# App mit KI gebaut? Impressum, DSGVO & Cookies vor dem Launch

> Launch-Checkliste für deine KI-gebaute App: Impressum nach §5 DDG, Datenschutzerklärung nach Art. 13 DSGVO, Cookie-Consent nach §25 TDDDG und die Hosting-Frage.

- URL: https://thevibe-coding.de/guides/ki-app-launch-impressum-dsgvo-cookies
- Typ: guides | Veroeffentlicht: 2026-07-13 | Aktualisiert: 2026-07-13
- Autor: Vita Legne | Site: VIBE CODING — thevibe-coding.de

---

**Vor dem Launch einer KI-gebauten App** verlangt deutsches Recht drei Dinge: ein Impressum nach §5 DDG, eine Datenschutzerklärung nach Art. 13 DSGVO und – bei Tracking – eine Einwilligung nach §25 TDDDG. Ob der Code von dir, [Lovable](/tools/lovable) oder [Claude Code](/tools/claude-code) stammt, spielt dabei keine Rolle. Diese Checkliste bringt dich in einem Nachmittag durch alle Pflichten.

## KI-Apps sind rechtlich normale Apps – die Zahlen dazu

Die DSGVO unterscheidet nicht zwischen einer App von Google und einer, die du an einem Wochenende per [Vibe Coding](/glossar/vibe-coding) zusammengebaut hast. Sobald ein Login existiert, verarbeitest du personenbezogene Daten – und stehst als Verantwortlicher gerade. Wie groß die Lücke zwischen Bauen und Betreiben ist, zeigte ein Sicherheitsscan vom Mai 2026: Rund 380.000 mit Tools wie Lovable, Replit oder Base44 gebaute Apps wurden untersucht, Tausende davon stellten Dienstpläne, Finanzdaten und Chat-Protokolle offen ins Netz. Die häufigsten Muster: API-Endpunkte ohne Authentifizierung, Klartext-Passwörter, fehlendes Rollenkonzept. Jede dieser technischen Lücken ist zugleich ein DSGVO-Verstoß nach Art. 32 (Sicherheit der Verarbeitung) – mit einem Bußgeldrahmen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

## Impressum nach §5 DDG: Pflichtangaben in 10 Minuten

Seit dem 14. Mai 2024 regelt das Digitale-Dienste-Gesetz (DDG) die Impressumspflicht; es hat das alte Telemediengesetz abgelöst, die Pflichten aus §5 TMG wanderten nahezu unverändert in §5 DDG. Betroffen ist jeder geschäftsmäßig betriebene digitale Dienst – dafür genügt schon ein Affiliate-Link oder die Absicht, die App später zu monetarisieren. Rein private Projekte ohne Einnahmeabsicht sind die einzige nennenswerte Ausnahme.

Ins Impressum gehören: Name und ladungsfähige Anschrift (kein Postfach), bei juristischen Personen Rechtsform und Vertretungsberechtigte, eine E-Mail-Adresse für schnelle Kontaktaufnahme, dazu je nach Fall Handelsregisternummer, Umsatzsteuer-ID und Aufsichtsbehörde. Die Angaben müssen „leicht erkennbar, unmittelbar erreichbar und ständig verfügbar" sein – in der Praxis: von jeder Seite mit maximal zwei Klicks, auch in der Mobile-App selbst, nicht nur auf der Landingpage. Ein Verstoß ist eine Ordnungswidrigkeit mit bis zu 50.000 Euro Bußgeld nach §33 DDG; real gefährlicher sind kostenpflichtige Abmahnungen von Wettbewerbern.

