SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVODatenschutzShopifyRechtliches

Datenschutzerklärung Vorlage für Shopify – Kostenlose Muster 2026

03. Juni 2026 · Max Benz

Eine Datenschutzerklärung ist Pflicht. Aber Shopify-Betreiber brauchen mehr als eine generische Vorlage. Shopify verarbeitet Kundendaten auf eigenen Servern in den USA und Kanada, was sich grundlegend von einem selbst gehosteten Shop unterscheidet. Jede installierte App fügt neue Verarbeitungstätigkeiten hinzu. Dazu kommt: Der Checkout muss vor dem Kaufabschluss auf die Datenschutzerklärung verlinken. Wer stattdessen eine Standard-Vorlage ohne diese Shopify-spezifischen Klauseln nutzt, riskiert Abmahnungen und DSGVO-Bußgelder. Dieser Artikel liefert eine kostenlose, vollständige Vorlage für Shopify-Shops, erklärt die wichtigsten Pflichtinhalte und zeigt, welche Drittanbieter-Apps du namentlich nennen musst.

Was muss eine Datenschutzerklärung enthalten?

DSGVO Pflichtinhalte für die Datenschutzerklärung – Hub-and-Spoke-Diagramm zeigt alle 8 Pflichtangaben nach Art. 13 DSGVO

Pflichtangaben nach Art. 13 und 14 DSGVO

Die DSGVO schreibt genau vor, welche Informationen du deinen Kunden beim Erheben ihrer Daten mitteilen musst. Art. 13 gilt, wenn du Daten direkt beim Betroffenen erhebst (z.B. beim Checkout). Art. 14 greift, wenn du Daten aus anderen Quellen bekommst (z.B. von einem Zahlungsdienstleister).

Die folgende Tabelle zeigt alle Pflichtbestandteile:

PflichtangabeRechtsgrundlageBeispiel
Identität und Kontaktdaten des VerantwortlichenArt. 13 Abs. 1 lit. aName, Adresse, E-Mail, Telefon
Kontakt Datenschutzbeauftragter (falls vorhanden)Art. 13 Abs. 1 lit. bName und E-Mail des DSB
Zweck und Rechtsgrundlage der VerarbeitungArt. 13 Abs. 1 lit. cVertragserfüllung (Art. 6 Abs. 1 lit. b)
Berechtigte Interessen (bei lit. f)Art. 13 Abs. 1 lit. dBetrugsbekämpfung, Sicherheit
Empfänger und Kategorien von EmpfängernArt. 13 Abs. 1 lit. eShopify, PayPal, Google
Drittlandtransfer mit SchutzmaßnahmenArt. 13 Abs. 1 lit. fShopify USA, Standardvertragsklauseln
Speicherdauer oder Kriterien zur FestlegungArt. 13 Abs. 2 lit. a10 Jahre (Steuerrecht)
Betroffenenrechte (Art. 15 bis 22)Art. 13 Abs. 2 lit. bAuskunft, Löschung, Widerspruch
Widerrufsrecht bei einwilligungsbasierter VerarbeitungArt. 13 Abs. 2 lit. cCookie-Consent widerrufbar
Beschwerderecht bei AufsichtsbehördeArt. 13 Abs. 2 lit. dZuständige Landesdatenschutzbehörde
Pflicht zur Datenbeitstellung und KonsequenzenArt. 13 Abs. 2 lit. eOhne Lieferadresse kein Versand möglich

Was Shopify-Shops zusätzlich brauchen

Ein Shopify-Shop hat strukturell andere Anforderungen als ein selbst gehosteter WooCommerce-Shop. Generische Vorlagen kennen diesen Unterschied nicht. Diese fünf Punkte fehlen deshalb regelmäßig:

Shopify als Auftragsverarbeiter (Art. 28 DSGVO): Shopify verarbeitet Kundendaten in deinem Auftrag. Du musst Shopify Inc. (Ottawa, Kanada) namentlich als Auftragsverarbeiter benennen und auf den Auftragsverarbeitungsvertrag (Data Processing Addendum) hinweisen.

