Datenschutzerklärung Vorlage für Shopify – Kostenlose Muster 2026
Eine Datenschutzerklärung ist Pflicht. Aber Shopify-Betreiber brauchen mehr als eine generische Vorlage. Shopify verarbeitet Kundendaten auf eigenen Servern in den USA und Kanada, was sich grundlegend von einem selbst gehosteten Shop unterscheidet. Jede installierte App fügt neue Verarbeitungstätigkeiten hinzu. Dazu kommt: Der Checkout muss vor dem Kaufabschluss auf die Datenschutzerklärung verlinken. Wer stattdessen eine Standard-Vorlage ohne diese Shopify-spezifischen Klauseln nutzt, riskiert Abmahnungen und DSGVO-Bußgelder. Dieser Artikel liefert eine kostenlose, vollständige Vorlage für Shopify-Shops, erklärt die wichtigsten Pflichtinhalte und zeigt, welche Drittanbieter-Apps du namentlich nennen musst.
Was muss eine Datenschutzerklärung enthalten?

Pflichtangaben nach Art. 13 und 14 DSGVO
Die DSGVO schreibt genau vor, welche Informationen du deinen Kunden beim Erheben ihrer Daten mitteilen musst. Art. 13 gilt, wenn du Daten direkt beim Betroffenen erhebst (z.B. beim Checkout). Art. 14 greift, wenn du Daten aus anderen Quellen bekommst (z.B. von einem Zahlungsdienstleister).
Die folgende Tabelle zeigt alle Pflichtbestandteile:
| Pflichtangabe | Rechtsgrundlage | Beispiel |
|---|---|---|
| Identität und Kontaktdaten des Verantwortlichen | Art. 13 Abs. 1 lit. a | Name, Adresse, E-Mail, Telefon |
| Kontakt Datenschutzbeauftragter (falls vorhanden) | Art. 13 Abs. 1 lit. b | Name und E-Mail des DSB |
| Zweck und Rechtsgrundlage der Verarbeitung | Art. 13 Abs. 1 lit. c | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Berechtigte Interessen (bei lit. f) | Art. 13 Abs. 1 lit. d | Betrugsbekämpfung, Sicherheit |
| Empfänger und Kategorien von Empfängern | Art. 13 Abs. 1 lit. e | Shopify, PayPal, Google |
| Drittlandtransfer mit Schutzmaßnahmen | Art. 13 Abs. 1 lit. f | Shopify USA, Standardvertragsklauseln |
| Speicherdauer oder Kriterien zur Festlegung | Art. 13 Abs. 2 lit. a | 10 Jahre (Steuerrecht) |
| Betroffenenrechte (Art. 15 bis 22) | Art. 13 Abs. 2 lit. b | Auskunft, Löschung, Widerspruch |
| Widerrufsrecht bei einwilligungsbasierter Verarbeitung | Art. 13 Abs. 2 lit. c | Cookie-Consent widerrufbar |
| Beschwerderecht bei Aufsichtsbehörde | Art. 13 Abs. 2 lit. d | Zuständige Landesdatenschutzbehörde |
| Pflicht zur Datenbeitstellung und Konsequenzen | Art. 13 Abs. 2 lit. e | Ohne Lieferadresse kein Versand möglich |
Was Shopify-Shops zusätzlich brauchen
Ein Shopify-Shop hat strukturell andere Anforderungen als ein selbst gehosteter WooCommerce-Shop. Generische Vorlagen kennen diesen Unterschied nicht. Diese fünf Punkte fehlen deshalb regelmäßig:
Shopify als Auftragsverarbeiter (Art. 28 DSGVO): Shopify verarbeitet Kundendaten in deinem Auftrag. Du musst Shopify Inc. (Ottawa, Kanada) namentlich als Auftragsverarbeiter benennen und auf den Auftragsverarbeitungsvertrag (Data Processing Addendum) hinweisen.
Shopify-eigene Dienste: Shopify Payments, Shopify Email und Shopify Analytics verarbeiten Daten auf eigenen Wegen. Jeder dieser Dienste braucht einen eigenen Abschnitt in deiner Datenschutzerklärung.
