DSGVO im E-Commerce (Teil 2)

12.06.2025

Du kennst die DSGVO-Grundlagen – aber in der Praxis wird es erst richtig spannend. Was passiert, wenn Agenturen, Tracking-Tools oder internationale Anbieter ins Spiel kommen?

In Teil 2 erfährst du, wie du deine Datenschutzstrategie aufs nächste Level hebst – mit klaren Verantwortlichkeiten, datensicheren Tools und praxistauglichen Workflows. Kein Juristendeutsch – sondern konkrete Hilfe für deinen Shop-Alltag.

Rollen & Verantwortlichkeiten im Datenschutz

Hände auf Laptop-Tastatur mit Datenschutzsymbolen – Schloss, Monitor, Chat, Internet, E-Mail und Smartphone – symbolisieren IT-Sicherheit und DSGVO im Onlinehandel. Datenschutz im E-Commerce | Quelle: Canva

Ob Agentur, Hosting-Anbieter oder Analyse-Tool: Sobald du mit externen Partnern zusammenarbeitest, stellt sich die zentrale Frage – wie wird die Verantwortung für personenbezogene Daten korrekt verteilt?

In diesem Teil klären wir, wie du Auftragsverarbeitung, gemeinsame oder eigene Verantwortung rechtssicher einordnest – und welche Verträge du dafür brauchst.

Auftragsverarbeitung oder gemeinsame Verantwortung?

Ob eine Agentur als Auftragsverarbeiter oder (Mit-)Verantwortlicher gilt, hängt davon ab, wer über den Zweck und die Mittel der Datenverarbeitung entscheidet.

Mehr zu den Grundlagen der Auftragsverarbeitung findest du in Teil 1 dieser Blogserie.

In der Praxis ist vor allem wichtig, dass du bei jeder Zusammenarbeit prüfst, wie die Rollen verteilt sind – und ob ein AV-Vertrag oder eine Vereinbarung zur gemeinsamen Verantwortung notwendig sind.

Auftragsverarbeitung (Art. 28 DSGVO)

Die Agentur handelt ausschließlich in deinem Auftrag – zum Beispiel bei:

Systempflege oder technische Betreuung
Webanalyse mit überlassenen Daten
Erstellung und Versand von Newslettern über Tools wie CleverReach oder Mailchimp

In diesem Fall brauchst du einen schriftlichen Auftragsverarbeitungsvertrag (AVV), der unter anderem folgende Punkte regelt:

Art und Zweck der Datenverarbeitung
Kategorien der verarbeiteten Daten
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs)
Unterstützung bei Betroffenenrechten

Grafik mit sechs zentralen Elementen der Datenverarbeitung laut DSGVO: Unterstützung der Rechte, Art der Datenverarbeitung, Datenkategorie, Pflichten des Verantwortlichen, Technische Maßnahmen – jeweils mit Icons in farbiger Darstellung. Elemente der Datenverarbeitung gemäß DSGVO | Quelle: maxcluster

Gemeinsame Verantwortung (Art. 26 DSGVO)

Eine gemeinsame Verantwortung liegt vor, wenn Shop und Agentur gemeinsam über Zweck und Mittel der Datenverarbeitung entscheiden – etwa bei:

gemeinsam entwickelten Kampagnenplattformen
Co-Branding-Projekten
Kundenbindungsprogrammen mit abgestimmtem CRM-Zugriff

Praxisbeispiel:

Der Shop legt Retargeting-Ziele fest.
Die Agentur entwickelt das Tracking-Konzept und wertet Daten aus.
Beide bestimmen gemeinsam, welche Daten erfasst und wie lange gespeichert werden.

Was ist zu tun?

Dann brauchst du eine schriftliche Vereinbarung nach Art. 26 DSGVO, in der geregelt ist:

Wer welche Aufgaben übernimmt (z. B. bei Auskunfts- oder Löschanfragen)
Wie betroffene Personen informiert werden
Wer als zentraler Ansprechpartner fungiert

Außerdem:

Die Verarbeitung muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
Je nach Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

Was häufig schiefläuft

In der Praxis gibt es häufig diese Stolpersteine:

Kein AV-Vertrag trotz Datenverarbeitung durch Dritte
Tracking-Tools ohne vorherige Einwilligung eingebunden
Zusammenarbeit mit Agenturen ohne Rollenklarheit
Tools mit Drittlandtransfer ohne Prüfung der Rechtsgrundlage
Kein Update der vertraglichen Basis bei Tool- oder Gesetzesänderungen

Kreisgrafik mit sechs häufigen DSGVO-Compliance-Herausforderungen: Veraltete Verträge, Drittlandtransfers, Unklare Rollen, Fehlende AV-Verträge, Tracking ohne Einwilligung – dargestellt mit Icons und farblicher Kennzeichnung. Typische DSGVO-Herausforderungen im E-Commerce | Quelle: maxcluster

Wer haftet im Ernstfall?