Shopify-eigene Dienste: Shopify Payments, Shopify Email und Shopify Analytics verarbeiten Daten auf eigenen Wegen. Jeder dieser Dienste braucht einen eigenen Abschnitt in deiner Datenschutzerklärung.

Drittanbieter-Apps: Jede App im Shopify App Store, die du installierst, kann Kundendaten erhalten. Das betrifft Klaviyo, Gorgias, Trusted Shops, Sendcloud und Dutzende weitere Tools.

Cookie-Consent-Mechanismus: Shopify bietet eine native Customer Privacy API. In der Datenschutzerklärung musst du erläutern, wie dein Consent-Banner funktioniert und welche Cookie-Kategorien es gibt.

US-Datentransfer und Standardvertragsklauseln: Shopify Inc. sitzt in Nordamerika. Für EU-Datentransfers gelten nach dem Schrems-II-Urteil besondere Anforderungen. Standardvertragsklauseln (SCCs) oder das EU-US Data Privacy Framework müssen erwähnt werden.

Kostenlose Datenschutzerklärung Vorlage für Shopify

Der folgende Mustertext deckt die DSGVO-Pflichtinhalte für Shopify-Shops ab. Ersetze alle [PLATZHALTER] mit deinen echten Angaben, bevor du den Text in deinen Shop einpflegst.

DATENSCHUTZERKLÄRUNG

Stand: [DATUM]

1. VERANTWORTLICHER

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

[SHOPNAME]
[STRASSE UND HAUSNUMMER]
[PLZ STADT]
Deutschland

E-Mail: [EMAIL]
Telefon: [TELEFON]

2. DATENVERARBEITUNG BEIM BESUCH UNSERES SHOPS

Wenn du unseren Shop aufrufst, erfasst unser Webserver automatisch folgende
Daten in Server-Logfiles:

- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Referrer-URL
- Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
Sicherheit und stabilem Shopbetrieb). Diese Daten werden nach 30 Tagen
automatisch gelöscht.

3. BESTELLVORGANG UND KAUFABWICKLUNG

Wenn du eine Bestellung aufgibst, erheben wir folgende Daten:

- Vor- und Nachname
- Lieferadresse und Rechnungsadresse
- E-Mail-Adresse
- Telefonnummer (optional)
- Zahlungsdaten (abhängig von der gewählten Zahlungsmethode)
- Bestellhistorie

Zweck: Abwicklung des Kaufvertrags, Versand der Ware, Rechnungsstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Kundendaten aus Bestellungen speichern wir zehn Jahre lang, soweit
steuerrechtliche Aufbewahrungspflichten (§ 147 AO) dies verlangen.

4. SHOPIFY ALS AUFTRAGSVERARBEITER

Unser Shop wird auf der Plattform Shopify betrieben. Anbieter ist:

Shopify Inc.
151 O'Connor Street, Ground Floor
Ottawa, Ontario K2P 2L8, Kanada

Shopify verarbeitet alle Daten, die in unserem Shop anfallen, in unserem Auftrag
als Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit Shopify besteht ein
Auftragsverarbeitungsvertrag (Data Processing Addendum), abrufbar unter:
https://www.shopify.com/legal/dpa

Shopify speichert Daten auf Servern in den USA und Kanada. Kanada verfügt über
einen EU-Angemessenheitsbeschluss (Entscheidung 2002/2/EG). Für US-Server
gelten die Standardvertragsklauseln der EU-Kommission (SCC) sowie das
EU-US Data Privacy Framework (DPF), dem Shopify Inc. beigetreten ist.

Weitere Informationen: https://www.shopify.com/legal/privacy

5. SHOPIFY PAYMENTS
[DIESEN ABSCHNITT EINFÜGEN, WENN DU SHOPIFY PAYMENTS NUTZT, SONST LÖSCHEN]

Falls du Shopify Payments als Zahlungsmethode verwendest, werden deine
Zahlungsdaten von Shopify Payments, einem Dienst von Shopify Inc., verarbeitet.
Shopify Payments arbeitet mit Stripe, Inc. (USA) und lokalen Bankpartnern
zusammen. Weitere Informationen: https://help.shopify.com/de/manual/payments/shopify-payments

