SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVODatenschutzShopifyShop-Compliance

Datensicherheit nach Art. 32 DSGVO + Meldepflicht bei Datenpannen

01. Juli 2026 · Max Benz

Art. 32 DSGVO verpflichtet jeden Online-Shop zu angemessenen technischen und organisatorischen Maßnahmen für die Sicherheit der Verarbeitung personenbezogener Daten. Wer diese Pflicht verletzt, riskiert gleich zwei Folgeprobleme: Bei einer Datenpanne greift die Meldepflicht nach Art. 33 DSGVO mit einer 72-Stunden-Frist, und betroffene Kundinnen und Kunden können nach Art. 82 DSGVO Schadensersatz verlangen. Dieser Artikel erklärt die drei Vorschriften im Zusammenhang und zeigt, welche Maßnahmen ein Shopify-Shop konkret umsetzen sollte.

Das Wichtigste zu Art. 32 DSGVO auf einen Blick

Die folgende Grafik zeigt die Pflichtenkette, um die es in diesem Artikel geht: von der Datensicherheit über die Meldepflicht bis zur Haftung.

Die DSGVO-Pflichtenkette für Shops: Art. 32 Sicherheit der Verarbeitung, Art. 33 Meldepflicht binnen 72 Stunden, Art. 82 Haftung bei Verstoß

Art. 32 DSGVO verlangt vom Betreiber eines Online-Shops technische und organisatorische Maßnahmen (TOM), die dem tatsächlichen Risiko der Datenverarbeitung angemessen sind. Verschlüsselung, Zugriffskontrollen, regelmäßige Backups und dokumentierte Sicherheitstests gehören dazu.

Trotzdem passiert es: eine Datenpanne wird bekannt. Dann greift Art. 33 DSGVO, und der Verantwortliche muss den Vorfall binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Bleibt diese Meldung aus oder waren die TOM erkennbar unzureichend, können betroffene Personen nach Art. 82 DSGVO Schadensersatz einklagen. Das gilt auch für rein immaterielle Schäden wie Ärger oder Kontrollverlust über die eigenen Daten.

Für Shopify-Händler heißt das konkret:

  • Art. 32 DSGVO verlangt geeignete TOM nach dem Stand der Technik.
  • Art. 33 DSGVO verlangt eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden einer Datenpanne.
  • Art. 82 DSGVO öffnet die Tür für Schadensersatzforderungen, wenn TOM oder Meldepflicht verletzt wurden.

Was verlangt Art. 32 DSGVO von Online-Shops?

Art. 32 DSGVO verlangt vom Verantwortlichen und vom Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen, und zwar unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung. Es gibt keine feste Liste vorgeschriebener Werkzeuge. Stattdessen bewertet das Gesetz vier Faktoren:

  • den Stand der Technik
  • die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die Eintrittswahrscheinlichkeit und Schwere des Risikos für betroffene Personen

Art. 32 Abs. 2 DSGVO konkretisiert, welche Risiken dabei zu bewerten sind: die Vernichtung, der Verlust, die Veränderung oder die unbefugte Offenlegung von bzw. der unbefugte Zugang zu personenbezogenen Daten. Genau an diesen vier Punkten richtet sich die Angemessenheitsprüfung aus.

Ein kleiner Shopify-Shop mit wenigen Bestellungen pro Woche braucht andere Maßnahmen als ein Store, der täglich tausende Zahlungsdaten verarbeitet. Angemessen statt maximal, das ist der Kern von Art. 32 DSGVO.

Welche technischen und organisatorischen Maßnahmen fordert Art. 32 DSGVO?

Art. 32 Abs. 1 DSGVO nennt vier Kategorien von Schutzmaßnahmen, die je nach Risiko kombiniert werden müssen.

Pseudonymisierung und Verschlüsselung

Personenbezogene Daten sollten so gespeichert oder übertragen werden, dass sie für Unbefugte ohne zusätzlichen Schlüssel nicht lesbar sind. Für einen Online-Shop heißt das: durchgehende TLS-Verschlüsselung im Checkout und bei jeder Übertragung von Kunden- oder Zahlungsdaten.

Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit

Vier Begriffe, ein Ziel. Vertraulichkeit heißt, dass nur befugte Personen Zugriff auf Kundendaten haben. Integrität sichert, dass Daten nicht unbemerkt verändert werden, etwa durch Berechtigungssysteme und Protokollierung. Verfügbarkeit stellt sicher, dass Systeme im Bedarfsfall erreichbar bleiben, und Belastbarkeit beschreibt die Fähigkeit, Störungen und Angriffe zu erkennen und abzufangen, statt an ihnen zusammenzubrechen.

