Wer einen Onlineshop betreibt, kommt um das Thema Datenschutz nicht herum. Die DSGVO gilt seit 2018 verbindlich in ganz Europa – und die Bußgelder bei Verstößen sind kein Kavaliersdelikt. Allein in Deutschland wurden seit Inkrafttreten der DSGVO Strafen in Millionenhöhe verhängt, und zwar nicht nur gegen Konzerne, sondern auch gegen kleine Online-Händler. Dieser Leitfaden erklärt, welche DSGVO-Pflichten dich als Onlineshop-Betreiber konkret betreffen und wie du sie in 2026 richtig umsetzt.
Was die DSGVO für Onlineshops bedeutet
Die Datenschutz-Grundverordnung (DSGVO) reguliert, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen. Im E-Commerce sammelst du täglich solche Daten: Kundennamen, Adressen, E-Mail-Adressen, Zahlungsdaten, IP-Adressen, Kaufhistorien und Surfverhalten. Jeder dieser Datenpunkte fällt unter die DSGVO – und für jeden brauchst du eine Rechtsgrundlage zur Verarbeitung.
Als Onlineshop-Betreiber bist du in der Terminologie der DSGVO ein Verantwortlicher. Das bedeutet: Du trägst die Verantwortung dafür, dass alle Datenverarbeitungsprozesse in deinem Shop rechtskonform ablaufen. Delegieren kannst du die Aufgaben, aber nicht die Haftung.
Die drei häufigsten Rechtsgrundlagen für die Datenverarbeitung im Onlineshop:
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Du darfst Daten verarbeiten, wenn es zur Abwicklung eines Kaufvertrags notwendig ist. Lieferadresse, Zahlungsdaten und Bestellinformationen fallen darunter.
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Für Newsletter, personalisierte Werbung oder nicht notwendige Cookies brauchst du eine aktive, freiwillige Einwilligung des Kunden.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Gilt für bestimmte Analysezwecke oder Betrugsprävention – muss aber sorgfältig abgewogen werden.
Datenschutzerklärung: Was sie enthalten muss
Die Datenschutzerklärung ist die wichtigste DSGVO-Pflichtdokumentation für deinen Shop. Sie muss vollständig, verständlich und aktuell sein. Viele Shopbetreiber verwenden veraltete Vorlagen oder vergessen wichtige Punkte – was direkt abmahnbar ist.
Folgende Angaben sind zwingend erforderlich:
- Name und Kontaktdaten des Verantwortlichen (dein Unternehmen)
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zwecke und Rechtsgrundlagen aller Datenverarbeitungen
- Angabe, welche Daten erhoben werden und wie lange sie gespeichert werden
- Empfänger der Daten (z.B. Zahlungsdienstleister, Versandunternehmen, Hosting-Anbieter)
- Übermittlung in Drittländer und Schutzmaßnahmen (z.B. USA-Transfers via PayPal, Google Analytics)
- Rechte der betroffenen Personen: Auskunft, Berichtigung, Löschung, Widerspruch, Datenübertragbarkeit
- Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde
Wichtig: Jeder Dienst, den du einbindest, muss einzeln beschrieben werden. Nutzt du Google Analytics, Facebook Pixel, Klaviyo für Newsletter oder Stripe für Zahlungen – all das gehört in die Datenschutzerklärung. Vergisst du einen Dienst, bist du angreifbar.
Cookie-Banner: Die häufigsten Fehler und wie du sie vermeidest
Der Cookie-Banner ist eines der sichtbarsten DSGVO-Elemente – und gleichzeitig eines der am häufigsten falsch umgesetzten. Der Europäische Gerichtshof hat 2019 klargestellt: Vorausgeklickte Checkboxen für Cookies sind unzulässig. Die Einwilligung muss aktiv erfolgen.