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

6. COOKIES UND COOKIE-CONSENT

Unser Shop setzt Cookies ein. Cookies sind kleine Textdateien, die dein Browser
auf deinem Gerät speichert. Wir unterscheiden:

| Cookie-Kategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Notwendige Cookies | Warenkorb, Session, Sicherheit | Art. 6 Abs. 1 lit. f |
| Präferenz-Cookies | Spracheinstellung, Währung | Einwilligung (lit. a) |
| Statistik-Cookies | Besuchsanalyse (z.B. GA4) | Einwilligung (lit. a) |
| Marketing-Cookies | Werbung, Retargeting | Einwilligung (lit. a) |

Wir nutzen die Shopify Customer Privacy API für das Cookie-Consent-Management.
Beim ersten Shopbesuch erscheint ein Banner, über den du deine Einwilligung
erteilen oder ablehnen kannst. Du kannst deine Einwilligung jederzeit
widerrufen über den Cookie-Einstellungen-Link im Footer.

7. GOOGLE ANALYTICS 4
[DIESEN ABSCHNITT EINFÜGEN, WENN DU GOOGLE ANALYTICS NUTZT, SONST LÖSCHEN]

Unser Shop nutzt Google Analytics 4, einen Webanalysedienst der Google LLC,
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. In der EU ist
verantwortlich: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4,
Irland.

Google Analytics wird nur geladen, wenn du im Cookie-Banner in Statistik-Cookies
eingewilligt hast. Es werden pseudonymisierte Nutzungsdaten an Google-Server
in den USA übertragen. Die IP-Adresse wird vor der Übertragung anonymisiert.

Mit Google besteht ein Auftragsverarbeitungsvertrag. Die USA-Übertragung erfolgt
auf Basis des EU-US Data Privacy Framework (DPF), dem Google beigetreten ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

8. E-MAIL-MARKETING
[TOOL EINTRAGEN, z.B. KLAVIYO / MAILCHIMP / OMNISEND]

Wenn du dich für unseren Newsletter angemeldet hast oder im Checkout in
Marketing-E-Mails eingewilligt hast, verwenden wir [TOOL] für den Versand.

Anbieter: [FIRMENNAME, ADRESSE]

Dabei werden deine E-Mail-Adresse und ggf. dein Name an [TOOL] übertragen.
[TOOL] verarbeitet diese Daten in unserem Auftrag als Auftragsverarbeiter.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Du kannst die Einwilligung jederzeit widerrufen über den Abmeldelink
in jeder Marketing-E-Mail oder per E-Mail an [EMAIL].

[FALLS US-ANBIETER, z.B. MAILCHIMP/KLAVIYO: Die Datenübertragung in die USA
erfolgt auf Basis des EU-US Data Privacy Framework. Mit [TOOL] besteht ein
Auftragsverarbeitungsvertrag.]

9. ZAHLUNGSDIENSTLEISTER

Für die Zahlungsabwicklung setzen wir folgende Dienstleister ein, die als
eigenständige Verantwortliche im Sinne der DSGVO handeln:

PAYPAL
PayPal (Europe) S.a.r.l. et Cie, S.C.A.
22-24 Boulevard Royal, 2449 Luxemburg
https://www.paypal.com/de/webapps/mpp/ua/privacy-full

KLARNA
Klarna Bank AB (publ)
Sveavägen 46, 111 34 Stockholm, Schweden
https://www.klarna.com/de/datenschutz/

STRIPE
Stripe, Inc.
510 Townsend Street, San Francisco, CA 94103, USA
https://stripe.com/de/privacy

10. KUNDENREZENSIONEN
[TOOL EINTRAGEN, z.B. TRUSTED SHOPS / TRUSTPILOT / JUDGE.ME, SONST LÖSCHEN]

Unser Shop nutzt [TOOL] für die Anzeige von Kundenbewertungen.
Anbieter: [FIRMENNAME, ADRESSE]

Nach einem Kauf kann dir [TOOL] eine Bewertungsanfrage per E-Mail zusenden.
Abgegebene Bewertungen werden auf unserer Shopseite und auf der Plattform
von [TOOL] angezeigt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

