Skip links

Mehr Pflicht als Kür - Rechtliches rund um die Website

Überblick: Compliance Anforderungen an Websites

Was Unternehmen und Websitebetreiber auf dem Schirm haben sollten.

Die digitale Welt gleicht einem Dschungel aus Paragrafen – und der wird mit jedem Jahr dichter. Wer eine Website betreibt, ist nicht automatisch Publisher, aber juristisch betrachtet dennoch verantwortlich wie einer. Ob KMU, Start-up oder Konzern: Sobald ein Unternehmen online sichtbar ist, greifen Gesetze. Und zwar viele. In Deutschland und der EU ist der Betrieb einer Website an konkrete Pflichten geknüpft. Manche davon sind offensichtlich wie das berühmte Impressum, andere erst auf den zweiten Blick relevant – wie etwa barrierefreie Gestaltung, KI-generierte Inhalte oder Cookie-Banner, die mehr sind als ein lästiges Pop-up. Zwischen Rechtskonformität und User Experience zu navigieren, wird zur unternehmerischen Kernkompetenz.

Das neue Spiel: DSGVO & Co. – Datenschutz als Strategiefaktor

Seit dem Inkrafttreten der DSGVO im Mai 2018 ist Datenschutz kein Thema mehr für den Anhang, sondern das Rückgrat jeder Website. Wer personenbezogene Daten verarbeitet – und das tut faktisch jede Business-Website –, muss transparent und rechtskonform handeln. Die Zeiten, in der man mal eben schnell ein Cookie-Script einbaute, sind längst vorbei.

  • Datenschutzerklärung: Sie ist das Herzstück der DSGVO-Compliance und muss klar, verständlich und aktuell sein. Hier gehören alle Tracking- und Analysetools aufgelistet und erläutert, wer was mit den Daten macht. Vage Formulierungen wie “zur Verbesserung der Website” reichen nicht mehr. Konkrete Zwecke, Rechtsgrundlagen und Speicherdauern sind Pflicht.
  • Auftragsverarbeitung: Wer Dienste wie Google Analytics, HubSpot oder Mailchimp nutzt, braucht einen Auftragsverarbeitungsvertrag mit dem Anbieter. Das klingt bürokratisch, ist aber essentiell – ohne diesen Vertrag ist die Datenverarbeitung rechtswidrig.
  • Rechtsgrundlage definieren: Für jede Datenverarbeitung muss eine konkrete Rechtsgrundlage nach Art. 6 DSGVO vorliegen. Berechtigtes Interesse (lit. f) funktioniert längst nicht immer, bei Marketing-Cookies ist eine explizite Einwilligung (lit. a) meist unumgänglich.

Typischer Fehler: Viele Unternehmen setzen Tools ein, ohne zu prüfen, ob diese Daten in Drittländer übertragen. Seit dem “Schrems II”-Urteil ist das rechtlich heikel. US-amerikanische Anbieter erfordern Standardvertragsklauseln und zusätzliche Schutzmaßnahmen – oder gleich eine europäische Alternative.

Cookie-Banner: Das nervige Pop-up mit Rechtskraft

Das Thema nervt User und Websitebetreiber gleichermaßen – ist aber rechtlich ein Schwergewicht. Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) – bis Mai 2024 noch TTDSG genannt – macht klar: Tracking-Cookies erfordern eine echte Einwilligung. Und zwar vor dem Setzen, nicht “beim Besuch der Website”.

Die Regeln sind eindeutig:

  • Zustimmung per Opt-in für alle Cookies, die nicht technisch notwendig sind
  • Dokumentation der Einwilligung über professionelle Consent Management Tools wie Usercentrics oder Borlabs
  • Widerruf muss jederzeit möglich sein, genauso einfach wie die Erteilung

Besonders tückisch: Die Gestaltung des Cookie-Banners ist kein Designprojekt, sondern rechtlich heikel. “Akzeptieren”-Buttons dürfen nicht optisch bevorzugt sein gegenüber der Ablehnungs-Option. Sogenannte “Dark Patterns”, die User zur Zustimmung manipulieren, können teuer werden. Die entsprechenden Regelungen finden sich in § 25 TDDDG.

Impressum & Anbieterkennzeichnung: Die Visitenkarte mit Pflichtfeldern

Die Impressumspflicht gilt immer, wenn die Website geschäftlich genutzt wird – also de facto für jede B2B- und B2C-Site. Mit dem neuen Digitale-Dienste-Gesetz (DDG), das im Mai 2024 das alte Telemediengesetz (TMG) abgelöst hat, werden die Anforderungen in § 5 DDG geregelt.

