SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVODatenschutzOnline-ShopShopifyCompliance

DSGVO-konform: Was es bedeutet und wie Online-Shops es umsetzen

15. Juni 2026 · Max Benz

DSGVO-konform bedeutet, dass ein Online-Shop personenbezogene Daten im Einklang mit der EU-Datenschutz-Grundverordnung erhebt, verarbeitet und speichert. Seit Mai 2018 gilt die Verordnung unmittelbar in allen EU-Mitgliedstaaten. Kein Shop ist ausgenommen. Ob Bestelldaten, E-Mail-Adressen oder IP-Adressen: Fast jeder Kontakt mit Kunden erzeugt personenbezogene Daten, und die DSGVO regelt, wie damit umzugehen ist.

Was bedeutet DSGVO-konform?

DSGVO-konform bedeutet, dass Sie personenbezogene Daten nur auf einer gültigen Rechtsgrundlage nach Art. 6 DSGVO verarbeiten, Betroffene transparent informieren und deren Rechte aktiv ermöglichen. Die Datenschutz-Grundverordnung legt dabei nicht nur Verbote fest. Sie definiert auch, unter welchen Bedingungen eine Verarbeitung erlaubt ist.

Zu personenbezogenen Daten zählen alle Informationen, die eine Person direkt oder indirekt identifizierbar machen: Name, E-Mail-Adresse, IP-Adresse, Kundennummer oder Lieferadresse. Auch Verhaltensprofile aus Analyse-Tools fallen darunter. Als Online-Shop-Betreiber verarbeiten Sie diese Daten täglich: bei jeder Bestellung, jedem Newsletter-Versand, jeder Analytics-Auswertung und jedem Kundensupport-Ticket.

Drei Grundpflichten prägen die DSGVO-Konformität: Daten rechtmäßig verarbeiten, Betroffene informieren, Daten nur so lange aufbewahren wie nötig. Datensparsamkeit ist Pflicht, nicht Kür.

Zwei weitere Grundsätze verdienen besondere Aufmerksamkeit: Privacy by Design und Privacy by Default. Privacy by Design bedeutet, dass Datenschutz schon bei der Entwicklung von Systemen eingeplant wird, nicht erst, wenn ein Problem auftaucht. Privacy by Default heißt: Die datenschutzfreundlichste Einstellung ist immer die Standardeinstellung. Konkret bedeutet das für Online-Shops, dass vorausgewählte Marketing-Checkboxen, weitreichende Cookie-Banner-Zustimmungen und unnötige Datenhaltung von Anfang an vermieden werden müssen.

Warum müssen Online-Shops DSGVO-konform sein?

Jeder Online-Shop, der Daten von Personen in der EU verarbeitet, unterliegt der DSGVO. Das gilt unabhängig von Unternehmensgröße, Rechtsform oder Standort des Betreibers. Auch ein Einzelhändler auf Shopify, der nur in Deutschland verkauft, ist vollständig gebunden.

Die Konsequenzen bei Verstößen sind erheblich. Datenschutzbehörden können Bußgelder von bis zu 20 Millionen Euro verhängen, oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. Hinzu kommen Abmahnungen durch Mitbewerber und Verbraucherschutzverbände sowie Reputationsschäden, die direkten Einfluss auf Konversionsraten haben. Beides kann kleine Shops existenziell treffen.

DSGVO-Konformität ist aber auch ein Vertrauenssignal. Kunden, die sehen, dass ein Shop sorgfältig mit ihren Daten umgeht, kaufen häufiger wieder. Ein klarer Cookie-Banner und eine leicht erreichbare Datenschutzerklärung signalisieren Seriösität. Vertrauen lässt sich nicht kaufen, aber aufbauen.

Die wichtigsten DSGVO-Pflichten für Online-Shops

Für einen DSGVO-konformen Online-Shop sind sechs Bereiche entscheidend: Datenschutzerklärung, Cookie-Consent, Auftragsverarbeitungsverträge, Verarbeitungsverzeichnis, HTTPS und Impressum. Jeder dieser Bereiche hat eine eigene Rechtsgrundlage in der DSGVO oder im deutschen Recht.

1. Datenschutzerklärung (Art. 13/14 DSGVO)

Nach Art. 13 und 14 DSGVO müssen Sie Betroffene zum Zeitpunkt der Datenerhebung informieren: über die Kategorien verarbeiteter Daten, den Zweck der Verarbeitung, die Rechtsgrundlage, Empfänger und Drittlandtransfers sowie die Speicherdauer. Erwägungsgrund 58 DSGVO konkretisiert: Die Datenschutzerklärung muss jederzeit leicht zugänglich sein, daher üblicherweise im Footer jeder Seite.

