Viele Unternehmer, die eine neue Website planen, fragen sich irgendwann das Gleiche: Wie kompliziert ist das eigentlich mit dem Datenschutz? Brauche ich wirklich einen Cookie Banner? Und was passiert, wenn irgendetwas fehlt?
Das Thema hat den Ruf, sperrig und angsteinflößend zu sein. Und das liegt oft daran, wie darüber geredet wird — mit Paragraphen, Abkürzungen und düsteren Warnungen. Dabei ist das Wesentliche gar nicht so schwer zu verstehen.
In diesem Artikel schauen wir uns an, was wirklich Pflicht ist, was die häufigsten Fehler sind — und was man mit überschaubarem Aufwand richtig machen kann. Kein Ersatz für rechtliche Beratung, aber eine solide Grundlage für alle, die wissen wollen womit sie es zu tun haben.
- Was ins Impressum gehört und wer es braucht
- Was eine Datenschutzerklärung enthalten muss
- Wann ein Cookie Banner Pflicht ist — und wann nicht
- Warum Google Fonts ein unterschätztes Datenschutz-Thema sind
- Was bei Verstößen wirklich passiert
- Eine Checkliste die man abhaken kann bevor eine Website live geht
Warum das Thema oft unterschätzt wird
Es gibt zwei verbreitete Haltungen gegenüber Website-Rechtlichem. Die eine: Es passiert schon nichts. Die andere: Es ist so kompliziert, da fängt man gar nicht erst an. Beide führen zum selben Ergebnis — einer Website, die rechtlich angreifbar ist.
Die Realität liegt in der Mitte. Ja, es gibt echte Risiken — Abmahnungen, Bußgelder, unangenehme Post vom Anwalt. Aber die meisten davon lassen sich mit überschaubarem Aufwand vermeiden. Die häufigsten Fehler sind keine Spezialfälle, sondern immer wieder dieselben vier oder fünf Punkte.
Schauen wir uns die der Reihe nach an.
Das Impressum: Wer es braucht und was reinmuss
Das Impressum ist die bekannteste Pflichtangabe — und trotzdem bei vielen Websites unvollständig oder schwer zu finden. Dabei ist die Grundregel recht klar.
Wer eine Website betreibt, die geschäftsmäßig genutzt wird, braucht ein Impressum nach §5 TMG. Das gilt für Gewerbetreibende, Freiberufler, GmbHs, UGs, Vereine — praktisch für alle, die mit ihrer Website irgendwie auf Kunden, Klienten oder Auftraggeber zielen. Eine reine Hobby-Website ohne geschäftlichen Zweck ist die Ausnahme, nicht die Regel.
Was ins Impressum gehört
| Angabe | Wer muss sie machen? |
|---|---|
| Vor- und Nachname oder Firmenname | Alle |
| Vollständige Anschrift (kein Postfach) | Alle |
| E-Mail-Adresse | Alle |
| Telefonnummer | Empfohlen, nicht zwingend |
| Handelsregisternummer | Eingetragene Unternehmen |
| Umsatzsteuer-ID oder Steuernummer | Gewerbetreibende |
| Zuständige Kammer / Aufsichtsbehörde | Freie Berufe (Arzt, Anwalt, etc.) |
Ein wichtiger Punkt, der oft vergessen wird: Das Impressum muss von jeder Unterseite der Website in maximal zwei Klicks erreichbar sein. Ein Link im Footer ist die übliche Lösung — und genau dort sucht es jeder zuerst.
Selbst wenn alles andere stimmt: Ein fehlendes oder verstecktes Impressum ist einer der häufigsten Abmahngründe. Es dauert 15 Minuten, das richtig einzurichten — und diese 15 Minuten lohnen sich.
Die Datenschutzerklärung: Was sie leisten muss
Sobald eine Website Daten von Besuchern verarbeitet, braucht sie eine Datenschutzerklärung. Das klingt abstrakt, aber es trifft auf fast jede Website zu — denn „Daten verarbeiten" bedeutet nicht nur Kontaktformulare.
Schon die IP-Adresse, die beim Aufruf einer Website automatisch an den Server übertragen wird, gilt technisch als personenbezogenes Datum. Wer also eine Website hat, die irgendwer aufruft, ist bereits dabei.
