Impressum

Ich weiß, was Sie denken. Warum so viel Text in einem Impressum? Warum diese scheinbar endlose Aneinanderreihung von Gedanken, Beobachtungen und sarkastischen Spitzen zu einem Thema, das für die meisten Menschen ohnehin schon ein Quell des Leidens ist? Ganz einfach: Weil es genau das widerspiegelt, was in diesem Land mit der digitalen Welt geschehen ist. Ein Bereich, der eigentlich Freiheit, Schnelligkeit, Flexibilität und Innovation verkörpern sollte, ist in ein Korsett aus Regeln, Verboten, Verpflichtungen und juristischer Fallstricke geschnürt worden. Und wer, wenn nicht wir kleinen Betreiber:innen von Websites, muss das am eigenen Leibe spüren?

Beginnen wir mit einem einfachen Gedanken: Wenn ein Mensch heute eine kleine Webseite betreibt – sei es ein Blog über Zierfische, ein Portfolio für selbstgestrickte Mützen oder eine Seite für den Verkauf von Second-Hand-Büchern – dann betritt er rechtlich betrachtet ein Minenfeld. Nicht etwa, weil er böse Absichten hegt. Nicht, weil er Daten missbrauchen möchte oder Kunden über den Tisch zieht. Sondern weil er, ohne es zu wissen, permanent gegen eine Norm, eine Richtlinie, ein Urteil, eine Auslegung oder ein Landesgesetz verstoßen könnte, das so präzise formuliert ist wie ein Gedicht von Franz Kafka.

Und nein, das ist keine Übertreibung. Es beginnt bereits mit der Domain. Schon bei der Auswahl des Namens kann man ins Stolpern geraten: Ist der Begriff geschützt? Gibt es ähnliche Marken? Besteht eine Verwechslungsgefahr? Hat ein Unternehmen aus Taiwan vor sechs Jahren eine gleichlautende Marke für Reisschalen eingetragen und könnte nun auf den Plan treten? Wer weiß. Zur Sicherheit sollte man also gleich ein Budget für Markenrechtsanwälte einplanen, bevor man auch nur den ersten Absatz seiner Startseite formuliert.

Kaum hat man das geschafft, geht es weiter mit dem Webdesign. Natürlich sollte es barrierefrei sein – nicht nur, weil es das Gesetz verlangt, sondern weil es auch moralisch das Richtige ist. Doch Barrierefreiheit ist kein simples „mehr Kontrast“ oder „größere Schrift“. Nein, sie ist ein hochkomplexes Regelwerk, das selbst erfahrene Entwickler:innen vor den Bildschirm treiben kann. Es gibt Normen, Richtlinien, technische Anforderungen, Ausnahmen, Mindestanforderungen, Zertifizierungen und Prüfverfahren. Und wehe, der Kontrast zwischen Schrift und Hintergrund liegt nicht im empfohlenen Bereich – das kann im schlimmsten Fall zu einer Abmahnung führen.

Apropos Abmahnung: Die eigentliche Pest im digitalen Deutschland. Während andere Länder klare Regeln, aber wenig Sanktionen haben, lebt das deutsche Recht von der Drohung. Die Abmahnung ist dabei das bevorzugte Werkzeug, das von gewissenhaften Kanzleien in Serie produziert und automatisiert verschickt wird. Es geht nicht um das Recht. Es geht nicht um den Schutz von Personen. Es geht ums Geld. Ums schnelle Geld. Abmahnung wegen Impressumsverstoß: 900 Euro. Abmahnung wegen fehlendem Cookie-Hinweis: 1.200 Euro. Abmahnung wegen Google Fonts: 2.400 Euro plus Unterlassungserklärung. Und wehe, man unterschreibt nicht – dann gibt’s einstweilige Verfügung, Klage, einstweilige Verfügung gegen die Klage und ein schönes Wochenende mit Eilverfahren.

Doch was ist eigentlich mit Google Fonts passiert? Noch vor wenigen Jahren war es das Mittel der Wahl, um saubere, schöne, schnelle Typografie ins Web zu bringen. Kostenlos, zuverlässig, performant. Heute ist es eine juristische Zeitbombe, denn: Die Fonts werden über US-Server geladen. Dabei wird – oh Schreck – die IP-Adresse des Nutzers übertragen. Diese IP-Adresse, die in 99,9 % der Fälle keinerlei Rückschluss auf eine Person erlaubt und in den meisten Haushalten täglich wechselt, gilt nun als personenbezogenes Datum. Und dieses darf nur mit ausdrücklicher Zustimmung übermittelt werden. Die Folge: Entweder du hostest alle Fonts lokal, oder du riskierst eine Abmahnung. Natürlich mit Beweisscreenshot, IP-Protokoll und freundlichem Schreiben eines Abmahnvereins mit dem schönen Zusatz, dass man doch bitte nicht direkt zum Anwalt gehen, sondern die kostengünstige außergerichtliche Einigung für nur 1.800 € zzgl. Auslagen akzeptieren möge.

Weiter geht’s mit dem Thema Cookies. Es gibt „technisch notwendige“ Cookies, „nicht notwendige“ Cookies, „Analyse-Cookies“, „Marketing-Cookies“, „Session-Cookies“, „Third-Party-Cookies“, „Zombie-Cookies“, und vermutlich auch demnächst „Meta-Cookies“, die andere Cookies verwalten. Für all diese braucht es Einwilligung. Nicht irgendwo versteckt in der Datenschutzerklärung, sondern sichtbar, klickbar, individuell konfigurierbar – bestenfalls mit „Ablehnen“-Button auf gleicher Ebene wie „Zustimmen“. Und wehe, das Banner lädt zu spät, oder ein Cookie wird trotzdem gesetzt – dann steht der Datenschutzbeauftragte deiner Region gefühlt schon mit dem Bußgeldbescheid vor der Tür. Natürlich alles nur zur Wahrung der Rechte der Nutzer – die in 99 % der Fälle einfach nur schnell auf „Akzeptieren“ klicken, damit sie endlich die Website sehen.

Noch nicht genug? Dann werfen wir einen Blick auf die neue Pflicht zur Plattform-Transparenz. Wer als Betreiber eine Plattform anbietet – sei es ein Forum, ein kleiner Marktplatz oder eine simple Bewertungsfunktion – muss künftig nicht nur sicherstellen, dass keine illegalen Inhalte veröffentlicht werden, sondern auch: Inhalte moderieren, Meldeverfahren bereitstellen, Prüfprotokolle führen, Moderationsentscheidungen dokumentieren, rechtliche Stellungnahmen speichern, und – natürlich – alles DSGVO-konform absichern. Es ist, als würde man erwarten, dass ein Kioskbetreiber jeden einzelnen Kaugummi überprüft, ob er keine falsche Meinung aufgedruckt hat.

Und wenn du jetzt denkst: „Aber das betrifft doch nur große Unternehmen!“ – Irrtum. Diese Regeln gelten für alle. Die Verpflichtung zur Einhaltung skaliert nicht nach Umsatz, Mitarbeiteranzahl oder Relevanz. Ob Multimillionen-Konzern oder Nebenerwerbsbloggerin – du bist dabei. Und du haftest.

Und weil all das ja noch nicht reicht, werfen wir nun einen tieferen Blick auf die sogenannte Informationspflicht. Informationspflicht – das klingt harmlos, fast schon freundlich. Ein bisschen wie: „Nett, dass du deine Besucher über die Datenverarbeitung informierst.“ Was in der Praxis daraus geworden ist? Ein endloser Textfriedhof, in dem du dich als Anbieter durch ein juristisches Dickicht schlagen musst, das selbst ausgebildete Anwälte regelmäßig zur Weißglut bringt. Du musst erklären, wer welche Daten erhebt, warum, wie lange, auf welcher Rechtsgrundlage, mit welchem Zweck, und an wen sie übermittelt werden. Das ist wie ein Beipackzettel für ein Nasenspray – nur ohne Wirkung, dafür mit 35 Unterpunkten.

Und weil Vertrauen ja bekanntlich gut ist, aber doppelte Dokumentation besser, verlangt der Gesetzgeber von dir, dass du all das auch wirklich beweisen kannst. Nicht etwa nur, dass du informierst – sondern dass du jeden Schritt belegbar dokumentierst. Das bedeutet: Jede Einwilligung muss protokolliert werden. Wer klickte wann auf welchen Button? Was war der genaue Text im Moment der Einwilligung? Wurde das Häkchen gesetzt, bevor der Google-Tracker feuerte, oder erst danach? Und was, wenn ein User auf „Ablehnen“ klickt und dann trotzdem auf „Senden“? Was zählt dann?

Solche Fragen können mitunter zu schlaflosen Nächten führen – besonders, wenn ein Mitbewerber plötzlich aus dem digitalen Gebüsch springt und sich durch Screenshots, Löschprotokolle und Cookie-Audits kämpft, nur um irgendetwas zu finden, das sich zu Geld machen lässt. Denn wir leben längst nicht mehr in einem digitalen Wettbewerb der besseren Produkte – sondern in einem Wettbewerb der saubereren Datenschutzerklärung.

Und selbst wenn man es irgendwie schafft, diese Klippe zu umschiffen, wartet schon die nächste Untiefe: Die sogenannte Button-Lösung nach § 312j BGB. Dieser Paragraf verlangt, dass der „Kaufen“-Button auch wirklich mit dem Wort „Kostenpflichtig bestellen“ oder einer ähnlich unmissverständlichen Formulierung beschriftet sein muss. Ein Button mit der Aufschrift „Jetzt loslegen“ oder „Anmeldung abschließen“ reicht nicht. Warum? Weil der Gesetzgeber offenbar davon ausgeht, dass Verbraucher sich versehentlich und ohne jede bewusste Entscheidung in Abo-Fallen verirren könnten, wenn man ihnen nicht explizit sagt, dass sie jetzt Geld bezahlen. Dass der Nutzer vorher drei Mal Name, Adresse, Bankverbindung und AGB bestätigt hat, spielt keine Rolle – Hauptsache, der Button trägt das Wort „Kostenpflicht“.

Natürlich wäre das alles halb so schlimm, wenn es dabei bliebe. Aber das tut es nicht. Denn nun gesellen sich zu den klassischen Rechtsgebieten des Internetrechts auch noch neuere Pflichtbereiche hinzu – etwa die Hinweispflichten auf Schlichtungsstellen, EU-Online-Streitschlichtung, Lieferkettenverantwortung, Umweltverantwortung, Energieverbrauchskennzeichnung und CO₂-Fußabdruck. Bald vielleicht auch noch: verpflichtende Angaben über die Herkunft der verwendeten Schriftarten, die emotionale Nachhaltigkeit des Webdesigns und der barometrische Luftdruck zum Zeitpunkt der Anmeldung.

Was das in der Praxis bedeutet? Du verbringst mehr Zeit damit, rechtliche Texte zu prüfen und anzupassen, als mit deinem eigentlichen Geschäftsmodell. Du klickst dich durch Forumsbeiträge, Webinare, Newsletter und Kanzleiblogs, nur um zu erfahren, ob das neue Urteil des Landgerichts XY aus dem Jahr 2024 auch auf deinen Font-Loader zutrifft. Und du fängst an, Angst zu entwickeln – nicht vor der Abmahnung selbst, sondern vor dem Umstand, dass du sie vielleicht nicht rechtzeitig mitbekommst.