Drittanbieter-Apps: Jede App im Shopify App Store, die du installierst, kann Kundendaten erhalten. Das betrifft Klaviyo, Gorgias, Trusted Shops, Sendcloud und Dutzende weitere Tools.
Cookie-Consent-Mechanismus: Shopify bietet eine native Customer Privacy API. In der Datenschutzerklärung musst du erläutern, wie dein Consent-Banner funktioniert und welche Cookie-Kategorien es gibt.
US-Datentransfer und Standardvertragsklauseln: Shopify Inc. sitzt in Nordamerika. Für EU-Datentransfers gelten nach dem Schrems-II-Urteil besondere Anforderungen. Standardvertragsklauseln (SCCs) oder das EU-US Data Privacy Framework müssen erwähnt werden.
Kostenlose Datenschutzerklärung Vorlage für Shopify
Der folgende Mustertext deckt die DSGVO-Pflichtinhalte für Shopify-Shops ab. Ersetze alle [PLATZHALTER] mit deinen echten Angaben, bevor du den Text in deinen Shop einpflegst.
DATENSCHUTZERKLÄRUNG
Stand: [DATUM]
1. VERANTWORTLICHER
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
[SHOPNAME]
[STRASSE UND HAUSNUMMER]
[PLZ STADT]
Deutschland
E-Mail: [EMAIL]
Telefon: [TELEFON]
2. DATENVERARBEITUNG BEIM BESUCH UNSERES SHOPS
Wenn du unseren Shop aufrufst, erfasst unser Webserver automatisch folgende
Daten in Server-Logfiles:
- IP-Adresse (anonymisiert nach 7 Tagen)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene URL
- Referrer-URL
- Browser und Betriebssystem
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an
Sicherheit und stabilem Shopbetrieb). Diese Daten werden nach 30 Tagen
automatisch gelöscht.
3. BESTELLVORGANG UND KAUFABWICKLUNG
Wenn du eine Bestellung aufgibst, erheben wir folgende Daten:
- Vor- und Nachname
- Lieferadresse und Rechnungsadresse
- E-Mail-Adresse
- Telefonnummer (optional)
- Zahlungsdaten (abhängig von der gewählten Zahlungsmethode)
- Bestellhistorie
Zweck: Abwicklung des Kaufvertrags, Versand der Ware, Rechnungsstellung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Kundendaten aus Bestellungen speichern wir zehn Jahre lang, soweit
steuerrechtliche Aufbewahrungspflichten (§ 147 AO) dies verlangen.
4. SHOPIFY ALS AUFTRAGSVERARBEITER
Unser Shop wird auf der Plattform Shopify betrieben. Anbieter ist:
Shopify Inc.
151 O'Connor Street, Ground Floor
Ottawa, Ontario K2P 2L8, Kanada
Shopify verarbeitet alle Daten, die in unserem Shop anfallen, in unserem Auftrag
als Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit Shopify besteht ein
Auftragsverarbeitungsvertrag (Data Processing Addendum), abrufbar unter:
https://www.shopify.com/legal/dpa
Shopify speichert Daten auf Servern in den USA und Kanada. Kanada verfügt über
einen EU-Angemessenheitsbeschluss (Entscheidung 2002/2/EG). Für US-Server
gelten die Standardvertragsklauseln der EU-Kommission (SCC) sowie das
EU-US Data Privacy Framework (DPF), dem Shopify Inc. beigetreten ist.
Weitere Informationen: https://www.shopify.com/legal/privacy
5. SHOPIFY PAYMENTS
[DIESEN ABSCHNITT EINFÜGEN, WENN DU SHOPIFY PAYMENTS NUTZT, SONST LÖSCHEN]
Falls du Shopify Payments als Zahlungsmethode verwendest, werden deine
Zahlungsdaten von Shopify Payments, einem Dienst von Shopify Inc., verarbeitet.
