Als Design-Agentur sehen wir täglich, wie komplex Website-Recht inzwischen ist – vom Impressum bis zum Consent Mode. Kleine Fehler – theoretisch große Folgen. Der folgende Leitfaden zeigt, worauf es ankommt, um Websites ästhetisch, funktional und rechtssicher zu gestalten – von der Konzeption bis zur laufenden Compliance.
Das Internet ist längst kein rechtsfreier Raum mehr. Was früher eine einfache Homepage mit Kontaktadresse war, unterliegt heute klaren gesetzlichen Regeln – selbst kleine Websites müssen zahlreiche Vorgaben erfüllen.
Zu den wichtigsten Gesetzen, die man kennen sollte, gehören das Unternehmensgesetzbuch (UGB), die Gewerbeordnung (GewO), das E-Commerce-Gesetz (ECG), die Datenschutz-Grundverordnung (DSGVO) und das Mediengesetz (MedienG).
Der entscheidende Unterschied liegt zwischen privaten und gewerblichen Websites. Sobald eine Seite geschäftlich genutzt wird – etwa durch einen Affiliate-Link, ein Werbebanner oder eigene Produkte – gelten umfassende Informationspflichten.
Private Blogs oder persönliche Homepages haben zwar weniger Auflagen, doch auch hier gilt: Sobald personenbezogene Daten verarbeitet werden – etwa über Kontaktformulare, Newsletter oder Cookies – greift die DSGVO.
Die finanziellen Risiken sind nicht zu unterschätzen. Eine fehlerhafte Impressumsangabe kann Abmahnkosten zwischen 500 und 5.000 Euro verursachen. Bei DSGVO-Verstößen können Bußgelder drohen, die erheblich sind.
Für Online-Shops kommen zusätzlich die Anforderungen des E-Commerce-Gesetzes (ECG) ins Spiel – auch hier können Verstöße schnell teuer werden. Kurz gesagt: Wer rechtliche Details ignoriert, riskiert nicht nur Imageverlust, sondern auch empfindliche Kosten.
Aus Erfahrung wissen wir: Rechtliche Anforderungen im Nachhinein umzusetzen, ist meist aufwändiger und teurer, als sie von Anfang an mitzudenken. Wer bereits in der Konzeptphase klärt, welche rechtlichen Rahmenbedingungen gelten, spart später Zeit, Kosten und Nerven. Das betrifft nicht nur die technische Umsetzung, sondern auch das Design – etwa bei Cookie-Bannern, Formularen oder Tracking-Lösungen. Eine rechtssichere Website beginnt also nicht beim Anwalt, sondern beim ersten Konzeptentwurf.
Das Impressum ist das rechtliche Herzstück jeder gewerblichen Website. Es schafft Transparenz und ermöglicht Besucher:innen, den Betreiber einer Seite eindeutig zu identifizieren – eine Grundvoraussetzung für Vertrauen im digitalen Raum.
Die Impressumspflicht ergibt sich in Österreich aus mehreren Gesetzen:
Die technische Umsetzung ist ebenso wichtig wie der Inhalt. Das Impressum muss von jeder Unterseite aus in maximal zwei Klicks erreichbar sein. Am besten wird es deutlich sichtbar im Footer oder Header platziert. Die Bezeichnung sollte eindeutig sein – etwa „Impressum“, „Anbieterkennzeichnung“ oder „Kontakt“. Wichtig ist: Der Link darf nicht versteckt oder verschachtelt sein. Nutzer:innen und Suchmaschinen sollten ihn gleichermaßen leicht finden.
Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gelten strengere Anforderungen an den Umgang mit personenbezogenen Daten. Jede Website, die Nutzerdaten erhebt oder verarbeitet – etwa über Formulare, Cookies oder Tracking – benötigt eine transparente und verständliche Datenschutzerklärung.
Jede Form der Datenerhebung muss klar dokumentiert und in der Datenschutzerklärung erläutert werden – vom einfachen Kontaktformular bis zur Newsletter-Anmeldung. Besonders sensibel sind Datenübertragungen in Drittländern, etwa bei Tools wie Google Analytics, Cloud-Diensten oder eingebetteten Medienplattformen.