Wiederherstellbarkeit nach einem Vorfall

Nach einem Sicherheitsvorfall oder Systemausfall muss die Verfügbarkeit der Daten rasch wiederhergestellt werden können. Regelmäßige, getestete Backups sind hier die Grundvoraussetzung, nicht nur eine Kopie der Daten irgendwo, sondern ein Backup, dessen Rücksicherung nachweislich funktioniert.

Nachweise durch Zertifizierung und Verhaltensregeln

Art. 32 Abs. 3 DSGVO erlaubt, die Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren als Nachweis für angemessene TOM heranzuziehen. Art. 32 Abs. 4 DSGVO ergänzt, dass jede Person mit Zugang zu personenbezogenen Daten diese ausschließlich auf Weisung des Verantwortlichen verarbeiten darf, außer eine gesetzliche Pflicht schreibt etwas anderes vor.

TOM-Checkliste für deinen Shopify-Shop

Die Theorie hinter Art. 32 DSGVO lässt sich direkt auf konkrete Shopify-Einstellungen übertragen. Die folgende Checkliste ordnet jede Pflicht-Kategorie einer praktischen Maßnahme im Shop zu.

TOM-Kategorie nach Art. 32 DSGVOKonkrete Maßnahme im Shopify-Shop
VertraulichkeitZwei-Faktor-Authentifizierung für alle Staff-Accounts aktivieren
ZugriffskontrolleMitarbeiterrollen so einschränken, dass nur nötige Bereiche sichtbar sind
VerschlüsselungTLS/SSL im Checkout prüfen, keine Kundendaten unverschlüsselt exportieren
App-SicherheitInstallierte Apps regelmäßig prüfen und nicht genutzte Berechtigungen entziehen
VerfügbarkeitRegelmäßige Exporte von Kunden- und Bestelldaten als Backup anlegen
NachweisbarkeitAuftragsverarbeitungsverträge mit Zahlungsdienstleistern und Apps dokumentiert ablegen

Wer diese sechs Punkte einmal im Quartal durchgeht, deckt den Großteil der in Art. 32 DSGVO verlangten Maßnahmen für einen typischen Shopify-Shop ab. Bei sensibleren Datenkategorien, etwa Gesundheitsangaben in einem Beauty- oder Fitness-Shop, sind zusätzliche Maßnahmen angemessen.

Wann greift die Meldepflicht nach Art. 33 DSGVO bei einer Datenpanne?

72 Stunden. So viel Zeit bleibt, sobald der Verantwortliche von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, um die zuständige Aufsichtsbehörde zu informieren. Eine Ausnahme gilt nur, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Eine Datenpanne im Sinne von Art. 33 DSGVO ist nicht nur ein Hackerangriff. Auch eine falsch versendete Bestellbestätigung mit fremden Kundendaten, ein kompromittiertes App-Passwort oder ein Datenbank-Leak durch einen fehlerhaft konfigurierten Export können eine meldepflichtige Verletzung darstellen.

Keine Meldung ist nötig, wenn objektiv kein Risiko für die betroffenen Personen besteht, etwa wenn ausschließlich verschlüsselte Daten betroffen waren und der Schlüssel nicht kompromittiert wurde. Im Streitfall muss der Verantwortliche allerdings nachweisen können, warum er keine Meldung für nötig hielt. Eine dokumentierte Risikoeinschätzung lohnt sich deshalb auch dann, wenn am Ende keine Meldung erfolgt.

Datenpanne melden: Ablauf und Frist in der Praxis

Wer eine Datenpanne melden muss, sollte die folgende Reihenfolge einhalten, um die 72-Stunden-Frist aus Art. 33 DSGVO einzuhalten.

Vier Schritte beim Melden einer Datenpanne: Erkennen, Bewerten, Melden binnen 72 Stunden, Dokumentieren

Erkennen, bewerten, melden, dokumentieren: So läuft es ab. Zuerst wird der Vorfall erkannt und intern dokumentiert, was passiert ist, welche Datenkategorien betroffen sind und wie viele Personen ungefähr betroffen sind. Danach folgt die Risikobewertung, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht oder der Schaden begrenzt bleibt. Ergibt die Bewertung ein Risiko, wird die Aufsichtsbehörde binnen 72 Stunden ab Bekanntwerden informiert. Diese Meldung muss die Art der Verletzung, die betroffenen Kategorien und die ungefähre Anzahl betroffener Personen enthalten, dazu die Kontaktdaten des Datenschutzbeauftragten, die wahrscheinlichen Folgen sowie die bereits ergriffenen oder geplanten Abhilfemaßnahmen. Besteht zusätzlich ein hohes Risiko für die betroffenen Personen, müssen diese direkt informiert werden, üblicherweise per E-Mail. Am Ende steht die Dokumentation. Sie gilt für jede Datenpanne, unabhängig davon, ob am Ende eine Meldung erfolgte oder nicht.