In der Praxis bedeutet das für deinen Onlineshop:
- Cookies, die nicht technisch notwendig sind, dürfen erst nach expliziter Einwilligung gesetzt werden
- Der „Ablehnen“-Button muss genauso sichtbar und leicht zugänglich sein wie der „Zustimmen“-Button
- Eine Einwilligung muss widerrufbar sein – der Link dazu muss im Footer oder im Datenschutz-Bereich ständig erreichbar sein
- Technisch notwendige Cookies (Session-Cookie, Login-Cookie, Warenkorb-Cookie) brauchen keine Einwilligung
Tools wie Usercentrics, Cookiebot oder Borlabs Cookie (für WooCommerce) helfen dabei, einen rechtskonformen Cookie-Banner umzusetzen. Borlabs Cookie kostet einmalig etwa 39 Euro für eine Domain und ist für WooCommerce-Shops weit verbreitet. Cookiebot bietet eine kostenlose Einstiegslösung für kleine Shops.
Ein häufiger Fehler: Google Analytics wird geladen, bevor der Nutzer zugestimmt hat. Das ist ein DSGVO-Verstoß – auch wenn das technisch einfach passiert, wenn das Tag Management nicht sauber konfiguriert ist.
Zahlungsabwicklung und DSGVO
Zahlungsdienstleister wie PayPal, Stripe, Klarna oder Mollie erhalten Kundendaten und verarbeiten diese auf ihren Servern. Als Onlineshop-Betreiber musst du das in deiner Datenschutzerklärung transparent machen.
Was du konkret tun musst:
- Jeden Zahlungsanbieter in der Datenschutzerklärung nennen und erklären, welche Daten weitergegeben werden
- Mit Anbietern außerhalb der EU (z.B. Stripe, das US-amerikanisch ist) einen sogenannten Auftragsverarbeitungsvertrag (AVV) abschließen – die meisten Anbieter bieten das online an
- Prüfen, ob der Anbieter auf EU-Servern oder in Drittländern verarbeitet, und entsprechende Schutzmaßnahmen benennen (z.B. Standardvertragsklauseln)
Seit dem Schrems-II-Urteil 2020 ist die Datenübertragung in die USA rechtlich heikel. Seit Juli 2023 gibt es das neue EU-US Data Privacy Framework, das die Datenweitergabe an zertifizierte US-Unternehmen wieder erleichtert. Trotzdem solltest du prüfen, ob deine US-Anbieter entsprechend zertifiziert sind.
Auftragsverarbeitungsverträge (AVV) – Wer braucht einen?
Wenn du Dienstleister einsetzt, die personenbezogene Daten deiner Kunden in deinem Auftrag verarbeiten, brauchst du einen Auftragsverarbeitungsvertrag (AVV). Das ist kein bürokratischer Formalkram – es ist Pflicht nach Art. 28 DSGVO.
Typische Dienstleister, mit denen du einen AVV benötigst:
| Dienstleister | AVV erforderlich? | Wo beantragen? |
|---|---|---|
| Webhosting (z.B. Hetzner, Strato) | Ja | Im Kundenbereich abrufbar |
| E-Mail-Marketing (Klaviyo, Mailchimp) | Ja | Im Account-Bereich |
| Google Analytics / GA4 | Ja | In den Google Analytics-Einstellungen |
| Zahlungsanbieter (Stripe, PayPal) | Nein (eigenverantwortlich tätig) | – |
| Versanddienstleister (DHL, DPD) | Nein (eigenverantwortlich tätig) | – |
| Cloud-Buchhaltung (Lexoffice, Datev) | Ja | Im Kundenbereich |
| CRM-Software (HubSpot, Salesforce) | Ja | Im Account oder auf Anfrage |
Zahlungsanbieter und Versanddienstleister gelten rechtlich als eigenverantwortliche Verantwortliche, nicht als deine Auftragsverarbeiter – deshalb kein AVV, aber dafür transparente Information in der Datenschutzerklärung.