Für jedes Tool, Plugin oder jeden externen Dienstleister ist ein Auftragsverarbeitungsvertrag (AVV) erforderlich – auch mit dem eigenen Hosting-Anbieter. Fehlen diese Verträge, liegt ein Verstoß gegen die DSGVO vor, der zu hohen Bußgeldern führen kann.
Cookies sind kleine Textdateien, die Websites im Browser der Nutzer:innen speichern – und seit der DSGVO ist ihr Einsatz streng geregelt. Der Umgang damit entscheidet oft darüber, ob eine Website als rechtssicher gilt oder nicht.
Nicht alle Cookies sind gleich. Technisch notwendige Cookies dürfen ohne Einwilligung gesetzt werden, da sie für den Betrieb der Website erforderlich sind – zum Beispiel:
Alle anderen Cookie-Arten benötigen eine aktive Einwilligung der Nutzer:innen:
Ein rechtssicherer Cookie-Banner muss mehrere Bedingungen erfüllen:
Wichtig: Überprüfe regelmäßig, welche Cookies die Website tatsächlich setzt. Viele WordPress-Plugins oder eingebundene Tools speichern Daten, ohne dass Betreiber:innen davon wissen. Nur wer den Überblick behält, kann den Consent-Banner rechtssicher konfigurieren und Vertrauen schaffen.
Das Urheberrecht zählt zu den häufigsten Abmahnfallen im Internet. Schon die unerlaubte Nutzung eines einzigen Fotos kann zu Schadensersatzforderungen im vierstelligen Bereich führen – und das völlig unabhängig davon, ob der Verstoß beabsichtigt war oder nicht.
Stockfoto-Anbieter bieten verschiedene Lizenzmodelle – von Standard- bis zu erweiterten Lizenzmodellen.
Lies die Bedingungen genau: Nicht jede Lizenz erlaubt kommerzielle Nutzung, Social-Media-Weiterverwendung oder großflächige Kampagneneinsätze. Creative Commons-Lizenzen können eine gute und kostengünstige Alternative sein – bergen aber Fallstricke:
Urheberrecht gilt auch für Texte, Übersetzungen und redaktionelle Inhalte. Wenn du mit Ghostwritern oder externen Autor:innen arbeitest, stelle sicher, dass alle Nutzungsrechte vertraglich übertragen werden.
Bei Übersetzungen ist das Urheberrecht des Originaltextes zu beachten – Übersetzungen gelten selbst als eigenständige Werke. Auch bei User-Generated Content – etwa Kommentaren, Bewertungen oder Community-Beiträgen – sollten klare Regeln gelten:
Über Ihre AGB oder Nutzungsbedingungen lässt sich festlegen,
Barrierefreiheit im Web wird zunehmend wichtiger – sowohl aus rechtlicher als auch aus gesellschaftlicher Sicht.
Die Web Content Accessibility Guidelines (WCAG) 2.1 definieren internationale Standards für barrierefreie Webinhalte. Die wichtigsten technischen Anforderungen sind:
In Österreich regelt das Behindertengleichstellungsgesetz (BGStG) die Verpflichtungen für öffentliche Dienstleister. Auf EU-Ebene gilt die Web-Zugänglichkeits-Richtlinie für öffentliche Stellen. Private Unternehmen sind noch nicht verpflichtet, aber der Trend geht eindeutig in Richtung Barrierefreiheit für alle.
Die Wahl von Domain und Hosting-Anbieter ist nicht nur eine technische, sondern auch eine rechtliche Entscheidung. Schon bei der Registrierung und Serverwahl lassen sich spätere Risiken vermeiden.
Bevor eine Domain gesichert wird, sollte immer eine gründliche Markenrecherche stattfinden.
Prüfe die Eintragungen beim
Markenrechtsverletzungen führen schnell zu Abmahnungen, Schadensersatzforderungen oder sogar zum Verlust der Domain. Achte zudem auf Namensrechte prominenter Personen oder Unternehmen – selbst scheinbar harmlose Kombinationen können rechtliche Konflikte auslösen.