Shopify Payments arbeitet mit Stripe, Inc. (USA) und lokalen Bankpartnern
zusammen. Weitere Informationen: https://help.shopify.com/de/manual/payments/shopify-payments
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
6. COOKIES UND COOKIE-CONSENT
Unser Shop setzt Cookies ein. Cookies sind kleine Textdateien, die dein Browser
auf deinem Gerät speichert. Wir unterscheiden:
| Cookie-Kategorie | Zweck | Rechtsgrundlage |
|---|---|---|
| Notwendige Cookies | Warenkorb, Session, Sicherheit | Art. 6 Abs. 1 lit. f |
| Präferenz-Cookies | Spracheinstellung, Währung | Einwilligung (lit. a) |
| Statistik-Cookies | Besuchsanalyse (z.B. GA4) | Einwilligung (lit. a) |
| Marketing-Cookies | Werbung, Retargeting | Einwilligung (lit. a) |
Wir nutzen die Shopify Customer Privacy API für das Cookie-Consent-Management.
Beim ersten Shopbesuch erscheint ein Banner, über den du deine Einwilligung
erteilen oder ablehnen kannst. Du kannst deine Einwilligung jederzeit
widerrufen über den Cookie-Einstellungen-Link im Footer.
7. GOOGLE ANALYTICS 4
[DIESEN ABSCHNITT EINFÜGEN, WENN DU GOOGLE ANALYTICS NUTZT, SONST LÖSCHEN]
Unser Shop nutzt Google Analytics 4, einen Webanalysedienst der Google LLC,
1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. In der EU ist
verantwortlich: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4,
Irland.
Google Analytics wird nur geladen, wenn du im Cookie-Banner in Statistik-Cookies
eingewilligt hast. Es werden pseudonymisierte Nutzungsdaten an Google-Server
in den USA übertragen. Die IP-Adresse wird vor der Übertragung anonymisiert.
Mit Google besteht ein Auftragsverarbeitungsvertrag. Die USA-Übertragung erfolgt
auf Basis des EU-US Data Privacy Framework (DPF), dem Google beigetreten ist.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
8. E-MAIL-MARKETING
[TOOL EINTRAGEN, z.B. KLAVIYO / MAILCHIMP / OMNISEND]
Wenn du dich für unseren Newsletter angemeldet hast oder im Checkout in
Marketing-E-Mails eingewilligt hast, verwenden wir [TOOL] für den Versand.
Anbieter: [FIRMENNAME, ADRESSE]
Dabei werden deine E-Mail-Adresse und ggf. dein Name an [TOOL] übertragen.
[TOOL] verarbeitet diese Daten in unserem Auftrag als Auftragsverarbeiter.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Du kannst die Einwilligung jederzeit widerrufen über den Abmeldelink
in jeder Marketing-E-Mail oder per E-Mail an [EMAIL].
[FALLS US-ANBIETER, z.B. MAILCHIMP/KLAVIYO: Die Datenübertragung in die USA
erfolgt auf Basis des EU-US Data Privacy Framework. Mit [TOOL] besteht ein
Auftragsverarbeitungsvertrag.]
9. ZAHLUNGSDIENSTLEISTER
Für die Zahlungsabwicklung setzen wir folgende Dienstleister ein, die als
eigenständige Verantwortliche im Sinne der DSGVO handeln:
PAYPAL
PayPal (Europe) S.a.r.l. et Cie, S.C.A.
22-24 Boulevard Royal, 2449 Luxemburg
https://www.paypal.com/de/webapps/mpp/ua/privacy-full
KLARNA
Klarna Bank AB (publ)
Sveavägen 46, 111 34 Stockholm, Schweden
https://www.klarna.com/de/datenschutz/
STRIPE
Stripe, Inc.
510 Townsend Street, San Francisco, CA 94103, USA
https://stripe.com/de/privacy
10. KUNDENREZENSIONEN
[TOOL EINTRAGEN, z.B. TRUSTED SHOPS / TRUSTPILOT / JUDGE.ME, SONST LÖSCHEN]
Unser Shop nutzt [TOOL] für die Anzeige von Kundenbewertungen.
Anbieter: [FIRMENNAME, ADRESSE]
Nach einem Kauf kann dir [TOOL] eine Bewertungsanfrage per E-Mail zusenden.
