maintenance

Was eine Firmenwebsite in Österreich rechtlich haben muss

Impressum, Datenschutzerklärung und aktive Cookie-Einwilligung: drei Pflichten erklärt, und warum eine einmal fertige Rechtsseite ohne laufende Pflege veraltet.

Vor zwei Jahren hast du deine Website bauen lassen. Impressum und Datenschutzerklärung kamen aus einem Generator, der Cookie-Banner war schnell eingebaut, und damit war das Thema erledigt. Das war damals völlig in Ordnung. Niemand erwartet von einer Tischlerei oder einer Steuerberatung, dass sie nebenbei die Novellen zum Datenschutzgesetz mitliest. Das Problem ist, dass sich das Recht unter deiner Website weiterbewegt, und eine Seite, die seit dem Launch niemand angefasst hat, hinkt irgendwann hinterher. Ohne dass du etwas falsch gemacht hättest.

Eines vorweg, ganz ohne Paragraphenton: Dieser Beitrag bringt dich auf den Stand und sortiert die wichtigsten Punkte. Die Details für deinen konkreten Fall klärst du am besten mit deiner Rechtsberatung oder direkt bei der WKO.

Was muss eine Firmenwebsite in Österreich rechtlich haben?

Drei Pflichten treffen praktisch jede kommerzielle Website in Österreich: ein vollständiges Impressum mit Offenlegung, eine Datenschutzerklärung und eine Cookie-Einwilligung, die aktiv erfolgt, bevor nicht notwendige Cookies laden. Die Rechtsgrundlagen dahinter sind das E-Commerce-Gesetz, das Mediengesetz, die DSGVO und das Telekommunikationsgesetz. Hier die Kurzfassung, danach gehen wir die drei Punkte einzeln durch.

Pflicht Rechtsgrundlage Was sie mindestens erfüllt
Impressum und Offenlegung ECG §5, Mediengesetz §24 und §25 Name oder Firma, Anschrift, E-Mail plus weiterer Kontaktweg, Firmenbuchnummer und UID falls vorhanden, zuständige Gewerbebehörde
Datenschutzerklärung Art. 13 DSGVO, österreichisches DSG Wer Daten verarbeitet, zu welchem Zweck, auf welcher Grundlage, an wen sie gehen, und welche Rechte die Besuchenden haben
Cookie-Einwilligung TKG 2021 §165 Abs. 3, DSGVO Aktive Zustimmung, bevor nicht notwendige Cookies gesetzt werden, ohne vorausgewählte Häkchen

Impressumspflicht: was auf jede österreichische Firmenwebsite gehört

Jede kommerzielle Website muss ein Impressum führen, das leicht und unmittelbar auffindbar ist. Die Pflicht ergibt sich aus zwei Gesetzen, die du beide erfüllen musst. Das E-Commerce-Gesetz (§5 ECG) verlangt Name oder Firma, eine zustellbare Anschrift, eine E-Mail-Adresse und mindestens einen weiteren Kontaktweg, dazu Firmenbuchnummer und UID, sofern du sie hast, sowie die zuständige Gewerbebehörde. Eine Telefonnummer allein reicht laut EuGH nicht, die E-Mail-Adresse muss dabei sein.

Dazu kommt die Offenlegung nach dem Mediengesetz (§24 und §25). Für eine gewöhnliche Unternehmensseite ohne meinungsbildende Inhalte genügt die kleine Variante: Name oder Firma, Sitz und Unternehmensgegenstand. Wer beides sauber abdeckt, ist auf der sicheren Seite. Fehlt das Impressum, ist die Strafdrohung überschaubar, das Gesetz sieht bis zu € 3.000 als Höchststrafe vor (§26 ECG). Mehr Aufmerksamkeit verdient, dass ein fehlendes Impressum in Österreich auch wettbewerbsrechtlich angreifbar ist, dazu weiter unten.

Datenschutzerklärung: Pflicht für jede Website in Österreich

In der Praxis braucht jede Firmenwebsite eine Datenschutzerklärung, weil praktisch jede Seite personenbezogene Daten verarbeitet. Ein Kontaktformular erfasst Namen und E-Mail-Adressen, die Server-Logs speichern IP-Adressen, und beides fällt unter die DSGVO. Sobald du Daten direkt bei den Besuchenden erhebst, greift die Informationspflicht aus Art. 13 DSGVO.

Die Erklärung muss verständlich machen, wer für die Verarbeitung verantwortlich ist, zu welchem Zweck und auf welcher Grundlage du Daten verarbeitest, an welche Dienste sie gehen (etwa ein Analyse-Tool oder dein E-Mail-Anbieter), wie lange du sie speicherst, und welche Rechte die Besuchenden haben, inklusive des Beschwerderechts bei der Datenschutzbehörde. Sie gehört als eigene Seite ins Footer-Menü, getrennt vom Impressum. Eine generische Vorlage aus dem Netz deckt das selten ab, weil sie nicht die Tools widerspiegelt, die du tatsächlich einsetzt. Genau hier entsteht die erste stille Lücke, wenn sich dein Setup ändert und die Erklärung gleich bleibt.

Nicht notwendige Cookies dürfen erst geladen werden, nachdem die Person aktiv zugestimmt hat. Das ergibt sich aus §165 Abs. 3 TKG 2021 zusammen mit der DSGVO. Der EuGH hat in der Entscheidung Planet49 (1. Oktober 2019) klargestellt, dass vorausgewählte Häkchen keine gültige Einwilligung sind. Zustimmung heißt eine aktive, bewusste Handlung, und das Cookie fällt danach, nicht davor.

