DSGVO im E-Commerce: So schützt du deinen Shop

In diesem Guide bekommst du pragmatische Lösungen, wie du Datenschutz in deinem Shop nicht nur umsetzt, sondern als echten Vorteil nutzt.

Was bedeutet die DSGVO für Online-Shops?

Die DSGVO (Datenschutz-Grundverordnung) ist seit dem 25. Mai 2018 in der gesamten EU verbindlich – und für Online-Shops ein zentrales Thema. Sie gilt für alle Unternehmen – unabhängig vom Unternehmenssitz –, die personenbezogene Daten von Kunden in der EU verarbeiten. Das betrifft also auch Shops aus der Schweiz, den USA oder dem Vereinigten Königreich, sofern sie ihre Waren oder Dienstleistungen (auch kostenlos) an Kunden in der EU anbieten.

Was ist das Ziel der DSGVO?

Kernziel ist es, einen einheitlichen Datenschutzstandard zu schaffen und allen Personen mehr Kontrolle über ihre Daten zu geben – besonders relevant im E-Commerce, wo täglich große Mengen personenbezogener Daten verarbeitet werden.

Was sind personenbezogene Daten?

Die DSGVO versteht unter personenbezogenen Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Im Kontext eines Online-Shops sind das typischerweise:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer
• IP-Adresse
• Liefer- und Rechnungsadresse
• Zahlungsdaten (z. B. Kreditkartendaten, PayPal-ID)
• Nutzungsverhalten (Klicks, Käufe, Verweildauer)

Auch Gerätekennungen, Standortdaten oder Tracking-Cookies können personenbezogene Daten sein – wenn sie Rückschlüsse auf eine Person zulassen.

Gilt die DSGVO auch für kleine Shops?

Ja – es gibt keine Ausnahmen. Selbst Einzelunternehmer mit einem WooCommerce- oder Shopify-Shop müssen die DSGVO vollständig umsetzen, sobald sie personenbezogene Daten von EU-Bürgern verarbeiten. Entscheidend ist nicht die Größe, sondern ob Daten verarbeitet werden.

Was droht bei Verstößen?

Wer sich nicht an die DSGVO hält, muss mit folgenden Konsequenzen rechnen:

• Bußgelder: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (Quelle: Artikel 83 DSGVO, eur-lex.europa.eu).
• Abmahnungen – z. B. bei fehlender oder fehlerhafter Datenschutzerklärung
• Rechtliche Auseinandersetzungen – z. B. wenn Auskunfts- oder Löschrechte verletzt werden

Laut einer Cisco-Studie würden 96 % der deutschen Verbraucher nicht bei einem Shop kaufen, dem sie in puncto Datenschutz nicht vertrauen (Quelle: Cisco).

Wichtige Begriffe kurz erklärt

• Personenbezogene Daten: Alle Infos, die eine Person identifizieren können – z. B. Name, E-Mail, IP-Adresse, Zahlungsdaten.
• Einwilligung (Opt-in): Aktive Zustimmung zur Datennutzung – z. B. durch Ankreuzen eines Feldes beim Newsletter.
• Berechtigtes Interesse: Datenverarbeitung ist erlaubt, wenn sie legitimen Interessen dient und die Rechte der betroffenen Personen nicht überwiegen – z. B. IP-Speicherung zur Betrugsprävention.
• Auftragsverarbeitung (AV): Verarbeitung personenbezogener Daten durch einen Dienstleister (Auftragsverarbeiter) im Auftrag eines Unternehmens (Verantwortlicher). Der Auftragsverarbeiter handelt ausschließlich auf Weisung des Verantwortlichen und darf die Daten nicht für eigene Zwecke nutzen.
• Betroffenenrechte: Personen, deren Daten verarbeitet werden, haben laut DSGVO zahlreiche Rechte. Dazu gehören insbesondere das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie das Recht auf Beschwerde bei einer Aufsichtsbehörde.

DSGVO in der Praxis: Deine Pflichten als Shopbetreiber

Die DSGVO ist kein bloßes Bürokratie-Monster – sie gibt dir als Shopbetreiber klare Regeln an die Hand. Wenn du diese kennst und umsetzt, schützt du nicht nur deine Kunden, sondern auch dein Business.