Zu den Pflichtangaben gehören:

  • Name oder Firma und ladungsfähige Anschrift
  • Vertretungsberechtigte Person
  • Kontaktdaten wie Telefon und E-Mail
  • Registerangaben wie Handelsregister und HRB-Nummer
  • Umsatzsteuer-ID (bei umsatzsteuerpflichtigen Unternehmen)
  • Aufsichtsbehörde (bei bestimmten Berufen wie Versicherungsmaklern oder Steuerberatern)

Fehlende oder fehlerhafte Angaben sind beliebte Abmahnfälle – das passiert öfter, als man denkt. Besonders bei internationalen Unternehmen wird es komplex: Wer in Deutschland eine Website betreibt, muss deutsches Recht befolgen, auch wenn der Firmensitz im Ausland liegt.

Barrierefreiheit: Nicht mehr nur für Behörden

Am 28. Juni 2025 wird es ernst für private Anbieter: Das Barrierefreiheitsstärkungsgesetz (BFSG) verpflichtet viele digitale Angebote zur barrierefreien Gestaltung. Betroffen sind Websites, Apps und Online-Shops – praktisch alle digitalen Touchpoints, die sich an Verbraucher richten.

Barrierefrei bedeutet konkret:

  • Kontrastreiche Farben für sehbeeinträchtigte Menschen
  • Bedienbarkeit ohne Maus für motorisch eingeschränkte Nutzer
  • Alternativtexte für Bilder
  • Logische Überschriftenstruktur
  • Screenreader-Kompatibilität

Die Standards orientieren sich an den Web Content Accessibility Guidelines (WCAG) 2.1 Level AA.

B2C-Unternehmen aufgepasst: Wer Produkte oder Dienstleistungen an Verbraucher verkauft, ist künftig verpflichtet, seine digitalen Kanäle barrierefrei zu gestalten. Das schließt E-Commerce-Systeme, Buchungsplattformen und Kundenportale ein. Bei Verstößen drohen Bußgelder bis zu 100.000 Euro. Kleinstunternehmen mit weniger als zehn Beschäftigten und höchstens 2 Millionen Euro Jahresumsatz sind bei Dienstleistungen vom BFSG ausgenommen.

Urheberrecht & Bildnutzung: Ein Abmahnklassiker

Bilder, Texte, Videos, Schriftarten – was auf einer Website veröffentlicht wird, ist meist urheberrechtlich geschützt. Gerade im Umgang mit Bildern lauern Fallstricke, die teure Abmahnungen nach sich ziehen können.

Was ist zu beachten:

  • Lizenznachweise archivieren: Auch bei gekauften Stockfotos sollte die Lizenzart dokumentiert und archiviert werden. Standard- und erweiterte Lizenzen haben unterschiedliche Nutzungsrechte – wer das übersieht, kann in die Rechtsfalle tappen.
  • Embeds rechtssicher einsetzen: YouTube, Vimeo & Co. dürfen nur eingebunden werden, wenn keine Tracking-Daten ungefragt übermittelt werden. Zwei-Klick-Lösungen sind inzwischen Standard, um datenschutzkonform zu bleiben.
  • Google Fonts lokal hosten: Die Abmahnwelle rund um Google Fonts hat gezeigt, wie sensibel das Thema ist. Wer Schriftarten vom Google-Server lädt, überträgt IP-Adressen an Google – ohne Einwilligung rechtlich problematisch.
  • Textübernahmen vermeiden: Auch kleinste Textfragmente können urheberrechtlich geschützt sein. Produktbeschreibungen von Herstellerseiten einfach zu kopieren, ist riskant. Eigene Formulierungen sind zwar aufwendiger, aber rechtlich sicher.

E-Commerce: Mehr als nur "Jetzt kaufen"

Sobald Produkte oder Dienstleistungen online verkauft werden, greifen zusätzliche Verbraucherschutzgesetze.

Wichtige Anforderungen:

  • Widerrufsbelehrung: Muss transparent und klickbar sein, inklusive Musterformular für den Widerruf
  • Preisangaben: Müssen Mehrwertsteuer und Versandkosten enthalten – versteckte Kosten im Checkout sind unzulässig
  • AGB: Keine Pflicht, aber gängige Praxis, um Zahlungsbedingungen, Haftungsausschlüsse und Gewährleistung zu regeln
  • Button-Lösung: Der finale Kaufbutton muss eindeutig beschriftet sein – “Jetzt kostenpflichtig bestellen” oder ähnlich. Vage Formulierungen wie “Weiter” oder “Bestätigen” sind angreifbar (§ 312j BGB)

Bei digitalen Produkten wie Software oder E-Books gelten verkürzte Widerrufsfristen, aber nur mit expliziter Zustimmung des Kunden. Ohne diese bleibt das 14-tägige Widerrufsrecht bestehen.