## Datenschutzerklärung: Was Art. 13 DSGVO konkret verlangt

Deine Datenschutzerklärung muss zum Zeitpunkt der Datenerhebung über die tatsächlichen Datenflüsse deiner App informieren – nicht über generische Beispiele. Art. 13 Abs. 1 und 2 DSGVO geben den Pflichtkatalog vor:

- Name und Kontaktdaten des Verantwortlichen (das bist du), ggf. Datenschutzbeauftragter
- Zwecke und Rechtsgrundlagen jeder Verarbeitung (Art. 6 DSGVO: Vertrag, Einwilligung, berechtigtes Interesse)
- Empfänger oder Empfängerkategorien – bei Vibe-Coding-Stacks typisch: Hosting, Datenbank, Auth-Provider, KI-APIs, Payment
- Speicherdauer sowie Drittlandtransfers samt Absicherung (Standardvertragsklauseln)
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch – plus Beschwerderecht bei der Aufsichtsbehörde

Der häufigste Fehler bei KI-gebauten Apps: Die Erklärung stammt aus einem Generator, aber niemand hat sie mit der realen Architektur abgeglichen. Wenn deine App Nutzereingaben an eine LLM-API schickt, muss genau das drinstehen – Anbieter, Zweck, Rechtsgrundlage, Serverstandort.

## Cookie-Banner nach §25 TDDDG: Wann du wirklich einen brauchst

Gute Nachricht zuerst: Nicht jede App braucht ein Banner. §25 Abs. 2 TDDDG stellt technisch notwendige Zugriffe frei – Session-Cookies, Auth-Tokens, Warenkorb. Dafür genügt ein Hinweis in der Datenschutzerklärung. Einwilligungspflichtig wird es, sobald du Analytics, Marketing-Pixel oder Embeds von Drittanbietern einbindest; die Regel gilt technologieneutral, erfasst also auch Local Storage und Fingerprinting.

Die Einwilligung muss vor dem Setzen der Cookies erfolgen, informiert und freiwillig sein – mit „Akzeptieren" und „Ablehnen" als gleichwertigen Optionen auf der ersten Ebene. Vorangekreuzte Kästchen und Banner, die „Ablehnen" hinter drei Untermenüs verstecken, halten dem nicht stand. Der Bußgeldrahmen des §28 TDDDG reicht bis 300.000 Euro. Praktischer Tipp für den Launch: Starte ohne Tracking. Eine frisch gelaunchte App braucht selten Google Analytics – ein cookiefreies, serverseitiges Zählverfahren erspart dir das komplette Banner-Thema.

## Hosting-Standort: Supabase, Vercel und die US-Frage

Vibe-Coding-Defaults sind selten EU-Defaults. Supabase etwa provisioniert Projekte standardmäßig in den USA – für eine App mit deutschen Nutzern ein Drittlandtransfer, den du absichern und in der Datenschutzerklärung ausweisen musst. Drei Handgriffe entschärfen das Thema: Erstens beim Anlegen des Projekts eine EU-Region wählen (Supabase, Vercel, AWS und Neon bieten Frankfurt an). Zweitens mit jedem Dienstleister, der personenbezogene Daten für dich verarbeitet, einen Auftragsverarbeitungsvertrag schließen – bei den großen Anbietern ist der DPA in den Nutzungsbedingungen enthalten oder per Klick abrufbar. Drittens dokumentieren, welche Daten wohin fließen; diese Übersicht ist zugleich das Gerüst deiner Datenschutzerklärung und deines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Wer maximale Ruhe will, wählt einen deutschen oder EU-Hoster – auch dafür gibt es inzwischen auf Vibe-Coding-Deployments spezialisierte Anbieter.

## Blick nach vorn: AI Act und die Frage, was deine App eigentlich ist

Ein Punkt für die Wiedervorlage statt für die Launch-Nacht: Der EU AI Act baut ab 2026 ein verbindliches Rechtsregime für KI-Systeme auf. Wichtig ist die Unterscheidung, die dabei oft verrutscht – eine App, die du *mit* KI gebaut hast, ist deshalb noch kein KI-System. Ein klassisches Tool mit Login und Datenbank, dessen Code aus Claude oder Lovable stammt, fällt nicht unter den AI Act, nur weil KI beim Bauen half. Anders sieht es aus, wenn deine App selbst KI-Funktionen anbietet, etwa einen Chatbot oder automatisierte Bewertungen von Nutzern: Dann können Transparenz- und Kennzeichnungspflichten greifen, deren genauer Zuschnitt vom Risikoprofil abhängt. Für diesen Fall gilt dieselbe Regel wie beim Rest des Artikels – erst die eigene Architektur ehrlich einordnen, dann bei Unsicherheit eine Kanzlei fragen, bevor die App skaliert.