Technisch notwendige Cookies sind ausgenommen, also etwa die Sitzungsverwaltung für einen Warenkorb oder das Speichern der Cookie-Auswahl selbst. Einwilligung brauchst du für Analyse-Cookies, Werbe-Pixel, eingebettete Social-Media-Inhalte und ähnliche Dinge. Ein Detail, das vielen die Sache leichter macht: Wer Reichweitenmessung ohne Cookies einsetzt, löst die Zustimmungspflicht gar nicht erst aus. Kein Cookie, kein Banner.

Warum eine einmal fertige Seite langsam aus der Spur läuft

Hier liegt der eigentliche Punkt. Die drei Pflichten von oben sind an einem Tag erledigt. Was sich ändert, sind die Anforderungen dahinter, und zwar nach dem Launch, ohne dass jemand deine Seite anrührt. Die Cookie-Regeln sind über die Jahre strenger geworden, die Anforderungen an Datenschutzerklärungen ebenso, und es kommen neue Themen dazu. Eine Rechtsseite, die vor zwei Jahren korrekt war, beschreibt heute vielleicht Tools, die du nicht mehr nutzt, oder es fehlen welche, die dazugekommen sind.

Das beste Beispiel sind externe Ressourcen. Lädt deine Seite Schriften, Karten oder Skripte dynamisch von einem fremden Server, wandert die IP-Adresse der Besuchenden dorthin, und eine IP-Adresse ist ein personenbezogenes Datum. Rund um Google Fonts gab es 2022 in Österreich eine Welle von Abmahnschreiben, etwa 33.000 Unternehmen bekamen Post mit einer Geldforderung. Die Gerichte haben diesem Geschäftsmodell inzwischen einen Riegel vorgeschoben: Ein Wiener Gericht wies im April 2025 eine solche Klage als rechtsmissbräuchlich ab, weil der Kläger die Datenübertragungen gezielt zum eigenen Vorteil ausgelöst hatte. Dieses Urteil ist erstinstanzlich und noch nicht rechtskräftig. Der Punkt für dich ist nicht die abgewehrte Abmahnung, sondern das Grundsätzliche dahinter: Daten, die ohne Rechtsgrundlage deine Seite verlassen, sind ein berechtigtes Thema, und die Datenschutzbehörde empfiehlt, Schriften selbst zu hosten statt sie extern zu laden. Genau solche Lücken sammeln sich auf einer Seite an, die seit dem Launch unverändert ist.

Was in Österreich tatsächlich passiert, wenn etwas fehlt

Damit das hier nicht in Panikmache kippt, lohnt der nüchterne Blick auf die Durchsetzung. Wer sich beschweren will, wendet sich an die Datenschutzbehörde (DSB). Das Beschwerdeverfahren ist kostenlos und läuft als Zwei-Parteien-Verfahren, in dem du als Betreiber Stellung nehmen musst. Die DSB kann eine Verletzung feststellen und Anpassungen anordnen. Eine Geldstrafe verhängt sie im Beschwerdeverfahren selbst nicht, dafür gibt es ein eigenes Verwaltungsstrafverfahren.

Österreich unterscheidet sich hier deutlich von Deutschland. Dort können Mitbewerber DSGVO-Verstöße über das Wettbewerbsrecht abmahnen, woraus sich eine ganze Abmahnkultur entwickelt hat. In Österreich hat der OGH 2019 entschieden, dass Mitbewerber DSGVO-Verstöße nach derzeitigem Stand nicht per UWG-Abmahnung verfolgen können (4 Ob 84/19k). Eine flächendeckende Abmahnwelle durch Konkurrenten gibt es bei Datenschutzthemen also nicht. Beim Impressum sieht es anders aus: Ein fehlendes oder unvollständiges Impressum nach dem ECG kann sehr wohl wettbewerbsrechtlich verfolgt werden. Unterm Strich sind die Pflichten dieselben wie in Deutschland, die Art, wie sie dich erreichen, ist eine andere, meist über eine Beschwerde einer einzelnen Person statt über eine Klagewelle.

Was das für dich als Inhaberin oder Inhaber bedeutet

Die ehrliche Antwort ist nicht, dass du selbst Compliance-Fachkraft werden sollst. Du führst ein Unternehmen, nicht eine Kanzlei. Was du brauchst, ist jemand, dessen Aufgabe es ist, die rechtliche Schicht deiner Website aktuell zu halten, während sich die Regeln verschieben. Das ist genau die unsichtbare Arbeit, die nach dem Launch anfällt und bei einem reinen Projektauftrag niemandem gehört. Ein laufendes Abo-Modell deckt sie ab: Die Datenschutzerklärung wächst mit deinen Tools mit, der Cookie-Mechanismus bleibt sauber, und Entscheidungen wie eine Reichweitenmessung ohne Cookies oder selbst gehostete Schriften sind von Anfang an so getroffen, dass eine ganze Problemklasse gar nicht erst entsteht. Wenn dich interessiert, wie das konkret aussieht, sieh dir die laufende Betreuung an.

Eine Firmenwebsite rechtlich auf den Weg zu bringen ist überschaubar, das hast du oben gesehen. Sie über die Jahre rechtlich aktuell zu halten ist die eigentliche Aufgabe, und die endet nicht am Launch-Tag. Wenn du gerade erst eine Seite erstellen lässt, gehört die rechtliche Schicht zu dem, was ein guter Anbieter mitdenkt. Welche fünf Seiten jede Firmenwebsite braucht, beantwortet die Frage nach den Seiten, die verkaufen, dieser Beitrag die nach den Seiten, die das Gesetz verlangt. Und was sonst noch nach dem Launch auf dich zukommt, zeigt, warum eine Website eher ein laufender Dienst als ein einmaliges Projekt ist.

If your website has become a bottleneck, let’s talk!

Get in touch