KI-Systeme auf Websites: Der neue Rechtskomplex

Künstliche Intelligenz hält Einzug auf immer mehr Websites – sei es in Form von Chatbots, automatisierten FAQs, personalisierten Empfehlungen oder Content aus KI-Textgeneratoren. Der AI Act der EU, der am 1. August 2024 in Kraft getreten ist, bringt neue Pflichten mit sich, die Website-Betreiber kennen sollten.

Was ist zu beachten:

  • Kennzeichnungspflicht beachten: Ab dem 2. August 2025 müssen Nutzer erkennen können, dass sie mit einer KI-Maschine kommunizieren. Das gilt für Chatbots genauso wie für KI-generierte Inhalte. Ein dezenter Hinweis “Antwort generiert von KI” kann rechtliche Klarheit schaffen.
  • Transparenz über Funktionsweise: Bei Entscheidungen, die durch KI getroffen werden – etwa Kreditscoring, Angebotsgenerierung oder personalisierte Preise –, muss nachvollziehbar sein, wie das Ergebnis zustande kommt. Das Recht auf Erklärung wird zum praktischen Problem.
  • Datenschutz für KI: Auch KI-Systeme müssen DSGVO-konform sein, insbesondere wenn sie personenbezogene Daten verarbeiten. Trainings-Daten, Verarbeitungszwecke und Speicherdauern gehören in die Datenschutzerklärung.
  • Haftung definieren: Wer haftet bei Fehlern, Falschberatung oder Diskriminierung durch eine KI? Diese Frage ist rechtlich noch nicht abschließend geklärt, aber Unternehmen sollten sich darüber Gedanken machen und entsprechende Haftungsausschlüsse formulieren.

Digital Services Act: Neue Spielregeln für Online-Plattformen

Seit dem 17. Februar 2024 gelten in der EU die Regelungen des Digital Services Act (DSA) – ein neues Gesetz, das Online-Plattformen stärker in die Verantwortung nimmt. In Deutschland wurde der DSA durch das Digitale-Dienste-Gesetz (DDG) umgesetzt, das im Mai 2024 in Kraft trat.

Kernpunkte des DSA:

  • Melde- und Abhilfeverfahren: Plattformen müssen einfache Wege bereitstellen, um illegale Inhalte zu melden
  • Transparenz bei Werbung: Nutzer müssen erkennen können, warum ihnen bestimmte Werbung angezeigt wird
  • Beschwerdeverfahren: Entscheidungen über gemeldete Inhalte müssen begründet und nachvollziehbar sein
  • Sehr große Plattformen: Unternehmen mit mehr als 45 Millionen EU-Nutzern haben zusätzliche Pflichten zur Risikobewertung

Für kleinere Unternehmen sind die Auswirkungen begrenzt, aber wer Online-Marktplätze betreibt oder nutzergenerierten Content hostet, sollte die neuen Regeln beachten.

Markenrecht: Mehr als nur der eigene Name

Wer fremde Marken auf der Website verwendet – sei es in Referenzen, Partnerlogos oder Produktvergleichen –, bewegt sich in einem rechtlichen Minenfeld. Markenrecht ist Privatrecht, und Markeninhaber gehen konsequent gegen Verletzungen vor.

  • Referenzkunden nennen: Grundsätzlich erlaubt, aber nur mit Zustimmung des Kunden. Ein einfacher Hinweis “auf Anfrage” kann rechtliche Probleme vermeiden.
  • Produktvergleiche: Erlaubt, aber nur sachlich und objektiv. Vergleichende Werbung hat strenge Regeln – unsachliche Herabsetzung oder irreführende Vergleiche können teuer werden.
  • Keyword-Werbung: Auf fremde Marken als Keywords zu bieten, ist rechtlich umstritten. Sichere Alternative: eigene Begriffe und Synonyme verwenden.

Internationale Fallstricke: Wenn das Web grenzenlos ist

Websites sind global erreichbar, aber Recht ist national. Wer international tätig ist, muss verschiedene Rechtsordnungen beachten. Die DSGVO gilt für alle EU-Bürger, unabhängig vom Firmensitz. US-amerikanische Unternehmen müssen sich daran halten, wenn sie EU-Kunden haben.