Abgegebene Bewertungen werden auf unserer Shopseite und auf der Plattform
von [TOOL] angezeigt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
11. DEINE RECHTE ALS BETROFFENE PERSON
Du hast gegenüber uns folgende Rechte bezüglich deiner Daten:
- Auskunftsrecht (Art. 15 DSGVO)
- Berichtigungsrecht (Art. 16 DSGVO)
- Löschungsrecht (Art. 17 DSGVO)
- Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Widerrufsrecht für erteilte Einwilligungen
Zur Ausübung deiner Rechte wende dich an: [EMAIL]
12. BESCHWERDERECHT BEI DER AUFSICHTSBEHÖRDE
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren.
Eine Liste aller deutschen Landesdatenschutzbehörden findest du unter:
https://www.bfdi.bund.de/DE/Service/Anschriften/anschriften_node.html
13. ÄNDERUNGEN DIESER DATENSCHUTZERKLÄRUNG
Wir aktualisieren diese Datenschutzerklärung, wenn sich unsere
Datenverarbeitungstätigkeiten ändern (z.B. bei Installation neuer Apps)
oder wenn gesetzliche Anforderungen es erfordern. Die jeweils aktuelle
Version findest du immer auf dieser Seite.
So fügst du die Datenschutzerklärung in Shopify ein
Die Datenschutzerklärung gehört in Shopify unter Admin > Einstellungen > Rechtliches > Datenschutzerklärung. Gehe so vor:
- Öffne deinen Shopify-Admin und klicke auf Einstellungen (unten links).
- Wähle Rechtliches aus dem Menü.
- Scroll zu Datenschutzerklärung und klicke in das Textfeld.
- Kopiere den angepassten Vorlage-Text und füge ihn ein.
- Klicke Speichern.
- Prüfe, dass im Checkout-Footer ein Link auf die Datenschutzerklärung erscheint.
- Überprüfe unter Online-Shop > Navigationsmenüs, ob die Datenschutzerklärung im Footer-Menü verlinkt ist.
Nach jeder neuen App-Installation solltest du die Datenschutzerklärung erneut aufrufen und prüfen, ob die neue App dort aufgeführt werden muss.
Shopify als Auftragsverarbeiter
Shopify ist nicht nur die Plattform, auf der dein Shop läuft. Shopify verarbeitet aktiv Kundendaten in deinem Auftrag. Das klingt nach einem technischen Detail, ist jedoch rechtlich entscheidend: Shopify ist damit ein Auftragsverarbeiter nach Art. 28 DSGVO.
AVV mit Shopify: wird er automatisch geschlossen?
Ja. Mit der Akzeptanz von Shopifys Nutzungsbedingungen schließt du gleichzeitig Shopifys Data Processing Addendum (DPA) ab. Dieses Addendum regelt, wie Shopify deine Kundendaten verarbeitet und welche Sicherheitsmaßnahmen gelten. Einen separaten Vertrag musst du nicht unterzeichnen.
Allerdings reicht der automatische Abschluss allein nicht aus. Du musst Shopify Inc. in deiner Datenschutzerklärung trotzdem namentlich als Auftragsverarbeiter benennen und auf das DPA hinweisen. Shopify Inc. hat seinen Sitz in Ottawa, Kanada. Kanada verfügt über einen EU-Angemessenheitsbeschluss, sodass Datentransfers dorthin ohne zusätzliche Schutzmaßnahmen zulässig sind. Für Daten auf US-Servern von Shopify gelten zwar die Standardvertragsklauseln (SCCs) der EU-Kommission, jedoch hat Shopify auch das EU-US Data Privacy Framework unterzeichnet. Beide Grundlagen müssen in der Datenschutzerklärung erwähnt werden.
Shopify Payments, Shopify Email und weitere Shopify-eigene Dienste
Neben der Basisinfrastruktur bietet Shopify eigene Dienste an, die jeweils eigene Datenverarbeitungen auslösen. Diese müssen einzeln in der Datenschutzerklärung erscheinen:
Shopify Payments verarbeitet Zahlungsdaten und leitet sie an Stripe sowie lokale Bankpartner weiter. Wenn du Shopify Payments nutzt, verarbeitest du damit indirekt auch Daten über Stripe in den USA.
Shopify Email versendet Marketing-E-Mails aus Shopify heraus. Empfänger-E-Mail-Adressen werden von Shopify verarbeitet. Rechtsgrundlage ist in der Regel die Einwilligung.