11. DEINE RECHTE ALS BETROFFENE PERSON

Du hast gegenüber uns folgende Rechte bezüglich deiner Daten:

- Auskunftsrecht (Art. 15 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Löschungsrecht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Widerrufsrecht für erteilte Einwilligungen

Zur Ausübung deiner Rechte wende dich an: [EMAIL]

12. BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Eine Liste aller deutschen Landesdatenschutzbehörden findest du unter:
https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_node.html

13. ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG

Wir aktualisieren diese Datenschutzerklärung, wenn sich unsere
Datenverarbeitungstätigkeiten ändern (z.B. bei Installation neuer Apps)
oder wenn gesetzliche Anforderungen es erfordern. Die jeweils aktuelle
Version findest du immer auf dieser Seite.

So fügst du die Datenschutzerklärung in Shopify ein

Die Datenschutzerklärung gehört in Shopify unter Admin > Einstellungen > Rechtliches > Datenschutzerklärung. Gehe so vor:

  1. Öffne deinen Shopify-Admin und klicke auf Einstellungen (unten links).
  2. Wähle Rechtliches aus dem Menü.
  3. Scroll zu Datenschutzerklärung und klicke in das Textfeld.
  4. Kopiere den angepassten Vorlage-Text und füge ihn ein.
  5. Klicke Speichern.
  6. Prüfe, dass im Checkout-Footer ein Link auf die Datenschutzerklärung erscheint.
  7. Überprüfe unter Online-Shop > Navigationsmenüs, ob die Datenschutzerklärung im Footer-Menü verlinkt ist.

Nach jeder neuen App-Installation solltest du die Datenschutzerklärung erneut aufrufen und prüfen, ob die neue App dort aufgeführt werden muss.

Shopify als Auftragsverarbeiter

Shopify ist nicht nur die Plattform, auf der dein Shop läuft. Shopify verarbeitet aktiv Kundendaten in deinem Auftrag. Das klingt nach einem technischen Detail, ist jedoch rechtlich entscheidend: Shopify ist damit ein Auftragsverarbeiter nach Art. 28 DSGVO.

AVV mit Shopify: wird er automatisch geschlossen?

Ja. Mit der Akzeptanz von Shopifys Nutzungsbedingungen schließt du gleichzeitig Shopifys Data Processing Addendum (DPA) ab. Dieses Addendum regelt, wie Shopify deine Kundendaten verarbeitet und welche Sicherheitsmaßnahmen gelten. Einen separaten Vertrag musst du nicht unterzeichnen.

Allerdings reicht der automatische Abschluss allein nicht aus. Du musst Shopify Inc. in deiner Datenschutzerklärung trotzdem namentlich als Auftragsverarbeiter benennen und auf das DPA hinweisen. Shopify Inc. hat seinen Sitz in Ottawa, Kanada. Kanada verfügt über einen EU-Angemessenheitsbeschluss, sodass Datentransfers dorthin ohne zusätzliche Schutzmaßnahmen zulässig sind. Für Daten auf US-Servern von Shopify gelten zwar die Standardvertragsklauseln (SCCs) der EU-Kommission, jedoch hat Shopify auch das EU-US Data Privacy Framework unterzeichnet. Beide Grundlagen müssen in der Datenschutzerklärung erwähnt werden.

Shopify Payments, Shopify Email und weitere Shopify-eigene Dienste

Neben der Basisinfrastruktur bietet Shopify eigene Dienste an, die jeweils eigene Datenverarbeitungen auslösen. Diese müssen einzeln in der Datenschutzerklärung erscheinen:

Shopify Payments verarbeitet Zahlungsdaten und leitet sie an Stripe sowie lokale Bankpartner weiter. Wenn du Shopify Payments nutzt, verarbeitest du damit indirekt auch Daten über Stripe in den USA.

Shopify Email versendet Marketing-E-Mails aus Shopify heraus. Empfänger-E-Mail-Adressen werden von Shopify verarbeitet. Rechtsgrundlage ist in der Regel die Einwilligung.

Shopify CDN liefert Produktbilder und statische Inhalte über ein Content Delivery Network mit Knoten in den USA. Beim Seitenaufruf nimmt der Browser Verbindung zu diesen Knoten auf, dabei werden IP-Adressen übertragen.

