SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVODatenschutzArt. 6 DSGVOShopifyRechtsgrundlage

Rechtsgrundlagen der Verarbeitung: Art. 6 DSGVO für Shops

22. Juni 2026 · Max Benz

Was regelt Art. 6 DSGVO?

Art. 6 DSGVO regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Die Norm legt fest, unter welchen Voraussetzungen die Verarbeitung erlaubt ist, und enthält einen abschließenden Katalog von sechs Rechtsgrundlagen. Wer als Shopify-Händler personenbezogene Daten erhebt, muss für jeden Verarbeitungsvorgang eine dieser Grundlagen nachweisen können.

Die DSGVO folgt dem Verbotsprinzip mit Erlaubnisvorbehalt: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, eine der sechs Grundlagen aus Art. 6 Abs. 1 DSGVO greift. Diese Grundlagen sind abschließend. Kein nationales Recht darf weitere hinzufügen.

Dazu kommt das Erforderlichkeitsprinzip: Auch wenn eine Rechtsgrundlage vorliegt, darf nur so viel verarbeitet werden, wie für den jeweiligen Zweck tatsächlich notwendig ist. “Hilfreich” oder “bequem” reicht nicht. “Notwendig” ist der Maßstab.

Wichtig für die Praxis: Die Einwilligung steht in Art. 6 Abs. 1 lit. a zwar an erster Stelle, ist aber nicht automatisch die erste Wahl. Wenn eine andere Rechtsgrundlage die Verarbeitung bereits erlaubt, ist die Einwilligung überflüssig und riskant. Greife zur Einwilligung zuletzt, nicht zuerst.

Lit.RechtsgrundlageKurzbeschreibungRelevant für Shops
aEinwilligungBetroffene Person hat ausdrücklich zugestimmtNewsletter, Retargeting, Datenweitergabe
bVertragserfüllungVerarbeitung notwendig zur Vertragsabwicklung oder für vorvertragliche MaßnahmenBestellung, Versand, Anfragen
cRechtliche VerpflichtungGesetz schreibt die Verarbeitung vorSteuerliche Aufbewahrungspflichten
dLebenswichtige InteressenSchutz lebenswichtiger Interessen der betroffenen oder einer anderen PersonKaum relevant
eÖffentliches InteresseAufgabe im öffentlichen Interesse oder Ausübung öffentlicher GewaltNicht für private Shops
fBerechtigtes InteresseÜberwiegende berechtigte Interessen des Verantwortlichen oder DritterAnalytics, Betrugsschutz, Direktmarketing

Die 6 Rechtsgrundlagen des Art. 6 DSGVO: lit. a Einwilligung, lit. b Vertragserfüllung, lit. c Rechtliche Verpflichtung grün hervorgehoben, lit. d und e grau als kaum relevant, lit. f Berechtigtes Interesse grün

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Die Einwilligung ist die bekannteste Rechtsgrundlage der DSGVO, aber nicht die erste Wahl. Viele Händler greifen reflexartig dazu, auch wenn eine andere Grundlage besser passt. Das schafft unnötige Abhängigkeiten.

Eine wirksame Einwilligung muss freiwillig, für einen bestimmten Zweck erteilt, informiert und eindeutig sein. Die betroffene Person muss die Einwilligung jederzeit ohne Nachteile widerrufen können. Sobald ein Widerruf eingeht, muss die Verarbeitung sofort enden.

Die Einwilligung ist die richtige Rechtsgrundlage für:

  • Newsletter-Versand (Double-Opt-In-Pflicht nach § 7 Abs. 2 Nr. 3 UWG; eine vorausgefüllte Checkbox ist keine wirksame Einwilligung)
  • Retargeting-Cookies und personalisierte Werbeanzeigen
  • Weitergabe von Kundendaten an Werbepartner
  • Gespeicherte Zahlungsdaten für künftige Einkäufe (EDPB Opinion 8/2023: weder Vertragserfüllung noch berechtigtes Interesse reichen hier aus)

Die Einwilligung ist nicht die richtige Rechtsgrundlage für:

  • Bestellabwicklung (dafür greift lit. b; eine separate Einwilligung ist nicht nur überflüssig, sondern ein Risiko)
  • Versand der Bestellbestätigung
  • Rechnungsstellung und Buchhaltung (dafür greift lit. c)
  • Grundlegende Webanalyse ohne Personenbezug (dafür kann lit. f genügen)

Ein typischer Fehler: Händler fordern beim Checkout eine Einwilligung für die Adressverarbeitung an, obwohl Art. 6 Abs. 1 lit. b die Verarbeitung bereits erlaubt. Widerruft der Kunde später die Einwilligung, kann der Händler die Bestellung rechtlich nicht mehr abwickeln, obwohl er es müsste.