Worum es in der Datenschutzerklärung geht
Die Datenschutzerklärung erfüllt einen Zweck: Sie informiert Besucher darüber, wer ihre Daten verarbeitet, welche das sind, zu welchem Zweck und wie lange. Und sie erklärt welche Rechte der Nutzer hat — etwa das Recht auf Auskunft oder Löschung.
Was typischerweise darin stehen muss:
- Name und Kontakt des Verantwortlichen (das ist der Betreiber)
- Welche Daten gesammelt werden und auf welcher Rechtsgrundlage (Art. 6 DSGVO)
- Zweck und Dauer der Speicherung
- Alle eingesetzten Drittanbieter: Hosting, Analytics, Formulare, eingebettete Karten usw.
- Hinweis auf Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)
Ein Punkt der sich oft als Stolperfalle erweist: Wenn Sie ein neues Tool in Ihre Website einbinden — sei es ein Buchungssystem, ein Chat-Widget oder ein Video — muss das in der Datenschutzerklärung auftauchen. Wer das nicht aktualisiert, hat auf dem Papier eine Erklärung, die nicht mehr der Realität entspricht. Dazu gleich mehr im Abschnitt über externe Tools.
Hinweis: Datenschutzerklärungen aus Generatoren sind ein brauchbarer Ausgangspunkt — aber kein Selbstläufer. Sie müssen auf Ihre konkrete Situation angepasst sein. Was auf einer E-Commerce-Seite steht, passt nicht für eine Handwerker-Website. Was fehlt oder falsch ist, kann trotz Generator zu Problemen führen.
Google Analytics: Rechtssicher einbinden
Google Analytics ist das meistgenutzte Web-Analyse-Tool — und gleichzeitig das, das am häufigsten falsch eingebunden wird. Das liegt weniger an Nachlässigkeit als daran, dass die Anforderungen sich in den letzten Jahren geändert haben.
Das Grundproblem: Google Analytics überträgt Nutzerdaten an Google-Server. Je nach Einstellung auch in die USA — was seit dem Schrems-II-Urteil 2020 rechtlich sensibel ist. Mit Google Analytics 4 und dem sogenannten Consent Mode gibt es heute aber eine Möglichkeit, das datenschutzkonform zu handhaben.
Was man beachten sollte
- Consent Mode aktivieren: Analytics darf erst nach Zustimmung des Nutzers aktiv werden. Ohne Zustimmung werden nur anonymisierte Signale gesendet, keine personenbezogenen Daten.
- IP-Anonymisierung: In Google Analytics 4 ist das standardmäßig aktiv.
- Datenverarbeitungsvertrag: Google stellt einen sogenannten Auftragsverarbeitungsvertrag bereit, den man in den GA4-Einstellungen akzeptieren muss. Ohne diesen Vertrag ist die Einbindung rechtlich unvollständig.
- Datenschutzerklärung: Google Analytics muss dort namentlich erwähnt sein, inklusive Hinweis auf die Datenübertragung und wie man widersprechen kann.
Wer auf der sicheren Seite bleiben will, aber auf Analysedaten nicht verzichten möchte, kann auch datenschutzfreundlichere Alternativen wie Matomo (selbst gehostet) oder Plausible in Betracht ziehen. Beide kommen ohne Cookies aus und benötigen keinen Cookie Banner.
Google Fonts, Maps, YouTube: Die versteckten Stolperfallen
Externe Dienste auf einer Website einzubinden ist verlockend einfach — ein paar Zeilen Code, und die Karte zeigt den Standort, das Video läuft direkt auf der Seite, die Schrift sieht perfekt aus. Was dabei im Hintergrund passiert, übersehen viele.
Schauen wir uns die häufigsten an.
Google Fonts
Google Fonts ist die beliebteste Schriften-Bibliothek im Web. Der Standardweg ist, sie direkt von Googles Servern zu laden. Das hat einen Haken: Dabei wird die IP-Adresse des Besuchers an Google übertragen. Ein Münchner Gericht entschied 2022, dass das ohne Einwilligung gegen die DSGVO verstößt.
Die Lösung ist unkompliziert: die Schriften einmalig herunterladen und auf dem eigenen Server hosten. Dann verlässt keine IP-Adresse des Besuchers die eigene Website.