Verantwortlich im Sinne von Art. 4 Abs. 7 DSGVO ist die Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet – also in der Regel der Shopbetreiber.
Agenturen haften nur dann eigenständig, wenn sie:

ohne vertragliche Grundlage agieren oder
sich nicht an die vereinbarten Regeln halten.

Bei reiner Auftragsverarbeitung liegt die Hauptverantwortung beim Shop.

Eigene Verantwortung von Dienstleistern

Nicht jede externe Zusammenarbeit ist eine Auftragsverarbeitung. Manche Anbieter entscheiden eigenständig über die Verarbeitung – in diesem Fall handelt es sich um eigene datenschutzrechtliche Verantwortung.

Typische Beispiele:

Zahlungsdienstleister (z. B. PayPal, Klarna, Stripe)
Versand- und Logistikunternehmen
Steuerberater und Anwaltskanzleien

Für diese Fälle ist kein AV-Vertrag erforderlich, aber:

Die Verarbeitung muss transparent in der Datenschutzerklärung dargestellt werden.
Es reicht, die Kategorie des Empfängers zu nennen (z. B. „Zahlungsdienstleister“, nicht „Klarna“).
Drittlandtransfers müssen mit Rechtsgrundlage angegeben werden (z. B. SCCs oder DPF-Zertifizierung).

Checkliste: Zusammenarbeit mit Dienstleistern

Bevor du ein neues Tool nutzt oder mit einer Agentur zusammenarbeitest, prüfe:

Wer entscheidet über den Zweck und Mittel der Datenverarbeitung?
Liegt Auftragsverarbeitung oder gemeinsame Verantwortung vor?
Gibt es einen schriftlichen Vertrag (AVV oder Art. 26-Vereinbarung)?
Wurde geprüft, ob der Dienstleister eigene Verantwortung trägt?
Wurde die Rolle korrekt in der Datenschutzerklärung und im Verzeichnis dokumentiert?

Zusammenfassung: Welche Verantwortung liegt wo?

Art der Zusammenarbeit	Beispiel	Vertrag notwendig?
Auftragsverarbeitung	Hosting, Newsletter-Tool	AV-Vertrag (Art. 28 DSGVO)
Gemeinsame Verantwortung	Kampagnenplattform	Vereinbarung nach Art. 26 DSGVO
Eigene Verantwortung	Zahlungsanbieter, Logistikdienstleister	Kein AVV, aber Info in Datenschutzerklärung

Daten in den USA? So bleibst du DSGVO-konform

Du nutzt bereits Tools wie Google, Meta oder Stripe? Dann weißt du: Sobald personenbezogene Daten in ein Drittland übermittelt werden, gelten besonders strenge Anforderungen.

In Teil 1 haben wir die Grundlagen geklärt – hier zeigen wir dir, wie du konkret prüfst, ob ein Anbieter DSGVO-konform arbeitet, welche Alternativen du hast und was du beim Einsatz beachten musst.

Check: Drittanbieter mit Sitz in den USA

Ist der Anbieter nach DPF zertifiziert?
Welche Datenarten werden übertragen (z. B. Zahlungsdaten)?
Gibt es ergänzende Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung)?
Ist die Datenverarbeitung dokumentiert und in der Datenschutzerklärung erklärt?

Der aktuelle Rechtsrahmen: EU-US Data Privacy Framework (DPF)

Seit Juli 2023 ist ein Datentransfer in die USA wieder möglich – aber nur, wenn das US-Unternehmen nach dem DPF zertifiziert ist. Ob dein Anbieter zertifiziert ist, kannst du hier prüfen: https://www.dataprivacyframework.gov

Wenn zertifiziert: Rechtsgrundlage dokumentieren, Datenschutzerklärung anpassen.
Wenn nicht zertifiziert: Standardvertragsklauseln (SCCs), zusätzliche technische Schutzmaßnahmen (z. B. Verschlüsselung, Pseudonymisierung) und eine dokumentierte Risikoabwägung sind Pflicht.

