Impressum & Datenschutz in Österreich: Was deine Website 2026 braucht

Du hast endlich eine Website für dein Unternehmen. Design passt, Texte stehen, Google indexiert. Dann kommt der Brief — eine Abmahnung wegen fehlendem oder fehlerhaftem Impressum. Oder eine Beschwerde bei der Datenschutzbehörde wegen deines Cookie-Banners.

Klingt übertrieben? Rund drei Viertel der österreichischen Unternehmens-Websites sind laut Experten der Wirtschaftskammer rechtlich angreifbar — fehlende Pflichtangaben, falsche Datenschutzerklärungen oder Cookie-Banner, die keine gültige Einwilligung einholen. Die österreichische Datenschutzbehörde verzeichnete 2024 genau 3.019 Beschwerden — ein Anstieg von 769 % seit 2017. Und sie hat im selben Jahr 62 Geldbußen in einer Gesamthöhe von 1.684.230 € verhängt.

Das Thema betrifft nicht nur Großkonzerne. Es betrifft jede GmbH, jedes Einzelunternehmen, jeden Verein mit einer Website. Und das Gute: Wenn du einmal verstehst, was du brauchst, ist es in ein paar Stunden erledigt.

Vier Gesetze, eine Website

In Österreich ist die Impressumspflicht nicht in einem einzelnen Gesetz geregelt. Gleich vier Gesetze betreffen deine Website — und je nach Unternehmensform gelten unterschiedliche Kombinationen:

Gesetz	Gilt für	Kern-Pflicht
§ 5 ECG (E-Commerce-Gesetz)	Alle kommerziellen Websites	Identifikation, Kontakt, Aufsichtsbehörde
§ 14 UGB (Unternehmensgesetzbuch)	Firmenbuch-eingetragene Unternehmen	Firma, Rechtsform, FB-Nummer, Gericht
§ 63 GewO (Gewerbeordnung)	Gewerbetreibende ohne Firmenbuch	Unternehmensgegenstand
§ 25 MedienG (Mediengesetz)	Jede Website mit Inhalten	Medieninhaber, ggf. Blattlinie

Wichtig: Das ECG gilt für jede kommerzielle Website — es reicht, wenn deine Seite durch Werbeanzeigen oder Sponsorings finanziert wird. Auch ein Blog mit Affiliate-Links ist betroffen.

Was ins Impressum muss: Die Pflichtangaben nach Rechtsform

Für alle kommerziellen Websites (§ 5 ECG)

Diese Angaben brauchst du in jedem Fall:

• Name oder Firma des Website-Betreibers
• Anschrift der Niederlassung (muss zustellfähig sein)
• E-Mail-Adresse plus mindestens einen weiteren direkten Kontaktweg (Telefon, Fax oder Rückrufservice — ein Kontaktformular allein reicht nicht)
• Unternehmensgegenstand
• Kammer-/Berufsverbandszugehörigkeit (falls zutreffend)
• Berufsbezeichnung und Verleihungsstaat (bei reglementierten Gewerben)
• Anwendbare Rechtsvorschriften mit Link zum RIS (bei reglementierten Gewerben)
• UID-Nummer (falls vorhanden)
• Zuständige Aufsichtsbehörde (falls zutreffend)
• Link zur EU-Online-Streitbeilegung (bei B2C-Webshops)

Zusätzlich für im Firmenbuch eingetragene Unternehmen (§ 14 UGB)

Wenn dein Unternehmen im Firmenbuch steht — also GmbH, e.U., OG, KG, AG — brauchst du außerdem:

• Firma (exakt wie im Firmenbuch eingetragen)
• Rechtsform (z.B. GmbH, e.U., OG)
• Firmenbuchgericht und -nummer
• Sitz der Gesellschaft
• Bei GmbH und AG: Stammkapital bzw. Grundkapital (wenn es irgendwo auf der Website erwähnt wird)

Zusätzlich für Gewerbetreibende ohne Firmenbuch (§ 63 GewO)

• Name des Gewerbeinhabers
• Standort der Gewerbeberechtigung
• Unternehmensgegenstand

Die Mediengesetz-Falle: Kleine vs. große Websites

Hier wird es unterschätzt. Das Mediengesetz unterscheidet zwischen "kleinen" und "großen" Websites — und die Unterscheidung hat nichts mit der Unternehmensgröße zu tun, sondern mit dem Inhalt.