Drei häufige Fehler bei der Datenschutzerklärung in Online-Shops:

  • Der Text ist veraltet und listet Tools auf, die längst nicht mehr im Einsatz sind
  • Neu eingebundene Apps (Bewertungswidgets, Live-Chat, Retargeting-Pixel) fehlen komplett
  • Die Erklärung ist nur auf der Startseite verlinkt, nicht auf Produkt- und Checkout-Seiten

Sobald Sie neue Tools einbinden oder bestehende Dienste wechseln, muss die Erklärung aktualisiert werden. Einen vollständigen Leitfaden mit Muster finden Sie im Artikel Datenschutzerklärung für Shopify erstellen.

Seit Inkrafttreten des TTDSG ist die aktive Einwilligung (Opt-in) für alle nicht technisch notwendigen Cookies Pflicht. Vorausgewählte Kästen sind nicht zulässig. Auch ein “Weiter nutzen = Zustimmung”-Design verstößt gegen geltendes Recht.

Der Cookie-Banner muss die Ablehnung genauso einfach ermöglichen wie die Zustimmung. Analyse-Tools wie Google Analytics oder Facebook Pixel dürfen erst nach ausdrücklicher Einwilligung geladen werden. Wie Sie einen DSGVO-konformen Cookie-Banner in Shopify einrichten, erklärt der Artikel Cookie-Banner für Shopify.

3. Auftragsverarbeitungsverträge (AVV, Art. 28 DSGVO)

Wer als externer Dienstleister in Ihrem Auftrag personenbezogene Daten verarbeitet, ist Auftragsverarbeiter. Das betrifft Shopify selbst, Ihr E-Mail-Marketing-Tool, Ihren Analyse-Dienst und Ihren Zahlungsanbieter.

Art. 28 DSGVO verpflichtet Sie, mit jedem Auftragsverarbeiter einen schriftlichen AVV zu schließen. Fehlt dieser Vertrag, liegt ein Verstoß vor, auch wenn der Dienstleister selbst ordnungsgemäß handelt. Was ein AVV enthalten muss und wie Sie ihn abschließen, erklärt der Artikel Auftragsverarbeitungsvertrag für Online-Shops.

4. Verarbeitungsverzeichnis (VVT, Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist eine interne Dokumentation aller Verarbeitungstätigkeiten, für die Sie als Verantwortlicher zuständig sind. Art. 30 Abs. 1 DSGVO schreibt vor, dass das Verzeichnis mindestens enthält: Name des Verantwortlichen, Verarbeitungszweck, betroffene Kategorien von Personen und Daten, Empfänger sowie geplante Löschfristen.

Für jeden Prozess, bei dem Kundendaten eine Rolle spielen (Bestellabwicklung, Marketing, Analyse), müssen Sie festhalten: was verarbeitet wird, warum und wie lange.

Art. 30 Abs. 5 DSGVO sieht theoretisch eine Ausnahme für Unternehmen unter 250 Mitarbeitern vor. Für Online-Shops gilt sie kaum. Die Ausnahme setzt voraus, dass die Verarbeitung kein Risiko für Betroffene birgt, und Bestelldaten oder Zahlungsdaten stellen fast immer ein solches Risiko dar.

Datenschutzbehörden können das Verzeichnis jederzeit anfordern. Wer keines vorlegen kann, riskiert Bußgelder, ganz unabhängig davon, ob andere Pflichten eingehalten wurden.

5. HTTPS und technische Mindestmaßnahmen

Art. 32 DSGVO fordert angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Ein aktives SSL-Zertifikat (HTTPS) ist dabei die Mindestanforderung für jeden Online-Shop. Ohne HTTPS werden Übertragungen zwischen Browser und Server unverschlüsselt übertragen, was bei Bestellformularen und Logins ein erhebliches Risiko darstellt.

Shopify stellt SSL-Zertifikate automatisch bereit. Prüfen Sie, ob Ihre benutzerdefinierte Domain korrekt konfiguriert ist.

6. Impressum

Das Impressum fußt auf dem Telemediengesetz (TMG), nicht direkt auf der DSGVO. Es ist dennoch untrennbar mit der Rechtskonformität verbunden: Ein fehlerhaftes oder fehlendes Impressum ist ein eigenständiger Abmahngrund und wird von Behörden als Indiz für mangelnde Ernsthaftigkeit gewertet.

Pflichtangaben sind vollständiger Name oder Firmenname, ladungsfähige Adresse, E-Mail-Adresse und Telefonnummer. Alle Pflichtinhalte listet der Artikel Impressum für den Online-Shop auf.

DSGVO-konform mit Shopify: So geht es ohne Theme-Code

Shopify-Shops lassen sich DSGVO-konform einrichten, ohne den Theme-Code anfassen zu müssen. Die meisten Compliance-Anforderungen lassen sich über Shopify-Apps, Admin-Einstellungen und standardisierte Verträge lösen.