Shopify-Beispiel: Das Newsletter-Formular muss eine aktive Einwilligung einholen, eine vorausgefüllte Checkbox ist unzulässig. Retargeting-Pixel wie Meta CAPI oder Google Ads Remarketing benötigen ebenfalls eine wirksame Einwilligung der betroffenen Person.

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn sie notwendig ist, um einen Vertrag zu erfüllen oder vorvertragliche Maßnahmen auf Anfrage der betroffenen Person durchzuführen. Das ist die wichtigste Alltagsgrundlage für Online-Shops.

Verarbeitung auf Basis von lit. b deckt im Shop:

  • Lieferadresse, Name und E-Mail-Adresse zur Bestellabwicklung
  • Zahlungsabwicklung (Datenübermittlung an Payment-Anbieter)
  • Versandabwicklung und Weitergabe an Paketdienstleister
  • Bestellbestätigung und Versandbenachrichtigung per E-Mail
  • Kundenkonto-Verwaltung (wenn die betroffene Person ein Konto anlegt)
  • Angebots- und Anfragenbearbeitung (vorvertragliche Maßnahmen)

Was lit. b nicht deckt:

  • Newsletter nach dem Kauf (kein Vertragszweck mehr; braucht eigene Einwilligung)
  • Speichern der Kreditkarte für zukünftige Einkäufe (nach EDPB: nur Einwilligung zulässig)
  • Cross-Selling-E-Mails mit Produktempfehlungen

Wichtig: Auch vorvertragliche Maßnahmen fallen unter lit. b. Schickt ein Interessent eine Produktanfrage, darf der Händler die dabei übermittelten Daten verarbeiten, um das Angebot zu erstellen. Das bloße Besuchen des Shops ohne Aktion fällt nicht darunter.

Shopify-Beispiel: Alle personenbezogenen Daten, die eine betroffene Person beim Checkout eingibt, damit der Händler die Bestellung ausführen und liefern kann, werden auf Basis von Art. 6 Abs. 1 lit. b DSGVO verarbeitet. Eine separate Einwilligung ist nicht erforderlich.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Art. 6 Abs. 1 lit. c DSGVO greift, wenn die Verarbeitung personenbezogener Daten notwendig ist, um einer gesetzlichen Verpflichtung nachzukommen. Die Verpflichtung muss aus EU-Recht oder nationalem Recht stammen, nicht aus eigenen Vereinbarungen.

Im Online-Handel relevante gesetzliche Aufbewahrungspflichten:

  • Rechnungen und Buchungsbelege: 10 Jahre nach § 147 Abs. 1 Nr. 1 AO
  • Handelsbriefe (eingehend und ausgehend): 6 Jahre nach § 257 HGB
  • Pflichten nach dem Geldwäschegesetz (GwG) für betroffene Händler

Praxis-Hinweis für Löschanfragen: Wenn eine betroffene Person ihr Recht auf Löschung nach Art. 17 DSGVO geltend macht, muss der Händler zunächst prüfen, ob eine gesetzliche Aufbewahrungspflicht nach Art. 6 Abs. 1 lit. c der Löschung entgegensteht. Rechnungen müssen 10 Jahre aufbewahrt werden. In diesem Fall darf und muss der Händler die Löschung verweigern. Als Kompromiss ist eine Einschränkung der Verarbeitung nach Art. 18 DSGVO möglich: Die personenbezogenen Daten bleiben gespeichert, werden aber ausschließlich noch für steuerliche Pflichten genutzt.