Hier sind die vier wichtigsten Prinzipien, die du in deinem Online-Shop beachten musst:

1. Rechtmäßigkeit & Transparenz

Du darfst personenbezogene Daten nur dann verarbeiten, wenn es dafür eine rechtliche Grundlage gibt. Für Online-Shops besonders relevant:

• Einwilligung – z. B. für Newsletter oder Tracking
• Vertragserfüllung – z. B. zur Abwicklung von Bestellungen
• Berechtigtes Interesse – z. B. zur Betrugsprävention oder IT-Sicherheit

Weitere Rechtsgrundlagen wie lebenswichtige Interessen, gesetzliche Verpflichtungen oder Aufgaben im öffentlichen Interesse sind zwar in der DSGVO vorgesehen, spielen im E-Commerce jedoch in der Regel keine praktische Rolle.

Beispiel: Auf der Grundlage der Vertragserfüllung darfst du die E-Mail-Adresse eines Kunden für die Bestellbestätigung nutzen – aber nicht ohne Einwilligung für Werbezwecke.

2. Zweckbindung & Datenminimierung

Erhebe und nutze nur so viele Daten, wie du wirklich brauchst – und nur für den angegebenen Zweck.

• Kein Geburtsdatum bei einem einfachen Produktkauf
• Keine Weitergabe oder Nutzung zu anderen Zwecken ohne neue Einwilligung

3. Speicherbegrenzung & Löschpflicht

Daten dürfen nicht „auf Vorrat“ gespeichert werden. Sobald der Zweck entfällt oder gesetzliche Fristen ablaufen, musst du sie löschen.

Beispiel: Bestelldaten müssen aufgrund steuer- und handelsrechtlicher Vorschriften – konkret nach § 147 AO (Abgabenordnung) und § 257 HGB (Handelsgesetzbuch) – in der Regel bis zu zehn Jahre aufbewahrt werden. Danach greift der DSGVO-Grundsatz der Datenminimierung: Die Daten dürfen nicht länger gespeichert werden, als es für den jeweiligen Zweck erforderlich ist – sie sollten also nach Fristablauf gelöscht oder anonymisiert werden.

4. Technische & organisatorische Maßnahmen (TOMs)

Du bist verpflichtet, Daten vor Missbrauch, Verlust oder Zugriff zu schützen. Dazu gehören unter anderem:

• TLS/SSL-Verschlüsselung
• Zugriffskontrollen (z. B. per 2-Faktor-Authentifizierung)
• Backups und Wiederherstellungsstrategien
• Firewalls, Monitoring, Sicherheitsupdates

Datenschutzerklärung & Consent Management

Eine DSGVO-konforme Datenschutzerklärung und ein sauberes Einwilligungsmanagement sind die Basis jeder rechtssicheren Datenschutzstrategie im E-Commerce.

Datenschutzerklärung: Was gehört rein?

Deine Datenschutzerklärung sollte nicht nur vorhanden, sondern auch verständlich, leicht auffindbar und aktuell sein. Sie muss alle relevanten Verarbeitungstätigkeiten transparent erklären – inklusive Tools und Drittanbieter.

Pflichtinhalte einer Datenschutzerklärung gemäß Art. 13 DSGVO im Überblick:

• Welche personenbezogenen Daten werden erhoben? (z. B. Name, E-Mail-Adresse, IP-Adresse)
• Zu welchem Zweck erfolgt die Verarbeitung? (z. B. Bestellabwicklung, Webanalyse, Marketing)
• Auf welcher Rechtsgrundlage erfolgt die Verarbeitung? (z. B. Einwilligung, Vertragserfüllung)
• Welche berechtigten Interessen werden verfolgt? (sofern Art. 6 Abs. 1 lit. f DSGVO einschlägig ist)
• Wie lange werden die Daten gespeichert bzw. nach welchen Kriterien wird die Dauer bestimmt?
• Wer sind die Empfänger oder welche Kategorien von Empfängern erhalten die Daten? (z. B. Zahlungsdienste, Tracking-Anbieter)
• Findet ein Datentransfer in ein Drittland statt – und auf welcher Rechtsgrundlage? (z. B. EU-US Data Privacy Framework oder Standardvertragsklauseln)
• Welche Rechte haben betroffene Personen? (Die Rechte stehen fest: Auskunft, Widerspruch, Widerruf bei Einwilligungen, Berichtigung, Löschung/Einschränkung der Verarbeitung, Datenübertragbarkeit, Beschwerde bei der Aufsichtsbehörde)
• Besteht ein Widerrufsrecht bei erteilter Einwilligung?
• Werden automatisierte Entscheidungen einschließlich Profiling durchgeführt?
• Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten

Praxis-Tipp: Nutze Generatoren wie den Datenschutz-Generator von eRecht24 oder Datenschutzexperte.de, um eine rechtssichere Datenschutzerklärung zu erstellen.
Mehr dazu: Wie du deinen Shop rechtssicher aufstellst und eine DSGVO-konforme Datenschutzstrategie entwickelst, erfährst du in unserem Leitfaden ➝ Datenschutzkonformität für Online-Shops.

Einwilligungen einholen: So machst du's richtig

Viele Prozesse in deinem Shop erfordern eine aktive, freiwillige und informierte Einwilligung – etwa bei:

• Newsletter-Anmeldungen
• Tracking & Analyse-Tools
• Remarketing (z. B. Meta Pixel)
• Einbindung externer Medien (z. B. YouTube-Videos)

Wichtige Kriterien für gültige Einwilligungen:

• Freiwillig – Keine Nachteile bei Ablehnung
• Informiert – Zweck muss klar sein
• Eindeutig – Kein vorangekreuztes Häkchen
• Nachweisbar – Zeitpunkt & Inhalt dokumentieren
• Widerrufbar – Jederzeit mit einem Klick (z. B. per Footer-Link)

Praxisbeispiel: Beim Newsletter ist ein Double-Opt-in Pflicht – d. h. Anmeldung + Bestätigung per E-Mail.

Consent Management: Technisch korrekt umsetzen

Ein Cookie-Banner oder Pop-up allein reicht nicht – die technische Umsetzung muss DSGVO- & TTDSG-konform sein.

Dein Banner muss:

• Standardmäßig alle optionalen Cookies deaktivieren
• Eine echte Wahlmöglichkeit bieten („Ablehnen“ ≠ versteckt)
• Keine Skripte vor Zustimmung laden
• Transparent zeigen, welche Dienste aktiv sind
• Eine einfache Änderung der Auswahl ermöglichen (z. B. über Footer-Link „Cookie-Einstellungen“)

Praxis-Tipp: Tools wie Consentmanager oder Iubenda bieten DSGVO- und TTDSG-konforme Lösungen – inklusive automatischer Blockierung nicht erlaubter Cookies und einfacher Integration in Shopsysteme.

Tracking, Newsletter & Remarketing – was ist erlaubt?

Tracking-Tools, Newsletter-Marketing und personalisierte Werbung gehören zum E-Commerce-Alltag – doch sie greifen in die Privatsphäre ein. Die DSGVO (und in Deutschland zusätzlich das TTDSG) stellt klare Regeln auf: ohne Einwilligung – keine Datenverarbeitung.

Newsletter: Nur mit Double-Opt-in

E-Mail-Marketing ist effektiv – aber nur erlaubt, wenn Empfänger:innen aktiv zugestimmt haben.

Worauf du achten musst:

• Double-Opt-in: Anmeldung + Bestätigungslink in der E-Mail
• Keine versteckten oder vorangekreuzten Häkchen: Die Zustimmung muss aktiv erfolgen – Häkchen dürfen nicht vorausgewählt sein.
• Klarer Hinweis auf Zweck, Inhalt und Frequenz: z. B. „Monatliche technische Hinweise zu unseren Produkten und Services“
• Jeder Newsletter braucht einen Abmelde-Link

Tipp: E-Mail-Marketing-Tools wie Mailchimp oder CleverReach speichern alle Einwilligungen rechtskonform.