Kleine Website = reine Selbstdarstellung und Werbung für eigene Produkte/Dienstleistungen. Beispiel: Ein Friseur-Salon, der seine Leistungen und Preise zeigt.

Große Website = Inhalte, die über die Eigenwerbung hinausgehen und die öffentliche Meinungsbildung beeinflussen können. Beispiel: Ein Hotel, das auch regionale Tourismusinformationen veröffentlicht. Oder: Ein Unternehmensblog mit Fachartikeln.

Das heißt: Sobald du einen Blog betreibst, wirst du zur "großen" Website — und brauchst zusätzlich die Offenlegung nach § 25 MedienG:

• Alle Angaben der kleinen Website
• Grundlegende Richtung des Mediums (die "Blattlinie" — z.B. "Information über Produkte und Dienstleistungen des Unternehmens sowie Fachinformationen aus dem Bereich [Branche]")
• Bei juristischen Personen: Organe, Gesellschafter mit >25 % Beteiligung

Strafen beim Mediengesetz: Bis zu € 20.000 — deutlich höher als die € 3.000 nach dem ECG.

Die Impressum-Checkliste nach Rechtsform

Pflichtangabe	Einzel­unter­nehmen	e.U.	GmbH	OG / KG	Verein
Name / Firma	✓	✓	✓	✓	✓
Anschrift	✓	✓	✓	✓	✓
E-Mail + Telefon	✓	✓	✓	✓	✓
Unternehmensgegenstand	✓	✓	✓	✓	✓
UID-Nummer	wenn vorhanden	wenn vorhanden	✓	✓	wenn vorhanden
Firmenbuchgericht + Nr.	—	✓	✓	✓	—
Rechtsform	—	✓	✓	✓	—
Sitz der Gesellschaft	—	✓	✓	✓	—
Stammkapital	—	—	wenn erwähnt	—	—
ZVR-Zahl	—	—	—	—	✓
Kammer / Berufsverband	wenn zutrifft	wenn zutrifft	wenn zutrifft	wenn zutrifft	—
Aufsichtsbehörde	wenn zutrifft	wenn zutrifft	wenn zutrifft	wenn zutrifft	—
Blattlinie (bei Blog)	✓	✓	✓	✓	✓

Datenschutzerklärung: Was die DSGVO verlangt

Seit Mai 2018 braucht jede Website, die personenbezogene Daten verarbeitet, eine Datenschutzerklärung. Und ja — jede Website verarbeitet personenbezogene Daten. Schon eine IP-Adresse im Server-Log reicht.

Die Anforderungen kommen aus Art. 13 und 14 DSGVO und sind klar definiert. Deine Datenschutzerklärung muss enthalten:

1. Wer verarbeitet?

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)

2. Was und warum?

• Welche Daten werden verarbeitet (Kategorien: Name, E-Mail, IP-Adresse, etc.)
• Zu welchem Zweck (z.B. Kontaktanfrage, Newsletter, Webanalyse)
• Auf welcher Rechtsgrundlage (Art. 6 Abs. 1 DSGVO):
  • lit. a: Einwilligung (z.B. Newsletter, Tracking-Cookies)
  • lit. b: Vertragserfüllung (z.B. Bestellabwicklung)
  • lit. c: Rechtliche Verpflichtung (z.B. Aufbewahrungspflichten)
  • lit. f: Berechtigtes Interesse (z.B. Webserver-Logs für Sicherheit)