Denn ja, Abmahnungen kommen auch per Fax. Oder als eingeschriebener Brief an die Adresse aus dem Impressum. Und wehe, du hast eine Woche Urlaub – dann kann dich schon die einstweilige Verfügung erwarten, bevor du überhaupt weißt, was passiert ist. Es gibt Anbieter, die ihre Postadresse absichtlich mit Postfächern, Anwälten oder Briefkastenfirmen tarnen – nicht, weil sie etwas zu verbergen haben, sondern weil sie einfach keine Lust mehr haben, jede Woche gegen Rechtsbriefe aus Bayern, Köln oder Potsdam Stellung zu nehmen.

Natürlich – und das muss man hier betonen – gibt es auch vernünftige Regelungen. Datenschutz ist wichtig. Barrierefreiheit ist wichtig. Klarheit über Kosten ist wichtig. Doch was aus diesen Prinzipien gemacht wurde, ist ein bürokratisches Kartenhaus, das droht, bei jeder Bewegung in sich zusammenzufallen – nur leider so, dass es immer auf dich draufstürzt.

Und was macht die Politik in der Zwischenzeit? Sie diskutiert über Uploadfilter. Ein Thema, das an sich schon genug Satirepotenzial bietet. Denn Uploadfilter sollen angeblich helfen, Urheberrechte zu schützen – was in der Praxis bedeutet: KI-Systeme entscheiden, ob ein Meme legal ist oder nicht. Ein Bild mit Text darüber kann je nach Laune des Algorithmus entweder als zulässiges Zitat, als urheberrechtlich geschütztes Werk oder als terroristisches Propagandamaterial eingestuft werden. Und wer haftet? Natürlich du – der Betreiber. Du musst gewährleisten, dass keine Urheberrechtsverletzungen stattfinden, ohne aber gleichzeitig berechtigt zu sein, Inhalte vorab zu zensieren. Willkommen in der digitalen Quadratur des Kreises.

Was folgt als Nächstes? Eine gesetzliche Pflicht zur monatlichen Neuzertifizierung von Cookie-Bannern durch unabhängige Datenschutzauditoren? Eine Gebührenverordnung für Impressen mit über 1.000 Wörtern? Die verpflichtende Anzeige des Energieverbrauchs deines Webservers pro Seitenaufruf? All das klingt absurd – aber seien wir ehrlich: Hättest du vor fünf Jahren geglaubt, dass man wegen eingebetteter Google Fonts verklagt werden kann?

Es ist ein Wahnsinn mit System. Und er hört nicht auf. Denn während du dich durch neue Regelwerke kämpfst, flattern schon die nächsten Entwürfe aus Brüssel herein: KI-Verordnungen, Cybersecurity-Gesetze, Plattformverantwortlichkeitsrichtlinien, Verhaltenskodizes für algorithmische Entscheidungssysteme, Meldepflichten für nutzergenerierte Inhalte, und – natürlich – noch detailliertere Vorschriften für die korrekte Gliederung von Datenschutzerklärungen.

Und irgendwo dazwischen sitzt du. Mit deinem kleinen Onlineangebot. Mit deinem Herzblut, deiner Idee, deinem Wunsch, etwas Eigenes aufzubauen. Und du denkst dir: „Ich wollte doch einfach nur eine Seite machen, auf der ich meine handgemachten Töpferwaren zeige.“

Und während du also versuchst, den Überblick über Cookie-Gattungen, Font-Hosting, IP-Protokollierung, Session-Tokens und Zustimmungsmanagement zu behalten, stolperst du über das nächste große Thema: die Barrierefreiheit – erneut. Denn wie wir wissen, genügt es nicht, dass deine Seite grundsätzlich barrierefrei wirkt. Nein. Sie muss es nachweislich sein. Nicht aus Überzeugung, sondern aus regulatorischem Zwang. Und da die EU derzeit auch auf diesem Auge besonders wachsam schaut, werden Richtlinien erlassen, Prüfverfahren angedacht, Fristen gesetzt, Strafkataloge vorbereitet. Es reicht also nicht, deine Website testweise mit einem Screenreader zu öffnen – du brauchst im Zweifel ein offizielles Gutachten. Für deinen Zweimann-Onlineshop für gebrauchte Socken mit Motivdruck.

Es ist faszinierend: Man kann sich in Deutschland ein Fahrzeug kaufen, das bei einem Unfall potenziell ein Dutzend Menschen gefährdet – mit einem einzigen Kreuz auf einem Kaufvertrag. Aber wenn du eine Website ins Netz stellen willst, die ein einzelnes Kontaktformular enthält, brauchst du eine Datenschutzerklärung mit 40 Absätzen, einen konfigurierbaren Cookie-Banner mit Opt-out-Funktion, einen Hinweis auf die OS-Plattform, eine Widerrufsbelehrung (auch für kostenlose PDFs), eine konforme Schriftart, und eine Angabe zur „Verantwortlichen im Sinne von § 55 Abs. 2 RStV“, obwohl du kein journalistisch-redaktionelles Angebot betreibst. Und weil die Seite automatisch auf dem Smartphone geladen wird, musst du sie zusätzlich responsive, mobilfreundlich, kontraststark und sprachneutral gestalten – alles aus Gründen der „Zugänglichkeit“.

Du denkst dir: „Gut, dann beauftrage ich halt jemanden, der sich auskennt.“ Und dann wird’s richtig teuer. Denn Datenschutzberater:innen sind rar, Webagenturen rechnen inzwischen einen eigenen „DSGVO-konform“-Zuschlag ab, und Jurist:innen für IT-Recht verlangen dreistellige Stundensätze für die Analyse deines Cookie-Banners. In einer gerechten Welt würde man diesen Aufwand als Behinderung des freien Unternehmertums bezeichnen. In unserer Welt nennt man es „Pflicht zur Compliance“.

Ach, Compliance. Das Lieblingswort aller Ministerien. Es bedeutet übersetzt: „Du tust, was wir wollen, auch wenn wir dir nicht klar sagen können, was genau das ist.“ Ein Begriff, der so schillernd ist wie ein Seifenblasenautomat auf einem Juristenkongress. Du sollst compliant sein mit der DSGVO, dem TTDSG, dem TMG, dem UrhDaG, dem NetzDG, der VO (EU) 2019/1150, der ePrivacy-Richtlinie, der Buttonlösung, der Fernabsatzrichtlinie, dem Widerrufsrecht und – natürlich – dem allgemeinen Gleichbehandlungsgesetz. All das gleichzeitig. Ohne Anleitung. Und unter Androhung von Sanktionen, falls du einen Punkt vergisst.

Dann die sogenannte „freiwillige Selbstverpflichtung“. Ein Begriff, der direkt aus einem dystopischen Satirefilm stammen könnte. Du verpflichtest dich freiwillig, etwas zu tun – aber wehe, du tust es nicht. Dann gilt es nämlich trotzdem. Dieses Prinzip zieht sich durch sämtliche Branchen: Plattformbetreiber „verpflichten sich freiwillig“, Hassrede zu melden. Shopbetreiber „verpflichten sich freiwillig“, bestimmte Kennzeichnungen zu übernehmen. Und Website-Betreiber „verpflichten sich freiwillig“, ihr Angebot barrierefrei zu gestalten – mit Nachweispflicht. Es ist wie ein digitaler Ablasshandel: Du bekommst keinen juristischen Segen, aber man bestraft dich weniger hart, falls du ihn dir vorher erkauft hast.

Und inmitten dieser rechtlichen Kakophonie fragt man sich: Was ist eigentlich mit dem Nutzer? Dem echten Menschen vor dem Bildschirm? Möchte der wirklich fünf Minuten lang ein Cookie-Banner wegklicken, bevor er überhaupt erfährt, ob deine Seite relevant ist? Möchte er seitenlange Datenschutzerklärungen lesen, die er weder versteht noch jemals wieder aufruft? Möchte er mit fünf Klicks bestätigen, dass du seine Daten eventuell für den Rückrufspeicher eines temporären Fonts nutzt? Nein. Nutzer wollen Inhalte. Nutzer wollen Funktion. Nutzer wollen einfache Seiten, schnelle Ladezeiten, klare Aussagen. Aber genau das verhindert das Gesetz.

Nehmen wir nur das Beispiel „Kontaktformular“. Früher eine simple Funktion: Eingabefeld, Name, E-Mail, Nachricht – senden. Heute ein Risiko. Denn jedes Kontaktformular ist eine potenzielle Datenschutzfalle. Du musst nachweisen, dass der Nutzer freiwillig und informiert seine Daten eingibt. Du musst erläutern, wie du mit diesen Daten umgehst. Du darfst die E-Mail-Adresse nicht zu anderen Zwecken verwenden. Du musst ein Löschkonzept haben. Du darfst keine Daten speichern, die du nicht brauchst. Und du brauchst, Überraschung, wieder: eine Einwilligung. Natürlich dokumentiert.

Und falls du es wirklich wagst, ein Newsletterformular einzubinden, kommt noch das Double-Opt-In-Verfahren dazu – das gerne mal im Spamordner verschwindet und damit deine gesamte Kommunikation ins Leere laufen lässt. Und wenn du dann noch automatisierte Tools zur Auswertung deiner Öffnungsraten einsetzt – etwa um zu sehen, ob deine E-Mails überhaupt gelesen werden – dann bist du endgültig ein datenschutzrechtlicher Gefährder. Willkommen in der Zone für digitale Hochrisikobetreiber.

Du merkst: Die ganze rechtliche Landschaft ist nicht darauf ausgelegt, das Internet besser zu machen. Sie ist darauf ausgelegt, jemanden haftbar zu machen. Und dieser Jemand bist du.

Natürlich könnte man sich wehren. Könnte man versuchen, das System von innen zu verbessern. Man könnte E-Mails an Abgeordnete schreiben, Petitionen starten, Aufklärungsarbeit leisten. Aber der Aufwand steht in keinem Verhältnis zum Ergebnis. Wer als Einzelner gegen das Gesetz argumentiert, gilt schnell als Querulant. Wer es ignoriert, wird bestraft. Wer es befolgt, verzweifelt.

Und so ergibt man sich irgendwann in sein Schicksal. Man baut seine Seite auf, streut seine Texte, hinterlegt seine Pflichtangaben. Man hofft, dass die Datenschutzerklärung juristisch „ausreichend“ ist, dass der Cookie-Banner niemanden provoziert, dass die Schriftart niemandem auffällt. Und während man sich bemüht, allen Vorschriften gerecht zu werden, merkt man: Man arbeitet nicht mehr für seine Kunden. Man arbeitet für die Angst.

Und während du also deinen Webauftritt brav in datenschutzrechtlich sterile Einzelteile zerlegst, dein Kontaktformular zu einem seelsorgerischen Sicherheitsbereich mit Opt-in, Rechenschaftsnachweis und 256-Bit-Verschlüsselung ausbaust und deinen Font-Loader durch lokal gehostete Schriftsätze ersetzt, wirst du langsam aber sicher selbst zu dem, was die EU eigentlich verhindern wollte: zu einem paranoid gewordenen Kontrollwesen.
Du traust deiner eigenen Website nicht mehr. Du traust deinen Plugins nicht. Du traust Google sowieso nicht. Und irgendwann beginnst du, dich selbst in Frage zu stellen, weil du es gewagt hast, ein „Verantwortlicher im Sinne des Presserechts“ zu sein, obwohl du bloß eine Galerie mit selbstgemalten Hundebildern betreibst.

