Website-Compliance in Deutschland — Der ultimative Leitfaden

Was bedeutet Website-Compliance?

Website-Compliance beschreibt die Gesamtheit aller gesetzlichen, technischen und organisatorischen Anforderungen, die beim Betrieb einer Website in Deutschland eingehalten werden sollten. Es geht nicht um ein einzelnes Gesetz, sondern um das Zusammenspiel mehrerer Regelwerke, die verschiedene Aspekte einer Website betreffen.

In Deutschland sind für Webseitenbetreiber vor allem fünf Rechtsgebiete relevant:

• Telemediengesetz (TMG) — regelt unter anderem die Impressumspflicht
• Datenschutz-Grundverordnung (DSGVO) — definiert den Umgang mit personenbezogenen Daten
• Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — regelt Cookie-Einwilligungen und den Zugriff auf Endgeräte
• Barrierefreiheitsstärkungsgesetz (BFSG) — stellt seit Juni 2025 Anforderungen an die Barrierefreiheit digitaler Angebote
• Gesetz gegen den unlauteren Wettbewerb (UWG) — verbietet irreführende und aggressive geschäftliche Handlungen

Das Thema Website-Compliance ist deshalb anspruchsvoll, weil diese Gesetze nicht isoliert gelten. Eine Datenschutzerklärung (DSGVO) muss beispielsweise im Zusammenhang mit dem Cookie-Banner (TTDSG) und dem Impressum (TMG) gedacht werden. Ein Online-Shop, der unter das BFSG fällt, muss gleichzeitig die Anforderungen an Barrierefreiheit, Datenschutz und Wettbewerbsrecht erfüllen.

Dieser Leitfaden gibt einen Überblick über alle relevanten Bereiche und verlinkt auf detaillierte Ratgeber zu jedem einzelnen Thema.

Die wichtigsten Gesetze für Website-Betreiber in Deutschland

Die folgende Tabelle zeigt, welche Gesetze für Webseitenbetreiber in Deutschland relevant sein können und was sie jeweils regeln:

Jedes dieser Gesetze hat eigene Anforderungen, eigene Aufsichtsbehörden und eigene Sanktionsmechanismen. In den folgenden Abschnitten gehen wir auf die wichtigsten Bereiche ein.

Impressumspflicht (§ 5 DDG)

Das Impressum ist die bekannteste Pflicht für deutsche Websites. Gemäß § 5 DDG müssen geschäftsmäßige Online-Dienste bestimmte Informationen “leicht erkennbar, unmittelbar erreichbar und ständig verfügbar” halten (Quelle: gesetze-im-internet.de/tmg/__5.html).

Zu den grundlegenden Pflichtangaben gehören:

• Name und Anschrift — vollständiger Name des Unternehmens oder der natürlichen Person sowie die ladungsfähige Anschrift (kein Postfach)
• Kontaktmöglichkeiten — mindestens eine E-Mail-Adresse sowie ein weiterer schneller Kommunikationsweg (z. B. Telefon)
• Register und Registernummer — falls das Unternehmen in einem Handels-, Vereins- oder Genossenschaftsregister eingetragen ist
• Umsatzsteuer-Identifikationsnummer — sofern vorhanden (gemäß §27a UStG)
• Berufsrechtliche Angaben — bei regulierten Berufen wie Ärzten, Anwälten oder Steuerberatern

Fehlende oder unvollständige Impressumsangaben gehören zu den häufigsten Gründen für wettbewerbsrechtliche Abmahnungen. Gemäß UWG §3a kann ein möglicher Verstoß gegen eine Marktverhaltensregel — wie die Impressumspflicht — abgemahnt werden, wenn er spürbar die Interessen von Verbrauchern oder Mitbewerbern beeinträchtigt (Quelle: gesetze-im-internet.de/uwg_2004/__3a.html).

Eine detaillierte Checkliste aller Pflichtangaben finden Sie in unserem Ratgeber Impressum Pflichtangaben. Wie Sie typische Abmahnfallen vermeiden, erfahren Sie im Artikel Abmahnung vermeiden: 7 häufige Website-Fehler.

Datenschutz (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und regelt den Umgang mit personenbezogenen Daten in der gesamten EU. Für Webseitenbetreiber ergeben sich daraus umfangreiche Pflichten — von der Datenschutzerklärung bis zum Auftragsverarbeitungsvertrag.

Datenschutzerklärung

Laut DSGVO Art. 13 sollte eine Datenschutzerklärung Besucher darüber informieren, welche Daten erhoben werden, zu welchem Zweck und auf welcher Rechtsgrundlage dies geschieht (Quelle: dsgvo-gesetz.de/art-13-dsgvo/). Die Datenschutzerklärung sollte von jeder Seite der Website erreichbar sein — in der Regel über einen separaten Link im Footer.