3. Wer bekommt die Daten?

• Empfänger oder Kategorien (Hosting-Anbieter, E-Mail-Dienstleister, Zahlungsanbieter)
• Drittlandtransfers — wenn Daten außerhalb der EU/des EWR verarbeitet werden (z.B. bei US-Tools wie Google, Mailchimp, Cloudflare), mit Angabe der Schutzmaßnahmen (Angemessenheitsbeschluss, Standardvertragsklauseln)

4. Wie lange?

• Speicherdauer oder zumindest die Kriterien dafür

5. Welche Rechte?

• Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit (Art. 15–22 DSGVO)
• Recht auf Widerruf der Einwilligung
• Recht auf Beschwerde bei der Datenschutzbehörde (dsb.gv.at)

6. Bei automatisierter Entscheidungsfindung

• Ob Profiling stattfindet und die Logik dahinter (Art. 22 DSGVO)

Darstellung: Die Datenschutzerklärung muss separat und klar erkennbar verlinkt sein — nicht ins Impressum integriert, sondern als eigener Menüpunkt. "Datenschutz" oder "Datenschutzerklärung" im Footer, von jeder Seite erreichbar.

Cookie-Banner: Wann Pflicht, wann nicht

Das Thema Cookie-Banner wird in Österreich durch § 165 Abs. 3 TKG 2021 geregelt — nicht direkt durch die DSGVO.

Die Regel ist einfach: Cookies und vergleichbare Technologien dürfen nur mit vorheriger Einwilligung des Nutzers gesetzt werden. Ausnahme: technisch notwendige Cookies — also solche, die für das Funktionieren der Website unbedingt erforderlich sind (Session-Cookies, Warenkorb, Cookie-Consent-Speicherung selbst).

Wann brauchst du kein Cookie-Banner?

Wenn deine Website ausschließlich technisch notwendige Cookies verwendet — kein Google Analytics, kein Facebook Pixel, kein Marketing-Tracking — brauchst du kein Cookie-Banner. Du brauchst trotzdem eine Datenschutzerklärung, die diese Cookies erwähnt.

Wann brauchst du ein Cookie-Banner?

Sobald du ein einziges nicht-notwendiges Cookie setzt — und dazu zählen:

• Google Analytics / GA4
• Facebook/Meta Pixel
• Google Ads Conversion Tracking
• Hotjar, Clarity, jedes Heatmap-Tool
• YouTube-Einbettungen (im Standard-Modus)
• Google Maps (im Standard-Modus)
• Social-Media-Share-Buttons mit Tracking

Anforderungen an ein gültiges Cookie-Banner

Die Einwilligung muss den Anforderungen der DSGVO entsprechen — und die sind streng. Der EuGH hat in mehreren Urteilen klargestellt:

• Opt-in, nicht Opt-out: Vorangekreuzte Checkboxen sind ungültig (EuGH, Planet 49, C-673/17)
• Echte Wahl: "Ablehnen" muss genauso einfach sein wie "Akzeptieren" — kein versteckter Link, keine Farbmanipulation
• Informiert: Nutzer müssen vor der Zustimmung wissen, welche Cookies gesetzt werden und wozu
• Granular: Nutzer müssen einzelnen Zwecken zustimmen oder widersprechen können
• Widerrufbar: Die Einwilligung muss jederzeit so einfach widerrufen werden können, wie sie erteilt wurde

Dark Patterns sind illegal. Die österreichische Organisation noyb hat über 500 Beschwerden gegen manipulative Cookie-Banner bei europäischen Datenschutzbehörden eingereicht. Das OLG Köln bestätigte 2024, dass irreführende Banner-Designs eine echte Wahl verhindern und die Einwilligung ungültig machen. Die belgische Datenschutzbehörde drohte Ende 2024 mit Zwangsgeldern von 25.000 € pro Tag bei Weiterverwendung manipulativer Banner.