Shopify Analytics zeigt Besuchsstatistiken und Konversionsraten im Admin-Dashboard. Diese Daten verarbeitet Shopify auf eigenen Servern.

Drittanbieter-Apps und Datenschutz

Jede installierte Shopify-App kann Kundendaten verarbeiten. Jede. Und jede muss in der Datenschutzerklärung genannt werden. Am häufigsten übersehen Händler dabei die Apps, die schon lange laufen, weil sie installiert wurden, bevor die DSGVO so strikt durchgesetzt wurde.

Die Pflicht gilt unabhängig davon, ob die App ein eigenes Cookie setzt oder nur im Backend läuft. Entscheidend ist ein anderes Kriterium: Erhält die App Kundennamen, E-Mail-Adressen oder Bestelldaten, muss sie in der Datenschutzerklärung erscheinen.

Shopify-Apps und Datenschutz: Die 4 wichtigsten App-Kategorien für die Datenschutzerklärung – Analytics, E-Mail, Zahlung, Bewertungen

Analytics: Google Analytics 4 und Meta Pixel

Google Analytics 4 darf erst nach ausdrücklicher Einwilligung geladen werden. Der GA4-Code darf nicht beim ersten Seitenaufruf ausgeführt werden, sondern nur wenn der Nutzer im Cookie-Banner Statistik-Cookies akzeptiert hat. Shopifys Customer Privacy API unterstützt diese bedingte Aktivierung. In der Datenschutzerklärung musst du angeben: Zweck (Besuchsanalyse), Anbieter (Google Ireland Ltd. für die EU), Übertragung in die USA (auf Basis des DPF), Auftragsverarbeitungsvertrag mit Google und die Widerrufsmöglichkeit über den Cookie-Banner.

Meta Pixel darf nur nach Consent in Marketing-Cookies aktiviert werden. Verantwortlich für den Empfang der Daten ist Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irland. Zweck ist das Conversion-Tracking und die Erstellung von Custom Audiences für Facebook- und Instagram-Werbung. In der Datenschutzerklärung musst du auf die gemeinsame Verantwortlichkeit mit Meta hinweisen (Art. 26 DSGVO), da Meta die Pixel-Daten auch für eigene Zwecke nutzt.

E-Mail-Marketing: Klaviyo, Mailchimp und Co.

E-Mail-Marketing-Tools erhalten Kundendaten aus deinem Shopify-Shop: E-Mail-Adresse, Vor- und Nachname, Bestellhistorie für Segmentierung sowie Klick- und Öffnungsraten. Das macht sie zu Auftragsverarbeitern, sofern sie die Daten ausschließlich in deinem Auftrag verarbeiten.

Klaviyo (Klaviyo, Inc., Boston, USA) ist ein US-Anbieter. Datentransfers in die USA erfolgen auf Basis der SCCs und des DPF. Mit Klaviyo schließt du beim Erstellen eines Accounts automatisch ein DPA ab. In der Datenschutzerklärung: Klaviyo namentlich nennen, Zweck (E-Mail-Marketing), Rechtsgrundlage (Einwilligung), Hinweis auf US-Transfer und Widerrufsmöglichkeit.

Mailchimp (The Rocket Science Group LLC d/b/a Mailchimp, Atlanta, USA) ist ebenfalls ein US-Dienst. Mailchimp ist beim EU-US DPF gelistet. Auch hier gilt: namentliche Nennung in der Datenschutzerklärung, Hinweis auf US-Transfer, Auftragsverarbeitungsvertrag (in Mailchimp-Account-Einstellungen abrufbar).

Für alle E-Mail-Marketing-Tools gilt: du benötigst eine gültige Einwilligung, bevor du Marketing-E-Mails verschickst. Das Double-Opt-in-Verfahren ist in Deutschland der sicherste Weg.

