SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DatenschutzerklärungDSGVOShopifyDatenschutz

Datenschutzerklärung-Pflichtinhalte: Was rein muss (Checkliste)

14. Juli 2026 · Max Benz

Ein Shopify-Shop ohne vollständige Datenschutzerklärung ist ein offenes Einfallstor für Abmahnungen und Bußgelder. Die meisten Lücken entstehen nicht durch böse Absicht, sondern schlicht durch fehlende Pflichtangaben. Diese Checkliste zeigt, was Art. 13 DSGVO konkret verlangt, welche Angaben bei einem Onlineshop zusätzlich reingehören und welche Fehler Shopify-Händler am häufigsten machen.

Was muss in eine Datenschutzerklärung? Die Pflichtangaben im Überblick

Eine Datenschutzerklärung muss nach Art. 13 DSGVO transparent, in einfacher Sprache und vollständig darüber informieren, wer welche Daten erhebt, warum das geschieht und welche Rechte Nutzer dabei haben. Pflicht ist sie für praktisch jede Website. Das gilt schon, sobald personenbezogene Daten verarbeitet werden, und genau das passiert bereits durch die Protokollierung der IP-Adresse jedes Besuchers.

Diese Angaben muss jede Datenschutzerklärung enthalten:

  1. Name und Kontaktdaten des Verantwortlichen (und ggf. seines Vertreters)
  2. Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt werden muss
  3. Zwecke der Verarbeitung und die jeweilige Rechtsgrundlage
  4. Berechtigte Interessen, falls die Verarbeitung darauf gestützt wird
  5. Empfänger oder Kategorien von Empfängern der Daten
  6. Absicht einer Übermittlung in ein Drittland, falls zutreffend
  7. Speicherdauer oder die Kriterien für ihre Festlegung
  8. Vollständige Betroffenenrechte, inklusive Beschwerderecht bei einer Aufsichtsbehörde

Jeder dieser Punkte stammt direkt aus Art. 13 Abs. 1 und Abs. 2 DSGVO. Im Rest dieses Artikels bekommt jede Position eine konkrete Erklärung, ein passendes Beispiel und die genaue Artikelnummer, damit du sie in deiner eigenen Datenschutzerklärung wiedererkennst und abhaken kannst.

Checkliste der Pflichtangaben einer Datenschutzerklärung nach Art. 13 DSGVO

Pflichtangaben im Detail: Verantwortlicher, Zwecke und Rechtsgrundlage

Der Verantwortliche ist die Person oder das Unternehmen, das über Zwecke und Mittel der Datenverarbeitung entscheidet, meist also der Shopbetreiber selbst. Art. 13 Abs. 1 lit. a DSGVO verlangt hier nicht nur einen Firmennamen, sondern vollständige Kontaktdaten: ladungsfähige Anschrift, E-Mail-Adresse und im Idealfall eine Telefonnummer, damit Betroffene und Aufsichtsbehörden dich tatsächlich erreichen können.

Bei den Zwecken reicht eine vage Formulierung wie “zur Verbesserung unseres Angebots” nicht aus. Jede Verarbeitung braucht einen konkreten Zweck und eine passende Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO. Für einen Onlineshop sind vor allem drei Rechtsgrundlagen relevant: Vertragserfüllung für Bestell- und Zahlungsdaten, Einwilligung für Newsletter und Marketing-Cookies und berechtigtes Interesse für Sicherheitsmaßnahmen wie Logfiles oder Betrugsprävention.

Ein Beispiel macht den Unterschied deutlich: Die Adresse, die ein Kunde beim Checkout einträgt, verarbeitest du auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), weil du ohne diese Angabe nicht liefern kannst. Die gleiche Adresse für einen Newsletter zu nutzen, den der Kunde nicht abonniert hat, ist dagegen nicht durch die Vertragserfüllung gedeckt und braucht eine separate Einwilligung. Wird die Verarbeitung auf berechtigtes Interesse gestützt, muss die Datenschutzerklärung laut Art. 13 Abs. 1 lit. d DSGVO zusätzlich benennen, worin dieses Interesse besteht.

Empfänger, Drittlandtransfer und Speicherdauer: Was zusätzlich rein muss

Sobald Daten an Dritte weitergegeben werden, verlangt Art. 13 Abs. 1 lit. e DSGVO die Nennung der Empfänger oder zumindest der Empfängerkategorien. Für einen Shopify-Shop sind das in der Praxis fast immer mehrere Dienstleister gleichzeitig, und jeder von ihnen gehört in die Datenschutzerklärung.

Die folgende Tabelle zeigt, welche Pflichtangabe zu welchem Artikel gehört und wie ein Beispiel für einen Onlineshop aussehen kann.