Webtracking: Nur nach aktiver Zustimmung

Tools wie Google Analytics, Meta Pixel oder Hotjar erfassen personenbezogene Daten – etwa IP-Adressen, Nutzungsverhalten oder Cookies. Damit solche Tools DSGVO-konform eingesetzt werden können, gilt:

• Tracking erst nach Einwilligung aktivieren: Skripte dürfen nur dann geladen werden, wenn eine gültige Zustimmung vorliegt – z. B. über ein Consent-Banner.
• IP-Adressen anonymisieren: Bei Google Analytics 4 ist die IP-Anonymisierung verpflichtend und sollte korrekt eingerichtet sein.
• Einwilligungen protokollieren: Nutze eine Consent Management Platform wie Consentmanager oder Iubenda, um Einwilligungen nachvollziehbar zu dokumentieren.
• Datenübertragung in Drittländer absichern: Erfolgt eine Übermittlung personenbezogener Daten in ein Drittland, müssen geeignete Garantien vorliegen – z. B. Standardvertragsklauseln (SCCs). Bei US-Anbietern zusätzlich prüfen, ob sie nach dem EU-US Data Privacy Framework zertifiziert sind.

Alternative: DSGVO-freundliche Tools wie Matomo oder Piwik PRO, die am besten auf eigenen Servern betrieben oder mindestens innerhalb der EU gehostet werden.

Remarketing & Retargeting: Nur mit Opt-in

Remarketing über z. B. Meta, TikTok oder Google Ads nutzt Cookies, IDs und Nutzerdaten – daher streng geregelt:

• Nur nach Opt-in für Marketing-Cookies aktivieren
• In der Datenschutzerklärung nennen
• Auftragsverarbeitungsvertrag (AVV) mit Anbietern abschließen – und bei Anbietern aus Drittländern zusätzlich Standardvertragsklauseln (SCCs) verwenden
• Auch bei Server-to-Server-Lösungen (z. B. Meta Conversions API) gelten dieselben Pflichten!

Blick über den Tellerrand: Datenschutz weltweit

Auch außerhalb der EU gelten Datenschutzgesetze – mit teils deutlich anderen Regeln:

• USA – CCPA (California Consumer Privacy Act): Opt-out-Modell – Nutzer müssen der Datenverarbeitung widersprechen, statt ihr aktiv zuzustimmen.
• Brasilien – LGPD (Lei Geral de Proteção de Dados): Sehr ähnlich zur DSGVO, aber mit eigenen Vorgaben für Datenschutzbeauftragte (DPO).
• China – PIPL (Personal Information Protection Law): Besonders strenge Regeln bei sensiblen Daten. Für Datentransfers ins Ausland ist eine staatliche Genehmigung erforderlich.

Tipp: Wer international verkauft, sollte insbesondere das Consent-Management und die Datenschutzerklärung an die jeweiligen rechtlichen Anforderungen im Zielmarkt anpassen.

Technische Sicherheit – Hosting, Zugriff & Backups

Datenschutz ist nicht nur eine juristische, sondern auch eine technische Verantwortung. Die DSGVO verpflichtet Online-Shops dazu, personenbezogene Daten durch technische und organisatorische Maßnahmen (TOMs) vor Verlust, unbefugtem Zugriff oder Manipulation zu schützen.

Verschlüsselung: Deine erste Verteidigungslinie

Was Pflicht ist:

• TLS/SSL-Verschlüsselung für alle Verbindungen → Deine Website muss per https:// erreichbar sein
• Ende-zu-Ende-Verschlüsselung für besonders sensible Daten (z. B. Zahlungsinformationen)
• Datenbankverschlüsselung mit z. B. AES-256-Standard

Praxisbeispiel: Zahlungsdaten im Checkout werden per TLS übertragen, pseudonymisiert gespeichert und nach der Abwicklung gelöscht.

Zugriffskontrolle & Identitätsmanagement

Nicht jeder Mitarbeitende sollte Zugriff auf alle Kundendaten haben. Deshalb verlangt die DSGVO ein Konzept für rollenbasierte Zugriffskontrolle (RBAC).

