Am 14. Mai 2024 sei das Telemediengesetz nach gut achtzehn Jahren Geltungsdauer abgelöst worden. An seine Stelle trat das Digitale-Dienste-Gesetz (DDG), mit dem der deutsche Gesetzgeber die Vorgaben des europäischen Digital Services Act (DSA, Verordnung (EU) 2022/2065) in nationales Recht überführt habe. Für Blogger:innen, Newsletter-Schreiber:innen und kleine Magazin-Betreiber:innen sei der Wechsel keineswegs eine bloße Umetikettierung. Wer im Frühjahr 2026 ein Impressum prüfe, müsse die neuen Paragrafen lesen — und ein paar Annahmen aus der TMG-Zeit verabschieden.

Der Wechsel: TMG raus, DDG rein

Das Telemediengesetz vom 26. Februar 2007 sei in seiner Grundstruktur ein Anpassungsgesetz an die europäische E-Commerce-Richtlinie aus dem Jahr 2000 gewesen. Bekannt seien insbesondere zwei Vorschriften gewesen: § 5 TMG (Impressumspflicht für geschäftsmäßige Telemedien) und § 7 TMG (Haftungsprivilegien für Diensteanbieter). Beide hätten den Charakter einer Selbstverständlichkeit angenommen — jede WordPress-Installation, die in den letzten anderthalb Jahrzehnten in Betrieb genommen worden sei, kenne die Formulierung „Angaben gemäß § 5 TMG”.

Mit dem DDG seien diese Verweise rechtlich obsolet geworden. Die Impressumspflicht regle nun § 5 DDG. Die Haftungsprivilegien fänden sich in §§ 7 bis 10 DDG (in Umsetzung der Artikel 4 bis 6 DSA). Inhaltlich seien die Anforderungen weitgehend identisch geblieben: vollständiger Name, ladungsfähige Anschrift, Kontaktmöglichkeit, Verantwortlicher für journalistisch-redaktionelle Inhalte gemäß § 18 MStV.

Was sich geändert habe, sei der Verweis selbst. Wer in seinem Impressum noch „§ 5 TMG” stehen habe, weise auf eine nicht mehr existierende Norm hin. Die Wettbewerbszentrale habe in einem Hinweis vom Juli 2024 klargestellt, dass dies zwar nicht automatisch eine Abmahnfähigkeit nach § 3a UWG begründe — die materiellen Pflichten würden ja eingehalten —, eine Aktualisierung sei aber dringend empfohlen.

Wer ist von § 5 DDG betroffen?

Die Schwelle, ab der ein Impressum verpflichtend werde, sei mit dem DDG nicht verschoben worden. „Geschäftsmäßig in der Regel gegen Entgelt angebotene digitale Dienste” hießen die Telemedien jetzt; das schließe — wie schon unter TMG — alle Sites ein, die nicht rein privat-familiär betrieben würden. Ein Hobby-Blog mit Affiliate-Links sei impressumspflichtig. Ein reines Familien-Fotoalbum mit Login-Schutz nicht.

Die Schwierigkeit liege wie bisher im Graubereich. Wer einen Blog betreibe, der zwar kein Einkommen generiere, aber als Selbstdarstellung in einem beruflichen Kontext fungiere, gelte rechtlich als geschäftsmäßig. Das Landgericht München I habe in einem Beschluss vom 11. März 2025 (Az. 4 HK O 12340/24) bestätigt, dass auch ein nicht-monetarisierter persönlicher Fachblog impressumspflichtig sei, wenn er „erkennbar der Pflege beruflicher Reputation diene”.

Was § 18 MStV mit Blogs zu tun habe

Eine zweite, häufig übersehene Regelung sei § 18 des Medienstaatsvertrags. Dieser verpflichte Anbieter von „Telemedien mit journalistisch-redaktionell gestalteten Angeboten” zur Benennung eines Verantwortlichen mit Anschrift im Inland. Die Schwelle sei niedriger angelegt als oft angenommen: Auch ein Blog mit regelmäßigen, recherchierten Beiträgen falle darunter.

In der Praxis bedeute das eine zusätzliche Zeile im Impressum:

Verantwortlich für den Inhalt gemäß § 18 Abs. 2 MStV: [Name, Anschrift im Inland]

In aller Regel sei dies dieselbe Person, die schon nach § 5 DDG genannt werde. Die separate Nennung sei dennoch nicht entbehrlich, weil sie eine andere Rechtsgrundlage habe. Die Landesmedienanstalten hätten in einer gemeinsamen Stellungnahme vom Februar 2025 darauf hingewiesen, dass eine Unterlassung der § 18 MStV-Angabe ein Verstoß sei, der unabhängig vom DDG verfolgt werden könne.