Google Analytics: Der Sonderfall in Österreich

Im Jänner 2022 hat die österreichische Datenschutzbehörde entschieden, dass der Einsatz von Google Analytics in einem konkreten Fall rechtswidrig war — der erste Bescheid dieser Art in der EU, ausgelöst durch eine noyb-Beschwerde nach dem Schrems-II-Urteil.

Was war das Problem? Die Website hatte keine Einwilligung eingeholt und die IP-Anonymisierung nicht korrekt aktiviert. Die Daten wurden ohne gültige Rechtsgrundlage in die USA übertragen.

Die aktuelle Lage (2026): Google Analytics ist in Österreich nicht generell verboten. Du kannst es datenschutzkonform einsetzen — wenn du:

1. Vorher eine Einwilligung per Cookie-Banner einholst (Opt-in)
2. Die IP-Anonymisierung aktivierst (bei GA4 standardmäßig aktiv)
3. Einen Auftragsverarbeitervertrag mit Google abschließt
4. Die Übertragung in die USA durch den EU-US Data Privacy Framework absicherst
5. Alles in der Datenschutzerklärung dokumentierst

Alternativen ohne Cookie-Einwilligung: Tools wie Plausible, Fathom oder Umami setzen keine Cookies und verarbeiten keine personenbezogenen Daten — kein Cookie-Banner nötig.

Was passiert, wenn du dich nicht daran hältst

Die Strafen sind nach Gesetz gestaffelt — und sie summieren sich:

Verstoß	Rechtsgrundlage	Maximalstrafe
Fehlendes/fehlerhaftes Impressum (ECG)	§ 26 ECG	€ 3.000
Verstoß gegen Offenlegung (MedienG)	§ 27 MedienG	€ 20.000
Fehlende Firmenbuch-Angaben (UGB)	§ 14 UGB	€ 3.600
DSGVO-Verstoß (Datenschutzerklärung, Einwilligung)	Art. 83 DSGVO	€ 20.000.000 oder 4 % des Jahresumsatzes
Cookie-Verstoß (TKG)	§ 165 TKG 2021	€ 50.000
Unterlassungsklage (UWG — Wettbewerbsrecht)	UWG	Streitwert > € 40.000

Echte Fälle aus Österreich

Das sind keine theoretischen Zahlen. Die österreichische Datenschutzbehörde hat 2024 allein 62 Geldbußen verhängt. Hier einige reale Beispiele:

• € 16.000.000 gegen die Österreichische Post AG — Verarbeitung politischer Affinitäten ohne Rechtsgrundlage (BVwG, Dezember 2024)
• € 1.500.000 für rechtswidrige Videoüberwachung in einem stark frequentierten Bereich Wiens (Mai 2025)
• € 50.000 gegen eine Bank — Kundendaten versehentlich an Unbefugte gesendet, ursprünglich € 4 Mio., vom BVwG reduziert
• € 20.000 — fehlende Rechtsgrundlage bei Videoüberwachung plus fehlendes Verarbeitungsverzeichnis
• € 11.000 — Löschpflichten ignoriert, keine technischen Maßnahmen zur Datenlöschung
• € 9.500 — Auskunftsrecht verletzt: Statt Auskunft zu geben, wurden die Daten gelöscht

EU-weit wurden seit 2018 über € 5,88 Milliarden an DSGVO-Strafen verhängt — allein € 1,2 Milliarden im Jahr 2024.

So machst du es richtig: Die Schritt-für-Schritt-Anleitung

Schritt 1: Impressum erstellen

1. Bestimme deine Rechtsform und prüfe die Tabelle oben
2. Nutze den WKO Impressums-Service — die WKO bietet kostenlose Muster für jede Rechtsform
3. Alternativ: Kostenlose Generatoren wie AdSimple oder fairesRecht
4. Prüfe dein Mediengesetz-Pflicht: Hast du einen Blog oder redaktionelle Inhalte? → Blattlinie und Offenlegung ergänzen
5. Platzierung: Link "Impressum" im Footer, von jeder Seite mit maximal einem Klick erreichbar