## Die Launch-Checkliste im Überblick

| Pflicht | Rechtsgrundlage | Sanktionsrahmen | Aufwand |
|---|---|---|---|
| Impressum, 2 Klicks erreichbar | §5 DDG | Bis 50.000 € (§33 DDG) + Abmahnung | ~10 Min. |
| Datenschutzerklärung | Art. 13 DSGVO | Bis 20 Mio. € / 4 % Umsatz | 1–2 Std. |
| Cookie-Consent (nur bei Tracking) | §25 TDDDG | Bis 300.000 € (§28 TDDDG) | 0–1 Std. |
| AVV mit Hosting/Auth/KI-APIs | Art. 28 DSGVO | Teil des DSGVO-Rahmens | ~30 Min. |
| EU-Region + Security-Check | Art. 32, 44 ff. DSGVO | Teil des DSGVO-Rahmens | ~1 Std. |

Vier bis fünf Stunden Gesamtaufwand für die Basisabsicherung – weniger Zeit, als die meisten in ihr Farbschema stecken. Wenn du noch am Anfang stehst, lohnt vorher der Blick ins [Vibe-Coding-Tutorial für Anfänger](/guides/vibe-coding-tutorial-deutsch-anfaenger); wie du das KI-Tool selbst datenschutzfreundlich konfigurierst, zeigt der Guide zum DSGVO-konformen Claude-Code-Setup.

*Dieser Artikel ist keine Rechtsberatung. Für verbindliche Auskünfte wende dich an eine Kanzlei.*

## FAQ

### Brauche ich ein Impressum, wenn meine App kostenlos ist?

Sehr wahrscheinlich ja. §5 DDG knüpft an geschäftsmäßige digitale Dienste an – dafür reicht nach gängiger Auslegung schon Werbung, ein Affiliate-Link oder die Absicht, später Geld zu verdienen. Nur rein private, nicht-kommerzielle Projekte ohne jede Einnahmeabsicht fallen heraus. Im Zweifel kostet ein Impressum 10 Minuten, eine Abmahnung deutlich mehr.

### Reicht ein generierter Datenschutztext aus einem Generator?

Als Ausgangspunkt ja, ungeprüft nein. Generatoren kennen deine tatsächlichen Datenflüsse nicht – etwa dass deine Lovable-App Daten an Supabase in den USA schickt oder Prompts an eine KI-API weiterreicht. Gleiche jeden generierten Abschnitt mit deiner echten Architektur ab und ergänze alle Empfänger, sonst informiert die Erklärung falsch und verfehlt Art. 13 DSGVO.

### Welche Strafen drohen ohne Impressum oder Cookie-Banner?

Ein fehlendes Impressum ist eine Ordnungswidrigkeit mit bis zu 50.000 Euro Bußgeld nach §33 DDG; praktisch häufiger sind wettbewerbsrechtliche Abmahnungen durch Konkurrenten. Verstöße gegen die Einwilligungspflicht des §25 TDDDG können bis zu 300.000 Euro kosten, DSGVO-Verstöße theoretisch bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes.

## Quellen

- [Impressum im Internet](https://www.ihk-muenchen.de/ratgeber/recht/internetrecht/impressum/) — IHK München
- [Art. 13 DSGVO – Informationspflicht bei Erhebung von personenbezogenen Daten](https://dsgvo-gesetz.de/art-13-dsgvo/) — dsgvo-gesetz.de
- [Cookie-Einwilligungspflicht nach TTDSG in Kraft](https://www.it-recht-kanzlei.de/cookie-einwilligungspflicht-ttdsg.html) — IT-Recht Kanzlei
- [Vibe Coding: 380.000 Apps, brisant offen](https://digital-magazin.de/vibe-coding-leck-380-000-generierte-apps/) — digital-magazin.de
