Impressum & Datenschutz 2026: Die komplette Checkliste für Websites

Abmahnungen wegen fehlerhaftem Impressum oder unvollständiger Datenschutzerklärung kosten 500–5.000€ pro Fall. Manche Anwaltskanzleien haben daraus ein Geschäftsmodell gemacht. Der beste Schutz: Alles von Anfang an richtig machen.

Dieser Guide ist die vollständige Checkliste für deutsche Websites — kein juristisches Fachwissen nötig, aber danach weißt du genau was auf deine Website muss. Wichtiger Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei Unsicherheiten einen Anwalt konsultieren.

Impressum nach TMG §5: Was rein muss

Jede geschäftsmäßige Website in Deutschland braucht ein Impressum. Geschäftsmäßig heißt nicht nur Online-Shop — auch die Website eines Freelancers, Handwerkers oder Vereins fällt darunter. Nur rein private Seiten sind ausgenommen.

Pflichtangaben nach TMG §5:

• Vollständiger Name des Betreibers (bei Einzelunternehmen: Vor- und Nachname)
• Rechtsform bei juristischen Personen (GmbH, UG, AG etc.) und Vertretungsberechtigter
• Vollständige Postanschrift (kein Postfach!)
• Kontaktdaten: E-Mail-Adresse + mindestens ein weiterer schneller Kommunikationsweg (Telefon oder Kontaktformular)
• Umsatzsteuer-ID (wenn vorhanden) — nicht die Steuernummer!
• Handelsregisternummer und Registergericht (wenn eingetragen)
• Berufsbezeichnung und Kammer bei reglementierten Berufen (Ärzte, Anwälte, Architekten etc.)
• Zuständige Aufsichtsbehörde (wenn genehmigungspflichtige Tätigkeit)

Für GmbH und UG zusätzlich: Geschäftsführer namentlich, Registergericht, HRB-Nummer, Stammkapital (nur bei GmbH i.G. und UG).

Impressum: Erreichbarkeit und Platzierung

Das Impressum muss 'leicht erkennbar, unmittelbar erreichbar und ständig verfügbar' sein (TMG §5). In der Praxis bedeutet das:

• Maximal 2 Klicks von jeder Seite erreichbar — Standard: Link im Footer auf jeder Seite
• Eindeutig benannt: 'Impressum' oder 'Kontakt/Impressum' — nicht 'Über uns' oder 'Legal'
• Kein JavaScript nötig um es anzuzeigen — muss auch ohne JS lesbar sein
• Kein Login nötig um es zu sehen
• Nicht nur als Bild — muss als Text kopierbar sein
• Auf jeder Subdomain eigenes Impressum oder Verlinkung zum Haupt-Impressum

Datenschutzerklärung: DSGVO-Pflichtangaben

Seit Mai 2018 ist die DSGVO in Kraft. Jede Website die personenbezogene Daten verarbeitet — und das tut jede Website, allein durch Server-Logs — braucht eine Datenschutzerklärung.

Pflichtinhalte nach DSGVO Art. 13:

1. 01Name und Kontaktdaten des Verantwortlichen
2. 02Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden — Pflicht ab 20 Mitarbeitern die regelmäßig personenbezogene Daten verarbeiten)
3. 03Zwecke und Rechtsgrundlage der Datenverarbeitung — für JEDEN Dienst einzeln
4. 04Empfänger oder Kategorien von Empfängern der Daten
5. 05Übermittlung in Drittländer (USA etc.) und Rechtsgrundlage dafür
6. 06Speicherdauer oder Kriterien für die Dauer
7. 07Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch
8. 08Recht auf Beschwerde bei der Aufsichtsbehörde
9. 09Ob die Bereitstellung der Daten gesetzlich/vertraglich vorgeschrieben ist
10. 10Automatisierte Entscheidungsfindung (wenn vorhanden)

Cookies und Consent: Was 2026 gilt

Das EuGH-Urteil (Planet49, 2019) und das TTDSG (seit 2021) haben klargestellt: Für nicht-essenzielle Cookies brauchst du vorherige, informierte Einwilligung. Kein 'Durch Nutzung der Website stimmen Sie zu'. Kein 'Wir nutzen Cookies' Banner ohne Ablehnungsoption.