Zahlungsdienstleister: Klarna, PayPal, Stripe

Zahlungsdienstleister handeln als eigenständige Verantwortliche im Sinne der DSGVO. Sie sind keine Auftragsverarbeiter, weil sie die Zahlungsdaten auch für eigene Zwecke nutzen (Bonitätsprüfung, Betrugserkennung, eigene Produkte). Du trägst keine DSGVO-Verantwortung für die Datenverarbeitung des Zahlungsdienstleisters, aber du musst in deiner Datenschutzerklärung auf die Weitergabe der Daten hinweisen und auf die Datenschutzerklärung des jeweiligen Anbieters verlinken.

PayPal Europe S.à r.l. et Cie, S.C.A. (Luxemburg) ist zuständig für DSGVO-Belange innerhalb der EU. Wenn der Nutzer PayPal wählt, wird er auf die PayPal-Zahlungsseite weitergeleitet.

Klarna Bank AB (publ) (Stockholm, Schweden) unterliegt als schwedische Bank der EU-Regulierung. Bei Kauf auf Rechnung oder Ratenkauf übermittelt Shopify Adress- und Bestelldaten an Klarna für die Bonitätsprüfung.

Stripe, Inc. (San Francisco, USA) ist der technische Zahlungsabwickler hinter Shopify Payments. Wenn du Stripe direkt integrierst, muss Stripe separat als eigenständiger Verantwortlicher genannt werden. US-Transfer auf Basis von SCCs und DPF.

Bewertungstools, Chatbots und weitere Apps

Der Grundsatz gilt für alle Apps: Jede App, die Kundendaten empfängt oder Cookies setzt, muss in der Datenschutzerklärung stehen.

Trusted Shops (Trusted Shops GmbH, Köln) setzt ein Widget ein, das Cookies setzen kann. Bewertungen werden auf Trusted Shops-Servern gespeichert. Trusted Shops ist ein deutsches Unternehmen, kein US-Transfer.

Trustpilot (Trustpilot A/S, Kopenhagen, Dänemark) verarbeitet Bewertungsanfragen auf eigenen Servern. EU-Datenspeicherung, aber die Datenweitergabe an Trustpilot muss genannt werden.

Chatbots (Gorgias, Tidio) verarbeiten Chat-Inhalte, E-Mail-Adressen und Kaufhistorie. Gorgias (USA) und Tidio (Polen, EU) müssen jeweils einzeln aufgeführt werden.

Versand-Apps (Packlink, Sendcloud) erhalten Lieferadressen zur Erstellung von Versandetiketten. Beides sind europäische Anbieter (Packlink: Spanien, Sendcloud: Niederlande). Trotzdem braucht es eine namentliche Nennung in der Datenschutzerklärung.

Shopify hat eine native Lösung für Cookie-Consent: die Customer Privacy API. Sie ist in alle modernen Shopify-Themes integriert und zeigt beim ersten Besuch einen Consent-Banner an. Die API kategorisiert Cookies in vier Gruppen (notwendige, Präferenz, Statistiken, Marketing) und gibt diese Information an eingebundene Scripts weiter.

Wichtig für GA4-Nutzer: Die Customer Privacy API unterstützt Google Consent Mode v2. Das bedeutet, GA4 erhält Consent-Signale und kann modellierte Daten verwenden, auch wenn ein Nutzer ablehnt. Ohne Consent Mode v2 verlierst du seit März 2024 Conversion-Daten in Google Ads.

Die Konfiguration erfolgt unter Shopify Admin > Einstellungen > Datenschutz und Sicherheit > Cookie-Banner. Dort kannst du den Banner-Text anpassen und festlegen, welche Cookie-Kategorien zur Wahl stehen. Wer mehr Kontrolle braucht, kann auf externe Consent-Tools ausweichen: Cookiebot (Cybot A/S, Dänemark), Real Cookie Banner (Dev Sri GmbH, Deutschland) oder Consentmo sind Shopify-kompatible Alternativen.

Sobald dein Shop Cookies setzt, die über das technisch Notwendige hinausgehen, musst du in der Datenschutzerklärung eine vollständige Cookie-Tabelle führen. Diese Tabelle sollte für jede Cookie-Kategorie enthalten:

AngabeBeispiel
Cookie-Name_ga
KategorieStatistik
AnbieterGoogle Ireland Ltd.
ZweckUnterscheidung von Nutzersitzungen
Speicherdauer2 Jahre
RechtsgrundlageEinwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Tools wie Cookiebot können diese Tabelle automatisch generieren, indem sie deinen Shop scannen und alle gesetzten Cookies dokumentieren.

