jede eingebundene Drittanwendung angepasst und den Cookie-Banner so verdrahtet, dass Zahlungs- und Analyse-Skripte erst nach Einwilligung starten. Das Ergebnis: eine Buchungsstrecke, die sauber Daten verarbeitet, ohne dass die Betreiber bei jedem neuen Tool selbst nachjustieren müssen. Kein Relaunch nötig, nur eine rechtlich tragfähige Basis.

Fazit: Rechtssicheres Impressum als Grundlage jeder seriösen Website

Ein vollständiges Impressum nach §5 DDG und eine zu den Funktionen passende Datenschutzerklärung sind die rechtliche Basis jeder geschäftlichen Website. Sie schützen vor Abmahnungen und Bußgeldern und schaffen Vertrauen bei Besuchern. Wer beides von Anfang an mitdenkt, baut auf festem Grund. Wer es nachträglich flickt, zahlt meist drauf. Impressum, Datenschutz und Cookie-Einwilligung greifen nur dann zuverlässig ineinander, wenn Text und Technik zusammenpassen und gepflegt werden.

Dieser Beitrag bietet allgemeine Informationen zur Rechtslage und ersetzt keine Rechtsberatung im Einzelfall. Für eine verbindliche Prüfung Ihrer konkreten Situation wenden Sie sich bitte an eine auf IT- und Datenschutzrecht spezialisierte Anwaltskanzlei.

Häufig gestellte Fragen

Rein private Seiten ohne geschäftlichen Zweck brauchen kein vollständiges Impressum nach §5 DDG. Sobald jedoch eine geschäftsmäßige Absicht erkennbar ist, etwa durch Werbung, Affiliate-Links oder ein gewerbliches Angebot, greift die Impressumspflicht. Die Abgrenzung ist im Zweifel eng auszulegen.

Verwandte Evelan-Artikel

Quellen

Website Security

Neueste Beiträge

Marketing-Manager analysiert Online-Marketing-KPIs am Laptop, daneben Notizen zu Kanal-Mix und Strategie

Online Marketing Leitfaden: Strategie, Website, Daten

Andreas Straub • 10. Mai 2026

Online Marketing

Eine starke Online-Marketing-Strategie funktioniert nur, wenn alle Maßnahmen an einem Ort zusammenlaufen: der eigenen Website. Erfahre, warum eine professionelle Website heute das wichtigste Marketinginstrument ist.

Mehr lesen

Mann und Frau analysieren KPI-Diagramme und Marketing-Kennzahlen gemeinsam an einem Laptop am Schreibtisch.

KPI im Online-Marketing: Die wichtigsten Kennzahlen 2026

Andreas Straub • 10. Mai 2026

Online Marketing

Online Marketing ist nur dann erfolgreich, wenn Ergebnisse messbar sind. Dieser Artikel zeigt, welche KPI im Online Marketing entscheidend sind, warum eine klare Online Marketing Strategie notwendig ist.

Mehr lesen

Mann und Frau in Business-Kleidung diskutieren mit Laptop, Diagramme im Hintergrund

Marketing-Budget richtig planen: Leitfaden für B2B-KMU

Andreas Straub • 05. Mai 2026

Online Marketing

Viele Unternehmen verbrennen Marketing-Budget, weil sie Werbung schalten, ohne ihre Website zu optimieren. Das Ergebnis: viel Traffic, wenig Anfragen. In diesem Blog zeigen wir, wie Sie Ihr Marketing-Budget planen

Mehr lesen