Mehr zur Löschpflicht und ihren Ausnahmen: DSGVO-Löschpflicht (Art. 17 DSGVO) umsetzen.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Das berechtigte Interesse ist die flexibelste, aber auch anspruchsvollste Rechtsgrundlage. Art. 6 Abs. 1 lit. f DSGVO erlaubt die Verarbeitung personenbezogener Daten, wenn drei Bedingungen kumulativ erfüllt sind. Fehlt eine, greift die Grundlage nicht.

Der dreistufige Test

Dreistufiger Test für berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Schritt 1 Berechtigtes Interesse vorhanden, Schritt 2 Erforderlichkeit kein milderes Mittel, Schritt 3 Interessenabwägung

Schritt 1: Liegt ein berechtigtes Interesse vor?

Das Interesse des Verantwortlichen oder eines Dritten muss legitim und real sein. Erwägungsgrund 47 DSGVO nennt Direktmarketing gegenüber Bestandskunden ausdrücklich als Beispiel. Auch IT-Sicherheit, Betrugsprävention und interne Verwaltungseffizienz sind anerkannte Interessen. Ein rein wirtschaftliches Interesse am Datenverkauf oder an der Profilbildung für Werbung reicht dagegen nicht.

Schritt 2: Ist die Verarbeitung für dieses Interesse erforderlich?

Die Verarbeitung personenbezogener Daten muss tatsächlich notwendig sein. Ein milderes Mittel, das dasselbe Ziel mit weniger Datenzugriff erreicht, schließt die Erforderlichkeit aus. Wer für Sicherheits-Logging nur die IP-Adresse benötigt, darf nicht den gesamten Bestellverlauf protokollieren.

Schritt 3: Überwiegen die Interessen der betroffenen Person?

Hier findet die eigentliche Interessenabwägung statt. Der Verantwortliche muss die schutzwürdigen Interessen, Grundrechte und Grundfreiheiten der betroffenen Person berücksichtigen. Faktoren, die gegen das Überwiegen des Verarbeiterinteresses sprechen:

  • Die betroffene Person ist ein Kind (Art. 6 Abs. 1 Satz 2 DSGVO schützt Kinder besonders)
  • Die betroffene Person konnte bei der Datenerhebung nicht vernünftigerweise damit rechnen
  • Es handelt sich um besonders sensible Datenkategorien nach Art. 9 DSGVO (Gesundheits-, Glaubens- oder politische Daten: hier reicht lit. f grundsätzlich nicht aus; zusätzlich muss ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegen)

Was gilt als berechtigtes Interesse im Shop?

Typischerweise anerkannte Fälle für Online-Shops:

  • Betrugsprävention und Risikobewertung bei Bestellungen
  • Sicherheits-Logging und Schutz der IT-Infrastruktur
  • Direkt-Marketing per E-Mail an Bestandskunden im Rahmen von § 7 Abs. 3 UWG (ohne neue Einwilligung möglich, sofern die betroffene Person der Nutzung nicht widersprochen hat)
  • Interne Webanalyse ohne direkten Personenbezug oder Cross-Site-Tracking
  • Beauftragung eines Inkassobüros bei Zahlungsverzug (Forderungsdurchsetzung)
  • Dokumentation von Kundenkorrespondenz zur internen Qualitätssicherung (wenn Umfang begrenzt und Kunden informiert, vgl. Erwägungsgrund 47 DSGVO)

Was gilt nicht als berechtigtes Interesse?

Lit. f darf nicht als Auffangnetz für Verarbeitungen genutzt werden, die eigentlich lit. a oder lit. b erfordern. Der EDPB hat klargestellt, dass die Speicherung von Zahlungsmitteln (z.B. Kreditkarten) für künftige Käufe ausschließlich auf eine Einwilligung gestützt werden darf. Die Vereinfachung künftiger Transaktionen ist kein Merkmal des aktuellen Kaufvertrags.

Ebenfalls ausgeschlossen:

  • Verkauf von Kundendaten an Dritte
  • Retargeting-Werbung gegenüber Personen ohne bestehende Kundenbeziehung
  • Profilbildung zu Werbezwecken ohne Einwilligung
  • Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) ohne zusätzlichen Ausnahmetatbestand

Dokumentationspflicht

Wer sich auf berechtigtes Interesse stützt, muss die Interessenabwägung dokumentieren. Im Streitfall liegt die Beweislast beim Verantwortlichen. Eine undokumentierte lit.-f-Berufung ist ein ernsthaftes Haftungsrisiko.