Betroffenenrechte: So reagierst du richtig auf Anfragen
Kunden haben nach der DSGVO das Recht, zu fragen, welche Daten du über sie gespeichert hast. Sie können die Löschung verlangen. Sie können einer Verarbeitung widersprechen. Und sie haben das Recht auf Datenportabilität – also ihre Daten in einem maschinenlesbaren Format zu erhalten.
Für den Onlineshop-Alltag heißt das konkret:
- Auskunftsrecht (Art. 15 DSGVO): Innerhalb von einem Monat musst du vollständige Auskunft geben über alle Daten, die du über diese Person gespeichert hast – in Bestellhistorie, Newsletter-Listen, Analytics etc.
- Löschungsrecht (Art. 17 DSGVO): Du musst löschen, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen. Rechnungen müssen in Deutschland 10 Jahre aufbewahrt werden – der Rest der Kundendaten kann gelöscht werden.
- Widerspruchsrecht (Art. 21 DSGVO): Kunden können der Verarbeitung zu Marketingzwecken jederzeit widersprechen. Das musst du umgehend umsetzen.
Richte einen dedizierten Kontaktweg für Datenschutzanfragen ein – z.B. eine E-Mail-Adresse wie datenschutz@deinshop.de. Eingehende Anfragen solltest du dokumentieren, damit du nachweisen kannst, dass du fristgerecht reagiert hast.
Datenpannen: Was tun, wenn Kundendaten in falsche Hände geraten?
Ein Worst-Case-Szenario für jeden Shop-Betreiber: Ein Datenleck. Hacker haben deine Datenbank geknackt, ein Mitarbeiter hat versehentlich eine Kundenliste weitergeleitet, oder dein Hosting-Anbieter hatte einen Sicherheitsvorfall.
Die DSGVO schreibt vor: Schwerwiegende Datenpannen müssen innerhalb von 72 Stunden der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden. Bei Verletzungen, die voraussichtlich zu einem hohen Risiko für die Betroffenen führen, müssen auch die betroffenen Kunden benachrichtigt werden.
Vorbereitung ist hier alles. Du solltest ein einfaches Notfallprotokoll haben:
- Panne identifizieren und dokumentieren (wann, was, wie viele Betroffene)
- Sofortmaßnahmen: Sicherheitslücke schließen, betroffene Systeme isolieren
- Innerhalb von 72 Stunden Meldung an die Aufsichtsbehörde (in Deutschland je nach Bundesland unterschiedliche Behörden – z.B. BayLDA in Bayern, Hamburgischer Datenschutzbeauftragter in Hamburg)
- Falls nötig: Betroffene Kunden benachrichtigen
Datenschutz bei E-Mail-Marketing und Newslettern
Newsletter-Marketing gehört zu den effektivsten Kanälen im E-Commerce. Aber es ist auch ein DSGVO-Minentfeld. Das zentrale Stichwort lautet: Double-Opt-in.
Der Ablauf beim rechtskonformen Newsletter-Signup:
- Nutzer gibt E-Mail-Adresse ein und klickt auf „Anmelden“
- Automatische Bestätigungs-E-Mail wird verschickt
- Nutzer klickt auf den Bestätigungslink in der E-Mail
- Erst jetzt ist die Einwilligung wirksam
Alle gängigen E-Mail-Marketing-Tools (Klaviyo, Mailchimp, CleverReach, ActiveCampaign) unterstützen Double-Opt-in. Stelle sicher, dass du es aktiviert hast und die Einwilligungen mit Zeitstempel gespeichert werden – als Nachweis.
Kaufverhalten-basierte E-Mails nach einer Bestellung fallen unter die Vertragserfüllung, wenn sie direkt mit der Bestellung zusammenhängen (z.B. Versandbestätigung). Für Werbe-E-Mails an Bestandskunden gilt in Deutschland eine Ausnahme: Du darfst ähnliche Produkte bewerben, wenn der Kunde beim Kauf die Möglichkeit hatte, zu widersprechen und das nicht getan hat. Trotzdem ist Double-Opt-in auch für Bestandskunden die sicherste Lösung.