Praxis-Tipp: So prüfst du Drittanbieter auf DSGVO-Konformität

Fragen, die du dir vor dem Einsatz stellen solltest:

Ist der Anbieter DPF-zertifiziert oder gelten SCCs?
Wo befinden sich die Server – wirklich in der EU?
Welche Datenarten werden übertragen? (z. B. Zahlungsdaten oder Nutzungsverhalten)
Wer entscheidet über den Zweck und Mittel der Datenverarbeitung?
Muss ein AV-Vertrag abgeschlossen werden?

DSGVO-freundlichere Alternativen aus der EU

Wenn du dir Drittlandtransfers ganz sparen möchtest, kannst du auf EU-basierte Tools setzen:

Webanalyse: Matomo, Piwik PRO, etracker
Newsletter: CleverReach, Brevo (Sendinblue)
CRM: weclapp, CentralStationCRM

Diese Lösungen bieten mehr Datenschutzkontrolle, minimieren dein Risiko – und schaffen Vertrauen bei deiner Kundschaft.

Tafel mit der Aufschrift „Cookie-Banner“ und den Auswahlfeldern „ja“ und „nein“, daneben ein Vorhängeschloss – symbolisiert die Einwilligungsabfrage gemäß DSGVO. Cookie-Banner unter der Lupe | Quelle: Canva

Du hast ein Consent-Banner im Einsatz? Sehr gut. Aber wie sicher ist die Technik dahinter? In Teil 1 haben wir erklärt, was ein rechtskonformes Banner leisten muss. Jetzt geht es um die technische Umsetzung:

Wie steuerst du Consent via Google Tag Manager?
Wie stellst du sicher, dass Skripte wirklich erst nach Zustimmung laden?
Und welches Tool eignet sich für deinen Shop?

Best Practices für die technische Umsetzung

Nutze einen CMP, der sich mit deinem Tag-Manager verbinden lässt
Blockiere alle Skripte vor dem Consent – auch eingebettete Inhalte wie YouTube
Dokumentiere jede Zustimmung revisionssicher: Zeitstempel, Tool-Version, Einstellungen
Halte eine einfache Widerrufsmöglichkeit bereit (z. B. per Footer-Link)

Tipp: Auch bei einem optisch gut aussehenden Banner gilt: Wenn die Technik nicht passt, ist der Consent ungültig. Setze daher auf erprobte CMPs wie Iubenda, Consentmanager oder Complianz.

Warum die technische Umsetzung entscheidend ist

Selbst ein optisch ansprechendes Consent-Banner reicht nicht aus – entscheidend ist die korrekte technische Umsetzung im Hintergrund. Denn nur wenn Skripte tatsächlich erst nach Einwilligung geladen werden und die Datenverarbeitung technisch gesteuert wird, erfüllt dein Shop die gesetzlichen Vorgaben.

Das bedeutet in der Praxis:

Skripte müssen blockiert bleiben, bis eine Einwilligung erteilt wurde – z. B. über den Einsatz von Google Tag Manager in Verbindung mit einer Consent Management Platform (CMP).
Die CMP muss zentral steuern können, wann welche Tools aktiviert werden – basierend auf den gewählten Präferenzen.
Jede Einwilligung muss protokolliert und nachvollziehbar gespeichert werden, z. B. mit Zeitstempel, verwendeter Version des Banners und Auswahl des Nutzers.
Ein Wechsel oder Widerruf der Entscheidung muss jederzeit möglich sein – ohne Hürden.

Trichtergrafik des Einwilligungsmanagement-Prozesses mit vier Stufen: Skriptblockierung, Einwilligungssteuerung, Einwilligungsaufzeichnung und Einwilligungsänderung – farblich voneinander abgesetzt. Der Einwilligungsmanagement-Prozess | Quelle: maxcluster

CMPs sind darauf ausgelegt, rechtskonforme Einwilligungsprozesse technisch umzusetzen und zu dokumentieren. Sie blockieren standardmäßig alle nicht notwendigen Dienste und ermöglichen eine einfache Einbindung in gängige Shopsysteme. Viele CMPs bieten zusätzlich automatische Scans, individuelle Anpassungen und flexible Exportfunktionen.