Und dann… dann kommt auch noch das Markenrecht um die Ecke. Ein Bereich, der wie ein schlafender Drache wirkt: harmlos solange man ihn nicht stört – und tödlich, wenn man sich auch nur unabsichtlich in seinen Dunstkreis bewegt. Du denkst, dein Firmenname „Herzstück Design“ sei originell? Sicherlich. Nur doof, dass es einen gleichnamigen Bio-Laden in Bottrop gibt, der 2007 eine Wortmarke beim DPMA eingetragen hat. Ob du tatsächlich im gleichen Segment tätig bist, spielt keine Rolle – der Abmahnanwalt sieht „Verwechslungsgefahr“, und damit bist du dran.
Natürlich könntest du Widerspruch einlegen, einen Anwalt beauftragen, dich verteidigen. Aber das kostet – Zeit, Nerven, Geld. Und was ist deine Alternative? Umbenennen. Rebranding. Domain neu registrieren. Alles löschen. Alles neu aufbauen. Willkommen im Albtraum aus Juristerei und wirtschaftlicher Willkür.

Das Absurde daran: Das ganze System basiert auf einem tief verankerten, gesetzlich festgeschriebenen Misstrauen gegenüber dem Nutzer.
Der Nutzer ist potenziell schutzbedürftig, potenziell gefährdet, potenziell dumm. Er könnte aus Versehen auf den falschen Button klicken. Er könnte deine AGB nicht verstehen. Er könnte nicht wissen, dass ein PDF auch personenbezogene Daten enthalten kann. Er könnte in Panik geraten, weil er kein Opt-out für deinen Newsletter findet. Also wird alles verboten, was irgendwie menschlich, praktisch oder logisch ist – und ersetzt durch Regeln, die alles in Frage stellen.

Selbst ein Impressum – ursprünglich als Transparenzinstrument gedacht – ist heute eher ein Risikopapier. Du gibst dort alles an, was ein digitaler Angreifer braucht: Adresse, E-Mail, Telefonnummer, Verantwortlicher, Rechtsform, Handelsregisternummer, Umsatzsteuer-ID. In jedem anderen Kontext würde man dich auslachen, wenn du das alles öffentlich preisgibst. Aber hier bist du gesetzlich dazu gezwungen. Nicht, weil dich jemand verklagen will – sondern für den Fall, dass dich jemand verklagen will.
Und wehe, du nutzt eine Adresse, die nicht zustellfähig ist. Dann bist du nicht nur angreifbar, sondern auch noch abmahnfähig.
Und wehe, du verwendest eine Telefonnummer, die ins Nirwana führt – dann droht Ordnungsgeld.
Und wehe, du erwähnst nicht, dass du keine journalistisch-redaktionelle Verantwortung trägst, obwohl du keine Artikel veröffentlichst – dann ist das auch wieder falsch.
Es ist, als müsstest du beim Autofahren alle Verkehrsregeln aller EU-Mitgliedsstaaten gleichzeitig beachten – auch wenn du dich nicht bewegst.

Dann wären da noch die AGB. Du brauchst keine – aber wenn du welche hast, müssen sie juristisch unangreifbar sein. Und selbstverständlich auf Deutsch. Oder auf der Sprache deines Zielmarktes. Oder mehrsprachig – falls dich jemand aus Estland besucht.
Die AGB müssen Widerrufsrechte korrekt formulieren. Sie müssen Rückgabeprozesse erläutern. Sie dürfen keine unangemessenen Benachteiligungen enthalten. Sie müssen Datenschutzerklärungen ausschließen, Zahlungsweisen erklären, Vertragsverhältnisse definieren, Plattformregeln berücksichtigen und auf die OS-Plattform verlinken – auch wenn niemand weiß, was die OS-Plattform eigentlich tut.

Die Realität ist: Du wirst juristisch verantwortlich gemacht für jede Interaktion auf deiner Seite – auch wenn sie von jemand anderem ausgeht. Wenn jemand in deinem Gästebuch beleidigt, haftest du. Wenn jemand in deinem Kommentarbereich urheberrechtlich geschützte Bilder postet, haftest du. Wenn jemand per Formular „Test123“ abschickt, dann hast du personenbezogene Daten erhoben – und bist in der Verantwortung.
Du bist nicht Betreiber – du bist digitaler Gesetzestreuhänder wider Willen.

Und wenn du denkst, mit künstlicher Intelligenz wird alles besser – denk nochmal. Der sogenannte „AI Act“ der EU schwebt wie ein Damoklesschwert über allem, was irgendwie algorithmisch funktioniert. Wer Chatbots nutzt, braucht Haftungskonzepte. Wer automatisierte Prozesse einführt, muss prüfen, ob sie unter „hochriskante Systeme“ fallen. Und wenn du eine KI nutzt, um personalisierte Inhalte auszuspielen, brauchst du vielleicht bald eine Zulassung – kein Scherz.
Der AI Act schafft eine neue Klasse digitaler Verantwortung: Du bist nicht nur verantwortlich für das, was du zeigst – sondern auch für das, was du technisch nicht kontrollierst.

Und mittendrin: du. Der kleine Seitenbetreiber. Die kreative Freelancerin. Der Gründer mit der Onepager-Website.
Du wolltest dich selbstständig machen. Du wolltest dein Hobby zeigen. Du wolltest ein digitales Angebot schaffen.
Und stattdessen sitzt du jetzt abends auf Kanzleiblogs, verfolgst LG-Urteile, füllst Cookie-Scanner aus, testest deine Seite auf Kontrastverhältnisse und machst dir Sorgen, ob du gegen das Geo-Blocking-Gesetz verstößt, weil jemand aus Slowenien deinen Preis in Euro sieht.
Wie konnte es so weit kommen?

Doch es gibt Hoffnung, so sagt man. Hoffnung in Form von „Plattform-Regulierung“. Das klingt modern, digital, zukunftsgewandt. In Wahrheit bedeutet es, dass du, sobald du auch nur irgendeine Art von Interaktion auf deiner Website zulässt – sei es ein Kommentar, ein Like-Button, ein Bewertungsfeld oder ein Upload-Formular für Profilbilder – offiziell zur Plattform wirst. Und Plattformbetreiber in der EU tragen Verantwortung. Viel Verantwortung. Zu viel Verantwortung.

Du musst nämlich nicht nur moderieren, sondern auch kontrollieren, aufzeichnen, speichern, reagieren, löschen, dokumentieren, Widerspruchsmöglichkeiten anbieten und alles datenschutzkonform archivieren – für den Fall, dass ein Nutzer aus Lettland Anstoß daran nimmt, dass ein anderer Nutzer aus Deutschland einen Smiley zu viel gesetzt hat. Selbstverständlich in mehreren Sprachen. Und mit Hinweis auf dein internes Beschwerdemanagementsystem. Das du natürlich selbst eingerichtet haben musst. Ohne staatliche Hilfe. Aber mit voller Haftung.

Es wird grotesk. Und dabei sind wir noch nicht einmal bei der Tracking-Problematik angekommen. Früher war Tracking ein Werkzeug. Heute ist es eine Glaubensfrage.
Du möchtest wissen, wie viele Menschen deine Seite besuchen? Du brauchst Analytics.
Du möchtest wissen, woher sie kommen? Du brauchst Kampagnen-Tracking.
Du möchtest wissen, ob jemand dein Formular abgeschickt hat? Du brauchst Events, Ziele, Conversions.
Und jedes dieser Werkzeuge ist – laut aktuellem Verständnis – ein potenzieller Datenschutzverstoß.
Du brauchst also eine Einwilligung. Nicht irgendeine – sondern eine informierte, frei erteilte, jederzeit widerrufbare, dokumentierte Einwilligung. Und wehe, du setzt ein Cookie, bevor der Nutzer zugestimmt hat.
Dann wird’s teuer. Und juristisch. Und nervig.

Das größte Problem? Die völlige Rechtsunsicherheit. Denn während das Gesetz Einwilligung fordert, fordern Gerichte zusätzlich: Transparenz, Granularität, technische Absicherung, Nachweisbarkeit, Löschkonzepte.
Und weil niemand weiß, was „ausreichend“ bedeutet, entwickeln sich Cookie-Banner mittlerweile zu digitalen Steuererklärungen.
Fünf Kategorien. Zehn Regler. Drei Ebenen. Ein Pop-up mit 70 Prozent Bildschirmhöhe.
Willkommen auf deiner eigenen Website – bitte klick dich zuerst durch die Nutzungsbedingungen, bevor du überhaupt erfährst, ob du auf der richtigen Seite bist.

Doch warum machen wir das alles? Warum diese Selbstkasteiung, dieser Compliance-Wahnsinn, diese Paranoia auf allen Ebenen?
Weil wir müssen. Weil es uns gesetzlich aufgetragen wurde.
Nicht etwa, weil wir Böses im Schilde führen, sondern weil die Gesetzgeber in Brüssel, Berlin und sonst wo beschlossen haben, dass jeder Mensch mit einem Internetzugang grundsätzlich als potenzielles Opfer behandelt werden muss – und jeder Websitebetreiber als potenzieller Täter.

Daraus folgt eine Umkehr von Unschuldsvermutung zu digitaler Generalverdächtigung.
Du hast ein Formular? Verdächtig.
Du nutzt Fonts? Fragwürdig.
Du bindest einen Drittanbieter ein? Hochproblematisch.
Du benutzt ein Statistik-Tool? Kritisch.
Du speicherst IPs? Datenschutzverstoß.

Und weil niemand mehr weiß, was erlaubt ist, machen alle nur noch das Nötigste. Oder gar nichts.
Innovation? Eingefroren.
Nutzerfreundlichkeit? Nachrangig.
Design? Dem Banner geopfert.
Conversion? Tot.
Hauptsache: Der Cookie-Consent ist juristisch unangreifbar.
Und wenn nicht? Dann flattert eine Abmahnung ins Haus. Oder ein Schreiben der Landesdatenschutzbehörde. Oder eine Google-Ads-Kontensperrung wegen „nicht konformer Datenschutzerklärung“.

Die Ironie: Niemand liest diese Hinweise. Niemand liest deine Datenschutzerklärung. Niemand klickt sich freiwillig durch 14 Auswahlfelder. Die durchschnittliche Aufenthaltsdauer auf Cookie-Bannern beträgt 2,4 Sekunden.
Und was klickt man? Meistens „Alle akzeptieren“.
Weil: Man will einfach nur auf die Website.

Doch weil wir rechtlich verpflichtet sind, einen Weg zum Opt-out anzubieten, müssen wir zusätzlich zur reinen Information auch noch technische Barrieren errichten:
Cookie-Manager mit Layern. Separate Datenschutzerklärungsabschnitte. Banner, die den Content überdecken.
Ein digitales Museum der Nutzerabschreckung – aber konform.

Und dann, wenn man glaubt, man hätte das Schlimmste hinter sich, kommt der „Transparenzbericht“.
Du sollst öffentlich machen, wie viele Beschwerden du erhältst. Welche Inhalte du gelöscht hast. Warum du sie gelöscht hast. Ob du automatisiert moderierst. Und wer dafür verantwortlich ist.
Einige dieser Anforderungen gelten (noch) nur für große Plattformen – aber wie lange noch?
Das Gesetz wird weiterentwickelt. Was heute für Facebook gilt, kann morgen für deine fünfköpfige Community gelten.
Es ist nur eine Frage der Zeit.