Google Maps
Eine eingebettete Google-Karte lädt beim Öffnen der Seite automatisch mehrere Google-Services — inklusive Tracking-Cookies. Ohne Einwilligung des Nutzers ist das problematisch.
Zwei Lösungsansätze: entweder die Karte erst nach einem Klick des Nutzers laden (sogenanntes „Two-Click-Verfahren"), oder stattdessen einen statischen Kartenausschnitt als Bild verwenden und auf Google Maps verlinken.
YouTube-Videos
Eingebettete YouTube-Videos setzen beim Laden der Seite sofort Cookies — unabhängig davon ob der Nutzer das Video abspielt oder nicht. YouTube bietet dafür eine sogenannte „nocookie"-Einbindung an (youtube-nocookie.com), die das Cookie-Verhalten einschränkt. Noch sauberer ist es, Videos erst nach Klick zu laden.
Weitere Tools
Das Gleiche Prinzip gilt für alle externen Dienste die auf einer Website eingebunden sind: Calendly, Typeform, Stripe, Intercom, Zendesk, ein Chat-Widget — all das überträgt Daten und gehört in die Datenschutzerklärung. Nicht weil man damit Böses im Schilde führt, sondern weil Nutzer das Recht haben zu wissen.
Was bei Verstößen passiert — realistisch betrachtet
Dieser Abschnitt soll nicht Angst machen, sondern ein realistisches Bild zeichnen. Denn beides ist falsch: zu denken, es passiert sowieso nichts — und zu denken, jeder kleine Fehler führt zur Katastrophe.
Abmahnungen
Abmahnungen durch Mitbewerber oder spezialisierte Abmahnvereine sind in Deutschland real und kommen vor. Die häufigsten Auslöser sind fehlendes oder unvollständiges Impressum, eine fehlende oder veraltete Datenschutzerklärung sowie Cookie Banner die keine echte Ablehnmöglichkeit bieten. Die entstehenden Kosten bewegen sich typischerweise zwischen einigen Hundert und mehreren Tausend Euro — abhängig vom Sachverhalt und ob ein Anwalt eingeschaltet wird.
Bußgelder durch Datenschutzbehörden
Die deutschen Datenschutzbehörden verhängen bei schwerwiegenden DSGVO-Verstößen Bußgelder. Für kleine Unternehmen und Selbstständige sind die bekannten Millionen-Bußgelder gegen Großkonzerne wenig relevant — aber auch kleinere Verfahren mit Bußgeldern im vier- bis fünfstelligen Bereich kommen vor.
Das Risiko lässt sich deutlich reduzieren wenn man die Grundlagen richtig macht: Impressum vollständig, Datenschutzerklärung aktuell, Cookie Banner mit echter Ablehnmöglichkeit, externe Tools ordentlich eingebunden. Das ist kein Hexenwerk — und es schützt vor den häufigsten Fallstricken.
Die Checkliste: Was jede Website braucht
Zum Abschluss das Wichtigste kompakt. Das sind die Punkte, die man vor dem Launch einer Website — oder beim Überprüfen einer bestehenden — durchgehen sollte.
Impressum vollständig nach §5 TMG, Datenschutzerklärung aktuell, AGB bei Verkäufen oder Verträgen über die Website.
HTTPS aktiv, Cookie Banner wenn Tracking-Cookies genutzt werden, Consent Mode korrekt implementiert bei Google Analytics.
Google Fonts lokal gehostet, Maps und Videos per Two-Click-Lösung, alle Drittanbieter in der Datenschutzerklärung aufgeführt.