Dazu kommt: Die betroffene Person hat das Recht, der Verarbeitung auf Basis von lit. f zu widersprechen (Art. 21 DSGVO). Nach einem Widerspruch darf die Verarbeitung nur dann fortgesetzt werden, wenn zwingende schutzwürdige Gründe des Verantwortlichen überwiegen. Dieses Widerspruchsrecht muss in der Datenschutzerklärung kommuniziert werden.

Lebenswichtige Interessen und öffentliches Interesse (lit. d und lit. e)

Art. 6 Abs. 1 lit. d und lit. e sind für private Online-Shops in der Praxis nicht relevant.

Lit. d erlaubt die Verarbeitung personenbezogener Daten, um lebenswichtige Interessen der betroffenen oder einer anderen natürlichen Person zu schützen. Nach Erwägungsgrund 46 DSGVO ist lit. d subsidiär: Wenn Einwilligung oder eine andere Grundlage möglich gewesen wäre, darf lit. d nicht als Alternative eingesetzt werden. Für Shops ist lit. d nur denkbar, wenn ein Kunde auf dem Shopgelände einen medizinischen Notfall erleidet und Daten unverzüglich an Rettungskräfte weitergegeben werden müssen.

Lit. e betrifft die Erfüllung einer Aufgabe im öffentlichen Interesse oder die Ausübung öffentlicher Gewalt. Das gilt für Behörden und staatliche Stellen, nicht für private Unternehmen.

Welche Rechtsgrundlage gilt für welches Shopify-Szenario?

Die Tabelle zeigt die häufigsten Verarbeitungsvorgänge in Shopify-Shops und die zutreffende Rechtsgrundlage. Sie kann nicht nach eigenem Ermessen getauscht werden: Die Rechtsgrundlage ist zweckgebunden.

SzenarioRechtsgrundlageBegründung
Bestellabwicklung (Adresse, Zahlung, Versand)Art. 6 Abs. 1 lit. bVertragserfüllung
Produktanfrage oder AngebotsanfrageArt. 6 Abs. 1 lit. bVorvertragliche Maßnahme auf Anfrage der betroffenen Person
Bestellbestätigung per E-MailArt. 6 Abs. 1 lit. bVertragserfüllung
Newsletter-VersandArt. 6 Abs. 1 lit. aEinwilligung (Double-Opt-In nach § 7 Abs. 2 Nr. 3 UWG)
Rechnungsaufbewahrung (10 Jahre)Art. 6 Abs. 1 lit. c§ 147 Abs. 1 Nr. 1 AO
Aufbewahrung Handelsbriefe (6 Jahre)Art. 6 Abs. 1 lit. c§ 257 HGB
Funktionale Session-Cookies (Warenkorb)Art. 6 Abs. 1 lit. bVertragserfüllung (technisch notwendig)
Marketing-Cookies und Retargeting-PixelArt. 6 Abs. 1 lit. aEinwilligung erforderlich
Basis-Webanalyse ohne Geräte-IDArt. 6 Abs. 1 lit. fBerechtigtes Interesse (internes Analytics)
Betrugsschutz und Sicherheits-LoggingArt. 6 Abs. 1 lit. fBerechtigtes Interesse (IT-Sicherheit)
Gespeicherte Kreditkarte für künftige KäufeArt. 6 Abs. 1 lit. aNur Einwilligung (EDPB Opinion 8/2023)
Inkasso bei ZahlungsverzugArt. 6 Abs. 1 lit. fBerechtigtes Interesse (Forderungsdurchsetzung)
Kundenbewertungsanfrage nach KaufArt. 6 Abs. 1 lit. fBerechtigtes Interesse (Produktqualität)
Weitergabe an PaketdienstleisterArt. 6 Abs. 1 lit. bVertragserfüllung

Hinweis: Diese Tabelle zeigt die Rechtsgrundlage nach Art. 6 DSGVO. Für Cookies gilt in Deutschland zusätzlich das TTDSG als eigenständige Hürde.