  • Geoblocking: Technisch möglich, rechtlich aber heikel. Innerhalb der EU ist Geoblocking weitgehend verboten, gegenüber Drittländern kann es sinnvoll sein.
  • Rechtswahl: In AGB kann die Rechtswahl getroffen werden, aber nur eingeschränkt. Verbraucherverträge unterliegen meist dem Recht des Verbraucherwohnorts.
  • Streitbeilegung: Online-Streitbeilegungsplattform der EU ist für E-Commerce-Anbieter Pflicht, wird aber kaum genutzt.

Neue Compliance-Trends: Was kommt auf uns zu?

Die rechtlichen Anforderungen an Websites werden nicht weniger, sondern mehr. Der Digital Services Act (DSA) bringt neue Pflichten für Plattformen und große Online-Dienste. Das Digital Markets Act (DMA) reguliert “Gatekeeper” wie Google, Apple oder Meta.

  • Nachhaltigkeit wird rechtlich relevant: Die Corporate Sustainability Reporting Directive (CSRD) verpflichtet große Unternehmen zur Nachhaltigkeitsberichterstattung – auch auf der Website.
  • Cookie-freie Zukunft: Browser-Hersteller wie Google und Apple schränken Third-Party-Cookies ein. Unternehmen müssen alternative Tracking-Strategien entwickeln – First-Party-Data wird zum Gold der Zukunft.
  • KI-Regulation verschärft sich: Der AI Act ist erst der Anfang. Weitere Gesetze werden folgen, insbesondere für hochriskante KI-Anwendungen.

Praxistipps: So bleiben Sie rechtlich auf der sicheren Seite

  • Regelmäßige Rechts-Audits: Mindestens einmal jährlich sollte die Website rechtlich überprüft werden. Neue Gesetze, Urteile und Tools erfordern Anpassungen.
  • Dokumentation ist alles: Einwilligungen, Verträge, Lizenzvereinbarungen – alles sollte nachweisbar dokumentiert sein. Im Streitfall entscheidet oft die Beweislage.
  • Proaktiv statt reaktiv: Rechtliche Compliance ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Wer früh investiert, spart später teure Nachbesserungen.
  • Expertenrat einholen: Rechtliche Laien sollten bei komplexen Fragen nicht experimentieren. Spezialisierte Anwälte für IT-Recht oder Datenschutzbeauftragte sind ihr Geld wert.
  • Internationale Perspektive: Wer grenzüberschreitend tätig ist, sollte nicht nur deutsches Recht im Blick haben. EU-weite und internationale Standards werden wichtiger.

Fazit: Die Website als rechtlicher Knotenpunkt

Eine Business-Website ist heute nicht nur Schaufenster, sondern auch rechtlicher Knotenpunkt. Wer hier schlampig arbeitet, riskiert Abmahnungen, Bußgelder und Reputationsschäden. Gleichzeitig eröffnet rechtskonforme Arbeit Wettbewerbsvorteile: Vertrauen bei Kunden, bessere Rankings bei Suchmaschinen und Zukunftssicherheit.

Der Spagat zwischen User Experience und Compliance wird zur unternehmerischen Kerndisziplin. Wer früh in rechtliche Sicherheit investiert, kann sich später auf das Wesentliche konzentrieren: den Erfolg seines Business. Denn eine rechtskonforme Website ist nicht nur Pflicht – sie ist die Basis für nachhaltiges Wachstum im digitalen Zeitalter.

Die Botschaft ist klar: Rechtliche Compliance ist kein lästiges Anhängsel, sondern strategischer Erfolgsfaktor. Unternehmen, die das verstehen und entsprechend handeln, werden die digitale Transformation erfolgreich meistern. Alle anderen bleiben im rechtlichen Dschungel stecken.

Rechtlicher Hinweis der EHNES GmbH Als Digitalagentur mit langjähriger Erfahrung im Mittelstand haben wir bei EHNES einen guten Überblick über die rechtlichen Anforderungen, die bei Website-Projekten zu beachten sind. Unsere Expertise ermöglicht es uns, unsere Kunden frühzeitig auf wichtige Compliance-Aspekte hinzuweisen und technische Lösungen rechtssicher zu implementieren. Dennoch sind wir keine Rechtsanwälte und können keine Rechtsberatung leisten. Wir empfehlen unseren Kunden ausdrücklich, den konkreten rechtlichen Rahmen ihres Projekts von spezialisierten Anwälten für IT-Recht oder auf Compliance spezialisierten Unternehmen prüfen und absichern zu lassen. Nur so lässt sich individuelle Rechtssicherheit gewährleisten. Bei EHNES verstehen wir uns als technischer Partner, der rechtliche Vorgaben bestmöglich umsetzt – die finale juristische Bewertung bleibt jedoch den Experten vorbehalten.

Inhaltsverzeichnis

Facebook
LinkedIn