Wesentliche Anforderungen

• Informationspflichten — vollständige Datenschutzerklärung nach Art. 13 DSGVO
• Rechtsgrundlagen — jede Datenverarbeitung benötigt eine Rechtsgrundlage nach Art. 6 DSGVO
• Auftragsverarbeitung — mit allen Dienstleistern, die personenbezogene Daten verarbeiten (Hosting, Newsletter-Dienste, Analyse-Tools), sollte ein AVV nach Art. 28 DSGVO geschlossen werden
• Betroffenenrechte — Auskunft, Löschung, Berichtigung, Datenübertragbarkeit
• Technische Maßnahmen — angemessene Sicherheitsmaßnahmen nach Art. 32 DSGVO, beispielsweise SSL-Verschlüsselung

Die DSGVO betrifft praktisch jede Website, denn bereits ein Seitenaufruf überträgt eine IP-Adresse — ein personenbezogenes Datum im Sinne der Verordnung.

Eine vollständige Prüfliste finden Sie in unserem Ratgeber DSGVO-Checkliste für Websites 2026. Informationen zu möglichen Konsequenzen bei Verstößen bietet der Artikel DSGVO Strafe Kleinunternehmer.

Cookie-Consent (§ 25 TDDDG)

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) regelt in §25 den Zugriff auf Informationen im Endgerät des Nutzers. Laut § 25 TDDDG Abs. 1 ist die Speicherung von Informationen auf dem Endgerät oder der Zugriff auf bereits gespeicherte Informationen grundsätzlich nur mit vorheriger Einwilligung des Nutzers zulässig (Quelle: gesetze-im-internet.de/ttdsg/__25.html).

Ausnahmen

Laut § 25 TDDDG Abs. 2 bestehen Ausnahmen für:

• Technisch notwendige Cookies — die für die Bereitstellung des Dienstes erforderlich sind (z. B. Warenkorb, Session)
• Cookies zur Nachrichtenübertragung — die technisch für die Kommunikation notwendig sind

Alle anderen Cookies — insbesondere Tracking-, Marketing- und Analyse-Cookies — erfordern eine aktive, informierte Einwilligung des Nutzers, bevor sie gesetzt werden.

Anforderungen an das Cookie-Banner

Ein konformes Cookie-Banner sollte in der Praxis folgende Merkmale aufweisen:

• Aktive Einwilligung — keine vorausgewählten Checkboxen
• Gleichwertige Ablehnungsmöglichkeit — “Ablehnen” sollte ebenso einfach erreichbar sein wie “Akzeptieren”
• Transparenz — Informationen darüber, welche Cookies zu welchem Zweck gesetzt werden
• Widerrufsmöglichkeit — der Nutzer sollte seine Einwilligung jederzeit zurückziehen können
• Keine Dark Patterns — keine irreführende Gestaltung, die den Nutzer zur Zustimmung drängt

Einen ausführlichen Ratgeber zur Umsetzung finden Sie unter Cookie-Banner-Pflicht: Richtig umsetzen.

Barrierefreiheit (BFSG)

Das Barrierefreiheitsstärkungsgesetz (BFSG) setzt die europäische Richtlinie (EU) 2019/882 (European Accessibility Act) in deutsches Recht um. Seit dem 28. Juni 2025 können bestimmte digitale Produkte und Dienstleistungen unter Barrierefreiheitsanforderungen fallen (Quelle: gesetze-im-internet.de/bfsg/__3.html).

Wen betrifft das BFSG?

Gemäß § 3 BFSG richtet sich das Gesetz an Wirtschaftsakteure, die Produkte in Verkehr bringen oder Dienstleistungen erbringen, die in den Anwendungsbereich des Gesetzes fallen. Für Websites können insbesondere diese Bereiche relevant sein:

• E-Commerce — Webshops und Online-Bestellprozesse
• Bankdienstleistungen — Online-Banking, Finanzprodukte
• Telekommunikationsdienste — Anbieter von Kommunikationsdiensten
• Personenbeförderung — Buchungsplattformen und Fahrplaninformationen
• E-Books und digitale Medien — elektronische Bücher und Lesegeräte

Kleinst­unternehmen (weniger als 10 Beschäftigte und höchstens 2 Mio. EUR Jahresumsatz), die Dienstleistungen erbringen, können unter bestimmten Voraussetzungen von den Anforderungen ausgenommen sein — allerdings nicht pauschal. Ob eine Ausnahme greift, sollte im Einzelfall geprüft werden.