Art. 6 DSGVO und das TTDSG

In Deutschland gilt für den Einsatz von Cookies eine doppelte Anforderung. Das TTDSG regelt in § 25, ob ein Cookie überhaupt gesetzt werden darf. Die DSGVO regelt in Art. 6, ob die dabei erhobenen personenbezogenen Daten verarbeitet werden dürfen. Beide Anforderungen müssen erfüllt sein.

Funktionale Cookies (Warenkorb, Session): Sie sind nach § 25 Abs. 2 TTDSG vom Einwilligungserfordernis ausgenommen, weil sie technisch notwendig sind. Art. 6 Abs. 1 lit. b DSGVO deckt die Verarbeitung der personenbezogenen Daten ab.

Analytics- und Marketing-Cookies: Sie fallen unter § 25 Abs. 1 TTDSG und erfordern eine Einwilligung der betroffenen Person. Zusätzlich muss Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage vorliegen.

Ein Cookie-Banner holt die TTDSG-Einwilligung ein. Die Datenschutzerklärung muss dazu die Art.-6-Rechtsgrundlage für die Datenverarbeitung dokumentieren. Wer nur den Cookie-Banner konfiguriert, hat erst die Hälfte erledigt.

ShopCompliance - Compliance-Module für Shopify-Shops automatisch verwalten, einschließlich Datenschutzerklärung und Cookie-Consent nach DSGVO und TTDSG

Mehr zum Thema: Cookie-Banner und Consent-Management für Shopify und TTDSG erklärt.

Rechtsgrundlage in der Datenschutzerklärung dokumentieren

Art. 13 Abs. 1 lit. c DSGVO verpflichtet den Verantwortlichen, die betroffene Person zum Zeitpunkt der Datenerhebung über die Rechtsgrundlage zu informieren. Für Online-Shops bedeutet das: Jeder Verarbeitungszweck in der Datenschutzerklärung muss die zutreffende Grundlage aus Art. 6 DSGVO nennen.

Fehlende Angabe zur Rechtsgrundlage ist ein eigenständiger DSGVO-Verstoß, auch wenn die Verarbeitung selbst rechtmäßig wäre.

Besondere Pflichten bei Art. 6 Abs. 1 lit. f:

Wenn du dich auf berechtigtes Interesse stützt, musst du in der Datenschutzerklärung zusätzlich das verfolgte berechtigte Interesse benennen. Außerdem musst du auf das Widerspruchsrecht der betroffenen Person nach Art. 21 DSGVO hinweisen.

Beispielformulierung für die Datenschutzerklärung:

“Wir verarbeiten deine IP-Adresse für Sicherheits-Logging auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht im Schutz unserer IT-Infrastruktur vor Missbrauch und unbefugtem Zugriff. Du hast das Recht, dieser Verarbeitung gemäß Art. 21 DSGVO zu widersprechen.”

Praxis-Tipp: Führe für jede Verarbeitungstätigkeit eine interne Dokumentation: Zweck, Rechtsgrundlage, betroffene Datenkategorien, Speicherdauer. Das ist gleichzeitig die Grundlage für das Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Hilfe bei der Datenschutzerklärung: Datenschutzerklärung für Shopify erstellen (mit Muster).

Zur Rolle von Auftragsverarbeitungsverträgen, die keine eigene Rechtsgrundlage schaffen: Auftragsverarbeitungsvertrag (AVV) für Online-Shops.

Häufige Fehler bei der Rechtsgrundlage

Fehler 1: Einwilligung eingeholt, obwohl lit. b greift

Ein Händler lässt betroffene Personen beim Checkout die Adressverarbeitung anklicken. Diese Einwilligung ist überflüssig und schafft ein Risiko: Widerruft der Kunde sie später, kann der Händler rechtlich nicht mehr liefern, obwohl lit. b die Verarbeitung ohnehin erlaubt hätte.

Fehler 2: Lit. f ohne Interessenabwägung einsetzen

Viele Datenschutzerklärungen nennen “berechtigtes Interesse” als Rechtsgrundlage, ohne dass eine schriftliche Interessenabwägung existiert. Im Prüfungsfall kann das als rechtswidrige Verarbeitung personenbezogener Daten gewertet werden.