Typische Fehler und Abmahnfallen

DSGVO-Bußgelder: Was droht bei fehlender Datenschutzerklärung? – bis zu 20 Mio. EUR oder 4% des Jahresumsatzes

Veraltete Datenschutzerklärung nach App-Installation

Das ist der häufigste Fehler. Ein Händler installiert eine neue App, aktualisiert die Datenschutzerklärung jedoch nicht. Die Konsequenz sind Abmahnungen von Wettbewerbern oder Verbraucherschutzverbänden, die Kosten von 1.000 bis 5.000 Euro und mehr verursachen können.

Die Lösung ist simpel: ein fester Prozess. Nach jeder neuen App-Installation gehört die Überprüfung der Datenschutzerklärung zur Checkliste. Prüfe dabei drei Fragen: Verarbeitet die App Kundendaten? Setzt sie Cookies? Gibt sie Daten in Drittländer weiter? Wenn auch nur eine Frage mit Ja beantwortet wird, muss die App in die Datenschutzerklärung.

US-Dienste und Schrems II: Standardvertragsklauseln vergessen

Das Schrems-II-Urteil des EuGH aus Juli 2020 hat die Übertragung personenbezogener Daten in die USA grundlegend verändert. Das Safe-Harbor-Abkommen war bereits seit 2015 ungültig, das Privacy Shield folgte 2020.

Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework (DPF) wieder einen funktionierenden Angemessenheitsbeschluss für US-Unternehmen, die sich beim DPF zertifiziert haben. Große Anbieter wie Google, Meta, Mailchimp und Klaviyo sind DPF-zertifiziert. Das kannst du unter https://www.dataprivacyframework.gov prüfen.

Für US-Dienste, die nicht beim DPF gelistet sind, sind Standardvertragsklauseln (SCCs) weiterhin erforderlich. Deine Datenschutzerklärung muss für jeden US-Dienst angeben, auf welcher Grundlage der Transfer stattfindet: DPF, SCCs oder beides.

Datenschutzhinweise im Checkout

Der Shopify-Checkout muss vor dem “Jetzt kaufen”-Button einen sichtbaren Link auf die Datenschutzerklärung enthalten. Das ist sowohl DSGVO-Pflicht (Art. 13 DSGVO) als auch eine Anforderung des deutschen Fernabsatzrechts (§ 312i BGB).

Bei Shopify-Themes mit dem nativen Checkout erscheint dieser Link automatisch, sobald du die Datenschutzerklärung unter Einstellungen > Rechtliches gespeichert hast. Bei stark angepassten Checkout-Designs oder Headless-Shops solltest du das manuell prüfen.

Datenschutzerklärung automatisch aktuell halten

Ein Shopify-Shop wächst. Heute kommt eine neue Bewertungs-App dazu, nächsten Monat ein Loyalty-Programm, danach ein Analytics-Tool. Jede neue App kann neue Datenverarbeitungen auslösen, die in die Datenschutzerklärung gehören. Die meisten Händler verlieren dabei den Überblick. Nicht weil sie unvorsichtig sind, sondern weil kein Mechanismus sie an die Aktualisierung erinnert.

Genau hier setzt shopcompliance.net an. Die App scannt deine installierten Shopify-Apps, erkennt Compliance-Lücken in deiner Datenschutzerklärung und anderen Rechtsdokumenten und generiert aktualisierte Texte. shopcompliance.net deckt 47 EU-Verordnungen ab: DSGVO, GPSR (Produktsicherheit), PPWR (Verpackungsrecht), WEEE (Elektroschrott) und weitere. Statt die Datenschutzerklärung manuell zu pflegen, übernimmt shopcompliance.net das Monitoring.

Du willst deinen Shopify-Shop rechtlich absichern, ohne dich durch DSGVO-Texte zu arbeiten? shopcompliance.net ist der direkte Weg dahin.

Checkliste: Ist deine Shopify-Datenschutzerklärung DSGVO-konform?

