Wer eine Website in Deutschland geschäftlich betreibt, hat es mit sechs Gesetzen zu tun. Sie haben unterschiedliche Schutzziele, unterschiedliche Stichtage und unterschiedliche Anforderungen an die Umsetzung. Dieser Beitrag erklärt jedes davon kurz — und zeigt, was im Konkreten geprüft wird.
1. DSGVO — Die Datenschutz-Grundverordnung
Die DSGVO (Verordnung (EU) 2016/679) gilt seit 25. Mai 2018 europaweit und regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen.
Pflichten für Ihre Website:
- Cookie-Banner mit echter Opt-in-Möglichkeit (TDDDG ergänzend zwingend)
- Vollständige Datenschutzerklärung (Art. 13 / 14 DSGVO)
- Recht auf Auskunft, Löschung, Datenübertragbarkeit für Nutzer
- Auftragsverarbeitungsverträge mit allen Dienstleistern (Art. 28)
- Schutzmaßnahmen bei Drittland-Übermittlungen (Art. 44 ff., u. a. SCC, EU-US DPF)
2. BDSG — Das Bundesdatenschutzgesetz
Das BDSG ergänzt die DSGVO auf nationaler Ebene und regelt Bereiche, die die DSGVO den Mitgliedstaaten überlässt — z. B. Beschäftigtendatenschutz und Videoüberwachung.
3. TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz
Das TDDDG (früher TTDSG) regelt den Einsatz von Cookies und anderen Tracking-Technologien.
Pflichten für Ihre Website:
- Cookies dürfen nur mit vorheriger, aktiver Einwilligung gesetzt werden (§ 25 TDDDG)
- Ein einfaches Weitersurfen gilt nicht als Einwilligung
- Technisch notwendige Cookies sind ausgenommen — alle anderen brauchen Consent
4. DDG — Das Digitale-Dienste-Gesetz
Das DDG (früher TMG) regelt Pflichten von Anbietern digitaler Dienste — vor allem die Impressumspflicht nach § 5 DDG.
Pflichtangaben im Impressum:
- Name und Anschrift, ggf. Vertretungsberechtigte
- Kontakt (E-Mail + zweiter schneller Kommunikationsweg)
- Handelsregister-Eintrag (HRB/HRA + Amtsgericht)
- USt-IdNr., wenn vorhanden
- Bei reglementierten Berufen: Berufsbezeichnung + Kammer
5. KI-VO — Der EU AI Act
Die KI-Verordnung (EU) 2024/1689 ist seit 1. August 2024 in Kraft. Verschiedene Bestimmungen treten gestaffelt in Kraft.
Pflichten für Ihre Website:
- Transparenzpflichten nach Art. 50 (anwendbar ab 2. August 2026): Kennzeichnung von Chatbots, KI-generierten Bildern, Deepfakes, AI-Texten zu öffentlichen Themen
- Verbotene Praktiken nach Art. 5: bereits anwendbar seit Februar 2025
- Hochrisiko-KI: gestaffelte Anforderungen ab August 2027
6. BFSG — Das Barrierefreiheitsstärkungsgesetz
Das BFSG ist seit 28. Juni 2025 in Kraft und verpflichtet kommerzielle Websites zur digitalen Barrierefreiheit nach EU-Richtlinie 2019/882.
Pflichten für Ihre Website:
- WCAG 2.1 Level AA: Farbkontraste, Alt-Texte, Tastaturnavigation, Screenreader-Kompatibilität
- Barrierefreiheitserklärung (verpflichtende Selbst-Auskunft auf der Website)
- Betroffen sind Unternehmen ab 10 Mitarbeitern oder über 2 Mio € Jahresumsatz
Alle sechs Gesetze im Volltext
- DSGVO — Datenschutz-Grundverordnung
- BDSG — Bundesdatenschutzgesetz
- TDDDG — Cookies und Tracking
- DDG — Digitale-Dienste-Gesetz (Impressumspflicht)
- KI-VO — EU AI Act
- BFSG — Barrierefreiheitsstärkungsgesetz
Häufige Fragen
Welche Gesetze muss eine deutsche Website beachten?
Sechs: die DSGVO (Datenschutz), das BDSG (nationale Ergänzung), das TDDDG (Cookies und Tracking), das DDG (Impressumspflicht), die KI-VO (KI-Transparenz) und das BFSG (Barrierefreiheit). Sie haben unterschiedliche Schutzziele und Stichtage.
Brauche ich für Cookies eine Einwilligung?
Ja. Nach § 25 TDDDG dürfen nicht zwingend notwendige Cookies erst nach vorheriger, aktiver Einwilligung gesetzt werden. Bloßes Weitersurfen gilt nicht als Einwilligung; technisch notwendige Cookies sind ausgenommen.
Ab wann gilt die KI-Kennzeichnungspflicht?
Die Transparenzpflichten nach Art. 50 KI-VO sind ab dem 2. August 2026 anwendbar. Verbotene KI-Praktiken nach Art. 5 gelten bereits seit Februar 2025, die Hochrisiko-Anforderungen folgen gestaffelt ab August 2027.
Wen betrifft das Barrierefreiheitsstärkungsgesetz (BFSG)?
Kommerzielle Website-Betreiber ab 10 Mitarbeitern oder über 2 Mio € Jahresumsatz. Das BFSG ist seit dem 28. Juni 2025 in Kraft und verlangt unter anderem WCAG 2.1 Level AA und eine Barrierefreiheitserklärung.
Was ist der Unterschied zwischen DDG und DSGVO?
Die DSGVO regelt den Umgang mit personenbezogenen Daten, das DDG regelt Anbieterpflichten digitaler Dienste — vor allem die Impressumspflicht nach § 5 DDG. Beide gelten parallel.
Wie wir das prüfen
Unser Scanner deckt jeden dieser sechs Bereiche ab — über insgesamt 14 Rechtsbereiche und 33 Module. Sie sehen pro Verstoß: Quelle, Zeitstempel, Rechtsgrundlage und Korrekturpfad. Jetzt kostenlos prüfen →
