Informationspflichten: Impressum und Datenschutzerklärung
Das Impressum und die Datenschutzerklärung sollten von jeder Unterseite erreichbar sein, idealerweise im Footer.
Das Impressum muss die grundlegenden Angaben zum Unternehmen enthalten wie Firmenwortlaut, Rechtsform, Sitz, Kontaktdaten inklusive E-Mail, Firmenbuchnummer und -gericht sowie UID-Nummer und Aufsichts- oder Standesstellen.
Ebenso zentral ist eine aktuelle Datenschutzerklärung. Darin sollten Sie verständlich beschreiben, welche Daten auf der Website anfallen – etwa über Kontakt- und Buchungsformulare, Server-Logfiles, Cookies und eingesetzte Tools –, zu welchen Zwecken diese verarbeitet werden, auf welcher Rechtsgrundlage dies geschieht, wie lange die Daten gespeichert werden und an wen sie gegebenenfalls übermittelt werden. Weisen Sie außerdem auf Betroffenenrechte sowie Widerrufs- und Widerspruchsmöglichkeiten hin. Ist die Website mehrsprachig, sollte die Datenschutzerklärung in denselben Sprachen zur Verfügung stehen.
Manche Hotels verfügen auf der Website neben der Datenschutzerklärung über eine eigene Cookie-Erklärung. Rechtlich ist das nicht zwingend erforderlich, es kann aber durchaus sinnvoll sein, wenn sich die Cookie-Liste häufiger ändert oder ein Consent-Tool (zur Verwaltung der Cookies), diese Seite automatisch pflegt. Wichtig ist Konsistenz: Beide Dokumente müssen zueinander passen, dieselben Rechtsgrundlagen verwenden und sich gegenseitig verlinken. Der Link „Cookie-Einstellungen“ zur nachträglichen Änderung/ zum Widerruf der Einwilligung sollte auf jeder Seite sichtbar sein.
Cookies und Tracking: pragmatisch, aber korrekt
Für nicht technisch notwendige Cookies und vergleichbare Technologien – dazu zählen typischerweise Statistik- und Marketing-Tools – benötigen Sie eine ausdrückliche Einwilligung der Nutzer:innen, bevor diese Technologien Daten setzen oder auslesen. Das Einwilligungsbanner muss eine echte Wahl ermöglichen: „Akzeptieren“ und „Ablehnen“ sollten gleichwertig präsentiert sein, die Kategorien (z. B. „Statistik“ und „Marketing“) klar erklärt werden, und die Entscheidung muss jederzeit über einen gut sichtbaren Link „Cookie-Einstellungen“ änderbar sein. Die Entscheidungen der Nutzer:innen sind zu dokumentieren, damit die Rechtmäßigkeit der Verarbeitung der Daten jederzeit nachgewiesen werden kann.
Achten Sie darauf, dass technisch notwendige Cookies – etwa für die Web Booking Engine, die Sprachauswahl oder das Speichern der Consent-Entscheidung – ohne Einwilligung eingesetzt werden dürfen, sofern sie ausschließlich der Bereitstellung des ausdrücklich gewünschten Dienstes dienen.
Social Plugins und Drittinhalte (Maps, Videos, Feeds)
Externe Einbindungen wie Karten, Videos oder Social-Feeds übertragen häufig bereits beim Laden IP-Adressen oder setzen Identifier. Um dies datenschutzgerecht zu gestalten, haben sich zwei Muster bewährt: Entweder arbeiten Sie mit einer Zwei-Klick-Lösung, bei der zunächst nur ein Platzhalter angezeigt wird und die eigentliche Einbindung erst nach dem bewussten Klick der Nutzer:innen erfolgt. Oder Sie koppeln die Einbindung an die entsprechende Consent-Kategorie im Banner und laden die Inhalte erst nach erteilter Zustimmung. In der Datenschutzerklärung sollten die verwendeten Dienste jeweils mit Anbieter, Zweck, Datenarten, möglichen Drittlandsübermittlungen und Widerrufsmöglichkeiten benannt werden.
