Impressumspflicht: Wann sie gilt und was hinein muss
Das Digitale-Dienste-Gesetz (DDG) § 5 verpflichtet alle, die eine Website zu gewerblichen oder selbstständigen beruflichen Zwecken betreiben, zu einem Impressum mit vollständigen Kontaktangaben: Name, Anschrift (keine Postfach-Adresse), E-Mail-Adresse und – seit einer Gesetzesänderung – eine weitere schnelle elektronische Kontaktmöglichkeit. Für Bildende Künstler, die als Freiberufler tätig sind und Mitglied der KSK (Künstlersozialkasse) sind, gelten keine Sonderregelungen. Das Impressum muss von der Startseite der Website aus in maximal zwei Klicks erreichbar sein. Ein fehlendes oder unvollständiges Impressum ist kein bloßes Versäumnis, sondern ein abmahnfähiger Wettbewerbsverstoß nach dem Gesetz gegen den unlauteren Wettbewerb (UWG). Mitbewerber, Verbraucherschutzverbände und spezialisierte Kanzleien prüfen Websites systematisch auf solche Lücken. Wer als Bildender Künstler nachweislich nicht gewerblich, sondern ausschließlich privat und unentgeltlich eine Website betreibt, fällt nicht unter die Impressumspflicht – in der Praxis betrifft das aber kaum jemanden, der Werke zum Verkauf anbietet oder Ausstellungstätigkeit dokumentiert, da bereits die erkennbare Verkaufsabsicht als geschäftsmäßig gilt.
Datenschutz: Was die DSGVO für Künstler-Websites bedeutet
Die DSGVO gilt für jede Datenverarbeitung auf einer Website, die Besucher aus der EU erreicht. Relevant für Künstler-Websites sind: Kontaktformulare (Speicherung und Verarbeitung personenbezogener Daten), Google Analytics oder andere Tracking-Dienste (Einwilligung erforderlich, Cookie-Banner), Google Fonts aus dem CDN-Netz (das LG München I hat 2022 in Az. 3 O 17493/20 entschieden, dass automatische Übertragung der IP-Adresse an Google ohne Einwilligung DSGVO-widrig ist – Fonts sollten lokal auf dem eigenen Server eingebunden werden, statt sie vom Google-CDN nachzuladen) und Newsletter (Double-Opt-In und Nennung des Versanddienstleisters). Die Datenschutzerklärung muss alle tatsächlich verwendeten Dienste benennen. Auch der Serverstandort spielt eine Rolle: Wird Hosting bei einem Anbieter außerhalb der EU genutzt, muss die Datenschutzerklärung die Rechtsgrundlage für diese Drittlandübermittlung benennen. Ein gültiges SSL/TLS-Zertifikat – erkennbar an „https" in der Adresszeile – gilt inzwischen als Mindeststandard, Browser markieren unverschlüsselte Seiten aktiv als „nicht sicher". Für Kontaktformulare gilt zusätzlich: Die Speicherdauer der übermittelten Daten muss begrenzt und in der Datenschutzerklärung benannt sein; eine unbegrenzte Aufbewahrung ohne Zweckbindung verstößt gegen den Grundsatz der Datenminimierung.
Was Nicht-Juristen tun können
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) stellt kostenfreie Orientierungshilfen und Mustertexte zur Verfügung, die einen ersten Überblick über die rechtlichen Pflichten geben. Für rechtssichere Texte ist eine Vorlage eines auf IT-Recht spezialisierten Anbieters (z. B. IT-Recht Kanzlei, eRecht24) verlässlicher als der selbstverfasste Text. Was nicht funktioniert: Datenschutz- und Impressumstexte von fremden Websites kopieren – die rechtliche Situation variiert, und kopierte Texte bilden die eigene Website nicht korrekt ab.
Was bei Verstößen passiert
Verstöße gegen die Impressumspflicht oder gegen die DSGVO werden in der Praxis selten von Behörden, sondern überwiegend von privaten Akteuren verfolgt: Abmahnkanzleien, die Websites automatisiert auf formale Mängel durchsuchen, und Mitbewerber, die einen Wettbewerbsvorteil aus der Abmahnung ziehen. Die Kosten einer solchen Abmahnung liegen oft im dreistelligen, bei wiederholten oder schweren Verstößen im vierstelligen Bereich. Das wirtschaftliche Risiko steht damit in keinem Verhältnis zum Aufwand, ein korrektes Impressum und eine vollständige Datenschutzerklärung von Anfang an einzurichten. Wer unsicher ist, ob alle verwendeten Dienste – etwa Buchungstools für Ateliertermine oder Shop-Plugins für den Werkverkauf – in der Datenschutzerklärung erfasst sind, sollte die eigene Website systematisch auf eingebundene Drittanbieter-Skripte prüfen, etwa mit den Entwicklertools des Browsers.