Reicht die vollständige Information nicht rechtzeitig aus, erlaubt Art. 33 DSGVO eine stufenweise Meldung: Die Aufsichtsbehörde wird zunächst mit den verfügbaren Informationen kontaktiert, fehlende Angaben werden unverzüglich nachgereicht.

Schadensersatz nach Art. 82 DSGVO: Haftung bei einem Datenschutzverstoß

Nach Art. 82 DSGVO haftet jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine gegen die DSGVO verstoßende Verarbeitung verursacht wurde. Anspruchsberechtigt ist jede Person, der ein materieller oder immaterieller Schaden entstanden ist, ein Kontrollverlust über die eigenen Daten oder emotionaler Stress reichen bereits aus, ein finanzieller Schaden muss nicht nachgewiesen werden.

Auftragsverarbeiter, etwa ein extern gehosteter Newsletter- oder Zahlungsdienstleister, haften nur dann, wenn sie ihre spezifischen Pflichten aus der DSGVO verletzt haben oder entgegen rechtmäßigen Weisungen des Verantwortlichen gehandelt haben. Sind mehrere Verantwortliche oder Auftragsverarbeiter an derselben Verarbeitung beteiligt, haften sie gesamtschuldnerisch: Die betroffene Person kann den vollen Schadensersatz von jedem einzelnen Beteiligten verlangen, ein interner Ausgleich zwischen den Beteiligten bleibt davon unberührt.

Von der Haftung befreit sich, wer nachweisen kann, in keinerlei Hinsicht für den Umstand verantwortlich zu sein, durch den der Schaden eingetreten ist. Fehlende oder erkennbar unzureichende TOM nach Art. 32 DSGVO erschweren genau diesen Entlastungsbeweis erheblich. Die Höhe des Schadensersatzes wird im Einzelfall von den zuständigen Gerichten festgelegt und hängt stark von Schwere und Umständen des Verstoßes ab, weshalb sich eine pauschale Zahl an dieser Stelle nicht seriös nennen lässt.

Wie shopcompliance.net Shopify-Händler bei Art. 32, 33 und 82 DSGVO unterstützt

Startseite von shopcompliance.net mit Hero-Bereich und Compliance-Check-CTA shopcompliance.net verwaltet Pflichtangaben und Rechtstexte für Shopify-Shops zentral. (Quelle: shopcompliance.net)

shopcompliance.net bündelt die Pflichtangaben und Rechtstexte eines Shopify-Shops zentral und spielt sie automatisch im Storefront aus, ohne dass Theme-Code angefasst werden muss. Für die Praxis rund um Art. 32, 33 und 82 DSGVO bedeutet das vor allem eines: eine aktuelle, konsistente Datenschutzerklärung und Cookie-Einwilligung als dokumentierte Grundlage, statt veralteter Textbausteine, die bei einer Prüfung oder nach einer Datenpanne zum Problem werden. Die App ersetzt keine individuelle Rechtsberatung, reduziert aber den Aufwand, die eigenen Pflichtangaben laufend aktuell zu halten, deutlich.

Häufige Fragen zu Art. 32, 33 und 82 DSGVO

Wie viele Stunden Zeit hat man, um eine Datenpanne nach Art. 33 DSGVO zu melden?

Die Meldung an die zuständige Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Datenpanne erfolgen. Nur wenn absehbar kein Risiko für die betroffenen Personen besteht, entfällt die Meldepflicht.

Muss ich jede Datenpanne den Kundinnen und Kunden direkt mitteilen?

Nein, nur bei einem voraussichtlich hohen Risiko für ihre Rechte und Freiheiten muss eine direkte Information der betroffenen Personen erfolgen. Bei geringerem Risiko genügt in der Regel die Meldung an die Aufsichtsbehörde.

Welche TOM verlangt Art. 32 DSGVO konkret von einem Shopify-Shop?

Art. 32 DSGVO verlangt risikoangemessene Maßnahmen wie Verschlüsselung im Checkout, Zugriffskontrollen für Staff-Accounts, regelmäßige Backups und eine dokumentierte Prüfung installierter Apps, wobei der Umfang vom tatsächlichen Verarbeitungsrisiko abhängt.

Wer haftet nach Art. 82 DSGVO, wenn eine Datenpanne einen Schaden verursacht?

Der Verantwortliche haftet für Schäden aus einer DSGVO-widrigen Verarbeitung, Auftragsverarbeiter nur bei eigenen Pflichtverletzungen. Sind mehrere Beteiligte betroffen, haften sie gesamtschuldnerisch für den vollen Schaden.

Kann Schadensersatz nach Art. 82 DSGVO auch ohne finanziellen Schaden verlangt werden?

Ja, bereits ein immaterieller Schaden wie Kontrollverlust über die eigenen Daten oder emotionaler Stress reicht für einen Schadensersatzanspruch aus, ein nachweisbarer finanzieller Verlust ist dafür nicht erforderlich.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.