Diese Dynamik erzeugt keine Fairness – sie erzeugt Angst.
Und Angst ist das Gegenteil von Innovation.
Wer etwas wagt, riskiert.
Wer nichts tut, bleibt sicher.
Und so verharrt das Web in einer Art juristischem Winterschlaf: Es passiert nur noch das, was erlaubt ist – aber niemand weiß genau, was das ist.

Man könnte jetzt aufstehen. Man könnte sagen: „Nein, ich mache da nicht mit.“
Aber das Gesetz fragt nicht, ob du willst. Es fragt nur, ob du zahlst.
Im Zweifel: Ja.
Und dann sitzt du da.
Mit deiner Abmahnung in der Hand.
Mit deiner Unterlassungserklärung auf dem Tisch.
Mit deiner Selbstverachtung im Herzen.
Denn du wusstest: Du hast es versucht.
Du wolltest alles richtig machen.
Aber irgendwo, zwischen Font-Cache und Local Storage, war doch noch eine IP-Adresse, die nicht anonymisiert wurde.
Und das kostet jetzt 1.700 Euro.
Plus Anwaltsgebühren.
Plus Bauchschmerzen.

Aber all das ist nur ein Vorgeschmack auf das, was noch kommt. Denn wer glaubt, die digitale Regulierungswut sei bereits auf ihrem Zenit, der hat sich noch nicht mit den Konzepten beschäftigt, die gerade in den Startlöchern stehen. Die Rede ist nicht mehr nur von Datenschutz, Cookie-Verordnung oder Impressumspflicht. Nein, jetzt sprechen wir über sogenannte Datenstrategie-Initiativen, digitale Souveränität, Interoperabilitätsverordnungen, KI-Transparenzgesetze und – mein persönlicher Favorit – die Verpflichtung zur „Erklärung algorithmischer Entscheidungen in verständlicher Sprache“.

Was bedeutet das? Ganz einfach: Wenn du irgendwo ein automatisiertes System verwendest – zum Beispiel ein Buchungskalender, der dir auf Basis von Nutzerverhalten einen Vorschlag für die beste Uhrzeit macht – dann musst du diesen Prozess erklären. Nicht technisch. Nicht einfach. Sondern so, dass auch jemand, der nie wusste, dass HTML kein Medikament ist, versteht, wie und warum dieses System funktioniert. Mit anderen Worten: Du sollst ein intransparentes, komplexes System durch ein transparentes, vereinfachtes Textfeld vollständig erklären, obwohl du es selbst nur als Plugin eingebunden hast, das du nicht einmal vollständig beeinflussen kannst.

Und genau hier zeigt sich der wahre Charakter der digitalen Regulierungsflut: Sie delegiert Verantwortung nicht mehr nach Kompetenz, sondern nach Sichtbarkeit. Wer sichtbar ist – wer eine Webseite betreibt, einen Dienst anbietet, eine Schnittstelle nutzt – ist automatisch verantwortlich.
Nicht der Anbieter des Tools, nicht der Hersteller des Plugins, nicht die API-Plattform – nein: du.

Du musst wissen, was dein eingebetteter Kalender ausrechnet.
Du musst wissen, wie Google reCAPTCHA funktioniert.
Du musst wissen, warum dein Kontaktformular Spam blockt.
Und wenn du es nicht weißt? Dann bist du dennoch haftbar.
Denn: Du hättest es wissen können. Oder sollen. Oder müssen.

Und damit nicht genug. Wir nähern uns einem Zustand, in dem nicht mehr nur Inhalte reguliert werden, sondern auch deren Darstellung. Du willst ein Cookie-Banner, das elegant am unteren Bildschirmrand sitzt, klein, dezent, stilvoll? Zu unauffällig.
Du möchtest die Ablehnen-Option in ein zweites Fenster packen, damit Nutzer nicht versehentlich draufklicken? Verbrauchertäuschung.
Du entscheidest dich für ein modales Fenster mit dunklem Hintergrund und freundlichem Design? Manipulativ.
In Zukunft musst du nachweisen, dass dein Design keine Zustimmung „erzwingt“.
Du sollst technisch sicherstellen, dass niemand auf „Zustimmen“ klickt, ohne es wirklich zu wollen.
Wie du das machen sollst? Weiß keiner. Aber falls du es nicht machst, kannst du verklagt werden. Willkommen in der Ära des UX-basierten Datenschutzdelikts.

Und es geht weiter. Die EU plant schon die nächsten Wellen: einheitliche Schnittstellen für Datenauskunftsanfragen (damit sich Betroffene mit einem Klick bei 100 Shops gleichzeitig beschweren können), automatisierte Löschprozesse (inklusive Bestätigungspflicht), Meldepflichten bei Drittanbieter-Datenübertragung (auch wenn der Anbieter keine Daten nutzt), und eine „Ethikprüfung“ für KI-gestützte Tools – in Echtzeit, versteht sich.

Du denkst: „Okay, ich stelle einfach keine Daten mehr bereit.“ Aber auch das ist gefährlich.
Denn laut Gesetz bist du verpflichtet, Nutzern Zugriff auf ihre Daten zu gewähren – auch, wenn du keine speicherst.
Was also tun? Du musst ein Tool bereitstellen, das Anfragen verarbeitet – um auf Anfrage bestätigen zu können, dass du keine Daten gespeichert hast.
Ja, richtig gelesen: Du brauchst ein System, um zu beweisen, dass du kein System hast.

Das ist keine Digitalisierung. Das ist eine digitale Simulation von Rechtsstaatlichkeit, in der man Rechtssicherheit dadurch erzeugt, dass man alle potenziellen Unsicherheiten in ein Dokument verpackt, das so unverständlich ist, dass kein Mensch es mehr liest – und deshalb auch niemand mehr dagegen klagt.
Bis dann doch jemand klagt.
Und dann ist’s zu spät.

Denn Rechtsunsicherheit ist kein Zustand – sie ist ein Geschäftsmodell.
Es gibt eine ganze Industrie, die sich darauf spezialisiert hat, diese Unsicherheit zu monetarisieren:

• Kanzleien, die Webseiten abgrasen.

• Tools, die dir „Rechtssicherheit“ für 49 €/Monat verkaufen.

• SEO-Optimierer, die auf Warnungen wegen Google-Fonts spezialisiert sind.

• Cookie-Consent-Anbieter mit Gerichtsurteilen im Footer.

• Webhoster, die „DSGVO-Hosting“ anbieten (was immer das auch sein soll).

Der Markt lebt nicht von Freiheit, sondern von Angst.
Und das ist kein Kollateralschaden. Das ist System.

Schauen wir uns einmal an, was passiert, wenn du ein einfaches Plugin einbindest – z. B. einen Routenplaner. Früher: Karte einbinden, Zieladresse angeben, fertig. Heute:

• Einwilligung vor Laden der Karte.

• Externe Ressourcen blockieren, bis Zustimmung erfolgt.

• Datenschutzerklärung erweitern.

• IP-Weitergabe erwähnen.

• Session-ID prüfen.

• Datenschutzfolgeabschätzung, falls regelmäßig verwendet.

• Rückfrage, ob Tracking eingebettet ist.

• Alternative Route in Textform bereitstellen (!), falls Nutzer keine Karte sehen will.

Ja, das ist Realität. Du musst mittlerweile einen schriftlichen Weghinweis als Ersatz für Google Maps anbieten – weil es Menschen geben könnte, die keine Karte laden wollen.
Du darfst Karten nur zeigen, wenn du auch einen Plan B hast.
Willkommen in der Vorschriftensimulation menschlicher Entscheidungsfreiheit.

Aber gut, könnte man sagen – das ist halt Europa.
Doch halt!
In Deutschland gelten diese Regeln noch strenger als anderswo.
Denn wir haben eine besondere Liebe zu Sonderwegen.
Datenschutz wird hier nicht einfach umgesetzt – er wird übererfüllt.
Ein Gesetz sagt: 5 Punkte nötig. Deutschland sagt: Mach lieber 12. Sicher ist sicher.
Ein Urteil sagt: Das betrifft große Plattformen. Deutschland sagt: Auch kleine. Man weiß ja nie.

Aber natürlich hört das alles nicht auf. Es ist nicht so, dass man irgendwann sagen kann: „So. Ich bin konform. Ich bin durch.“ Nein. Das Regelwerk entwickelt sich schneller weiter als dein Server den Cache löschen kann. Du musst dich nicht nur an Gesetze halten – du musst sie vorausahnen. Du musst mitdenken, wie ein Datenschutzbeauftragter auf Koffeinentzug, mit der seismografischen Sensibilität eines Abmahnanwalts und der Zukunftsangst eines Startup-Gründers mit Einpersonen-GmbH.

Denn in Wahrheit gibt es im deutschen und europäischen Digitalrecht nur zwei Zustände:

1. Du hast etwas gemacht.

2. Du hättest es anders machen sollen.

Und das gilt für alles: für Texte, Bilder, Skripte, Schriften, E-Mails, Formulare, Newsletter, Popups, Kaufprozesse, AGB, Cookies, Analysen, Kommentarfunktionen, Hinweise, Links, Plugins, Einbindungen, Third-Party-Services, Verlinkungen, Geo-Tracking, Serverstandorte, Loginbereiche, Benutzerkonten, Checkboxen, Schriftarten, Symbole, Farben, Ladezeiten, Hostingverträge und Button-Beschriftungen.
Es ist, als würde jemand täglich neue Fettnäpfchen in dein CMS stellen – unsichtbar, dafür rechtlich haftbar.

Und dann gibt es diese ganz besondere Art von Paragraphenwahn, die sich nicht mehr nur an der Realität orientiert, sondern an rein hypothetischen Risiken. Man nennt das in der juristischen Fachsprache gerne „besonders sorgfältige Abwägung aller Eventualitäten“ – und meint damit: ein Worst-Case-Szenario nach dem anderen durchspielen, dokumentieren, ausschließen, versichern, absichern.
Denn vielleicht klickt irgendwann ein Nutzer aus Zypern auf deine AGB – und merkt, dass du den Rückversand in 14 Tagen verlangst, obwohl er 30 haben müsste.
Vielleicht sendet ein Bot aus Italien eine E-Mail an dein Kontaktformular – und du speicherst seine IP-Adresse.
Vielleicht öffnet ein Screenreader deine Seite – und liest keine Alt-Texte vor, weil du vergessen hast, dass dein Logo nicht „logo.png“ heißen darf, sondern „logografik_startseite_barrierefrei_weiss_transparent.png“.

Das ist keine Freiheit. Das ist digitaler Überlebenskampf.

Und in diesem Kampf geht es längst nicht mehr um Recht oder Unrecht. Es geht nur noch um Vorsorge.
Du beginnst, dich selbst zu prüfen, bevor es andere tun.
Du schreibst Disclaimer unter Disclaimer, Einwilligungen auf Einwilligungen.
Du setzt Häkchen bei Formularen, die niemand versteht.
Du deaktivierst Features, die deine Seite besser machen würden – weil du Angst hast, dass sie juristisch nicht „sauber“ sind.
Du beginnst, anonyme Besucher zu fürchten.
Nicht, weil sie gefährlich wären – sondern weil sie dich anzeigen könnten.