Technische Umsetzung

Die Barrierefreiheitsanforderungen orientieren sich an den Web Content Accessibility Guidelines (WCAG 2.1, Level AA). Dazu gehören unter anderem:

• Ausreichende Kontrastverhältnisse (mindestens 4,5:1 für normalen Text)
• Alternative Texte für informative Bilder
• Vollständige Bedienbarkeit per Tastatur
• Korrekte Überschriftenhierarchie und semantisches HTML
• Verständliche Fehlermeldungen in Formularen

Ausführliche Informationen bietet unser Ratgeber BFSG: Was müssen Unternehmen jetzt tun?.

Website-Compliance Checkliste

Die folgende Checkliste fasst die wichtigsten Compliance-Anforderungen für Websites in Deutschland zusammen. Sie dient als Orientierung — die vollständigen Anforderungen ergeben sich aus den jeweiligen Gesetzen.

Impressum und Pflichtseiten

• Impressum vorhanden und von jeder Seite erreichbar (§ 5 DDG)
• Alle Pflichtangaben enthalten (Name, Anschrift, Kontakt, Register, USt-IdNr.)
• Bei regulierten Berufen: berufsrechtliche Angaben vorhanden
• Datenschutzerklärung vorhanden und von jeder Seite erreichbar (DSGVO Art. 13)
• AGB vorhanden (bei Online-Shops empfohlen)
• Widerrufsbelehrung vorhanden (bei Fernabsatz)

Datenschutz (DSGVO)

• Datenschutzerklärung beschreibt alle Verarbeitungsvorgänge
• Rechtsgrundlage für jede Verarbeitung angegeben
• Betroffenenrechte aufgeführt
• Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten vorhanden
• Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
• Google Fonts lokal eingebunden (kein Laden von Google-Servern)
• Newsletter nur mit Double-Opt-In

Cookies und Tracking (TTDSG)

• Cookie-Banner vorhanden, wenn nicht-essentielle Cookies eingesetzt werden
• Keine vorausgewählten Checkboxen
• Gleichwertige Ablehnungsmöglichkeit vorhanden
• Tracking-Cookies werden erst nach Einwilligung gesetzt
• Einwilligungen dokumentiert und nachweisbar

Barrierefreiheit (BFSG)

• Prüfung, ob die Website in den Anwendungsbereich des BFSG fällt
• Kontrastverhältnisse eingehalten (mindestens 4,5:1)
• Alt-Texte für alle informativen Bilder vorhanden
• Tastaturnavigation funktioniert vollständig
• Überschriftenhierarchie korrekt (H1, H2, H3)
• Formulare mit Labels und verständlichen Fehlermeldungen

Technische Sicherheit

• SSL-Zertifikat aktiv (gesamte Website über HTTPS)
• Kein Mixed Content (HTTP-Ressourcen auf HTTPS-Seiten)
• Security Headers konfiguriert
• Server-Logs mit angemessener Löschfrist
• Keine sensiblen Daten in der URL oder im Quellcode sichtbar

Wettbewerbsrecht (UWG)

• Preise vollständig und korrekt angegeben (bei Angeboten)
• Keine irreführenden Angaben oder Testimonials
• Werbekennzeichnung bei bezahlten Inhalten
• Keine Dark Patterns in Bestell- oder Einwilligungsprozessen

Konsequenzen bei Nicht-Einhaltung

Die Konsequenzen bei fehlender Website-Compliance können je nach möglichem Verstoß unterschiedlich ausfallen. Im Wesentlichen gibt es drei Wege, auf denen Verstöße geahndet werden können:

1. Abmahnungen (UWG)

Wettbewerbsrechtliche Abmahnungen sind in der Praxis die häufigste Konsequenz für Webseitenbetreiber. Mitbewerber oder Verbraucherschutzverbände können gemäß UWG §8 Unterlassung verlangen, wenn eine Website möglicherweise nicht alle Marktverhaltensregeln einhält — etwa die Impressumspflicht (§ 5 DDG) oder das Irreführungsverbot (UWG §5).

Die Kosten einer Abmahnung setzen sich in der Regel zusammen aus:

• Anwaltskosten des Abmahnenden — je nach Streitwert, häufig 500 bis 2.000 EUR
• Unterlassungserklärung — bei erneutem möglichem Verstoß kann eine Vertragsstrafe fällig werden
• Eigene Anwaltskosten — für die Prüfung und ggf. Abwehr der Abmahnung

Welche Fehler besonders häufig abgemahnt werden, erfahren Sie im Artikel Abmahnung vermeiden: 7 häufige Website-Fehler.