Tools für sauberes Consent Management (Auswahl)

Tool	Stärken
Iubenda	DSGVO-konform, einfache Integration in gängige Shopsysteme
Consentmanager	Automatischer Website-Scan, gute Individualisierungsmöglichkeiten
Complianz	Besonders geeignet für WordPress-Shops, gute Benutzerführung

Hinweis: Die genannten Anbieter sind Teil der team.blue-Gruppe, die für eine gemeinsame Qualitäts- und Datenschutzstrategie steht.

Wie du Cookie-Banner korrekt einsetzt und Tools wie iubenda datenschutzkonform verwendest, zeigen wir dir im Beitrag Datenschutzkonformität für Online-Shops.

Typische Fehler in der Praxis

Selbst bei Shops, die ein CMP einsetzen, treten häufig dieselben Fehler auf:

Skripte werden bereits vor dem Consent geladen (z. B. durch direkte Integration im HTML)
IP-Anonymisierung bei Google Analytics ist nicht aktiviert
Einwilligungen werden nicht dokumentiert
YouTube, Google Maps & Co. sind sofort eingebettet, obwohl sie zustimmungspflichtig sind
Alte Tracking-Skripte bleiben trotz neuer Banner-Konfiguration aktiv

To-dos für deinen Shop

Um auf der sicheren Seite zu sein, solltest du folgende Punkte regelmäßig prüfen:

Lädt dein Shop Tracking-Tools wirklich erst nach Consent?
Wird jede Einwilligung dokumentiert?
Ist der Widerruf jederzeit möglich – z. B. per Footer-Link?
Sind neue Tools (z. B. Plug-ins) vor dem Einsatz auf DSGVO-Konformität geprüft?
Wird deine CMP regelmäßig aktualisiert und gewartet?

Analyse & Tracking – nur mit sauberer Konfiguration

Laptop mit geöffneter Analytics-Software und Händen auf Tastatur, umgeben von Analyse-Symbolen – Balkendiagramme, Kurven, Zahnräder, Schloss, Nutzer-Icons und Datenschutz-Elemente. Analyse trifft Datenschutz | Quelle: Canva

Wenn Analyse-Tools wie Google Analytics oder Hotjar in deinem Shop laufen, reicht ein Consent-Banner allein nicht aus – entscheidend ist die richtige Konfiguration im Hintergrund.

Technische Mindestanforderungen

IP-Anonymisierung aktivieren (z. B. bei GA4 verpflichtend)
Skripte erst nach aktiver Zustimmung laden – ideal über den Google Tag Manager
Einwilligungen revisionssicher dokumentieren (z. B. via CMP)
Tools regelmäßig prüfen – vor allem nach Updates oder Konfigurationsänderungen

Datentransfer ins Drittland? Dann brauchst du zusätzlich eine rechtliche Grundlage (DPF-Zertifizierung oder SCCs). ➝ Siehe Kapitel: „Daten in den USA?“

Praxis-Tipp: Auch wenn du DSGVO-konforme Tools wie Matomo oder Piwik PRO nutzt: Ohne korrekte technische Umsetzung riskierst du trotzdem Verstöße.

Server-Side-Tracking: Weniger Datenverlust, mehr Datenschutz?

Viele Shopbetreiber setzen zunehmend auf Server-Side-Tracking, um Datenverluste durch Adblocker und Browser-Schutzmechanismen zu vermeiden.
Doch nicht nur die Datenqualität steigt – auch im Hinblick auf Datenschutz bietet das Modell Vorteile:

Mehr Kontrolle: Du entscheidest serverseitig, welche Daten erfasst und weitergegeben werden.
Bessere Absicherung: Die zentrale Verarbeitung erleichtert technische Schutzmaßnahmen wie Pseudonymisierung.
Zuverlässigere Datenbasis: Tracking wird weniger durch ITP/ETP oder Consent-Blocker gestört.

Grafik mit drei Vorteilen des serverseitigen Trackings: Mehr Kontrolle (Zahnrad), Bessere Absicherung (Schutzschild mit Haken), Zuverlässigere Datenbasis (Diagramm mit Pfeil) – farbig dargestellt in Gelb, Orange und Rot. Warum serverseitiges Tracking? | Quelle: maxcluster

Aber Achtung: Auch beim Server-Side-Tracking gilt die DSGVO – Einwilligung (z. B. via CMP) bleibt Pflicht.