Die Cathy-Hummels-Linie zur Werbekennzeichnung

Parallel zur DDG-Umsetzung sei eine zweite Linie für Schreiber:innen von Belang: die Werbe-Kennzeichnungspflicht. Hier habe der Bundesgerichtshof mit dem viel zitierten Urteil zu Cathy Hummels vom 9. September 2021 (Az. I ZR 90/20) einen Rahmen gesetzt, der bis heute trage.

Der Kern der Entscheidung sei zweigliedrig. Erstens: Wer in einem geschäftlichen Verkehr handle und für Produkte anderer Unternehmen werbe, müsse diese Werbung als solche kennzeichnen. Zweitens — und das sei die für viele Blogger:innen entlastende Hälfte: Wer ohne Gegenleistung über Produkte berichte, weil sie ihn fachlich oder persönlich interessierten, betreibe keine Schleichwerbung. Die Schwelle der Kennzeichnungspflicht laufe bei der Gegenleistung — sei sie monetär, in Form von Produktproben oder in Form von Plattform-Vorteilen.

Das hänge eng mit § 5a Abs. 4 UWG zusammen, der eine Irreführung durch das Verschweigen des kommerziellen Zwecks einer geschäftlichen Handlung definiere. Die Krux: Was als „kommerziell” zähle, sei in Einzelfällen weiterhin streitig.

Affiliate-Links und das LG Hamburg

Eine weitere Linie ziehe sich durch die Rechtsprechung zu Affiliate-Links. Hier habe das Landgericht Hamburg in einem Urteil vom 16. Januar 2024 (Az. 327 O 220/23) bestätigt, dass Affiliate-Links grundsätzlich kennzeichnungspflichtig seien, weil die Provisionszahlung eine geldwerte Gegenleistung darstelle. Die Form der Kennzeichnung sei nicht streng vorgegeben — ein einzelner, deutlich lesbarer Hinweis am Beginn des Beitrags genüge in aller Regel.

Strittig sei lange Zeit gewesen, ob eine pauschale Kennzeichnung etwa im Footer ausreiche. Das OLG München habe diese Frage in einem Beschluss vom 7. November 2023 verneint: Eine Kennzeichnung müsse so platziert sein, dass sie für die durchschnittlich aufmerksame Leser:in vor der Befassung mit dem Affiliate-Link erkennbar werde. Footer-Hinweise hätten diese Funktion nicht.

Cookies, Tracking, TTDSG — eine eigene Baustelle

Eine eigene Baustelle, die in der DDG-Diskussion gern übersehen werde, sei das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG), das am 1. Dezember 2021 in Kraft trat und seither die Vorgaben für Cookies, Tracker und Local-Storage-Nutzung regle. Mit der DDG-Reform sei das TTDSG nicht abgelöst worden; es laufe parallel weiter und sei für die Frage des Cookie-Banners die maßgebliche Rechtsgrundlage.

Was viele Blog-Betreiber:innen unterschätzten: Auch ein nur scheinbar harmloses Embedded-YouTube-Video setze in der Regel ein Cookie, das eine ausdrückliche Einwilligung erfordere. Die Verbraucherzentrale NRW habe Anfang 2025 eine Welle von Beschwerden gegen Sites veröffentlicht, die YouTube-Einbettungen ohne vorherige Einwilligung integriert hätten. Wer auf Nummer sicher gehen wolle, nutze entweder die youtube-nocookie.com-Variante in Kombination mit einem Klick-zum-Laden-Pattern oder verzichte auf das Embedding.

DSA-Pflichten für kleine Anbieter

Der Digital Services Act selbst — also die EU-Verordnung, die das DDG umsetze — habe einen gestaffelten Pflichtenkatalog. Die strengsten Vorgaben gelten für „sehr große Online-Plattformen” (VLOPs) und „sehr große Suchmaschinen” (VLOSEs) mit jeweils mindestens 45 Millionen monatlich aktiven Nutzer:innen in der EU. Für klassische Blogs und kleine Newsletter-Anbieter seien diese Vorgaben nicht einschlägig.

Was hingegen für alle Anbieter gelte, sei die in Artikel 12 DSA geregelte Pflicht zur Benennung eines Kontaktpunkts für nationale Behörden — was wiederum in § 5 DDG zusammenlaufe. Für die meisten Blogs erschöpfe sich diese Pflicht in der Angabe einer kontaktierbaren E-Mail-Adresse. Eine separate behördliche Kontaktstelle einzurichten, sei nicht notwendig.