Und das macht etwas mit dir.
Du bist nicht mehr Unternehmer:in.
Du bist Verwalter:in deiner eigenen Verteidigung.
Du führst keine Firma mehr – du führst einen Paragrafenkrieg.

Wenn du eine neue Funktion einbauen willst, fragst du nicht mehr: „Wollen das meine Kunden?“
Du fragst: „Was könnte daran illegal sein?“
Du baust keine Website mehr für deine Zielgruppe – du baust eine Website für das Amtsgericht Köln.
Dein Design richtet sich nicht mehr nach UX, sondern nach dem LG München I.
Und du weißt: Das nächste Urteil kommt.
Vielleicht morgen. Vielleicht in zwei Jahren.
Und alles, was du jetzt mühsam gebaut hast, ist dann wieder falsch.
Nicht, weil du etwas falsch gemacht hast – sondern weil sich die Auslegung geändert hat.

Was für ein Wahnsinn.

Und weißt du, was das Ironischste daran ist?
Niemand wird geschützt.
Der Nutzer klickt trotzdem alles weg.
Der Verbraucher liest trotzdem keine AGB.
Der Kunde will trotzdem einfach nur das Produkt.
Aber du – du musst liefern.
Du musst beweisen.
Du musst auflisten.
Du musst speichern.
Du musst löschen.
Du musst sichern.
Du musst warnen.
Du musst bestätigen.
Du musst dokumentieren.

Und am Ende bleibt dir genau das, was dieses Impressum ausdrücken will:
Nicht Rechtssicherheit. Nicht Klarheit. Nicht Struktur.
Sondern ein einziges, satirisch überzeichnetes Abbild einer digitalen Welt, in der niemand mehr weiß, was erlaubt ist – aber alle Angst davor haben, etwas zu tun.

Und während du also bereits das zehnte Plugin zur Cookie-Verwaltung installiert, deine Datenschutzerklärung in vier Sprachen geprüft und dein Impressum auf eine beängstigende Länge gebracht hast, denkst du dir: „Wenigstens darf ich doch noch E-Mails versenden. Ich meine… das gute alte E-Mail-Marketing – ein letzter Rückzugsort freier Kommunikation, oder?“

Falsch gedacht.

Denn E-Mail-Marketing ist längst nicht mehr die lockere, sympathische Form der Kundenbindung, die es mal war. Es ist ein rechtliches Minenfeld. Eine Kombination aus Telemediengesetz, UWG, DSGVO, TTDSG, Anti-Spam-Gesetzgebung, Einwilligungspflicht, Nachweislastumkehr und der psychischen Belastbarkeit deines Mailservers.

Du willst einen Newsletter verschicken? Wunderbar – dann brauchst du:

• Eine explizite Einwilligung.

• Kein „vorausgewähltes Häkchen“.

• Einen korrekten Double-Opt-In mit Zeitstempel.

• Eine manipulationsfreie Bestätigungs-E-Mail.

• Einen jederzeit funktionierenden Abmeldelink.

• Einen Hinweis auf die Datenschutzerklärung vor dem Eintrag.

• Die Dokumentation aller Einwilligungen mit sicherer Speicherung.

• Den Nachweis, dass du keine Daten an Dritte weitergibst.

• Und am besten noch eine Datenschutzfolgeabschätzung – für den Fall, dass du Statistiken zu Öffnungsraten erhebst.

Klingt aufwendig? Ist es auch.
Klingt übertrieben? Nein.
Denn wenn du gegen eine dieser Anforderungen verstößt, kannst du nicht nur abgemahnt werden – du machst dich möglicherweise strafbar.

Und da reden wir noch nicht einmal über sogenannte „transaktionsbezogene E-Mails“.
Du willst deinem Kunden nach dem Kauf eine E-Mail senden mit dem Hinweis auf weiteres Zubehör?
Achtung: Werbung.
Du möchtest ein Dankeschön mit einem Rabattcode schicken?
Achtung: Werbung.
Du willst einfach nur sicherstellen, dass die Lieferung angekommen ist?
Besser nicht – außer, du hast das im Kaufprozess angekündigt.
Und falls du das angekündigt hast, musst du natürlich beweisen, dass der Kunde dieser Mitteilung zugestimmt hat – freiwillig, aktiv und dokumentiert.

Die Folge: Du schreibst keine E-Mails mehr. Oder du schreibst nur noch sterile, juristisch geprüfte Formulare, in denen du nicht mehr „Hey, schön dass du da bist“ schreibst, sondern: „Sehr geehrte:r Nutzer:in, gemäß Art. 6 Abs. 1 lit. a DSGVO informieren wir Sie höflich über…“
Was ein herzliches Onboarding hätte sein können, wird zur Datenschutzbelehrung mit Absendeoption.
Digitaler Kundenkontakt, 2025.

Und dann wäre da noch der Trick mit dem Tracking-Pixel.
Früher konntest du einfach schauen, ob eine E-Mail geöffnet wurde – mit einem unsichtbaren Bild, das beim Öffnen geladen wird.
Heute gilt: Datenschutzrechtlich heikel.
Warum? Weil du beim Laden des Pixels die IP-Adresse des Empfängers erhältst – und das ist, wie wir wissen, ein personenbezogenes Datum.
Du brauchst also vorher die Einwilligung, dass du prüfen darfst, ob der Empfänger deine Mail geöffnet hat.
Und selbst wenn du die hast, musst du sicherstellen, dass das Bild nur geladen wird, wenn die Zustimmung aktiv erteilt wurde.
Du brauchst also vor dem ersten Mailing eine vollständige Einwilligungsabfrage für das Tracking eines Mailings, das du erst danach verschickst.
Klar soweit?

Und als wäre das nicht schon absurd genug, betrifft das Ganze auch PDFs.
Du möchtest ein Whitepaper zum Download anbieten? Sehr gut – aber bitte nur mit Einwilligung.
Einfach auf den Button „Jetzt PDF laden“ klicken reicht nicht mehr.
Du musst vorher:

• Auf die Datenerhebung hinweisen.

• Die Rechtsgrundlage benennen.

• Die Speicherdauer nennen.

• Auf das Widerrufsrecht aufmerksam machen.

• Die Datenschutzerklärung verlinken.

• Im Idealfall ein kleines Häkchen einbauen mit „Ich habe die Datenschutzerklärung gelesen“.

• Und natürlich den Downloadlink erst nach dem Klick auf das Häkchen freischalten.

Du willst’s besonders vorbildlich machen? Dann sperr das PDF hinter ein Double-Opt-In.
Dann musst du dem Nutzer erst eine Mail schicken, in der er bestätigt, dass er das PDF wirklich haben will.
Und erst nach Klick auf den Link in der Mail darfst du ihm Zugriff auf das PDF geben – das er eigentlich schon längst vergessen hat, weil fünf Minuten vergangen sind.

Willkommen in der Welt des „Permission Based Document Access“.
Dokumentenschutz nicht aus Urheberrecht – sondern aus Datenschutzpanik.

Und was passiert, wenn du einfach nur das PDF auf deiner Seite verlinkst – ohne Einwilligung, ohne Pop-up, ohne DSGVO-Vorlesung?
Dann hast du vielleicht Glück.
Vielleicht aber auch nicht.
Vielleicht landet ein findiger Datenschützer auf deiner Seite, analysiert das Zugriffsverhalten, stellt fest, dass dein Server IP-Adressen protokolliert (was er fast immer tut) – und reicht Beschwerde bei der Datenschutzbehörde ein.

Denn ja: Selbst das passive Protokollieren eines PDF-Downloads ohne Einwilligung kann dir juristisch auf die Füße fallen.
Du wolltest informieren – und hast damit ungewollt ein Datenschutzverfahren eingeleitet.
Digitale Aufklärung in der Selbstsabotage-Version.

Und während du dich langsam daran gewöhnst, dass jede E-Mail, jeder Button und jeder PDF-Link juristisch gesehen ein scharf geladenes Gewehr ist, das bei falscher Benutzung auf dich zurückfeuert, wirst du nun auch als B2B-Kommunikator ins Visier genommen.
Denn wer glaubt, im B2B-Bereich herrsche Narrenfreiheit, weil man ja „unter Geschäftsleuten“ sei, der hat noch nie mit einem Abmahnanwalt zu tun gehabt, der sich auf den „unzulässigen Versand werblicher Inhalte ohne vorherige ausdrückliche Einwilligung“ spezialisiert hat.

Was das bedeutet? Ganz einfach:
Du schickst einem Unternehmen eine Mail mit dem freundlichen Hinweis, dass du ab sofort auch Geschäftskunden belieferst.
Kein Tracking, keine Liste, keine Anhänge – einfach nur eine persönliche Nachricht.

Zack. Abmahnung.

Denn: Auch Unternehmen sind juristisch „Rechtsträger“.
Auch dort gibt es „Nutzer:innen“, die geschützt werden müssen.
Auch eine Info-E-Mail ohne Werbung kann als Werbung gewertet werden, wenn du irgendein geschäftliches Interesse hast.
Und natürlich gilt auch hier: Ohne vorherige Einwilligung – verboten.
Die Krönung: Selbst wenn ein Unternehmen auf einer B2B-Messe öffentlich seine Kontaktdaten verteilt hat, heißt das nicht, dass du es anschreiben darfst.
Denn du könntest ja ein falsches Produkt anbieten.
Oder in einer Sprache, die nicht gefällt.
Oder mit einem Angebot, das als „aufdringlich“ empfunden wird.
Sprich: Du bist gefährlich, einfach weil du existierst.

Und während du all das versuchst zu vermeiden, überlegst du dir, ob dein Impressum eigentlich noch rechtssicher ist.
Das Impressum – diese einst so simple Zeile mit „Name, Adresse, Kontakt“ – ist heute ein Manifest juristischer Nacktheit.
Du gibst dort alles an, was dich identifizierbar, kontaktierbar, haftbar und verwundbar macht.
Du musst:

• Die genaue Firma nennen (inkl. Rechtsform).

• Die ladungsfähige Postanschrift angeben (nicht: nur Postfach).

• Eine Telefonnummer bereitstellen (keine Voicemail).

• Eine E-Mail-Adresse angeben (nicht verschlüsselt, nicht mit Schutzbild).

• Die Umsatzsteuer-ID aufführen (falls vorhanden).

• Die zuständige Aufsichtsbehörde benennen (je nach Branche).

• Den Verantwortlichen nach § 55 RStV nennen (auch wenn du keine Inhalte veröffentlichst).

• Den Hinweis zur EU-Online-Streitbeilegung geben (auch wenn du keine Streitigkeiten hast).

• Optional: Schlichtungsstelle, Registergericht, Handelsregisternummer, Berufsbezeichnung, Kammer, Haftungshinweise, Versicherungsdaten.

Du willst dich schützen? Dann nenn deinen Anwalt.
Du willst noch mehr Sicherheit? Dann gib eine juristische Betreuungsperson für Datenschutzanfragen an – und mach dich direkt haftbar für deren Nichtreaktion.
Du willst kreativ sein? Dann schreib das Impressum ironisch.
Herzlichen Glückwunsch: Verstoß gegen die formale Informationspflicht.