| Punkt | Status |
|---|---|
| Impressum vorhanden & vollständig | ☐ prüfen |
| Impressum in max. 2 Klicks erreichbar (Footer) | ☐ prüfen |
| Datenschutzerklärung vorhanden & aktuell | ☐ prüfen |
| Alle eingesetzten Tools in der Datenschutzerklärung erwähnt | ☐ prüfen |
| HTTPS / SSL aktiv | ☐ prüfen |
| Cookie Banner mit Ablehnmöglichkeit (falls Tracking-Cookies) | ☐ prüfen |
| Consent Mode aktiv (falls Google Analytics) | ☐ prüfen |
| Datenverarbeitungsvertrag mit Google abgeschlossen | ☐ prüfen |
| Google Fonts lokal gehostet | ☐ prüfen |
| Google Maps / YouTube: Two-Click oder Nocookie-Einbindung | ☐ prüfen |
| Kontaktformular: Datenschutzhinweis vorhanden | ☐ prüfen |
Wer eine neue Website plant, dem empfehlen wir alle diese Punkte von Anfang an einzuplanen — es ist deutlich aufwändiger, eine bestehende Website nachträglich anzupassen als sie von Beginn an rechtssicher aufzubauen. Wie das konkret aussehen kann und was dabei zu beachten ist, erklären wir in: Website erstellen lassen: Was kostet das wirklich in 2026?
Häufige Fragen
Brauche ich als Freelancer oder Selbstständiger ein Impressum?
Ja. Wer eine Website geschäftsmäßig betreibt — also auch als Freelancer, Handwerker oder Freiberufler — braucht ein vollständiges Impressum nach §5 TMG. Das gilt unabhängig davon ob man aktiv etwas verkauft. Auch eine reine Visitenkarten-Website die Kunden gewinnen soll, fällt darunter.
Ist ein Cookie Banner immer Pflicht?
Nein. Ein Cookie Banner ist nur dann notwendig wenn Ihre Website Cookies setzt, die über das technisch Notwendige hinausgehen — also z.B. Tracking-Cookies (Google Analytics) oder Marketing-Cookies (Facebook Pixel). Rein technisch notwendige Cookies benötigen keine Einwilligung.
Was passiert wenn meine Website kein Impressum hat?
Ein fehlendes Impressum ist eine Ordnungswidrigkeit nach §16 TMG und kann zu Abmahnungen durch Mitbewerber oder Abmahnvereine führen. Die entstehenden Kosten können je nach Fall mehrere Hundert bis einige Tausend Euro betragen. Das lässt sich leicht vermeiden — das Impressum richtig einzurichten dauert 15 Minuten.
Darf ich Google Fonts von Google-Servern laden?
Das ist rechtlich umstritten. Ein Münchner Gericht hat 2022 entschieden, dass das Laden von Google Fonts über Google-CDN ohne Einwilligung des Nutzers gegen die DSGVO verstößt, weil dabei die IP-Adresse übertragen wird. Die sichere Lösung: Schriften lokal auf dem eigenen Server hosten.
Wie oft muss ich die Datenschutzerklärung aktualisieren?
Immer wenn sich etwas ändert: ein neues Tool wird eingebunden, ein altes entfernt, oder es gibt gesetzliche Änderungen. Es gibt keine feste Pflichtfrist — aber eine veraltete Datenschutzerklärung die nicht mehr mit der Realität übereinstimmt, ist ein echtes Risiko. Einmal im Jahr durchschauen ist eine gute Gewohnheit.
Fazit: Rechtssicherheit ist kein Hexenwerk
Das Thema hat einen schweren Ruf — aber wie so oft steckt dahinter mehr Angst als tatsächliche Komplexität. Die wesentlichen Punkte lassen sich in ein paar Stunden richtig einrichten. Und wer das einmal getan hat, muss es nur noch aktuell halten.
- Impressum vollständig, gut erreichbar
- Datenschutzerklärung die die Realität der Website widerspiegelt
- Cookie Banner der echte Wahlfreiheit bietet — wenn Tracking im Einsatz ist
- Externe Tools bewusst eingebunden: Fonts lokal, Maps und Videos mit Two-Click
- Google Analytics nur mit Consent Mode und Datenverarbeitungsvertrag
Wer seine Website neu erstellt oder grundlegend überarbeitet, hat die beste Gelegenheit das von Anfang an richtig zu machen. Wie der gesamte Prozess vom Konzept bis zur fertigen Website aussieht, zeigt unser Artikel über die realen Kosten einer Website. Und welche Seite für welches Ziel sinnvoller ist — Landingpage oder vollständige Website — das klären wir dort.
Wir bauen Websites, die nicht nur gut aussehen und konvertieren — sondern auch DSGVO-konform, mit Consent Mode, lokal gehosteten Fonts und vollständigen Pflichtangaben. Kein nachträgliches Flicken.