Was braucht Einwilligung (Opt-in):

• Tracking-Cookies (Google Analytics, Facebook Pixel, etc.)
• Werbe-Cookies (Google Ads, Retargeting)
• Social-Media-Plugins mit Tracking (Facebook Like, Twitter Feed)
• Externe Fonts von Google Servers (ja, wirklich — seit dem LG München Urteil 2022)
• Externe Medien (YouTube iFrames, Vimeo, Google Maps mit Tracking)

Was KEINE Einwilligung braucht (technisch notwendig):

• Session-Cookies für Login
• Warenkorb-Cookies
• Cookie-Consent-Cookie selbst (Speicherung der Entscheidung)
• Load-Balancer-Cookies
• Spracheinstellungs-Cookies

Google Analytics und Google Fonts: Die zwei größten Fallen

Google Analytics ist der häufigste Grund für DSGVO-Verstöße auf deutschen Websites. Seit dem Schrems-II-Urteil und den Bescheiden der österreichischen und französischen Datenschutzbehörden (2022) ist die Nutzung von Google Analytics ohne gültige Einwilligung hochriskant.

Wenn du Google Analytics nutzen willst:

• Vorherige Einwilligung über Cookie-Banner (echtes Opt-in, kein Opt-out)
• IP-Anonymisierung aktivieren (bei GA4 Standard, aber prüfen)
• Datenverarbeitungsvertrag mit Google abschließen
• In der Datenschutzerklärung detailliert beschreiben
• Opt-out-Möglichkeit anbieten

Alternative: Datenschutzfreundliche Analytics wie Plausible, Fathom oder Umami. Diese speichern keine personenbezogenen Daten und brauchen in den meisten Fällen keine Einwilligung.

Google Fonts über externe Server (fonts.googleapis.com) übermitteln die IP-Adresse des Nutzers an Google in den USA — ohne Einwilligung ein DSGVO-Verstoß. Das LG München hat im Januar 2022 einem Kläger 100€ Schadensersatz zugesprochen. Danach folgten tausende Abmahnungen.

Die Lösung ist einfach: Google Fonts lokal hosten. Die Font-Dateien herunterladen und vom eigenen Server ausliefern. Kein externer Request, kein Datenschutzproblem. Next.js macht das mit next/font automatisch.

Kontaktformulare und E-Mail-Newsletter

Jedes Kontaktformular verarbeitet personenbezogene Daten (mindestens Name und E-Mail). Dafür brauchst du:

• Hinweis unter dem Formular mit Link zur Datenschutzerklärung
• Angabe des Zwecks ('Bearbeitung Ihrer Anfrage')
• Angabe der Speicherdauer oder Kriterien
• Verschlüsselte Übertragung (HTTPS — Pflicht)
• Kein vorausgefülltes Feld für Newsletter-Anmeldung

Für Newsletter gilt Double-Opt-in als Pflicht in Deutschland. Der Ablauf:

1. 01Nutzer gibt E-Mail ein und klickt 'Anmelden'
2. 02Nutzer erhält Bestätigungs-E-Mail mit Verifizierungslink
3. 03Nutzer klickt den Link — erst dann wird er eingetragen
4. 04Protokollierung: Zeitpunkt der Anmeldung, IP-Adresse, Zeitpunkt der Bestätigung
5. 05Jeder Newsletter enthält einen Abmeldelink

Social Media Einbindung: Vorsicht bei Plugins

Social-Media-Buttons die direkt von Facebook, Instagram oder Twitter geladen werden, übertragen beim Seitenaufruf Nutzerdaten an die Plattformen — ohne dass der Nutzer geklickt hat.

DSGVO-konforme Alternativen:

• Shariff-Lösung: Zeigt nur statische Buttons. Erst beim Klick wird die Verbindung zum Social Network hergestellt.
• Einfache Links: Ein normaler Link zu deinem Instagram-Profil überträgt keine Daten an Instagram.
• Screenshots statt Embeds: Statt einen Instagram-Feed einzubetten, zeige ein Bild mit Link zum Profil.

Abmahnungen: Risiko und Prävention

Abmahnungen wegen Datenschutzverstößen auf Websites sind in Deutschland ein profitables Geschäft. Die häufigsten Abmahngründe 2025/2026:

1. 01Google Fonts über externe Server (seit 2022 der Klassiker)
2. 02Fehlender oder unvollständiger Cookie-Consent
3. 03Fehlendes oder unvollständiges Impressum
4. 04Google Analytics ohne gültige Einwilligung
5. 05Fehlende SSL-Verschlüsselung bei Kontaktformularen
6. 06YouTube-Videos ohne 2-Klick-Lösung eingebettet
7. 07Fehlende Angaben in der Datenschutzerklärung

Die Kosten pro Abmahnung: 500–2.000€ Anwaltskosten + eventuell 100–500€ Schadensersatz pro betroffenem Nutzer. Bei Wiederholungstätern steigen die Beträge.