Ein Impressum ist heute kein gesetzlicher Standard – es ist ein juristischer Striptease mit Vorführpflicht.

Und auch sonst? Kaum Besserung.
Du verkaufst auf Amazon? Großartig.
Du bekommst eine Bewertung mit falschen Tatsachen?
Du darfst klagen.
Aber nur, wenn du beweisen kannst, dass es eine Falschbehauptung war.
Und nur, wenn du beweisen kannst, dass es der Rezensent war, den du vermutest.
Und nur, wenn du beweisen kannst, dass du keinen Einfluss auf die Bewertung genommen hast.
Und nur, wenn du beweisen kannst, dass du keinen Einfluss auf die Bewertung nehmen willst.
Du bist also schuldig – bis du nachweist, dass du gar nicht gefragt wurdest.
Amazon selbst? Verweist auf „automatische Systeme“.
Du bist nicht Kunde. Du bist Zielscheibe.

Und falls du auf einer Plattform verkaufen willst – z. B. eBay, Etsy oder einem Marketplace – wird es noch spannender.
Denn dort gelten neben den allgemeinen Regeln deiner Plattform auch noch zusätzliche Regeln des Plattformbetreibers – die du nicht nur befolgen musst, sondern auch selbst auslegen darfst.
Du musst z. B. erklären, ob du ein „gefahrengeneigtes Produkt“ anbietest.
Was das ist? Weiß niemand.
Vielleicht eine Spieluhr mit Batterie. Vielleicht eine Teekanne mit nicht CE-zertifiziertem Griff. Vielleicht ein Kissen mit Reißverschluss.
Bist du unsicher? Dann meld dich beim Support.
Der sagt: „Das müssen Sie selbst wissen.“

Und dann stehst du da.
Zwischen AGB, Impressum, Datenschutzerklärung, Versandrichtlinie, Widerrufsbelehrung, Plattform-Richtlinien, Zahlungsanbietervertrag, Cookie-Policy, IP-Adressen-Logbuch und der bangen Frage:
Ist meine Website eigentlich noch ein Projekt – oder ein Beweismittel?

Denn du beginnst, dich in allem zu rechtfertigen.
Für jedes Script.
Jedes Plugin.
Jeden Service.
Jede API.
Jede Funktion.
Jedes Pop-up.

Du schreibst keine Webtexte mehr. Du schreibst Entschuldigungen.
Du formulierst nicht mehr für Menschen – du formulierst für Richter.
Du baust keine digitale Präsenz mehr auf – du baust ein digitales Gutachten.

Und wenn du denkst, du hast jetzt alles gesehen – dann kommt sie um die Ecke: die „präventive Rechenschaftspflicht“.
Ein Begriff, so bürokratisch klingend wie ein DIN-Ausschuss über die Mindestlochabstände bei gelochten Etiketten, und doch so gefährlich wie ein einziger vergessener Absatz in deiner Datenschutzerklärung.
Was das heißt?
Dass du nachweisen können musst, dass du dich vorab mit einem Problem auseinandergesetzt hast, bevor es überhaupt eingetreten ist.
Du musst belegen, dass du gedacht hast.
Nicht dass du korrekt gehandelt hast – das reicht nicht.
Du musst zeigen, dass du die Möglichkeit eines Problems bereits im Vorfeld in Erwägung gezogen hast – und daraufhin Maßnahmen getroffen hast, die sich rückblickend vielleicht als irrelevant, überzogen oder gar kontraproduktiv erwiesen haben, aber: Hauptsache, du hast sie getroffen.

Ein klassisches Beispiel: Du nutzt einen externen Kalender zur Buchung deiner Dienstleistungen.
Das Plugin speichert keine IP-Adressen, setzt keine Cookies, überträgt keine Inhalte an Dritte – alles bestens.
Aber: Es lädt eine Schriftart von einem CDN.
Das fällt dir nicht auf.
Monate später: Abmahnung.
Begründung: Du hast nicht ausreichend geprüft, ob dein Dienst theoretisch Drittzugriffe ermöglicht.
Du hättest vorher einen Code-Review machen müssen.
Du hättest vorher Rücksprache mit dem Anbieter halten müssen.
Du hättest vorher eine Datenschutz-Folgenabschätzung schreiben müssen.
Du hast das nicht getan.
Ergo: Fahrlässigkeit.
Ergo: Voll haftbar.

Und das, liebe Leser:innen, ist der eigentliche Kern des Problems:
Du bist nicht mehr verantwortlich für dein Tun.
Du bist verantwortlich für das Tun anderer, die du weder kennst noch kontrollierst – einfach, weil du ihre Tools nutzt.
Das Plugin?
Der Google-Dienst?
Der Consent-Anbieter?
Der Zahlungsanbieter?
Die Hosting-Infrastruktur?
Egal, ob du es gebaut hast – du haftest.

Du bist nicht mehr Anwender.
Du bist Generalunternehmer deiner eigenen Rechtsunsicherheit.

Und während du dich damit herumschlägst, hat die EU-Kommission gerade eine neue Richtlinie vorbereitet – diesmal zur „Standardisierung der Einwilligungsarchitektur im digitalen Binnenmarkt“.
Was das bedeutet?
Dass dein Cookie-Banner in Zukunft nicht nur rechtlich korrekt, sondern auch „gleichartig intuitiv“ zu anderen Bannern sein muss – europaweit.
Eine Art optische Gleichschaltung der Einwilligungsoberflächen, damit Nutzer sich „vertraut“ fühlen.
Ein digitales IKEA-Regal: jeder kennt’s, keiner will’s, jeder muss’s aufbauen.

Aber es geht ja noch weiter.
Du musst nämlich bald auch begründen, warum du bestimmte Daten nicht erhebst.
Denn falls du in deinem Geschäftsmodell davon ausgehst, dass du keine IP-Adressen dauerhaft speicherst – musst du belegen, dass du dies nicht nur tust, weil du technisch dazu gezwungen bist, sondern weil du dich bewusst dagegen entschieden hast.
Das nennt sich „Negativdokumentation“ – ein Konzept, das sogar Kafka aus dem Grab heraus zum Applaus getrieben hätte.

Und in dieser Welt voller Vorschriften, Verantwortung, Rücksichtspflichten und Dokumentationswahn sitzt du da – und versuchst eigentlich nur, eine funktionierende Website zu betreiben.
Eine Seite, die deinen Kund:innen gefällt.
Die dich sichtbar macht.
Die dich leben lässt.

Aber du merkst: Das Internet ist kein Ort der Freiheit mehr.
Es ist ein Ort der Vorsicht.
Du klickst nervös auf „Aktualisieren“ bei deinen Plugins – nicht wegen Funktionen, sondern wegen Sicherheitspatches.
Du liest bei jedem neuen Urteil die Schlagzeilen und hoffst, dass nicht dein CMS betroffen ist.
Du vermeidest es, kreativ zu sein – weil du nicht weißt, ob Kreativität in dieser Woche als „versteckte Werbung“ eingestuft werden könnte.

Das Web ist nicht kaputt – es ist überreguliert verängstigt.
Nicht durch Nutzer.
Nicht durch Technik.
Nicht durch Konkurrenz.
Sondern durch ein System aus Vorschriften, das seine Legitimation aus der Angst zieht, dass irgendjemand irgendwo irgendetwas missbrauchen könnte.

Und wer zahlt den Preis?
Nicht Google.
Nicht Meta.
Nicht Amazon.
Sondern du.
Mit deinem kleinen Shop.
Mit deinem Portfolio.
Mit deinem Blog.
Mit deinem Mut, überhaupt sichtbar zu sein.

Und dann, wenn du wieder einmal deine Website durch einen neuen DSGVO-Scanner prüfst, weil irgendein Kommentar in einem Forum behauptet, das LG Wuppertal hätte ein neues Urteil gefällt, in dem eine Farbwahl im Cookie-Banner als „einwilligungsverzerrend“ gewertet wurde – dann lachst du.
Aber es ist kein befreiendes Lachen.
Es ist dieses stille, trockene, kaputte Lachen, das man kennt, wenn man in einem Formularfeld den zwölften Pflichtstern entdeckt.
Ein Lachen, das sagt:
„Ich ergebe mich. Macht einfach, was ihr wollt.“

Aber das kannst du dir nicht leisten.
Denn mit dem Lachen kommt die Klage.
Mit der Kapitulation kommt die Abmahnung.
Mit dem Sarkasmus kommt das Ordnungsgeld.
Also machst du weiter.
Mit Banner.
Mit Layer.
Mit Disclaimer.
Mit 14 Links im Footer.
Und einem dreiseitigen Hinweistext auf der Startseite, der niemandem hilft, aber dir ein bisschen das Gefühl gibt, etwas getan zu haben.

Du dachtest, es geht nicht mehr absurder?
Dann warte, bis du auf das Thema „sprachliche Gestaltung von digitalen Oberflächen“ stößt.
Denn in einer Welt, in der Nutzer:innen vor allem geschützt werden müssen, ist selbst das Wording auf deiner Website ein Minenfeld.
Nicht wegen Beleidigungen.
Nicht wegen Desinformation.
Sondern wegen impliziter Beeinflussung.

Denn wenn dein Button sagt „Jetzt profitieren“, dann ist das eine Wertung.
Und Wertungen dürfen nicht die Entscheidungsfreiheit beeinflussen.
Du hättest stattdessen schreiben müssen: „Zur optionalen Anforderung der Funktionen, verbunden mit einer datenschutzrechtlich bewertbaren Interaktion.“
Klingt nicht sexy?
Richtig. Aber konform.

Wenn du Formulierungen nutzt wie „Unverbindlich testen“ oder „Schnell & einfach starten“, musst du beweisen können, dass die Handlung tatsächlich unverbindlich, schnell und einfach ist.
Und falls ein Nutzer sich dadurch „unter Druck gesetzt fühlt“, ist das möglicherweise eine unlautere Handlung gemäß § 5 UWG.

Willkommen im Zeitalter der kriminalisierten Werbesprache.
Du darfst bewerben – aber nur so, dass niemand dadurch in Versuchung gerät.
Der Inhalt darf gut sein – aber du darfst es nicht sagen.
Du darfst ein Formular einbinden – aber nur, wenn es nicht zu einladend aussieht.

Und dann kommt noch der nächste Schritt: die visuelle Regulierung.
Nicht, dass jemand glaubt, du könntest über Farben Nutzer beeinflussen.
Denn ja: Auch das ist inzwischen Teil rechtlicher Diskussionen.
Ein roter Button könnte als „Warnung“ verstanden werden.
Ein grüner als „psychologisch positiv konnotiert“.
Ein grauer als „optisch entwertet“.
Kurz: Du darfst nichts mehr verwenden, was so aussieht, als wüsstest du, was du tust.
Denn Kompetenz könnte Druck erzeugen.
Und Druck ist schlecht.

Also greifst du zum Neutralgrau.
Zum Arial in Schriftgröße 12.
Zu Formularen ohne Icons.
Zu Texten ohne Zwischenüberschriften.
Und zu der universell einsetzbaren Standardphrase:
„Wenn Sie möchten, können Sie sich entscheiden, diese Option zu erwägen, sofern Sie damit einverstanden sind.“

Damit trittst du niemandem zu nahe.
Damit sagst du eigentlich nichts.
Und genau darum geht es.

Denn sagst du etwas falsch, bist du dran.
Sagst du etwas richtig, bist du verdächtig.
Sagst du gar nichts, bist du konform.

