Impressum nach §5 DDG und Datenschutzerklärung nach Art. 13 DSGVO sind keine Texte, die man einmal erstellt und vergisst. Sie sind rechtliche Pflichtdokumente, die exakt das abbilden müssen, was auf der Website tatsächlich passiert. Dieser Artikel zeigt, welche Pflichtangaben wirklich rein müssen, welche zwölf Fehler in der Praxis am häufigsten auftauchen und warum ein Generator allein keine Rechtssicherheit schafft.
Impressum: Was seit dem DDG gilt
Seit dem 14. Mai 2024 regelt §5 des Digitale-Dienste-Gesetzes (DDG) die Impressumspflicht, das TMG ist Geschichte. Inhaltlich haben sich die Anforderungen kaum verändert, aber der Wechsel hat eine wichtige Konsequenz: Wer in seinem Impressum noch auf §5 TMG verweist, signalisiert damit, dass er die rechtliche Entwicklung seit über zwei Jahren nicht verfolgt hat und lädt Abmahner geradezu ein.
Die Pflichtangaben nach §5 DDG
Folgende Angaben müssen im Impressum jeder geschäftlich genutzten Website stehen:
Name und Anschrift: Vollständiger Name oder Firmenname mit Rechtsformzusatz. Postfächer sind nicht zulässig gefordert ist eine ladungsfähige Anschrift.
Kontakt: Mindestens eine E-Mail-Adresse plus ein weiterer schneller Kommunikationsweg (z. B. Telefon). Ein Kontaktformular allein reicht nicht.
Vertretungsberechtigte: Bei GmbH, AG, UG: Name des Geschäftsführers bzw. Vorstands, vollständig, nicht nur der Nachname.
Registereintrag: Wer im Handels-, Vereins- oder Genossenschaftsregister eingetragen ist, muss Registernummer und Registergericht angeben.
Umsatzsteuer-Identifikationsnummer: Soweit vorhanden (§5 Abs. 1 Nr. 6 DDG). Wer keine hat, lässt das Feld weg, nicht mit einem Platzhalter füllen.
Berufsrechtliche Angaben: Für Ärzte, Anwälte, Steuerberater, Architekten und andere reglementierte Berufe: zuständige Kammer, Berufsbezeichnung, berufsrechtliche Regelung.
Aufsichtsbehörde: Bei erlaubnispflichtigen Tätigkeiten (z. B. Makler, Gastronomen) verpflichtend.
Ab Dezember 2026 kommt eine weitere Position hinzu: Die Wirtschafts-Identifikationsnummer (W-IdNr.), die schrittweise vergeben wird, muss dann ebenfalls im Impressum erscheinen.
Das Impressum muss von jeder Unterseite mit maximal zwei Klicks erreichbar sein. Ein Link im Footer reicht in der Regel aus, sofern er klar als „Impressum" oder „Anbieterkennzeichnung" beschriftet ist.
Die 6 häufigsten Fehler im Impressum
Fehler 1: Veralteter Gesetzesverweis
„Angaben gemäß §5 TMG" dieser Satz taucht immer noch auf tausenden deutschen Websites auf. Das TMG ist seit Mai 2024 abgelöst. Der korrekte Verweis lautet §5 DDG. Zwar ist das Fehlen des Verweises allein kein Bußgeldtatbestand, aber es markiert mangelnde Compliance und ist ein Signal an Abmahner.
Fehler 2: Postfach statt ladungsfähiger Anschrift
Ein Postfach erfüllt die Anforderungen an eine ladungsfähige Anschrift nicht. Wer seine Privatadresse nicht im Netz haben möchte, kann einen Geschäftssitz-Service nutzen, das ist legal und schützt die Privatsphäre.
Fehler 3: Kontaktformular statt E-Mail
Ein reines Kontaktformular genügt der Anforderung nach schneller elektronischer Kontaktaufnahme nicht. Eine direkte E-Mail-Adresse ist Pflicht. Das Formular kann ergänzend angeboten werden, ersetzt aber die E-Mail-Adresse nicht.
Fehler 4: Fehlende oder falsche Vertretungsregelung
GmbHs, UGs und AGs müssen den Geschäftsführer bzw. Vorstand vollständig benennen. Häufig fehlt dieser Eintrag komplett oder enthält nur Nachnamen. Bei mehreren Geschäftsführern müssen alle aufgeführt werden. Bei Gesellschaften bürgerlichen Rechts sind alle Gesellschafter mit vollständiger Anschrift zu nennen.
Fehler 5: Fehlende Handelsregisternummer
Wer im Handelsregister eingetragen ist, muss Registernummer und Registergericht angeben. Dieser Eintrag wird erstaunlich oft vergessen, obwohl er leicht nachprüfbar und damit ein bevorzugtes Ziel für Abmahner ist.
Fehler 6: Fehlender oder veralteter VSBG-Hinweis
Seit 2016 müssen Online-Anbieter auf die Verbraucherstreitbeilegung hinweisen, entweder auf die zuständige Schlichtungsstelle oder darauf, dass keine Teilnahme an einem Schlichtungsverfahren erfolgt. Der Link zur EU-OS-Plattform hingegen ist seit Juli 2025 zu entfernen, da die Plattform abgeschaltet wurde. Viele Websites haben diese Änderung bis heute nicht vollzogen.