Shopify CDN liefert Produktbilder und statische Inhalte über ein Content Delivery Network mit Knoten in den USA. Beim Seitenaufruf nimmt der Browser Verbindung zu diesen Knoten auf, dabei werden IP-Adressen übertragen.
Shopify Analytics zeigt Besuchsstatistiken und Konversionsraten im Admin-Dashboard. Diese Daten verarbeitet Shopify auf eigenen Servern.
Drittanbieter-Apps und Datenschutz
Jede installierte Shopify-App kann Kundendaten verarbeiten. Jede. Und jede muss in der Datenschutzerklärung genannt werden. Am häufigsten übersehen Händler dabei die Apps, die schon lange laufen, weil sie installiert wurden, bevor die DSGVO so strikt durchgesetzt wurde.
Die Pflicht gilt unabhängig davon, ob die App ein eigenes Cookie setzt oder nur im Backend läuft. Entscheidend ist ein anderes Kriterium: Erhält die App Kundennamen, E-Mail-Adressen oder Bestelldaten, muss sie in der Datenschutzerklärung erscheinen.

Analytics: Google Analytics 4 und Meta Pixel
Google Analytics 4 darf erst nach ausdrücklicher Einwilligung geladen werden. Der GA4-Code darf nicht beim ersten Seitenaufruf ausgeführt werden, sondern nur wenn der Nutzer im Cookie-Banner Statistik-Cookies akzeptiert hat. Shopifys Customer Privacy API unterstützt diese bedingte Aktivierung. In der Datenschutzerklärung musst du angeben: Zweck (Besuchsanalyse), Anbieter (Google Ireland Ltd. für die EU), Übertragung in die USA (auf Basis des DPF), Auftragsverarbeitungsvertrag mit Google und die Widerrufsmöglichkeit über den Cookie-Banner.
Meta Pixel darf nur nach Consent in Marketing-Cookies aktiviert werden. Verantwortlich für den Empfang der Daten ist Meta Platforms Ireland Ltd., Merrion Road, Dublin 4, Irland. Zweck ist das Conversion-Tracking und die Erstellung von Custom Audiences für Facebook- und Instagram-Werbung. In der Datenschutzerklärung musst du auf die gemeinsame Verantwortlichkeit mit Meta hinweisen (Art. 26 DSGVO), da Meta die Pixel-Daten auch für eigene Zwecke nutzt.
E-Mail-Marketing: Klaviyo, Mailchimp und Co.
E-Mail-Marketing-Tools erhalten Kundendaten aus deinem Shopify-Shop: E-Mail-Adresse, Vor- und Nachname, Bestellhistorie für Segmentierung sowie Klick- und Öffnungsraten. Das macht sie zu Auftragsverarbeitern, sofern sie die Daten ausschließlich in deinem Auftrag verarbeiten.
Klaviyo (Klaviyo, Inc., Boston, USA) ist ein US-Anbieter. Datentransfers in die USA erfolgen auf Basis der SCCs und des DPF. Mit Klaviyo schließt du beim Erstellen eines Accounts automatisch ein DPA ab. In der Datenschutzerklärung: Klaviyo namentlich nennen, Zweck (E-Mail-Marketing), Rechtsgrundlage (Einwilligung), Hinweis auf US-Transfer und Widerrufsmöglichkeit.
Mailchimp (The Rocket Science Group LLC d/b/a Mailchimp, Atlanta, USA) ist ebenfalls ein US-Dienst. Mailchimp ist beim EU-US DPF gelistet. Auch hier gilt: namentliche Nennung in der Datenschutzerklärung, Hinweis auf US-Transfer, Auftragsverarbeitungsvertrag (in Mailchimp-Account-Einstellungen abrufbar).
Für alle E-Mail-Marketing-Tools gilt: du benötigst eine gültige Einwilligung, bevor du Marketing-E-Mails verschickst. Das Double-Opt-in-Verfahren ist in Deutschland der sicherste Weg.
Zahlungsdienstleister: Klarna, PayPal, Stripe
Zahlungsdienstleister handeln als eigenständige Verantwortliche im Sinne der DSGVO. Sie sind keine Auftragsverarbeiter, weil sie die Zahlungsdaten auch für eigene Zwecke nutzen (Bonitätsprüfung, Betrugserkennung, eigene Produkte). Du trägst keine DSGVO-Verantwortung für die Datenverarbeitung des Zahlungsdienstleisters, aber du musst in deiner Datenschutzerklärung auf die Weitergabe der Daten hinweisen und auf die Datenschutzerklärung des jeweiligen Anbieters verlinken.