Und das, was du eigentlich sagen wolltest – dein Angebot, deine Leistung, deine Idee – geht unter in einem Meer aus Absätzen, rechtlichen Hinweisen, Pflichtformulierungen, datenschutzrechtlichen Relativierungen und einem Footer, der länger ist als dein ganzes Produktangebot.

Und dann – als ob es noch nicht reicht – kommt irgendwann eine neue Verordnung.
Eine neue Leitlinie.
Ein neues Urteil.
Und du erfährst aus einem Anwaltsnewsletter, dass deine Formulierung „Jetzt anmelden und 10 % sparen“ möglicherweise gegen das Trennungsgebot von Werbung und Rechtstexten verstößt, weil die Angabe nicht als konkreter Vorteil bezifferbar ist.

Was das bedeutet?
Dass ein Satz mit „sparen“ nur dann rechtlich unbedenklich ist, wenn du den Originalpreis nennst, den Rabatt quantifizierst, das Zeitfenster klar begrenzt, die Verfügbarkeit belegst, und eine Information darüber gibst, ob es sich um eine Preisaktion, eine dauerhafte Preisanpassung oder eine individuelle Vorteilsregelung handelt.

Oder du lässt es ganz.
Wie so vieles.

Du lässt den Rabatt weg.
Du lässt den Hinweis weg.
Du lässt die Sprache weg.
Und irgendwann lässt du auch den Mut weg.

Weil du nicht mehr weißt, wie du dich noch ausdrücken darfst.

Denn was früher als kreatives Marketing galt, ist heute ein potenzieller Auslöser für juristische Verfahren.
Was früher Usability war, ist heute Beeinflussung.
Was früher Vertrauen schuf, ist heute Irreführung.
Und was früher einfach nur menschlich war, ist heute: nicht mehr erlaubt.

Und während du versuchst, dich in der sprachlich-juristischen Grauzone einzurichten wie ein Überlebender in einem postapokalyptischen Paragraphendschungel, passiert etwas Unmerkliches – etwas viel Bedrohlicheres als jede Vorschrift:
Du beginnst, dich selbst zu zensieren.
Nicht, weil du etwas Illegales vorhast.
Sondern, weil du gelernt hast, dass selbst das Richtige falsch sein kann, wenn es falsch verstanden wird.

Du willst keine GIFs mehr auf deiner Website, weil Bewegung als „irritierend“ gelten könnte.
Du willst keine Testimonials mehr zeigen, weil du nicht weißt, ob ein „Kunde“ rechtlich als schützenswerte Person angesehen wird.
Du verzichtest auf persönliche Sprache, weil „Du“-Anreden unter Umständen in den Bereich unlauterer Druckausübung rutschen könnten.
Du kürzt dein Kontaktformular von 4 auf 2 Felder – nicht aus UX-Gründen, sondern aus reiner Angst vor „überflüssiger Datenerhebung“.
Du entfernst alle optionalen Felder – und mit ihnen: Persönlichkeit, Effizienz, Flexibilität.

Du fängst an, in juristischen Bedingungen zu denken.
Du denkst nicht mehr in: „Was könnte nützlich sein?“
Sondern in: „Was könnte mir schaden?“
Du bist nicht mehr Anbieter:in.
Du bist potentielle:r Täter:in – und zwar per Default.

Und das geht weiter.

Du fängst an, Dinge nicht mehr zu tun, die gar nicht verboten sind – einfach nur, weil du keine Lust mehr auf Diskussionen, Prüfungen oder Paragrapheninterpretationen hast.
Du setzt keine Tools ein, weil du nicht weißt, ob du sie korrekt erklärst.
Du nutzt keine Videos, weil du die Serverstruktur nicht prüfen kannst.
Du verwendest keine externen Schriftarten, weil du keine schriftliche Einwilligung von Google bekommen wirst.
Du baust keine Social Media Feeds mehr ein, weil die technische Verbindung zu Facebook „theoretisch rückverfolgbar“ sein könnte.
Du bindest keine Fonts von Adobe ein, weil du gelesen hast, dass jemand jemanden kennt, der jemanden kannte, der deswegen mal Ärger bekommen hat.

Kurz gesagt:
Du programmierst nicht mehr kreativ – du programmierst aus Angst.
Du planst keine Features – du verhinderst Eventualitäten.
Du entwickelst keine Lösungen – du baust Vorkehrungen.

Und wie sieht so eine Website dann aus?

Grau.
Still.
Textwüste.
Links im Footer.
„Wir verwenden Cookies“ oben.
„Wir übernehmen keine Haftung“ unten.
Ein Button in der Mitte.
Ohne Farbe.
Ohne Dringlichkeit.
Ohne Aussage.

Dazwischen:

• 12 Links zur Datenschutzerklärung

• 8 interne Verweise auf externe Verweise

• 3 Textblöcke mit dem Hinweis, dass man jederzeit widersprechen kann

• 1 versteckter Hinweis, dass man auch nichts tun darf

Und du hoffst einfach nur, dass niemand klickt.
Niemand scrollt.
Niemand liest.
Niemand fragt.
Denn jede Interaktion ist ein Risiko.
Und jeder Besucher ist potenziell das letzte Puzzlestück im Verfahren gegen dich.

Denn was viele nicht wissen:
Du musst heute nachweisen, dass du niemandem geschadet hast.
Das heißt:

• Du brauchst Logfiles.

• Du brauchst Zustimmungshistorien.

• Du brauchst Datenschutzerklärungs-Archivierungen mit Zeitstempel.

• Du brauchst technische Dokumentation.

• Du brauchst Datenschutzfolgeabschätzungen – auch für Tools, die keine Daten speichern.

Und falls jemand klagt?
Dann musst du beweisen, dass der Kläger nicht recht hat.
Und falls du das nicht kannst?
Dann wirst du verurteilt – obwohl du nichts getan hast.
Oder nichts Falsches.
Oder nichts bewusst.
Oder einfach nur: nichts.

Denn auch das ist neu:
Untätigkeit schützt nicht mehr.
Wer nichts tut, könnte etwas unterlassen haben.
Wer nichts anbietet, könnte jemandem einen Vorteil vorenthalten.
Wer nichts sammelt, könnte Beweise vernichten.

Also wirst du vorsichtig.
Dann wirst du still.
Dann wirst du müde.

Und irgendwann denkst du:
„Vielleicht war die Idee mit der Website doch nicht so gut.“

Aber du weißt, du kannst nicht aufhören.
Weil du’s brauchst.
Weil du gefunden werden willst.
Weil du arbeitest.
Weil du sichtbar sein musst – auch wenn du’s lieber nicht wärst.

Und so drehst du weiter die Runde im ewigen Kreislauf aus:
Feature – prüfen – zweifeln – absichern – umformulieren – löschen – resignieren.

Was früher ein Webprojekt war, ist heute ein Verwaltungsakt.
Du brauchst kein Talent mehr – du brauchst Ordner.
Ordner für Zustimmungen.
Ordner für Einwilligungen.
Ordner für Opt-Ins.
Ordner für Opt-Outs.
Ordner für Widerrufe.
Ordner für die Protokolle deiner Löschungen.
Und, falls du gar nichts speicherst, natürlich: einen Ordner mit dem Titel „Nachweis über die Nichterhebung von Daten“.

Denn ja – auch das musst du beweisen.
Dass du etwas nicht tust.
Dass du keinen Cookie setzt.
Dass du keine IP speicherst.
Dass du keine Analyse-Tools verwendest.
Dass du keine personenbezogenen Daten verarbeitest.
Und am besten noch eine PDF-Datei mit Screenshots, Protokollen und technischen Diagrammen, die zeigen, dass du im Prinzip überhaupt nichts anbietest – aber es korrekt unterlassen hast.

Das Ganze nennt sich „Dokumentationspflicht im Nicht-Fall“ – der feuchte Traum jeder Datenschutzbehörde.
Du wirst nicht mehr geprüft auf das, was du tust, sondern auf das, was du hättest tun können.
Du musst versichern, dass du etwas nicht speicherst, und das in einer Form, die beweisbar ist – durch Abwesenheit.
Das digitale Äquivalent zur Pflicht, ein leeres Blatt Papier zu signieren, um zu bestätigen, dass du nichts zu sagen hattest.

Und damit nicht genug.
Denn auch dein Verhältnis zu Drittanbietern wird durchleuchtet.
Du verwendest ein Plugin?
Dann musst du prüfen, ob es Daten überträgt.
Du verwendest ein CDN?
Dann musst du prüfen, ob dort IP-Adressen landen.
Du verwendest Webfonts?
Dann musst du prüfen, ob der Font-CSS-Aufruf ein Google-Ping ist.
Du verwendest ein E-Mail-Tool?
Dann brauchst du einen Auftragsverarbeitungsvertrag.
Nicht vielleicht. Nicht optional. Zwingend.
Selbst wenn du nur eine E-Mail pro Monat verschickst.
Selbst wenn du den Dienst nur zum Testen installiert hast.
Selbst wenn niemand jemals die Seite besucht hat.

Denn: Datenschutz ist nicht situationsabhängig, sondern potenzialbasiert.
Nicht: „Was passiert?“
Sondern: „Was könnte passieren, wenn jemand auf die Idee käme, hypothetisch in genau diesem Moment…“
Ein Gedanke, aus dem Kafka ein ganzes Theaterstück gemacht hätte.

Du fragst dich:
Gibt es eine Möglichkeit, sich zu schützen?
Und die Antwort lautet:
Vielleicht. Für heute. Vielleicht.

Denn du kannst:
– einen Anwalt beauftragen,
– einen Datenschutzbeauftragten einstellen,
– eine externe Agentur mit der Prüfung beauftragen,
– deine Texte juristisch glattbügeln lassen,
– deine Infrastruktur „verfahrenssicher“ gestalten
– und deinen gesamten Internetauftritt nach ISO 27001 auditieren lassen.

Und was bekommst du dafür?
Keine Garantie.
Kein Siegel.
Kein Schutz.
Sondern bestenfalls eine „im jetzigen Moment nicht rechtswidrige Struktur mit vertretbarer Auslegung nach aktuellem Stand der Rechtsprechung in Kombination mit etablierter Verwaltungspraxis.“

Ein Satz wie aus der Hölle.
Oder von einer Datenschutzkonferenz.

Du merkst:
Du kannst alles richtig machen – und trotzdem falsch liegen.
Du kannst vorbauen – und trotzdem unterwandert werden.
Du kannst investieren – und trotzdem verlieren.
Denn: Rechtssicherheit ist kein Ziel mehr. Sie ist eine temporäre Momentaufnahme.

Du willst eine Datenschutzerklärung, die nicht abmahnbar ist?
Vergiss es.
Sie ist immer angreifbar.
Nicht, weil sie schlecht ist – sondern weil Interpretation Teil des Systems geworden ist.

Das bedeutet:
Du kannst heute konform sein – und morgen verurteilt.
Nicht, weil du etwas geändert hast.
Sondern weil ein Urteil anders ausgelegt wurde.
Weil ein Tool in Version 3.8 plötzlich ein anderes Verhalten zeigt.
Weil ein Browser-Update plötzlich Cookies anders liest.
Weil sich jemand daran gestört hat, dass dein Button zu grün war.
Weil das LG Kleinkleckersdorf einen neuen Standard setzen wollte.
Weil ein Wettbewerber Langeweile hatte.
Weil ein Bot auf deiner Seite einen Alt-Text gefunden hat, der nicht optimal formuliert war.