Datenschutzerklärung: Was nach Art. 13 DSGVO hineingehört
Während das Impressum die Frage beantwortet, wer hinter der Website steckt, erfüllt die Datenschutzerklärung eine andere Funktion: Sie dokumentiert, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und für welche Dauer verarbeitet werden und welche Rechte Betroffene dabei haben.
Wichtig: Beides sind eigenständige Dokumente. Impressum und Datenschutzerklärung können zwar auf derselben Seite platziert werden, dürfen aber nicht ineinander aufgehen. Wer beide Texte zusammenfasst, riskiert, dass Aufsichtsbehörden die Trennung der Rechtspflichten bemängeln.
Der Pflichtaufbau nach Art. 13 DSGVO
Art. 13 Abs. 1 DSGVO verlangt mindestens folgende Angaben zum Zeitpunkt der Datenerhebung:
Name und Kontaktdaten des Verantwortlichen
ggf. Kontaktdaten des Datenschutzbeauftragten
Zwecke und Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
ggf. berechtigte Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f)
Empfänger oder Kategorien von Empfängern
ggf. Drittlandübermittlungen und deren Rechtsgrundlage
Art. 13 Abs. 2 DSGVO ergänzt:
Speicherdauer oder Kriterien zur Festlegung der Dauer
Betroffenenrechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21)
Widerrufsrecht bei Einwilligungen
Beschwerderecht bei einer Aufsichtsbehörde
Was bei jedem eingesetzten Tool stehen muss
Hier liegt der häufigste Fehler: Die Datenschutzerklärung beschreibt nicht, was die Website tatsächlich tut. Wer Google Analytics einbindet, muss erklären, welche Daten dabei übertragen werden, welche Rechtsgrundlage gilt (bei Analytics in der Regel Einwilligung nach Art. 6 Abs. 1 lit. a) und, da Google in den USA sitzt, auf welcher Grundlage die Drittlandübermittlung erfolgt (EU-Standardvertragsklauseln).
Das gilt für jedes einzelne eingebundene Werkzeug: Kontaktformular, Newsletter-Dienstleister, Google Maps, YouTube-Embeds, Zahlungsanbieter, Live-Chat, Social-Media-Buttons. Wer in der letzten Woche ein neues Plugin aktiviert hat und die Datenschutzerklärung nicht aktualisiert hat, ist in diesem Moment nicht compliant.
Nicht nur über die eigene Verarbeitung muss informiert werden, sondern auch über die Datenverarbeitung, die durch Dritte veranlasst wird, also durch alle in die Website eingebundenen Dienste.
→ Im dritten Teil dieser Serie findest du eine detaillierte Analyse der häufigsten Abmahnfallen durch Drittdienste wie Google Fonts, Analytics und Maps.
Die 6 häufigsten Fehler in der Datenschutzerklärung
Fehler 7: Generator-Text ohne Anpassung an den tatsächlichen Tool-Stack
Der häufigste Mangel überhaupt: Eine aus einem Generator gezogene Vorlage listet Tools auf, die gar nicht eingesetzt werden, und schweigt zu denen, die wirklich laufen. Eine wirksame Datenschutzerklärung ist kein Textbaustein, sondern das gepflegte Abbild der realen Datenverarbeitung.
Fehler 8: Fehlende oder falsche Rechtsgrundlage
Art. 6 DSGVO nennt sechs mögliche Rechtsgrundlagen. Tracking und Marketing erfordern in der Regel eine Einwilligung (lit. a), nicht das berechtigte Interesse (lit. f). Wer Analytics-Einbindungen mit „berechtigtem Interesse" begründet, ohne eine nachvollziehbare Interessenabwägung darzustellen, hat eine fehlerhafte Datenschutzerklärung.
Fehler 9: Fehlende oder pauschale Speicherdauer
Art. 13 Abs. 2 lit. a DSGVO verlangt konkrete Angaben, wie lange Daten gespeichert werden. „So lange wie gesetzlich vorgeschrieben" oder „so lange wie nötig" sind keine ausreichenden Angaben. Je Verarbeitungszweck sind konkrete Fristen oder zumindest nachvollziehbare Kriterien zur Bestimmung der Speicherdauer zu nennen.
Fehler 10: Drittlandtransfer nicht dokumentiert
Ein eingebundenes US-Tool, von Google Analytics über Mailchimp bis Typeform, ohne Angabe der Transfergrundlage ist ein offener Mangel. Die Datenschutzerklärung muss erklären, auf welcher Basis Daten in Drittstaaten übermittelt werden: Angemessenheitsbeschluss, EU-Standardvertragsklauseln oder Transfer Impact Assessment.
Fehler 11: Datenschutzerklärung nicht auffindbar
Die Erklärung muss von der Startseite und von jeder Unterseite mit maximal zwei Klicks erreichbar sein, typischerweise über einen klar beschrifteten Link im Footer. Ein versteckter Link in den Nutzungsbedingungen oder ein Verweis, der sich erst nach mehreren Klicks findet, verstößt gegen das Transparenzgebot.