Für die DSGVO-Konformität spielt der Serverstandort eine zentrale Rolle. Hosting innerhalb der EU bietet die größte Rechtssicherheit. Wer auf Servern außerhalb der EU (z. B. in den USA) setzt, benötigt zusätzliche Garantien wie Standardvertragsklauseln (SCCs) oder Datenschutzvereinbarungen nach Art. 46 DSGVO.
Eine SSL-Verschlüsselung (HTTPS) ist heute Pflicht – sie schützt die Daten der Besucher:innen und wird von Google als Ranking-Faktor bewertet. Fehlt das kleine Schloss im Browser, leidet nicht nur das Vertrauen, sondern auch die Sichtbarkeit.
Online-Shops unterliegen besonderen rechtlichen Vorgaben, die über die allgemeinen Website-Regeln hinausgehen. Wer Produkte oder Dienstleistungen online verkauft, muss eine Reihe zusätzlicher Informationspflichten erfüllen – und das transparent, nachvollziehbar und DSGVO-konform.
Das E-Commerce-Gesetz schreibt vor, dass du als Online-Händler:in deinen Kund:innen umfassende Informationen bereitstellst, darunter:
Diese Angaben müssen leicht auffindbar und verständlich formuliert sein – am besten direkt im Bestellprozess und im Footer deiner Website.
Kund:innen haben im Online-Handel grundsätzlich ein 14-tägiges Widerrufsrecht. Definiere klar, welche Ausnahmen gelten – etwa bei verderblichen Waren, digitalen Inhalten oder individuell angefertigten Produkten.
Der Bestellprozess selbst muss eindeutig gestaltet sein. Ein klar beschrifteter Button wie „Kostenpflichtig bestellen“ ist Pflicht und verhindert Missverständnisse. Für Streitfälle bist du verpflichtet, auf die ODR-Plattform der EU zur Online-Streitbeilegung zu verlinken.
Außerdem gilt: Gewährleistungsrechte dürfen in den AGB nicht eingeschränkt werden – andernfalls riskierst du Abmahnungen oder Vertragsnichtigkeit.
Social Media ist ein wichtiger Bestandteil moderner Websites – rechtlich aber auch ein sensibles Thema. Buttons, Feeds oder eingebettete Inhalte von Plattformen wie Facebook, Instagram, LinkedIn oder YouTube übertragen häufig personenbezogene Daten an Server in den USA – oft schon beim Laden der Seite.
Die einfachste Möglichkeit, Social Media datenschutzkonform einzubinden, ist die sogenannte 2-Klick-Lösung. Dabei werden die echten Social-Media-Buttons erst nach einem aktiven Klick durch die Nutzer:innen geladen.
Vorher sieht man nur einen neutralen Platzhalter mit einem kurzen Datenschutzhinweis. So entscheidest du, wann Daten übertragen werden – und erfüllst gleichzeitig die Anforderungen der DSGVO.
Bei YouTube-Videos solltest du den erweiterten Datenschutzmodus aktivieren. Auch hier werden erst dann Daten übertragen, wenn das Video tatsächlich gestartet wird.
Wenn du Social-Media-Plugins oder eingebettete Inhalte nutzt, benötigst du Auftragsverarbeitungsverträge (AVV) mit den jeweiligen Plattformen. Unternehmen wie Meta (Facebook & Instagram), Google (YouTube) oder LinkedIn stellen diese Verträge online bereit – aber du musst sie aktiv abschließen und in deiner Datenschutzerklärung dokumentieren. Nur so stellst du sicher, dass die Datenübertragung rechtlich abgesichert ist und dein Online-Auftritt den Anforderungen der DSGVO entspricht.
E-Mail-Marketing ist eines der effektivsten, aber auch am strengsten regulierten Marketinginstrumente. Wer Newsletter oder Kampagnenmails versendet, muss klare rechtliche Vorgaben erfüllen – andernfalls drohen Abmahnungen oder Bußgelder.