Schritt 2: Datenschutzerklärung erstellen

1. Dokumentiere alle Datenverarbeitungen auf deiner Website:
   • Kontaktformulare
   • Newsletter-Anmeldung
   • Webanalyse-Tools (Google Analytics, etc.)
   • Eingebettete Inhalte (YouTube, Google Maps, Social Media)
   • Hosting-Provider (Server-Logs)
   • Zahlungsanbieter
2. Nutze den WKO Datenschutzgenerator oder den DSGVO-Generator von fairesRecht
3. Verlinke die Datenschutzerklärung separat — nicht im Impressum verstecken, eigener Footer-Link

Schritt 3: Cookie-Banner einrichten (falls nötig)

1. Prüfe, ob du nicht-notwendige Cookies setzt — im Zweifelsfall: ja
2. Wähle ein Consent-Tool:
   • Cookiebot — kostenlos bis 50 Unterseiten, ab € 6/Monat
   • CookieYes — kostenlos für persönliche Websites, ab € 9/Monat
   • Oder eine datenschutzfreundliche Alternative: Verzichte auf Google Analytics und nutze Plausible oder Umami — dann brauchst du gar kein Cookie-Banner
3. Konfiguriere das Banner korrekt:
   • "Alle akzeptieren" und "Alle ablehnen" gleich prominent
   • Keine vorausgewählten Checkboxen
   • Einzelne Kategorien müssen an-/abwählbar sein
   • Kein Tracking vor der Einwilligung
4. Dokumentiere alles in der Datenschutzerklärung

Schritt 4: Regelmäßig prüfen

• Bei jeder Änderung an der Website (neues Tool, neuer Dienst) → Datenschutzerklärung aktualisieren
• Mindestens einmal pro Jahr alles durchgehen
• Impressum aktuell halten (Adresse, Telefonnummer, Geschäftsführerwechsel)

Die häufigsten Fehler

Aus unserer Erfahrung bei der Erstellung von Unternehmens-Websites sehen wir diese Fehler immer wieder:

Beim Impressum:

• Kontaktformular als einziger Kontaktweg (es braucht E-Mail plus Telefon)
• Fehlende Firmenbuchnummer bei GmbH, OG oder KG
• Keine Blattlinie, obwohl ein Blog existiert
• Impressum nur über drei Klicks erreichbar

Bei der Datenschutzerklärung:

• Copy-Paste von deutschen Vorlagen (andere Gesetze — kein TKG, kein ECG)
• Nicht aktualisiert seit 2018
• Eingebettete YouTube-Videos oder Google Maps nicht erwähnt
• Fehlende Angabe zu Drittlandtransfers (USA)

Beim Cookie-Banner:

• "Alles akzeptieren"-Button groß und bunt, "Ablehnen" als kleiner Textlink
• Tracking-Skripte laden schon vor der Einwilligung
• Keine Möglichkeit, die Einwilligung nachträglich zu widerrufen
• Cookie-Banner fehlt komplett, obwohl Google Analytics läuft

Was hat das mit deiner Website-Qualität zu tun?

Impressum und Datenschutz sind nicht nur juristische Pflicht — sie sind ein Vertrauenssignal. Wer bei den Basics schludert, wirkt unprofessionell. Und: Eine professionelle Website ist heute nicht nur Design und Performance — sie ist auch rechtliche Sicherheit.

Übrigens: Auch Suchmaschinen und KI-Systeme bewerten rechtliche Seiten. Eine vollständige, korrekte Website mit Impressum und Datenschutzerklärung hat bei Google und bei KI-Suchmaschinen wie ChatGPT bessere Chancen, als vertrauenswürdige Quelle zitiert zu werden.

---

Rechtliche Pflichten sollten dich nicht davon abhalten, online sichtbar zu sein. Wir bei siteklar bauen Websites, die nicht nur schnell und schön sind — sondern auch rechtlich sauber aufgesetzt. Impressum, Datenschutz und Cookie-Consent sind bei jedem Projekt inklusive.