Und während du all das verinnerlichst, kommt aus dem Hintergrund bereits die nächste EU-Richtlinie:
„Verordnung zur Harmonisierung der freiwilligen Transparenzverpflichtung nicht registrierungspflichtiger digitaler Dienste mit eingeschränkter Datenverarbeitungskompetenz“ –
oder kurz: Die nächste Runde im Spiel „Was zur Hölle soll das jetzt wieder bedeuten?“

Und dann, irgendwann – nach hunderten Stunden, nach Wochen juristischer Recherche, nach all den umformulierten Bannern, überarbeiteten Datenschutzerklärungen, durchgearbeiteten Gerichtsentscheidungen, ausgelagerten IPs, gespiegelten Fonts und der siebten Revision deiner AGB – sitzt du da, siehst deine Website an, leer und gesetzestreu, und denkst:

Wofür?

Wofür diese Texte, die keiner liest, aber jeder einklagt?
Wofür dieses Impressum, das mir nur Nachteile bringt?
Wofür diese Datenschutzerklärung, die länger ist als die Bedienungsanleitung eines Reaktors, aber von 99,8 % aller Menschen sofort weggeklickt wird?
Wofür das alles, wenn am Ende nicht zählt, ob ich gut arbeite, sondern nur, ob ich nicht falsch formuliere?

Es ist, als würde man ein Café eröffnen – aber statt Kaffee zu kochen, musst du erst drei Monate lang alle denkbaren Hygiene-, Brandschutz-, Personal-, Barrierefreiheits- und Datenschutznormen nicht nur erfüllen, sondern auch für den Tag dokumentieren, an dem vielleicht jemand fragt, ob dein Spüllappen personenbezogene DNA-Reste transportiert.

Und weil du das alles weißt, weil du das alles fühlst, weil du inzwischen keine kreative Idee mehr entwickeln kannst, ohne im Hinterkopf einen Paragraphenratgeber durchzuscannen, wirst du langsam zu dem, was das System will:
ein kontrollierter, stiller, regeltreuer, innovationsvermeidender Funktionsträger.

Du willst keine neue Idee mehr auf deiner Website einbauen – denn sie könnte angreifbar sein.
Du willst keinen Link mehr einfügen – denn er könnte nicht korrekt mit „rel=noreferrer“ gesichert sein.
Du willst kein Kontaktformular – denn ein einfacher E-Mail-Link ist vielleicht datensparsamer.
Du willst keine Bilder mehr – denn Alt-Texte sind heikel.
Du willst keine Videos – denn Einbettung bedeutet IP-Übertragung.
Du willst keine Analyse – denn du willst keine Verantwortung.
Du willst keine Kunden – denn jeder Kunde ist ein potenzieller Kläger.

Und dann liest du eine neue News:
Eine Kanzlei mahnt Webseitenbetreiber ab, weil deren Cookie-Banner „zu freundlich“ formuliert war.
Ein Unternehmen wird verurteilt, weil die Datenschutzerklärung zwar korrekt war, aber „nicht prominent genug“ verlinkt wurde.
Ein Freiberufler muss Unterlassung zahlen, weil in seinem Impressum „verantwortlich im Sinne des § 55 Abs. 2 RStV“ fehlte – obwohl er keine journalistischen Inhalte veröffentlicht.
Ein Designer verliert seinen Kunden, weil dessen Landingpage sich „gefühlt nicht regelkonform“ anfühlte.

„Gefühlt nicht regelkonform“ – das ist der neue Maßstab.
Es geht nicht mehr um Fakten.
Es geht nicht mehr um Inhalte.
Es geht um das Gefühl, man könnte vielleicht etwas Falsches finden, wenn man nur lange genug sucht.

Das ist der eigentliche Albtraum dieser digitalen Realität:
Sie will dich nicht mehr erwischen, wenn du falsch bist.
Sie will dich formen, damit du nie mehr wagst, anders zu denken.

Denn dann – bist du sicher.
Nicht inspiriert.
Nicht kreativ.
Nicht erfolgreich.
Aber:
Nicht angreifbar.

Und damit bist du für das System perfekt.
Denn du störst nicht.
Du entwickelst nicht.
Du innovierst nicht.
Du erfüllst.

Und wer erfüllt, wird nicht verklagt.
Und wer nicht verklagt wird, ist nicht teuer.
Und wer nicht teuer ist, ist gut fürs System.

Und so sitzt du da.
Vor deinem Bildschirm.
Mit deinem vollständigen Impressum.
Mit deiner durchregulierten Datenschutzerklärung.
Mit deinem Cookie-Banner, der aussieht wie ein UI-Projekt von Orwells Enkel.
Mit deinem Rechtstext, der von zwölf Juristen gegengelesen wurde und trotzdem falsch sein könnte, wenn morgen das LG Detmold ein neues Gefühl für Paragraphen entwickelt.

Du bist jetzt „compliant“.
Du bist jetzt „DSGVO-konform“.
Du bist jetzt „rechtsicher“ – zumindest für die nächsten drei Stunden.

Du hast alles durchgestanden.
Du hast das rechtliche Labyrinth überlebt.
Du hast dich angepasst, dokumentiert, korrigiert, verzichtet, zensiert, geschwiegen, gelöscht, ersetzt, entschuldigt.
Du hast alles überlebt – und das bedeutet: Du bist bereit für die nächste Runde.

Denn das Spiel hört nie auf.

Denn morgen erscheint das neue Urteil zum TTDSG.
Übermorgen kommt die ePrivacy-Verordnung.
Nächste Woche gibt’s eine Abmahnwelle, weil jemand bemerkt hat, dass das Wort „jetzt“ eine unlautere Handlungsaufforderung sein könnte.
Und in einem Monat veröffentlicht die EU-Kommission einen 87-seitigen Leitfaden zum „barrierefreien Cookie-Design bei simultanem Sprachwechsel unter dynamisch geladenen Drittinhalten mit pseudoanonymer Nutzerstruktur“.

Und du?
Du wirst wieder alles anpassen.
Weil du musst.
Nicht, weil du willst.
Nicht, weil es Sinn ergibt.
Sondern weil du gelernt hast, dass in Europa nicht der gewinnt, der besser ist, sondern der, der weniger angreifbar ist.

Und du erinnerst dich an den Anfang.
Als du mal einfach eine Website machen wolltest.
Schlicht.
Klar.
Nützlich.

Und jetzt?

Jetzt hast du ein digitales Monument aus juristischer Vorsicht geschaffen.
Ein Kunstwerk der Vermeidung.
Ein Mahnmal für all die Ideen, die du nicht umgesetzt hast.
Ein Schutzwall aus Silbensuppe.
Ein digitales Kloster, in dem Kreativität Fastenzeit hat.

Aber irgendwo…
tief in dir drin…
gibt es sie noch:
die Idee.
Die Vision.
Den Funken.

Und du weißt:
Vielleicht wirst du morgen trotzdem etwas wagen.
Trotz der Paragraphen.
Trotz der Risiken.
Trotz der Banner, Häkchen, Formulare und Zustimmungen.

Denn in all dem Irrsinn gibt es eines, was dir niemand nehmen kann:
Deinen Trotz.

Und der ist es, der am Ende bleibt.
Nicht der perfekte Footer.
Nicht das konforme Cookie-Banner.
Nicht das dreifach abgesicherte Tracking-Opt-in mit DSGVO-kompatibler Logging-Funktion.
Sondern dein inneres:
„Jetzt erst recht.“

Es ist nicht so, dass ich nicht wollte.
Ich habe. Ich habe gekämpft.
Gelesen, gelernt, angepasst, geprüft, unterschrieben, gezweifelt, gelöscht, neu formuliert.
Ich habe meine Ideen beschnitten, damit sie in eure Formulare passen.
Ich habe meine Sprache gezähmt, damit sie in eure Gesetze passt.
Ich habe meine Website zerstückelt, damit sie in euer Verständnis von Datenschutz passt.

Ich habe alles getan – und am Ende ist nichts geblieben.
Außer der Erkenntnis: Hier geht’s nicht mehr um Zukunft. Hier geht’s nur noch um Kontrolle.

Deutschland, du warst mal der Ort der Denker und Erfinder.
Heute bist du das Land der Abmahnanwälte und Datenschutzausschüsse.
Deine Talente wandern ab, nicht weil sie undankbar sind – sondern weil sie nicht mehr dürfen.
Nicht mehr denken dürfen.
Nicht mehr sagen dürfen.
Nicht mehr ausprobieren dürfen.

Innovation ist in diesem Land verdächtig geworden.
Schnelligkeit ist gefährlich.
Kreativität ist riskant.
Digitalisierung ist eine Stolperfalle mit Gerichtstermin.

Was du als „Schutz der Bürger:innen“ verkaufst, ist in Wahrheit die Erstickung des Machens.
Was du als „Verbraucherrechte“ feierst, ist in Wahrheit ein Klima der Angst, des Misstrauens, der ständigen Rechtfertigung.

Und während du weiter Regularien formulierst, um Probleme zu verhindern, die nie existierten,
bauen andere Länder längst die Lösungen von morgen.
In Estland digitalisiert der Staat.
In Portugal gründen Entwickler.
In Dubai entstehen Firmen in 48 Stunden.
In den USA scheitert man – und darf es nochmal probieren.

Und hier?

Hier archiviert man Einwilligungen.
Hier formuliert man Unverbindlichkeit.
Hier betreibt man Verwaltung statt Gestaltung.
Hier schützt man sich vor sich selbst – bis niemand mehr übrig bleibt, der sich schützen müsste.

Und genau deshalb bin ich nicht mehr da.
Oder werde es bald nicht mehr sein.
Nicht aus Trotz. Nicht aus Wut. Nicht aus Flucht.
Sondern, weil ich wieder atmen will.

Ich will wieder entwickeln, nicht dokumentieren.
Ich will wieder gestalten, nicht absichern.
Ich will wieder sagen, was ich meine, ohne mir vorher drei EU-Verordnungen durchzulesen.
Ich will einfach wieder arbeiten dürfen.

Und deshalb ziehe ich weiter.
In ein Land, das Ideen liebt statt fürchtet.
In ein System, das Risiken erkennt, aber nicht mit Blei erschlägt.
In eine Zukunft, die mutig ist – nicht compliant.

Mach’s gut, Deutschland.
Vielleicht wachst du ja irgendwann auf.
Vielleicht erkennst du irgendwann, dass man keine Wirtschaft schützt, indem man sie anbindet.
Vielleicht erinnerst du dich eines Tages daran, dass Fortschritt nicht entsteht, wenn man jeden Schritt erst dreimal gegenprüft.

Aber bis dahin?

Bin ich weg.

An alle, die es bis hierher geschafft haben: Respekt.
Ihr habt Durchhaltevermögen bewiesen, das man in diesem Land bald in die Datenschutz-Folgenabschätzung aufnehmen müsste.
Fühlt euch frei, diesen Text zu kopieren, zu verwenden, zu verändern, weiterzuleiten, zu spiegeln oder auf eurer Website einzufügen –
denn wenn schon Wahnsinn, dann bitte wenigstens gemeinsam.