Deine Aufgaben als Shopbetreiber:

• Zugriffsrechte einschränken: Nur wer Daten braucht, darf sie sehen.
• Admin-Bereiche mit 2FA absichern – z. B. per Authenticator-App oder YubiKey.
• Sitzungen regelmäßig sperren oder abmelden (Session-Timeouts).
• Passwortmanagement implementieren: Komplexe, regelmäßig rotierende Zugangsdaten.

Tipp: Passwortmanager wie 1Password oder Bitwarden erleichtern die sichere Verwaltung von Logins.

Backups & Notfallpläne

Datenverlust kann aus verschiedenen Gründen passieren – ob durch technische Fehler, Ransomware-Angriffe oder menschliches Versagen. Backups retten im Ernstfall nicht nur den Shopbetrieb, sondern auch die DSGVO-Compliance.

Best Practices für Backups:

• Regelmäßige inkrementelle Backups deiner Datenbank und Systeme
• Verschlüsselte Offsite-Backups, z. B. in einem zweiten Rechenzentrum
• Georedundante Speicherung (mindestens EU-basiert, ISO 27001-zertifiziert)
• Disaster-Recovery-Tests: Backup ist nur gut, wenn es sich wiederherstellen lässt

Hosting: Warum dein Anbieter DSGVO-konform sein muss

Ein sicherer Online-Shop beginnt beim Fundament – beim Hosting. Hosting-Anbieter gelten nach DSGVO in der Regel als Auftragsverarbeiter, da sie personenbezogene Daten im Auftrag verarbeiten – unabhängig davon, ob sie aktiv darauf zugreifen. Das bedeutet:

• Du musst einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abschließen.
• Der Anbieter sollte DSGVO-konform hosten – idealerweise innerhalb der EU.
• Zertifizierungen wie ISO 27001 oder SOC 2 geben zusätzliche Sicherheit.

Ein Beispiel für DSGVO-konformes Managed Hosting ist maxcluster, das folgende Sicherheitsmaßnahmen bietet:

• ISO 27001-zertifizierte Rechenzentren für höchste Sicherheit.
• Regelmäßige Backups & redundante Infrastruktur, um Datenverluste zu vermeiden.
• Verschlüsselte Speicherung und ein differenziertes Berechtigungsmanagement zur Kontrolle des Datenzugriffs.

Zahlungsabwicklung & Drittanbieter – worauf du achten musst

Zahlungsprozesse sind besonders sensibel: Hier laufen personenbezogene Daten, Zahlungsinformationen und Sicherheitsanforderungen zusammen. Wenn du Drittanbieter wie PayPal, Klarna, Stripe oder Amazon Pay nutzt, musst du genau wissen, wer wofür verantwortlich ist – und ob die DSGVO eingehalten wird.

Wer trägt die Verantwortung?

Ein häufiger Irrtum: Zahlungsanbieter wie PayPal, Klarna oder Stripe sind nicht automatisch Auftragsverarbeiter. In der Praxis agieren sie meist als eigenständig Verantwortliche – etwa bei der Zahlungsabwicklung, Bonitätsprüfung oder Betrugserkennung.

Was du tun solltest:

• Prüfe den rechtlichen Status jedes Anbieters
• Schließe ggf. einen AV-Vertrag
• Informiere transparent in der Datenschutzerklärung:
  ○ Welche Zahlungsdienste du nutzt
  ○ Warum Daten verarbeitet werden
  ○ Ob ein Datentransfer in Drittländer erfolgt
  ○ Verlinke auf die Datenschutzerklärungen der Anbieter

Technische Sicherheit: Zahlungsdaten schützen

Die DSGVO verlangt neben Transparenz auch technische Schutzmaßnahmen, insbesondere:

• TLS/SSL-Verschlüsselung für alle Zahlungsseiten
• PCI-DSS-konforme Gateways, wenn du Kreditkartenzahlung anbietest
• Tokenisierung: Kreditkartendaten nicht speichern, sondern durch Tokens ersetzen
• 3D Secure aktivieren (z. B. bei Visa & Mastercard)

Mehr dazu: Wie du PCI-DSS-Compliance in deinem Online-Shop sicherstellst, erfährst du in unserem Artikel ➝ PCI-DSS: Das müssen E-Commerce-Händler wissen!