Fehler 3: Cookies nur über TTDSG-Consent regeln, Art. 6 vergessen

Der Cookie-Banner holt die TTDSG-Zustimmung ein. Ohne parallele Dokumentation der Art.-6-Rechtsgrundlage fehlt eine Pflichtangabe nach Art. 13 DSGVO.

Fehler 4: Eine Rechtsgrundlage für mehrere unvereinbare Zwecke nutzen

Jede Rechtsgrundlage ist zweckgebunden. Wer personenbezogene Daten für die Lieferung nach lit. b erhebt und sie anschließend für Werbezwecke nutzt, braucht dafür eine eigene Rechtsgrundlage (meist lit. a). Die lit.-b-Erlaubnis gilt nicht für den neuen Zweck.

Fehler 5: Rechtsgrundlage nachträglich austauschen

Einmal festgelegte Rechtsgrundlagen können nicht nachträglich gewechselt werden, um einer Abmahnung zu entgehen. Der Austausch ist eine neue Verarbeitungshandlung und erfordert erneute Transparenz gegenüber den Betroffenen.

FAQ

Was ist Art. 6 DSGVO in einfacher Sprache?

Art. 6 DSGVO regelt, wann die Verarbeitung personenbezogener Daten rechtmäßig ist. Ohne eine der sechs genannten Rechtsgrundlagen ist jede Datenverarbeitung verboten. Die passende Grundlage muss für jeden Verarbeitungsvorgang bestimmt und in der Datenschutzerklärung angegeben werden.

Welche Rechtsgrundlage gilt für die Bestellabwicklung im Online-Shop?

Für die Bestellabwicklung gilt Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Das deckt alle personenbezogenen Daten ab, die notwendig sind, um die Bestellung anzunehmen, zu bezahlen und zu liefern. Eine separate Einwilligung der betroffenen Person ist dafür weder erforderlich noch rechtlich sinnvoll.

Was bedeutet berechtigtes Interesse nach DSGVO?

Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist eine Rechtsgrundlage, die gilt, wenn der Verantwortliche oder ein Dritter ein legitimes Interesse an der Verarbeitung haben und dieses Interesse die Datenschutzinteressen der betroffenen Person überwiegt. Der Verantwortliche muss einen dreistufigen Test dokumentieren und die Verarbeitung jederzeit nach Art. 21 DSGVO widersprechen lassen.

Brauche ich für jeden Verarbeitungsvorgang eine eigene Rechtsgrundlage?

Ja, jeder Verarbeitungszweck braucht eine eigene Rechtsgrundlage. Wer personenbezogene Daten für die Lieferung und für den Newsletter nutzt, braucht für die Lieferung lit. b und für den Newsletter lit. a. Eine Rechtsgrundlage kann nicht auf einen anderen Zweck übertragen werden.

Was passiert, wenn ich die falsche Rechtsgrundlage wähle?

Die Verarbeitung ist rechtswidrig. Das kann Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Betroffene Personen können Auskunft verlangen (Art. 15 DSGVO) und Löschung fordern (Art. 17 DSGVO). Abmahnungen durch Mitbewerber oder Verbände sind ebenfalls möglich.

Reicht das berechtigte Interesse für Marketing-Cookies?

Nein. Marketing-Cookies und Retargeting-Pixel erfordern erstens nach § 25 Abs. 1 TTDSG eine Einwilligung und zweitens nach Art. 6 Abs. 1 lit. a DSGVO eine datenschutzrechtliche Einwilligung der betroffenen Person. Lit. f reicht dafür nicht. Ein ordnungsgemäß konfigurierter Cookie-Banner ist Pflicht.

Muss ich die Rechtsgrundlage in meiner Datenschutzerklärung nennen?

Ja, das ist nach Art. 13 Abs. 1 lit. c DSGVO Pflicht. Für jeden Verarbeitungszweck muss die Rechtsgrundlage angegeben werden. Wer sich auf berechtigtes Interesse nach lit. f stützt, muss zusätzlich das verfolgte Interesse benennen und auf das Widerspruchsrecht der betroffenen Person nach Art. 21 DSGVO hinweisen.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.