2. Bußgelder (DSGVO, BFSG)

Die Datenschutz-Aufsichtsbehörden der Länder können bei Verstößen gegen die DSGVO Bußgelder verhängen. Laut DSGVO Art. 83 können diese in schweren Fällen bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes betragen. In der Praxis fallen die Bußgelder für kleine und mittlere Unternehmen erfahrungsgemäß deutlich niedriger aus — die Behörden berücksichtigen unter anderem die Art und Schwere des möglichen Verstoßes, die Unternehmensgröße und die getroffenen Abhilfemaßnahmen.

Auch das BFSG sieht in §37 bei Verstößen Bußgelder vor — laut Gesetzestext von bis zu 100.000 EUR (Quelle: gesetze-im-internet.de/bfsg/__37.html).

3. Schadensersatz

Betroffene Personen können laut DSGVO Art. 82 Schadensersatz geltend machen, wenn ihnen durch einen Datenschutzverstoß ein Schaden entstanden ist. Ein bekanntes Beispiel ist das Urteil des LG München I zu extern eingebundenen Google Fonts (Az. 3 O 17493/20), bei dem einem Kläger 100 EUR Schadensersatz zugesprochen wurden.

Orientierungswerte

Hinweis: Diese Beträge sind Orientierungswerte. Die tatsächliche Höhe hängt vom Einzelfall ab und kann sowohl niedriger als auch höher ausfallen.

Fazit

Website-Compliance in Deutschland ist kein einzelner Schritt, sondern ein fortlaufender Prozess. Die Anforderungen aus TMG, DSGVO, TTDSG, BFSG und UWG greifen ineinander und betreffen nahezu jede geschäftsmäßige Website.

Die gute Nachricht: Viele grundlegende Anforderungen — ein vollständiges Impressum, eine aktuelle Datenschutzerklärung, ein korrektes Cookie-Banner und eine SSL-Verschlüsselung — lassen sich mit guten Checklisten und den richtigen Tools umsetzen. Für komplexere Fragen, etwa zur Barrierefreiheit oder branchenspezifischen Anforderungen, empfehlen wir professionelle Unterstützung durch einen IT-Berater oder Rechtsanwalt.

Wir empfehlen, die Compliance Ihrer Website regelmäßig zu prüfen — mindestens quartalsweise sowie bei jeder Änderung an der Website oder bei neuen gesetzlichen Anforderungen. Ein automatisierter Website-Check kann dabei helfen, Lücken frühzeitig zu erkennen.

Häufige Fragen

Was genau ist Website-Compliance?

Website-Compliance bedeutet, dass eine Website die geltenden gesetzlichen Anforderungen in Deutschland erfüllt. Dazu gehören insbesondere die Impressumspflicht (§ 5 DDG), der Datenschutz (DSGVO), die Cookie-Einwilligung (§ 25 TDDDG) und — seit Juni 2025 — möglicherweise auch die Barrierefreiheit (BFSG). Welche Anforderungen im Einzelfall gelten, hängt von der Art der Website und der Branche ab. Ein regelmäßiger Check kann helfen, den Überblick zu behalten.

Kann ich Website-Compliance selbst umsetzen oder brauche ich einen Anwalt?

Viele grundlegende Anforderungen lassen sich mit guten Checklisten und passenden Tools selbst umsetzen — etwa das Impressum, die grundlegende Datenschutzerklärung und das Cookie-Banner. Für komplexere Fragen, wie branchenspezifische Datenschutzanforderungen, die Erstellung von AGB oder die Beurteilung, ob das BFSG auf Ihr Angebot zutrifft, empfiehlt sich die Beratung durch einen spezialisierten Rechtsanwalt oder IT-Berater.

Wie oft sollte ich meine Website auf Compliance prüfen?

Wir empfehlen eine Prüfung mindestens einmal pro Quartal sowie anlassbezogen: nach Änderungen an der Website (neue Plugins, Dienste, Formulare), bei Gesetzesänderungen und nach einer eventuellen Abmahnung. Automatisierte Tools können die laufende Überwachung erleichtern. Wichtig: Bei jeder Änderung an der Website sollte auch die Datenschutzerklärung geprüft und gegebenenfalls aktualisiert werden.

Welche Konsequenzen kann eine nicht-konforme Website haben?

Die möglichen Konsequenzen reichen von wettbewerbsrechtlichen Abmahnungen (häufig bei fehlendem oder unvollständigem Impressum) über Bußgelder der Datenschutz-Aufsichtsbehörden (bei DSGVO-Verstößen) bis hin zu Schadensersatzforderungen Betroffener. Die Höhe hängt vom Einzelfall ab. Laut DSGVO Art. 83 können Bußgelder in schweren Fällen bis zu 20 Mio. EUR betragen, das BFSG sieht in §37 Bußgelder von bis zu 100.000 EUR vor. In der Praxis fallen die Beträge für kleine Unternehmen erfahrungsgemäß deutlich niedriger aus.