Datenminimierung: Weniger ist mehr

Gib nur die Daten weiter, die für die Zahlungsabwicklung wirklich notwendig sind.

Beispiele:

• Keine Telefonnummer an PayPal übermitteln, wenn sie nicht benötigt wird
• Adressdaten nur übermitteln, wenn sie zur Risikobewertung oder Authentifizierung erforderlich sind

Prüfe regelmäßig deine Schnittstellen, Zahlungs-Plugins und die übermittelten Felder – insbesondere bei automatisierten Schnittstellen.

Barrierefreiheit & Datenschutz – ab 2025 Pflicht

Ab dem 28. Juni 2025 wird Barrierefreiheit für viele Online-Shops zur gesetzlichen Pflicht – basierend auf dem Barrierefreiheitsstärkungsgesetz (BFSG). Ziel: Menschen mit Einschränkungen den gleichberechtigten Zugang zu digitalen Angeboten zu ermöglichen.

Was bedeutet das für deinen Shop?

Websites müssen künftig u. a. per Tastatur bedienbar, logisch strukturiert und mit Alt-Texten versehen sein. Besonders kritisch: Formularfelder, Cookie-Banner und Login-Prozesse – sie müssen auch für Screenreader oder assistive Technologien nutzbar sein.

Datenschutz & Barrierefreiheit greifen hier ineinander, z. B. bei der Darstellung von Consent-Bannern oder der Nutzung datenschutzkonformer CAPTCHA-Alternativen.

Tipp: Nutze Accessibility-Checks (z. B. Google Lighthouse, WAVE), um Schwachstellen zu erkennen und frühzeitig anzupassen.

Detaillierte Umsetzungstipps und Praxisbeispiele findest du im Beitrag Barrierefreier Onlineshop: So setzt du die Anforderungen um.

Interne Rechenschaftspflicht: Nicht vergessen!

Die DSGVO verlangt nicht nur sichere Prozesse – du musst sie auch nachvollziehbar dokumentieren. Das bedeutet konkret:

• AV-Verträge mit allen Dienstleistern prüfen und aktuell halten
• Einwilligungen revisionssicher protokollieren
• Datenschutzprozesse (z. B. Löschroutinen, Zugriffskontrollen) schriftlich festhalten
• Interne Datenschutzrichtlinien regelmäßig aktualisieren und im Team kommunizieren

Tipp: Nutze Vorlagen vom BfDI oder Tools wie DataGuard, heyData oder pridatect, um den Aufwand zu reduzieren.

Fazit

Die DSGVO stellt klare Anforderungen an den Datenschutz im E-Commerce – von der transparenten Datenschutzerklärung über sauberes Consent Management bis hin zu technischen Schutzmaßnahmen wie Verschlüsselung und Zugriffskontrolle. Wer diese Anforderungen ernst nimmt, schützt nicht nur Kundendaten, sondern erfüllt auch seine rechtlichen Pflichten und stärkt das Vertrauen der Kundschaft.

Datenschutz ist kein Einmalprojekt – sondern ein kontinuierlicher Prozess, der regelmäßig überprüft und angepasst werden muss.

Hinweis: Die Inhalte dieses Blogbeitrags dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung dar. Obwohl wir uns bemühen, die bereitgestellten Informationen aktuell und korrekt zu halten, übernehmen wir keine Gewähr für deren Richtigkeit, Vollständigkeit oder Aktualität. Die Umsetzung gesetzlicher Vorgaben erfolgt auf eigene Verantwortung. Bei konkreten rechtlichen Fragestellungen empfehlen wir, einen fachkundigen Rechtsberater zu konsultieren.

Veröffentlicht am 22.05.2025 | DSGVO im E-Commerce: So schützt du deinen Shop | KS