Google Analytics 4 und DSGVO: Das musst du wissen
Google Analytics ist das meistgenutzte Analysetool im E-Commerce – und gleichzeitig eines der DSGVO-problematischsten. Die österreichische Datenschutzbehörde hatte Google Analytics in 2022 als rechtswidrig eingestuft. Seither hat sich die Lage durch das EU-US Data Privacy Framework verbessert, aber das Thema bleibt komplex.
Für 2026 empfehle ich als jemand, der E-Commerce-Shops seit Jahren betreut, eine pragmatische Herangehensweise:
- Google Consent Mode v2 implementieren: Seit Anfang 2024 Pflicht für alle, die Google-Dienste mit Consent-Management nutzen. Das Consent Mode sorgt dafür, dass GA4 ohne Einwilligung keine personenbezogenen Daten sendet, aber verhaltensbasierte Modellierung verwendet.
- IP-Anonymisierung aktivieren: In GA4 standardmäßig aktiv, aber kontrollieren
- AVV mit Google abschließen: In den GA4-Einstellungen unter „Datenschutz“
- Alternativ: Datenschutzfreundliche Alternativen prüfen: Tools wie Matomo (selbst gehostet) oder Plausible erheben keine personenbezogenen Daten und brauchen je nach Konfiguration keine Cookie-Einwilligung
Bußgelder und Abmahnungen: Das echte Risiko für kleine Shops
Die Theorie der DSGVO-Strafen von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro ist bekannt. Die Praxis für kleine Onlineshops sieht anders aus, aber das beruhigt kaum.
Für kleine Shops unter 250.000 Euro Jahresumsatz sind die typischen Risiken:
- Abmahnungen durch Mitbewerber oder Verbraucherschutzorganisationen: Das ist das realistischere Risiko. Fehlendes Impressum, unvollständige Datenschutzerklärung oder fehlendes Widerrufsrecht werden aktiv abgemahnt. Abmahnungen kosten schnell 500 bis 1.500 Euro.
- Beschwerden von Kunden bei Aufsichtsbehörden: Aufsichtsbehörden können auch bei kleinen Shops tätig werden. Bußgelder im unteren vierstelligen Bereich sind für kleine Verstöße bei kleinen Unternehmen realistisch.
- Imageschaden: Ein öffentlich bekannter Datenschutzvorfall kostet Vertrauen und damit Kunden – oft mehr als das Bußgeld selbst.
Datenschutzbeauftragter: Wann brauchst du einen?
Nicht jeder Onlineshop braucht einen Datenschutzbeauftragten (DSB). In Deutschland gilt: Du benötigst einen DSB, wenn du in deinem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigst. Für die meisten kleinen und mittleren Onlineshops entfällt diese Pflicht damit.
Auch wenn kein DSB Pflicht ist, kann es sinnvoll sein, einen externen Berater hinzuzuziehen – zumindest für die initiale DSGVO-Prüfung. Externe DSBs kosten je nach Umfang zwischen 500 und 2.000 Euro pro Jahr. Das ist für die meisten Shop-Betreiber gut investiertes Geld, wenn man die Abmahnrisiken dagegen hält.
DSGVO-Checkliste für deinen Onlineshop
Hier eine praktische Übersicht der wichtigsten Punkte, die du umgesetzt haben solltest:
| Bereich | Pflicht-Maßnahme | Status |
|---|---|---|
| Datenschutzerklärung | Vollständig, aktuell, alle Dienste genannt | Prüfen |
| Cookie-Banner | Aktive Einwilligung, Ablehnen-Option gleichwertig | Prüfen |
| AVV | Mit Hosting, Analytics, E-Mail-Marketing abgeschlossen | Prüfen |
| Newsletter | Double-Opt-in aktiviert, Einwilligungen gespeichert | Prüfen |
| Google Analytics | Consent Mode v2 implementiert | Prüfen |
| Betroffenenrechte | Kontaktweg eingerichtet, Reaktionsprozess definiert | Prüfen |
| Datenpannen | Notfallprotokoll vorhanden | Prüfen |
| Löschfristen | Datenlöschung nach Ablauf definiert | Prüfen |
Weitere wichtige Themen für deinen Onlineshop findest du in unserem Leitfaden zum Onlineshop erstellen, der dir den gesamten Aufbauprozess erklärt, sowie in unserem Artikel zu den rechtlichen Anforderungen für Onlineshops, wo wir Impressumspflicht, Widerrufsrecht und AGB ausführlich behandeln.