Gehe diese Liste einmal pro Quartal durch sowie nach jeder Änderung an deinem App-Setup:

  1. Kontaktdaten des Verantwortlichen vollständig angegeben (Name, Adresse, E-Mail, Telefon)
  2. Rechtsgrundlagen für jede Verarbeitungstätigkeit explizit benannt (lit. a, b, c oder f)
  3. Shopify als Auftragsverarbeiter genannt, mit Hinweis auf das DPA
  4. Shopify-eigene Dienste einzeln aufgeführt (Payments, CDN, Analytics, Email)
  5. Alle installierten Drittanbieter-Apps namentlich genannt mit Anbieterinfos
  6. Google Analytics 4 und Meta Pixel mit Consent-Pflicht und US-Transfer-Hinweis
  7. Alle Zahlungsdienstleister aufgelistet mit Hinweis auf eigenständige Verantwortlichkeit
  8. Cookie-Kategorien und Speicherdauer tabellarisch erfasst
  9. US-Datentransfers mit SCCs oder DPF-Hinweis für jeden betroffenen Dienst
  10. Betroffenenrechte (Art. 15 bis 22 DSGVO) mit konkretem Kontaktweg erläutert
  11. Link zur Datenschutzerklärung im Checkout und im Footer sichtbar
  12. Datum der letzten Aktualisierung nach letzter App-Installation aktuell

FAQ

Kann ich Shopifys eigene Datenschutzerklärung-Vorlage verwenden?

Shopify stellt im Admin unter Einstellungen > Rechtliches eine Basisvorlage bereit. Diese Vorlage deckt grundlegende Punkte ab, hat aber bekannte Schwächen: Sie listet keine installierten Drittanbieter-Apps, enthält keine spezifischen AVV-Hinweise und geht nicht auf Schrems-II-Anforderungen ein. Für den deutschen Markt, wo Abmahnrisiken hoch und Aufsichtsbehörden aktiv sind, reicht die Shopify-Vorlage als alleinige Grundlage nicht aus. Die Vorlage in diesem Artikel ist umfassender und für den DACH-Markt optimiert.

Wie oft muss ich die Datenschutzerklärung aktualisieren?

Immer dann, wenn du eine App installierst oder deinstallierst, die Kundendaten verarbeitet. Außerdem wenn ein Dienst, den du nutzt, seinen AVV, Serverstandort oder seine Datenschutzbedingungen ändert. Als Minimum gilt eine Überprüfung alle sechs Monate, auch wenn du keine Änderungen am Shop vorgenommen hast.

Was kostet eine rechtssichere Datenschutzerklärung?

Eine kostenlose Vorlage wie die in diesem Artikel deckt die DSGVO-Grundanforderungen ab, wenn du sie sorgfältig an deinen Shop anpasst. Anwaltlich geprüfte Managed-Services wie Händlerbund oder eRecht24 Premium kosten 9 bis 15 Euro pro Monat und bieten automatische Aktualisierungen bei Rechtsänderungen. shopcompliance.net geht einen Schritt weiter und deckt neben der Datenschutzerklärung das gesamte Compliance-Monitoring für deinen Shopify-Shop ab.

Gilt die DSGVO auch für kleine Shopify-Shops?

Ja, ohne Ausnahme. Die DSGVO gilt für jeden Online-Shop, der personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig von Umsatz, Mitarbeiterzahl oder Rechtsform. Es gibt keine Umsatzschwelle und keinen Kleinunternehmer-Befreiungstatbestand.

Was passiert, wenn meine Datenschutzerklärung fehlt oder veraltet ist?

Wettbewerber und Verbraucherschutzverbände können Abmahnungen versenden. Die Kosten liegen typischerweise zwischen 1.000 und 5.000 Euro. Datenschutz-Aufsichtsbehörden können Bußgelder nach Art. 83 DSGVO verhängen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für Verstöße gegen technische Pflichten, bis zu 20 Millionen Euro oder 4 Prozent bei schwerwiegenderen Verstößen. Fehlt der Datenschutz-Link im Checkout, kann das zusätzlich als Verstoß gegen das Fernabsatzrecht abgemahnt werden.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.