Für jeden einzelnen Newsletter-Abonnenten brauchst du eine nachweisbare Einwilligung. Das Double-Opt-In-Verfahren ist hier Standard: Nach der Anmeldung erhält die Person eine Bestätigungs-E-Mail mit einem Link – erst nach dem Klick darauf darfst du den Newsletter tatsächlich versenden.
Dokumentiere jede Anmeldung sorgfältig, inklusive Zeitstempel, IP-Adresse und Bestätigungsmail. Diese Nachweise sind wichtig, falls es zu rechtlichen Streitfällen oder Beschwerden kommt.
Jede Marketing-E-Mail muss einen funktionierenden Abmeldelink enthalten – sichtbar, klar formuliert und ohne Umwege nutzbar. Verlange keine Begründung für die Abmeldung und verstecke die Option nicht in den Tiefen des Footers. Weise in deinen E-Mails zusätzlich auf deine Datenschutzerklärung hin und erkläre transparent, welche Daten zu welchem Zweck verarbeitet werden.
Rechtssicherheit ist kein Zustand, sondern ein Prozess. Gesetze, Tools und Tracking-Technologien ändern sich ständig – wer dauerhaft auf der sicheren Seite bleiben will, muss seine Website regelmäßig überprüfen und anpassen.
Idealerweise: vierteljährlich ein Compliance-Audit. Dabei solltest du prüfen:
Solche Audits helfen, Risiken frühzeitig zu erkennen, bevor sie zu echten Problemen werden.
Auch mit größter Sorgfalt kann einmal etwas passieren. Wichtig ist, dass du klare Abläufe für den Ernstfall definiert hast:
Ja – schon bei der kleinsten gewerblichen Tätigkeit ist ein Impressum nach § 63 GewO verpflichtend. Das gilt auch für Freelancer, Berater:innen oder Einzelunternehmer:innen. Deine private Anschrift kannst du durch angemietete Geschäftsräume ersetzen – virtuelle Adressen oder Postfächer sind jedoch nicht zulässig.
Immer dann, wenn sich etwas ändert – etwa durch neue Tools, Plugins oder Dienstleister. Empfehlenswert ist eine vierteljährliche Überprüfung, mindestens aber einmal pro Jahr. So bleibst du rechtlich auf der sicheren Seite und stellst sicher, dass deine Datenschutzerklärung immer aktuell ist.
Technisch notwendige Cookies benötigen keine Einwilligung, müssen aber trotzdem in der Datenschutzerklärung dokumentiert werden. Sobald du jedoch Analytics-Tools, Chat-Widgets oder Social-Media-Elemente einbindest, werden zusätzliche Cookies gesetzt – diese erfordern eine aktive Zustimmung über ein Consent-Banner.
Grundsätzlich ja, aber mit Vorsicht. Lies immer die konkreten Lizenzbedingungen und prüfe, ob Model-Releases vorliegen. Bei Unsplash gibt es beispielsweise Einschränkungen bei der kommerziellen Nutzung in großem Umfang. Seriöse Stockanbieter wie Shutterstock oder Adobe Stock bieten in der Regel mehr Rechtssicherheit.
Keine Panik – aber schnell reagieren! Ignoriere die Abmahnung keinesfalls, da sonst teure Gerichtsverfahren drohen. Prüfe, ob sie berechtigt ist, behebe eventuelle Mängel sofort und hole rechtlichen Rat ein. In vielen Fällen lässt sich eine außergerichtliche Lösung finden – deutlich günstiger als ein Prozess.
Die rechtlichen Anforderungen für Websites werden sich in den nächsten Jahren weiter verändern. Als Design-Agentur erleben wir täglich, wie entscheidend Rechtssicherheit für den digitalen Markenauftritt geworden ist. Sie ist kein lästiges Anhängsel, sondern ein Qualitätsmerkmal, das Vertrauen schafft und langfristig Kosten spart. Wenn du von Anfang an in eine professionell konzipierte, rechtssichere Website investierst, profitierst du doppelt: durch Vertrauen bei deinen Kund:innen – und Ruhe auf der rechtlichen Seite.