PflichtangabeArtikelBeispiel für einen Shopify-Shop
Empfänger der DatenArt. 13 Abs. 1 lit. e DSGVOZahlungsdienstleister wie Klarna oder PayPal, Versanddienstleister wie DHL
DrittlandtransferArt. 13 Abs. 1 lit. f, Art. 44 bis 49 DSGVOUS-Tools wie Google Analytics, abgesichert über Standardvertragsklauseln
SpeicherdauerArt. 13 Abs. 2 lit. a DSGVOBestelldaten werden für die Dauer gesetzlicher Aufbewahrungsfristen gespeichert
Automatisierte EntscheidungsfindungArt. 13 Abs. 2 lit. f DSGVOBetrugsprävention über automatisierte Risikobewertung beim Checkout, falls eingesetzt

Bei der Speicherdauer akzeptiert Art. 13 Abs. 2 lit. a DSGVO entweder eine feste Frist oder klare Kriterien, nach denen sich die Dauer richtet. Für Rechnungsdaten bietet sich das Kriterium der handels- und steuerrechtlichen Aufbewahrungsfrist an, für Nutzerkonten die Formulierung “bis zur Löschung des Kundenkontos durch den Nutzer”.

Ein Drittlandtransfer liegt vor, sobald ein eingesetztes Tool Daten außerhalb der EU verarbeitet, was bei vielen US-amerikanischen Analyse- und Marketing-Diensten der Fall ist. Die Datenschutzerklärung muss diesen Transfer benennen und die Absicherung dafür nennen, meist Standardvertragsklauseln nach Art. 46 DSGVO oder ein Angemessenheitsbeschluss.

Welche Betroffenenrechte müssen in der Datenschutzerklärung stehen?

Jede Datenschutzerklärung muss die vollständige Liste der Betroffenenrechte nennen, nicht nur die zwei oder drei bekanntesten. Die folgende Tabelle zeigt alle sieben Rechte mit ihrer genauen Fundstelle in der DSGVO.

RechtArtikelKurz erklärt
AuskunftArt. 15 DSGVONutzer können erfragen, welche Daten über sie gespeichert sind
BerichtigungArt. 16 DSGVOFalsche oder unvollständige Daten müssen korrigiert werden
LöschungArt. 17 DSGVORecht auf Löschung, wenn keine Aufbewahrungspflicht entgegensteht
Einschränkung der VerarbeitungArt. 18 DSGVODaten dürfen vorübergehend nur noch gespeichert, nicht weiterverarbeitet werden
DatenübertragbarkeitArt. 20 DSGVONutzer können ihre Daten in einem gängigen Format erhalten
WiderspruchArt. 21 DSGVOWiderspruch gegen Verarbeitung auf Basis berechtigten Interesses, insbesondere gegen Direktwerbung
Beschwerde bei einer AufsichtsbehördeArt. 77 DSGVONutzer können sich jederzeit bei der zuständigen Datenschutzbehörde beschweren

Fehlt auch nur eines dieser sieben Rechte in der Auflistung, ist die Datenschutzerklärung unvollständig, selbst wenn alle anderen Pflichtangaben korrekt sind. Gerade das Beschwerderecht nach Art. 77 DSGVO wird in selbst geschriebenen Datenschutzerklärungen häufig vergessen, weil es seltener zur Anwendung kommt als etwa das Auskunftsrecht.

Datenschutzerklärung im Shopify-Onlineshop: Diese Angaben werden oft vergessen

Ein Shopify-Shop verarbeitet mehr Daten über mehr Kanäle als eine einfache Website, und genau dort entstehen die meisten Lücken. Shopify selbst agiert für den Standardbetrieb deines Shops als Auftragsverarbeiter nach Art. 28 DSGVO, während du als Shopbetreiber der Verantwortliche bleibst. Für bestimmte Zusatzfunktionen wie Analytics oder Werbe-Targeting kann Shopify allerdings selbst als Verantwortlicher auftreten, was du in deiner Datenschutzerklärung nicht pauschal gleich behandeln solltest.

Diese Angaben fehlen in Shopify-Datenschutzerklärungen besonders oft:

  • Checkout-Daten, die über Shop Pay oder den Standard-Checkout erhoben werden, inklusive der jeweiligen Rechtsgrundlage
  • Zahlungsdienstleister wie Klarna, PayPal oder Stripe als eigene Empfängerkategorie mit Verweis auf deren Datenverarbeitung
  • Versanddienstleister wie DHL oder Hermes, sobald Name und Adresse zur Zustellung weitergegeben werden
  • Newsletter- und Marketing-Tools wie Klaviyo oder Mailchimp, die häufig erst nach dem ersten Kauf hinzukommen
  • Tracking- und Analyse-Apps aus dem Shopify App Store, die oft eigene Cookies setzen und eigene Anbieter im Hintergrund haben

Jede zusätzliche App, die personenbezogene Daten verarbeitet, braucht einen eigenen Eintrag in der Datenschutzerklärung. Wenn du eine fertige Vorlage suchst, die diese Struktur bereits mitbringt, sieh dir unseren Datenschutzerklärung-Generator an, der genau für Shopify-Shops aufgebaut ist.