PayPal Europe S.à r.l. et Cie, S.C.A. (Luxemburg) ist zuständig für DSGVO-Belange innerhalb der EU. Wenn der Nutzer PayPal wählt, wird er auf die PayPal-Zahlungsseite weitergeleitet.
Klarna Bank AB (publ) (Stockholm, Schweden) unterliegt als schwedische Bank der EU-Regulierung. Bei Kauf auf Rechnung oder Ratenkauf übermittelt Shopify Adress- und Bestelldaten an Klarna für die Bonitätsprüfung.
Stripe, Inc. (San Francisco, USA) ist der technische Zahlungsabwickler hinter Shopify Payments. Wenn du Stripe direkt integrierst, muss Stripe separat als eigenständiger Verantwortlicher genannt werden. US-Transfer auf Basis von SCCs und DPF.
Bewertungstools, Chatbots und weitere Apps
Der Grundsatz gilt für alle Apps: Jede App, die Kundendaten empfängt oder Cookies setzt, muss in der Datenschutzerklärung stehen.
Trusted Shops (Trusted Shops GmbH, Köln) setzt ein Widget ein, das Cookies setzen kann. Bewertungen werden auf Trusted Shops-Servern gespeichert. Trusted Shops ist ein deutsches Unternehmen, kein US-Transfer.
Trustpilot (Trustpilot A/S, Kopenhagen, Dänemark) verarbeitet Bewertungsanfragen auf eigenen Servern. EU-Datenspeicherung, aber die Datenweitergabe an Trustpilot muss genannt werden.
Chatbots (Gorgias, Tidio) verarbeiten Chat-Inhalte, E-Mail-Adressen und Kaufhistorie. Gorgias (USA) und Tidio (Polen, EU) müssen jeweils einzeln aufgeführt werden.
Versand-Apps (Packlink, Sendcloud) erhalten Lieferadressen zur Erstellung von Versandetiketten. Beides sind europäische Anbieter (Packlink: Spanien, Sendcloud: Niederlande). Trotzdem braucht es eine namentliche Nennung in der Datenschutzerklärung.
Cookie-Consent im Shopify-Shop DSGVO-konform einrichten
Shopify Customer Privacy API und Consent Mode v2
Shopify hat eine native Lösung für Cookie-Consent: die Customer Privacy API. Sie ist in alle modernen Shopify-Themes integriert und zeigt beim ersten Besuch einen Consent-Banner an. Die API kategorisiert Cookies in vier Gruppen (notwendige, Präferenz, Statistiken, Marketing) und gibt diese Information an eingebundene Scripts weiter.
Wichtig für GA4-Nutzer: Die Customer Privacy API unterstützt Google Consent Mode v2. Das bedeutet, GA4 erhält Consent-Signale und kann modellierte Daten verwenden, auch wenn ein Nutzer ablehnt. Ohne Consent Mode v2 verlierst du seit März 2024 Conversion-Daten in Google Ads.
Die Konfiguration erfolgt unter Shopify Admin > Einstellungen > Datenschutz und Sicherheit > Cookie-Banner. Dort kannst du den Banner-Text anpassen und festlegen, welche Cookie-Kategorien zur Wahl stehen. Wer mehr Kontrolle braucht, kann auf externe Consent-Tools ausweichen: Cookiebot (Cybot A/S, Dänemark), Real Cookie Banner (Dev Sri GmbH, Deutschland) oder Consentmo sind Shopify-kompatible Alternativen.
Was der Cookie-Consent-Banner in der Datenschutzerklärung triggert
Sobald dein Shop Cookies setzt, die über das technisch Notwendige hinausgehen, musst du in der Datenschutzerklärung eine vollständige Cookie-Tabelle führen. Diese Tabelle sollte für jede Cookie-Kategorie enthalten:
| Angabe | Beispiel |
|---|---|
| Cookie-Name | _ga |
| Kategorie | Statistik |
| Anbieter | Google Ireland Ltd. |
| Zweck | Unterscheidung von Nutzersitzungen |
| Speicherdauer | 2 Jahre |
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) |
Tools wie Cookiebot können diese Tabelle automatisch generieren, indem sie deinen Shop scannen und alle gesetzten Cookies dokumentieren.