Haftung für Kommentare und nutzergenerierte Beiträge

Eine wiederkehrende Sorge betreffe die Haftung für Inhalte, die nicht von der Blog-Betreiber:in selbst stammten — Kommentare, Gastbeiträge, eingebettete Mastodon-Threads. Die Linie sei seit langem stabil und werde durch die DDG-Reform nicht verschoben: Die Haftungsprivilegien des Hosting-Anbieters (jetzt § 10 DDG, vormals § 10 TMG) griffen, solange die Betreiber:in keine positive Kenntnis vom rechtswidrigen Inhalt habe und nach Kenntniserlangung unverzüglich entferne.

Was als „unverzüglich” gelte, sei in der Rechtsprechung zwischen 24 Stunden und sieben Tagen eingegrenzt worden — abhängig von der Schwere des Verstoßes und der Erreichbarkeit der Betreiber:in. Der BGH habe in seiner Entscheidung vom 25. Oktober 2018 (Az. I ZR 219/17) zur sogenannten „Störerhaftung” eine pragmatische Linie gezogen: Es bestehe keine generelle Vorabprüfungspflicht für nutzergenerierte Inhalte. Erst bei spezifischen Hinweisen auf Rechtsverletzungen entstehe eine Prüfpflicht.

Praktisch bedeute das: Eine Blog-Betreiber:in müsse keine vollautomatische Wortfilter-Infrastruktur betreiben. Sie müsse aber eine erreichbare Kontaktmöglichkeit vorhalten und auf eingehende Beschwerden zeitnah reagieren. Wer Kommentare moderiere, sei rechtlich nicht schlechter gestellt als wer sie ungeprüft veröffentliche — eine in der Anfangszeit oft gegenteilig vermutete Annahme, die der BGH ausdrücklich verworfen habe.

Die DSGVO-Spur — bleibt, was sie ist

Eine Frage, die sich in der DDG-Debatte oft mit der Datenschutz-Frage vermenge, sei die Geltung der DSGVO. Hier sei klarzustellen: Die DSGVO sei eine eigenständige Verordnung (Verordnung (EU) 2016/679), die seit dem 25. Mai 2018 unmittelbar gelte und durch keine der jüngeren digitalpolitischen Reformen abgelöst worden sei. Die DSGVO-Pflichten — Datenschutzerklärung, Auftragsverarbeitungs-Verträge mit Hosting-Dienstleistern, Verfahrensverzeichnis ab gewisser Verarbeitungsschwelle — bestünden parallel zum DDG fort.

Was sich 2024 und 2025 verschoben habe, sei die Aufsichts-Linie der Landes-Datenschutzbeauftragten. Insbesondere die Themenkomplexe „Google Fonts auf der eigenen Seite eingebettet” (LG München I, Urteil vom 20. Januar 2022, Az. 3 O 17493/20) und „US-Cloud-Dienste nach Schrems II” (EuGH, Urteil vom 16. Juli 2020, Rechtssache C-311/18) hätten Blog-Betreiber:innen in eine Selbstprüfung gezwungen, die kaum eine Site folgenlos überstanden habe.

Praktisch bedeute das: Wer Google Fonts nutze, müsse sie lokal hosten — die in den Google-Servern protokollierte IP-Adresse sei ohne Einwilligung ein Datenschutz-Verstoß. Wer Google Analytics nutze, sei seit Schrems II in einer rechtlich prekären Lage; die meisten Datenschutz-Beauftragten der Länder hätten entweder Cloudflare-Analytics, Plausible (gehostet in Deutschland) oder Matomo Self-Hosted als Alternative empfohlen.

Eine kurze Checkliste

Was sich aus dem Vorstehenden destillieren lasse, sei eine pragmatische Liste, die jede:r Blog-Betreibende im Frühjahr 2026 abklopfen könne:

• Verweise im Impressum von „§ 5 TMG” auf „§ 5 DDG” aktualisieren.
• Bei journalistisch-redaktionellen Angeboten zusätzlich § 18 Abs. 2 MStV-Verantwortlichen nennen.
• Affiliate-Links pro Beitrag deutlich kennzeichnen, nicht nur im Footer.
• Werbekooperationen unmissverständlich als „Anzeige” oder „Werbung” markieren.
• Embeds mit Tracking-Potenzial (YouTube, Vimeo, Twitter, Facebook) auf Klick-zum-Laden umstellen.
• Cookie-Banner so konfigurieren, dass nicht-essentielle Cookies erst nach aktiver Einwilligung gesetzt würden.

Die juristische Lage sei keine einfache. Sie sei aber, und das verdiene festgehalten zu werden, bemerkenswert stabil. Die Grundkoordinaten — Impressumspflicht, Werbekennzeichnung, Cookie-Einwilligung — seien seit Jahren dieselben. Was sich ändere, seien die Paragrafenziffern und die Detailausgestaltung. Wer das Impressum jährlich einmal prüfe und die Werbekennzeichnungen konsequent vergebe, sei rechtlich auf der gut beleuchteten Seite des Wegs.