Häufige Fehler bei den Pflichtangaben (und wie du sie vermeidest)

Die meisten unvollständigen Datenschutzerklärungen entstehen nicht durch Unwissen über die DSGVO im Allgemeinen, sondern durch fehlende Aktualisierung nach konkreten Änderungen im Shop. Diese Muster tauchen am häufigsten auf.

  • Eine neue App wird installiert, aber die Datenschutzerklärung nie ergänzt: jede App, die Daten verarbeitet, braucht einen eigenen Absatz.
  • Ein neuer Zahlungsanbieter kommt hinzu, ohne dass er als Empfänger genannt wird: prüfe nach jeder Änderung im Checkout, ob alle Anbieter noch aufgeführt sind.
  • Cookies werden nur pauschal erwähnt statt einzeln nach Zweck und Anbieter aufgeschlüsselt: eine Formulierung wie “wir verwenden Cookies” allein reicht nicht aus.
  • Ein US-Tool wird eingebunden, ohne den Drittlandtransfer zu erwähnen: das betrifft viele Analyse- und Marketing-Tools, die serverseitig außerhalb der EU laufen.
  • Die Datenschutzerklärung liegt nur im Impressum statt als eigener, klar benannter Menüpunkt: beide Seiten müssen getrennt und von jeder Unterseite aus mit einem Klick erreichbar sein.

Jeder dieser Fehler lässt sich vermeiden, wenn du die Datenschutzerklärung als lebendes Dokument behandelst, das bei jeder Änderung an deinem App-Stack mitwächst, statt sie einmal zu schreiben und nie wieder anzufassen.

Was passiert, wenn Pflichtangaben in der Datenschutzerklärung fehlen?

Fehlen Pflichtangaben, drohen Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO). Für die meisten Shopify-Händler ist das prozentuale Umsatzkriterium zwar theoretisch, doch schon deutlich kleinere Bußgelder und wettbewerbsrechtliche Abmahnungen sind in der Praxis häufig genug, um die Pflichtangaben ernst zu nehmen.

Eine unvollständige Datenschutzerklärung ist zudem ein beliebter Ansatzpunkt für Abmahnungen durch Mitbewerber oder spezialisierte Kanzleien, weil sie öffentlich einsehbar und leicht zu prüfen ist. Anders als bei internen Prozessfehlern reicht hier ein einziger Blick auf die Live-Seite, um eine fehlende Angabe zu entdecken.

Häufig gestellte Fragen zu Pflichtinhalten der Datenschutzerklärung

Muss ich für einen Shopify-Shop eine eigene Datenschutzerklärung haben?

Ja, absolut. Du verarbeitest über Shopify Namen, Adressen, Zahlungsdaten und IP-Adressen, also personenbezogene Daten, und musst dafür Shopify als Auftragsverarbeiter sowie jede genutzte App, jeden Zahlungsanbieter und jedes Marketing-Tool einzeln in der Datenschutzerklärung nennen.

Reicht eine Datenschutzerklärung im Impressum?

Nein. Impressum und Datenschutzerklärung beruhen auf unterschiedlichen gesetzlichen Grundlagen und müssen als getrennte, eigenständig benannte Menüpunkte stehen, jeweils von jeder Unterseite aus mit einem Klick erreichbar.

Muss ich die Datenschutzerklärung aktualisieren, wenn ich eine neue App installiere?

Ja, sobald eine neue App personenbezogene Daten verarbeitet, muss sie mit Zweck, Rechtsgrundlage und gegebenenfalls Drittlandtransfer in der Datenschutzerklärung ergänzt werden, bevor die App live geht.

Brauche ich einen Datenschutzbeauftragten für meinen Shop?

In der Regel erst, wenn ständig mindestens 20 Personen in deinem Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Kleinere Shopify-Shops liegen häufig unter dieser Schwelle, unabhängig von der Mitarbeiterzahl kann eine Bestellpflicht aber trotzdem entstehen, etwa bei umfangreicher systematischer Überwachung von Kunden. Hast du einen Datenschutzbeauftragten, ob freiwillig oder verpflichtend, müssen dessen Kontaktdaten in der Datenschutzerklärung stehen.

Wo finde ich eine fertige Vorlage für meine Datenschutzerklärung?

Eine passende, auf Shopify zugeschnittene Vorlage findest du in unserem Datenschutzerklärung-Generator, der die hier beschriebenen Pflichtinhalte bereits als fertigen Text bereitstellt.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.