Häufige Fragen zur DSGVO im Onlineshop
Brauche ich eine Datenschutzerklärung, auch wenn ich nur wenige Bestellungen habe?
Ja, absolut. Die DSGVO gilt unabhängig von der Größe deines Shops oder der Anzahl deiner Bestellungen. Sobald du personenbezogene Daten verarbeitest – und das tust du ab dem ersten Besuch auf deiner Seite – brauchst du eine vollständige Datenschutzerklärung. Ausnahmen gibt es nicht.
Darf ich Kundendaten für Werbezwecke nutzen, wenn ich keinen Newsletter habe?
Für direkte Werbeansprache per E-Mail oder Telefon brauchst du immer eine explizite Einwilligung oder kannst dich auf die begrenzte Bestandskundenausnahme berufen. Interne Analysen deiner eigenen Kaufdaten zur Shopoptimierung können auf das berechtigte Interesse gestützt werden – das muss aber in deiner Datenschutzerklärung transparent gemacht werden.
Was muss ich tun, wenn ein Kunde die Löschung seiner Daten verlangt?
Du musst innerhalb eines Monats alle personenbezogenen Daten löschen, für die keine gesetzliche Aufbewahrungspflicht besteht. Rechnungen und buchhalterisch relevante Daten müssen 10 Jahre aufbewahrt werden – alles andere (z.B. Name, Adresse, E-Mail ohne Rechnungsbezug) ist zu löschen. Die Löschung muss auch bei allen Auftragsverarbeitern (Hosting, CRM etc.) veranlasst werden.
Ist Google Analytics noch legal zu nutzen?
Mit korrekter Implementierung ja: Google Consent Mode v2, AVV mit Google, und keine Datenverarbeitung ohne Einwilligung. Wer ganz sicher gehen möchte, nutzt datenschutzfreundliche Alternativen wie Matomo (selbst gehostet) oder Plausible Analytics, die ohne personenbezogene Daten auskommen.
Muss ich jeden Kunden fragen, bevor ich seine Bestellung verarbeite?
Nein. Die Verarbeitung von Bestelldaten (Name, Adresse, Zahlungsdaten) zur Vertragserfüllung ist nach Art. 6 Abs. 1 lit. b DSGVO ohne gesonderte Einwilligung erlaubt. Du musst den Kunden lediglich in deiner Datenschutzerklärung informieren, welche Daten du zu welchem Zweck verarbeitest.
Fazit: DSGVO als Qualitätsmerkmal, nicht nur als Pflicht
Datenschutz im Onlineshop ist mehr als ein rechtliches Muss. Kunden, die ihrem Shop vertrauen, kaufen häufiger und empfehlen ihn weiter. Ein transparenter Umgang mit Daten ist heute ein Wettbewerbsvorteil – gerade gegenüber Shops, die beim Datenschutz schludern.
Der pragmatische Weg für 2026: Starte mit einer aktuellen Datenschutzerklärung (generator.datenschutzbeauftragter-info.de bietet eine kostenlose Vorlage), implementiere einen sauberen Cookie-Banner, schließe die wichtigsten AVVs ab und richte einen Kontaktweg für Datenschutzanfragen ein. Das reicht für den Anfang – und schützt dich vor den gröbsten Risiken.