Typische Fehler und Abmahnfallen

Veraltete Datenschutzerklärung nach App-Installation
Das ist der häufigste Fehler. Ein Händler installiert eine neue App, aktualisiert die Datenschutzerklärung jedoch nicht. Die Konsequenz sind Abmahnungen von Wettbewerbern oder Verbraucherschutzverbänden, die Kosten von 1.000 bis 5.000 Euro und mehr verursachen können.
Die Lösung ist simpel: ein fester Prozess. Nach jeder neuen App-Installation gehört die Überprüfung der Datenschutzerklärung zur Checkliste. Prüfe dabei drei Fragen: Verarbeitet die App Kundendaten? Setzt sie Cookies? Gibt sie Daten in Drittländer weiter? Wenn auch nur eine Frage mit Ja beantwortet wird, muss die App in die Datenschutzerklärung.
US-Dienste und Schrems II: Standardvertragsklauseln vergessen
Das Schrems-II-Urteil des EuGH aus Juli 2020 hat die Übertragung personenbezogener Daten in die USA grundlegend verändert. Das Safe-Harbor-Abkommen war bereits seit 2015 ungültig, das Privacy Shield folgte 2020.
Seit Juli 2023 gibt es mit dem EU-US Data Privacy Framework (DPF) wieder einen funktionierenden Angemessenheitsbeschluss für US-Unternehmen, die sich beim DPF zertifiziert haben. Große Anbieter wie Google, Meta, Mailchimp und Klaviyo sind DPF-zertifiziert. Das kannst du unter https://www.dataprivacyframework.gov prüfen.
Für US-Dienste, die nicht beim DPF gelistet sind, sind Standardvertragsklauseln (SCCs) weiterhin erforderlich. Deine Datenschutzerklärung muss für jeden US-Dienst angeben, auf welcher Grundlage der Transfer stattfindet: DPF, SCCs oder beides.
Datenschutzhinweise im Checkout
Der Shopify-Checkout muss vor dem “Jetzt kaufen”-Button einen sichtbaren Link auf die Datenschutzerklärung enthalten. Das ist sowohl DSGVO-Pflicht (Art. 13 DSGVO) als auch eine Anforderung des deutschen Fernabsatzrechts (§ 312i BGB).
Bei Shopify-Themes mit dem nativen Checkout erscheint dieser Link automatisch, sobald du die Datenschutzerklärung unter Einstellungen > Rechtliches gespeichert hast. Bei stark angepassten Checkout-Designs oder Headless-Shops solltest du das manuell prüfen.
Datenschutzerklärung automatisch aktuell halten
Ein Shopify-Shop wächst. Heute kommt eine neue Bewertungs-App dazu, nächsten Monat ein Loyalty-Programm, danach ein Analytics-Tool. Jede neue App kann neue Datenverarbeitungen auslösen, die in die Datenschutzerklärung gehören. Die meisten Händler verlieren dabei den Überblick. Nicht weil sie unvorsichtig sind, sondern weil kein Mechanismus sie an die Aktualisierung erinnert.
Genau hier setzt shopcompliance.net an. Die App scannt deine installierten Shopify-Apps, erkennt Compliance-Lücken in deiner Datenschutzerklärung und anderen Rechtsdokumenten und generiert aktualisierte Texte. shopcompliance.net deckt 47 EU-Verordnungen ab: DSGVO, GPSR (Produktsicherheit), PPWR (Verpackungsrecht), WEEE (Elektroschrott) und weitere. Statt die Datenschutzerklärung manuell zu pflegen, übernimmt shopcompliance.net das Monitoring.
Du willst deinen Shopify-Shop rechtlich absichern, ohne dich durch DSGVO-Texte zu arbeiten? shopcompliance.net ist der direkte Weg dahin.
Checkliste: Ist deine Shopify-Datenschutzerklärung DSGVO-konform?