Wichtig zu wissen: Shopifys eigene Datenschutzerklärung ist ein amerikanisches Standarddokument. Für deutsche Shops reicht sie nicht aus. Sie müssen eine vollständige, deutschrechtliche Datenschutzerklärung selbst erstellen und einbinden.

Für Cookie-Consent gibt es im Shopify App Store spezialisierte Consent-Management-Apps. Diese übernehmen die Einwilligungsverwaltung, sperren Tracking-Scripts bis zur Einwilligung und dokumentieren Einwilligungen für eventuelle Nachweispflichten.

Den AVV mit Shopify schließen Sie direkt über die Merchant-Settings. Shopify stellt ein Data Processing Agreement (DPA) bereit, das Sie unter Einstellungen > Rechtliches > Datenschutz abrufen und bestätigen können. Zusätzlich benötigen Sie AVVs mit jeder weiteren App, die Sie im Shopify App Store aktivieren und die Kundendaten verarbeitet.

BereichShopify-nativZusätzliche Lösung nötig
SSL/HTTPSautomatischnein
DatenschutzerklärungBasis-Template (USA)ja: DE-rechtliche Erklärung nötig
Cookie-Consenteingeschränktja: Consent-Management-App nötig
AVV ShopifyDPA in Einstellungenbestätigen erforderlich
AVV Drittanbieternicht inklusiveje App einzeln prüfen
Verarbeitungsverzeichnisnicht inklusivemanuell anlegen

DSGVO-Checkliste für Online-Shops

Mit dieser Checkliste prüfen Sie in wenigen Minuten, ob Ihr Shop die wichtigsten DSGVO-Anforderungen erfüllt. Haken Sie jeden Punkt ab, bevor Sie den Shop live schalten, oder führen Sie die Prüfung nach jeder größeren Änderung erneut durch.

  1. Datenschutzerklärung aktuell und von jeder Seite über Footer erreichbar
  2. Cookie-Banner aktiv, Ablehnen-Option gleichwertig zur Annahme
  3. Keine vorausgewählten Kästen im Cookie-Banner
  4. AVV mit Shopify in den Merchant-Settings bestätigt
  5. AVV mit jedem weiteren Auftragsverarbeiter (E-Mail, Analytics, Zahlungsanbieter) vorhanden
  6. Verarbeitungsverzeichnis angelegt und aktuell
  7. HTTPS aktiv auf allen Unterseiten inkl. benutzerdefinierter Domain
  8. Impressum vollständig und von jeder Seite erreichbar
  9. Newsletter nur mit Double Opt-In eingerichtet
  10. Analytics- und Tracking-Tools laufen erst nach Cookie-Einwilligung
  11. Prozess für Auskunfts- und Löschanfragen definiert (wer antwortet, in welcher Frist)
  12. Datenpannen-Protokoll vorhanden (was tun, wenn Kundendaten kompromittiert werden)

Diese Checkliste können Sie als DSGVO-PDF-Vorlage für Ihre eigenen Datenschutz-Audits nutzen. Für eine vollständige Dokumentation empfiehlt es sich, jeden Punkt mit Datum und Verantwortlichkeit zu versehen.

Was passiert bei einem Datenpannen-Verstoß?

Datenpannen sind keine Seltenheit. Wenn Kundendaten durch einen Angriff, einen Konfigurationsfehler oder ein menschliches Versagen kompromittiert werden, startet die DSGVO-Uhr sofort. Art. 33 DSGVO schreibt vor: Die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden der Panne informiert werden.

Die Meldung muss Art und Umfang der Panne beschreiben, die betroffenen Datenkategorien und die ungefähre Zahl betroffener Personen nennen, und die ergriffenen oder geplanten Abhilfemaßnahmen darlegen. Wenn die Panne ein hohes Risiko für Betroffene darstellt, verlangt Art. 34 DSGVO auch deren direkte Benachrichtigung, vor allem bei Lecks von Zahlungsdaten oder Passwörtern.

Art. 33 Abs. 5 DSGVO verpflichtet Sie außerdem, die Panne intern zu dokumentieren: was passiert ist, welche Daten betroffen waren und welche Maßnahmen Sie ergriffen haben. Diese Dokumentation kann eine Aufsichtsbehörde bei einer Prüfung einfordern.