Fehler 12: Keine Aktualisierung nach Tool-Wechseln
Website-Betreiber wechseln Hosting-Anbieter, tauschen Newsletter-Tools aus oder binden neue Plugins ein, ohne die Datenschutzerklärung zu aktualisieren. Die Erklärung muss bei jeder relevanten Änderung der Datenverarbeitung angepasst werden. Ein einmal jährlicher Review reicht in der Praxis nicht aus.
Generatoren: Basis ja, aber kein Rundum-Schutz
Was eRecht24, activeMind und Co. leisten
Für KMU, Freelancer und Gründer sind Datenschutz-Generatoren ein sinnvoller Einstieg. Die bekanntesten im DACH-Markt:
eRecht24: Kostenlose Basisversion, geführt durch einen Fragenkatalog zu eingesetzten Diensten und Verarbeitungen. Das Ergebnis ist auf den deutschen Rechtsraum zugeschnitten, die Premium-Version bietet automatische Updates bei Gesetzesänderungen.
activeMind: Ebenfalls kostenlos, mit Modulen für unterschiedliche Dienste und einem Changelog, der Änderungen der Rechtslage dokumentiert.
Dr. Thomas Schwenke (datenschutz-generator.de): Umfangreicherer Generator mit über 2.500 Modulen, einmaliges Nutzungsrecht ohne Abogebühren, von einem zertifizierten Datenschutzauditor erstellt.
Alle drei arbeiten mit Frage-Antwort-Logiken: Du gibst an, welche Dienste du nutzt, und bekommst die passenden Textbausteine. Das ist deutlich besser als ein statisches Muster-PDF, das keine konkreten Tools abbildet.
Was kein Generator leisten kann
Generatoren stoßen an ihre Grenzen, sobald es um individuelle Konstellationen geht: gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, Drittlandtransfers mit komplexer Transferfolgenabschätzung, eigene Datenbanken mit umfangreichen Kundendaten oder Marketing-Setups mit mehreren Tracking-Systemen parallel.
Hinzu kommt eine strukturelle Schwäche: Der Generator weiß nur das, was du ihm sagst. Wenn du einen eingebundenen Dienst vergisst oder falsch einordnest, erzeugt er eine lückenhafte Datenschutzerklärung, ohne Warnung. Die Verantwortung für die Vollständigkeit liegt beim Betreiber, nicht beim Tool.
2026 prüfen die europäischen Datenschutzbehörden im fünften Coordinated Enforcement Framework (CEF) koordiniert die Informationspflichten nach Art. 12 bis 14 DSGVO. Genau das Dokument, das oft am sorglosesten behandelt wird, steht im Fokus behördlicher Kontrollen.
Die Faustformel: Generator als strukturierter Ausgangspunkt und individuelle Anpassung als Pflicht. Wer seinen Tool-Stack nicht vollständig kennt oder nicht sicher den richtigen Rechtsgrundlagen zuordnen kann, sollte eine einmalige Prüfung durch einen Datenschutzjuristen einkalkulieren.
Checkliste: Sofort-Check für Impressum und Datenschutzerklärung
Impressum:
Gesetzesverweis auf §5 DDG (nicht TMG)
Ladungsfähige Anschrift (kein Postfach)
E-Mail-Adresse direkt angegeben (kein Formular-Ersatz)
Vertretungsberechtigte vollständig benannt
Handelsregisternummer und Registergericht (falls eingetragen)
VSBG-Hinweis vorhanden, OS-Plattform-Link entfernt
W-IdNr. ab Dezember 2026 ergänzen
Datenschutzerklärung:
Alle eingesetzten Tools vollständig erfasst
Rechtsgrundlage je Verarbeitungszweck korrekt zugeordnet
Speicherdauer für jede Verarbeitung konkret angegeben
Drittlandtransfers mit Transfergrundlage dokumentiert
Von jeder Unterseite in max. zwei Klicks erreichbar
Zuletzt aktualisiert nach dem letzten Tool-Wechsel
→ Den Gesamtüberblick über alle DSGVO-Pflichten einer Website liefert Teil 1 dieser Serie. Was beim Cookie-Banner konkret Pflicht ist dem dritten Pflichtdokument neben Impressum und Datenschutzerklärung, erklärt Teil 2.
Was zyntix-Kunden erhalten
Wer eine Website bei zyntix entwickeln lässt, bekommt nicht nur ein technisch sauberes Ergebnis. In unseren Paketen sind Rechtstext-Extras enthalten, die sicherstellen, dass Impressum und Datenschutzerklärung zum tatsächlichen Tech-Stack der Website passen, inklusive korrekter Footer-Verlinkung, Abstimmung auf eingesetzte Drittdienste und Einbindung in das Cookie-Consent-System.
Wer eine bestehende Website auf Rechtssicherheit prüfen oder bestehende Rechtstexte überarbeiten lassen will, findet im Care-Paket den passenden Rahmen, inklusive Überprüfung auf aktuelle DDG- und DSGVO-Anforderungen.