Prävention: Einmal alles richtig einrichten, regelmäßig prüfen (mindestens halbjährlich), und bei neuen Diensten auf der Website sofort die Datenschutzerklärung aktualisieren.

Generatoren vs. Anwalt: Was ist sinnvoll?

Datenschutzerklärung und Impressum selbst schreiben? Bitte nicht. Es gibt zwei sinnvolle Optionen:

Generatoren (kostenlos bis ~100€/Jahr):

• eRecht24 Premium: 19,90€/Monat. Deckt Impressum, Datenschutz und Cookie-Consent ab. Wird von Anwälten gepflegt.
• Datenschutz-Generator.de (Dr. Schwenke): Kostenlose Basisversion, Premium für komplexere Seiten.
• Trusted Shops: Enthält im Paket auch Käuferschutz und Gütesiegel für Shops.

Anwalt (300–2.000€ einmalig):

• Sinnvoll wenn deine Website komplexe Datenverarbeitungen hat (Online-Shop, SaaS, Mitgliederbereiche)
• Sinnvoll wenn du in einer regulierten Branche bist (Gesundheit, Finanzen)
• Bietet rechtliche Sicherheit und Haftung bei Fehlern

Für die meisten kleinen Unternehmen reicht ein guter Generator. Wichtig: Du musst die Angaben trotzdem korrekt ausfüllen und alle genutzten Dienste angeben. Ein Generator der nicht weiß, dass du Google Analytics nutzt, kann es auch nicht in die Datenschutzerklärung schreiben.

Die häufigsten Fehler — und wie du sie vermeidest

• Impressum nur auf der Startseite: Muss von JEDER Seite erreichbar sein (Footer-Link)
• Datenschutzerklärung von einer anderen Website kopiert: Enthält falsche Angaben, andere Firmennamen, andere Dienste
• Cookie-Banner ohne echte Wahlmöglichkeit: 'Akzeptieren' groß, 'Ablehnen' versteckt → rechtswidrig
• Google Fonts nicht lokal gehostet: Seit 2022 der häufigste Abmahngrund
• YouTube-Videos direkt eingebettet: Überträgt Daten an Google beim Seitenaufruf — 2-Klick-Lösung oder youtube-nocookie.com nutzen
• Veraltete Datenschutzerklärung: Neuen Dienst hinzugefügt aber DSE nicht aktualisiert
• Kein Auftragsverarbeitungsvertrag (AVV): Pflicht mit jedem Dienstleister der Zugriff auf personenbezogene Daten hat (Hosting, E-Mail, Analytics)
• Social-Media-Plugins direkt eingebunden: Shariff oder einfache Links nutzen
• Kontaktformular ohne Hinweis auf Datenverarbeitung: Kurzer Text + Link zur DSE unter dem Formular reicht
• Newsletter ohne Double-Opt-in: In Deutschland praktisch Pflicht

Checkliste zum Abhaken

Druck diese Liste aus und geh Punkt für Punkt durch:

• ☐ Impressum mit allen Pflichtangaben vorhanden
• ☐ Impressum von jeder Seite mit max. 2 Klicks erreichbar
• ☐ Datenschutzerklärung mit allen DSGVO-Pflichtangaben
• ☐ Datenschutzerklärung von jeder Seite erreichbar
• ☐ HTTPS/SSL auf allen Seiten aktiv
• ☐ Cookie-Consent-Banner mit echter Ablehn-Option
• ☐ Nur technisch notwendige Cookies ohne Einwilligung
• ☐ Google Fonts lokal gehostet
• ☐ Google Analytics nur mit Einwilligung (oder gar nicht)
• ☐ YouTube-Videos mit 2-Klick-Lösung oder youtube-nocookie.com
• ☐ Social-Media-Buttons ohne direktes Tracking
• ☐ Kontaktformular mit Datenschutz-Hinweis
• ☐ Newsletter mit Double-Opt-in
• ☐ AVV mit allen Dienstleistern abgeschlossen
• ☐ Alle externen Dienste in der DSE aufgeführt

Rechtssicherheit ist kein Luxus — es ist Selbstschutz. Eine einzige Abmahnung kostet mehr als eine komplett neue Website. Bei 24HWEB ist DSGVO-Konformität Standard: Lokale Fonts, SSL, korrekte Cookie-Einstellungen, und wir weisen dich auf alles hin, was du für Impressum und Datenschutzerklärung brauchst.