Der konkrete Ablauf nach einer Datenpanne:

  1. Panne eindämmen: Kompromittierte Systeme isolieren, weiteren Datenverlust stoppen
  2. Behörde melden: Zuständige Datenschutzbehörde (nach Bundesland) innerhalb von 72 Stunden benachrichtigen
  3. Betroffene informieren: Wenn hohes Risiko für die Betroffenen besteht, direkte Benachrichtigung

Die häufigsten DSGVO-Fehler im Online-Shop

Viele Online-Shops verstoßen nicht absichtlich gegen die DSGVO. Bestimmte Fehler werden schlicht übersehen, manchmal jahrelang. Diese fünf Fehler kommen laut Datenschutzbehörden am häufigsten vor:

Fehlende oder unvollständige Datenschutzerklärung. Entweder existiert kein Dokument, oder der Text ist veraltet. Shopify-Apps, Zahlungsanbieter und Analyse-Tools fehlen besonders häufig.

Kein gültiger Cookie-Consent. Pre-Ticks, Banner ohne Ablehnen-Option oder “Weiter nutzen” als stillschweigende Zustimmung sind DSGVO-widrig. Auch das Laden von Scripts vor der Einwilligung ist ein klassischer Fehler.

Fehlende AVVs mit App-Anbietern. Den AVV mit Shopify kennen die meisten Händler. Vergessen wird, dass jede aktive App, die Kundendaten verarbeitet, ebenfalls einen AVV erfordert: E-Mail-Tools, Bewertungsplattformen, Live-Chat-Anbieter, Analyse-Dienste.

Kein Verarbeitungsverzeichnis. Gerade kleinere Shops schieben das VVT auf “irgendwann”. Im Fall einer Behördenprüfung fehlt dann die Grundlage, und ein Bußgeld droht unabhängig von allen anderen Maßnahmen.

Betroffenenrechte ohne Prozess. Die DSGVO gibt Kunden das Recht auf Auskunft (Art. 15), Löschung (Art. 17) und Berichtigung (Art. 16). Viele Shops haben keinen definierten Prozess. Die Frist für eine Auskunftsanfrage beträgt maximal einen Monat (Art. 12 Abs. 3 DSGVO). Wer nicht rechtzeitig antwortet, kann abgemahnt werden.

Häufige Fragen zur DSGVO-Konformität

Was ist DSGVO-konform?

DSGVO-konform bedeutet, dass ein Unternehmen personenbezogene Daten im Einklang mit der EU-Datenschutz-Grundverordnung verarbeitet. Das umfasst eine gültige Rechtsgrundlage für jede Verarbeitung, transparente Information der Betroffenen, technische Schutzmaßnahmen und die Möglichkeit für Nutzer, ihre Datenschutzrechte tatsächlich auszuüben. Auskunft, Löschung, Widerspruch: All das muss funktionieren.

Gilt die DSGVO auch für kleine Online-Shops?

Ja, ausnahmslos. Die DSGVO gilt für jeden Online-Shop, der personenbezogene Daten von Personen in der EU verarbeitet, unabhängig von der Unternehmensgröße. Auch ein Shopify-Shop mit wenigen Bestellungen pro Monat ist vollständig gebunden. Kleinere Unternehmen genießen keine generellen Ausnahmen, obwohl bestimmte Pflichten wie das Verarbeitungsverzeichnis unter engen Voraussetzungen vereinfacht angewendet werden können.

Brauche ich einen Datenschutzbeauftragten?

In Deutschland ist ein Datenschutzbeauftragter Pflicht, wenn in Ihrem Unternehmen mindestens 20 Personen regelmäßig automatisiert personenbezogene Daten verarbeiten (§ 38 BDSG). Für die meisten kleineren Shopify-Shops ist die Bestellung freiwillig. Freiwillig bestellt kann er trotzdem hilfreich sein, da er Haftungspflichten von der Geschäftsführung abzieht.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen Namen, E-Mail-Adressen, Lieferadressen, Telefonnummern, IP-Adressen und Kundennummern. Auch Verhaltensdaten (welche Produkte jemand ansieht), Kaufhistorien und Cookie-IDs gelten als personenbezogen, sobald sie einer konkreten Person zugeordnet werden können.

Wie oft muss ich die Datenschutzerklärung aktualisieren?

Eine gesetzlich vorgeschriebene Aktualisierungsfrequenz gibt es nicht. Aktualisieren müssen Sie immer dann, wenn sich die tatsächliche Datenverarbeitung ändert: neue Tools, gewechselte Dienstleister, neue Datenarten, geänderte Zwecke. Regelmäßige Überprüfungen mindestens einmal jährlich sind empfehlenswert.

Gilt die DSGVO auch für B2B-Shops?

Grundsätzlich ja. Firmenkontakte wie Ansprechpartner-E-Mails oder Mobilerreichbarkeiten sind personenbezogene Daten. Die DSGVO schützt natürliche Personen, nicht Unternehmen, aber sobald Daten konkreter Ansprechpartner verarbeitet werden, greift die Verordnung. B2B-Shops können in bestimmten Bereichen vereinfachte Regelungen anwenden (z.B. Widerrufsrecht), beim Datenschutz jedoch nicht.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.