Gehe diese Liste einmal pro Quartal durch sowie nach jeder Änderung an deinem App-Setup:
- Kontaktdaten des Verantwortlichen vollständig angegeben (Name, Adresse, E-Mail, Telefon)
- Rechtsgrundlagen für jede Verarbeitungstätigkeit explizit benannt (lit. a, b, c oder f)
- Shopify als Auftragsverarbeiter genannt, mit Hinweis auf das DPA
- Shopify-eigene Dienste einzeln aufgeführt (Payments, CDN, Analytics, Email)
- Alle installierten Drittanbieter-Apps namentlich genannt mit Anbieterinfos
- Google Analytics 4 und Meta Pixel mit Consent-Pflicht und US-Transfer-Hinweis
- Alle Zahlungsdienstleister aufgelistet mit Hinweis auf eigenständige Verantwortlichkeit
- Cookie-Kategorien und Speicherdauer tabellarisch erfasst
- US-Datentransfers mit SCCs oder DPF-Hinweis für jeden betroffenen Dienst
- Betroffenenrechte (Art. 15 bis 22 DSGVO) mit konkretem Kontaktweg erläutert
- Link zur Datenschutzerklärung im Checkout und im Footer sichtbar
- Datum der letzten Aktualisierung nach letzter App-Installation aktuell
FAQ
Kann ich Shopifys eigene Datenschutzerklärung-Vorlage verwenden?
Shopify stellt im Admin unter Einstellungen > Rechtliches eine Basisvorlage bereit. Diese Vorlage deckt grundlegende Punkte ab, hat aber bekannte Schwächen: Sie listet keine installierten Drittanbieter-Apps, enthält keine spezifischen AVV-Hinweise und geht nicht auf Schrems-II-Anforderungen ein. Für den deutschen Markt, wo Abmahnrisiken hoch und Aufsichtsbehörden aktiv sind, reicht die Shopify-Vorlage als alleinige Grundlage nicht aus. Die Vorlage in diesem Artikel ist umfassender und für den DACH-Markt optimiert.
Wie oft muss ich die Datenschutzerklärung aktualisieren?
Immer dann, wenn du eine App installierst oder deinstallierst, die Kundendaten verarbeitet. Außerdem wenn ein Dienst, den du nutzt, seinen AVV, Serverstandort oder seine Datenschutzbedingungen ändert. Als Minimum gilt eine Überprüfung alle sechs Monate, auch wenn du keine Änderungen am Shop vorgenommen hast.
Was kostet eine rechtssichere Datenschutzerklärung?
Eine kostenlose Vorlage wie die in diesem Artikel deckt die DSGVO-Grundanforderungen ab, wenn du sie sorgfältig an deinen Shop anpasst. Anwaltlich geprüfte Managed-Services wie Händlerbund oder eRecht24 Premium kosten 9 bis 15 Euro pro Monat und bieten automatische Aktualisierungen bei Rechtsänderungen. shopcompliance.net geht einen Schritt weiter und deckt neben der Datenschutzerklärung das gesamte Compliance-Monitoring für deinen Shopify-Shop ab.
Gilt die DSGVO auch für kleine Shopify-Shops?
Ja, ohne Ausnahme. Die DSGVO gilt für jeden Online-Shop, der personenbezogene Daten von EU-Bürgern verarbeitet, unabhängig von Umsatz, Mitarbeiterzahl oder Rechtsform. Es gibt keine Umsatzschwelle und keinen Kleinunternehmer-Befreiungstatbestand.
Was passiert, wenn meine Datenschutzerklärung fehlt oder veraltet ist?
Wettbewerber und Verbraucherschutzverbände können Abmahnungen versenden. Die Kosten liegen typischerweise zwischen 1.000 und 5.000 Euro. Datenschutz-Aufsichtsbehörden können Bußgelder nach Art. 83 DSGVO verhängen: bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes für Verstöße gegen technische Pflichten, bis zu 20 Millionen Euro oder 4 Prozent bei schwerwiegenderen Verstößen. Fehlt der Datenschutz-Link im Checkout, kann das zusätzlich als Verstoß gegen das Fernabsatzrecht abgemahnt werden.
EU-Pflichten automatisch im Shop erfüllen
ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.
Module & Preise ansehenDieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.