Buchungsstrecke und Formulare
Sämtliche Formulare – vom Kontaktfeld bis zur Reservierung – sollten ausschließlich die notwendigen Felder enthalten und konsequent über HTTPS übertragen werden. Direkt bei Formularen und in der Web-Booking-Engine empfiehlt es sich, einen Hinweistext, der den Zweck der Verarbeitung erläutert, sowie einen Link auf die Datenschutzerklärung zu setzen.
Bild- und Urheberrechte
Verwenden Sie nur Material, für das Sie über die erforderlichen Nutzungsrechte verfügen, und dokumentieren Sie diese Lizenzen. Bei Fotos, auf denen Personen erkennbar sind, sollten Sie eine ausdrückliche Einwilligung zur Veröffentlichung einholen und festhalten, in welchen Medien und Kanälen das Bild genutzt werden darf. Weisen Sie auf die Möglichkeit des Widerrufs hin und beschreiben Sie, wie Sie in diesem Fall mit bereits veröffentlichten Inhalten umgehen.
Dienstleister:innen und Dokumentation
Die Verarbeitungen der Daten auf der Website sind im Verzeichnis der Verarbeitungstätigkeiten festzuhalten. Pflegen Sie die Verträge zur Auftragsverarbeitung (z. B. Hosting, Agentur/Wartung, Consent-Management, Web Booking Engine, Newsletter-Tool) und prüfen Sie die technischen und organisatorischen Maßnahmen Ihrer Partner:innen. Sofern Daten in Drittländer übermittelt werden könnten, untersuchen Sie den tatsächlichen Datenfluss und dokumentieren Sie geeignete Garantien sowie die Bewertung des Transfer-Risikos. Diese Sorgfalt zahlt sich aus, wenn Aufsichtsbehörden oder Geschäftspartner:innen Nachweise anfordern.
Hinweis auf die OS-Plattform entfernen
Bis zum 20. Juli 2025 mussten Betreiber:innen von Webshops einen Link zur Online-Streitbeilegungsplattform (OS-Plattform) auf der Website bereitstellen. Diese Pflicht ist entfallen; die Plattform wurde abgeschaltet. Prüfen Sie daher Impressum und Footer und entfernen Sie sämtliche Verweise auf die OS-Plattform, um keine toten Links oder veralteten Rechtshinweise zu führen. Unberührt bleiben die Regelungen des Alternative-Streitbeilegungs-Gesetzes (AStG): Sie sind weiterhin nicht verpflichtet, sich einem alternativen Streitbeilegungsverfahren zu unterwerfen, können dies jedoch freiwillig kommunizieren, etwa durch Hinweise auf nationale Schlichtungsstellen.
Bereit für einen Quick Check Ihrer Website?
Basis
- Sind die Angaben im Impressum vollständig?
- Sind die Datenschutzerklärung und das Impressum von jeder Unterseite erreichbar?
- Ist die Datenschutzerklärung aktuell?
Cookies/Tracking
- Blockt mein Banner tatsächlich alle nicht-notwendigen Tools vor Zustimmung?
- Sind die Buttons „Akzeptieren“ & „Ablehnen“ gleichwertig (erste Ebene)?
Drittinhalte
- Erscheinen Maps/Videos/Feeds erst nach Einwilligung oder Zwei-Klick?
- Sind alle Drittanbieter:innen in der Datenschutzerklärung beschrieben?
Formulare/Buchung
- Sind nur nötige Felder vorhanden und sind alle https?
- Wird auf die Datenschutzerklärung bei Formularen und in der Web Booking Engine verlinkt?
Recht & Inhalte
- Sind die Bild-/Urheberrechte geklärt (inkl. Personenfotos)?
- Wurde der OS-Plattform-Hinweise entfernt (seit 20.07.2025)?
- Sind aufrechte und aktuelle Verarbeitungsverträge mit meinen Dienstleister:innen vorhanden?