Voraussetzungen für DSGVO-Konformität:

Einwilligung einholen und dokumentieren
Daten pseudonymisieren, bevor sie an externe Tools gehen
Drittlandübertragungen rechtlich absichern
Datenfluss im Verzeichnis der Verarbeitungstätigkeiten erfassen

Geeignete Tools & Anbieter (Beispiele):

Tool	Vorteile
Piwik PRO Edge	DSGVO-freundlich, EU-Hosting
Matomo Tag Manager	Self-hosted, flexibel erweiterbar
GTM-Server Side (GTM-SS)	Hohe Leistung, aber komplex in der Absicherung

Checkliste: DSGVO-konformes Tracking-Setup

Analyse-Tool korrekt eingebunden (z. B. über GTM + CMP)
IP-Anonymisierung aktiv
Keine Datenverarbeitung vor Einwilligung
Protokollierung der Einwilligungen gewährleistet
Drittlandtransfer rechtlich abgesichert

Tipp: Falls du auf Tools wie Google Analytics verzichten möchtest, kannst du auf datenschutzfreundliche Alternativen wie Matomo, Piwik PRO oder etracker setzen – am besten selbst gehostet oder mit Hosting in der EU, z. B. bei maxcluster.

Zugriffsschutz & Systemsicherheit: TOMs richtig umsetzen

Symbolischer Computerchip mit integriertem Schutzschild und Schlüsselloch, umgeben von digitalen Schaltkreisen – Darstellung von IT-Sicherheit, Datenschutz und technischer Infrastruktur. Technische Schutzmaßnahmen im E-Commerce | Quelle: Canva

Die DSGVO verpflichtet dich als Shopbetreiber dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen (TOMs) zu schützen.
Ziel: Risiken minimieren, Missbrauch verhindern – und im Notfall schnell reagieren können.

Technische Schutzmaßnahmen: Was muss dein Shop können?

Bereich	Maßnahme
Datenübertragung	TLS/SSL-Verschlüsselung für alle Seiten und APIs
Zugriffsmanagement	2-Faktor-Authentifizierung (z. B. Authenticator-App) für Admins
Rechtevergabe	Rollenbasierte Zugriffskonzepte (RBAC) – nur berechtigte Nutzer sehen sensible Daten
Überwachung	Logging & Monitoring verdächtiger Zugriffe
Datensicherung	Geplante, verschlüsselte und georedundante Backups

Praxis-Tipp: Tools wie Bitwarden, JetBackup oder Fail2Ban erleichtern die Umsetzung dieser Standards.

Organisatorische Maßnahmen: Wer macht was – und wie oft?

Neben der Technik braucht es klare Zuständigkeiten im Team:

Wer ist für Updates & Patchmanagement verantwortlich?
Wer darf Nutzerrollen vergeben oder ändern?
Wie oft werden Backups getestet?
Gibt es feste Prozesse für Datenlecks oder Support-Anfragen?

Dokumentiere diese Prozesse regelmäßig – sie sind Teil deiner Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

Dokumentation: Rechenschaftspflicht einfach erfüllen

Person hält einen großen Stapel Papierdokumente mit Büroklammern – Symbolbild für Datenschutzdokumentation, Verfahrensverzeichnisse oder DSGVO-Nachweispflichten. Dokumentationspflichten nach DSGVO | Quelle: Canva

Die DSGVO verlangt nicht nur, dass du personenbezogene Daten schützt – du musst auch jederzeit belegen können, wie du das tust. Diese sogenannte Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) gilt für jeden Online-Shop – unabhängig von der Größe.

Was du dokumentieren musst

Ein vollständiges Datenschutzkonzept umfasst sowohl technische als auch organisatorische Maßnahmen. Die folgenden Unterlagen und Prozesse solltest du regelmäßig pflegen:

Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO)
Alle Prozesse, bei denen personenbezogene Daten verarbeitet werden – vom Newsletter bis zur Zahlungsabwicklung.
Abgeschlossene AV-Verträge
Verträge mit Dienstleistern, die personenbezogene Daten in deinem Auftrag verarbeiten – etwa für Hosting, Newsletter oder Webanalyse – sind ein essenzieller Bestandteil der DSGVO-Konformität. Dabei ist nicht nur der Vertrag wichtig, sondern auch die Sicherheitsmaßnahmen des Anbieters.
Technische und organisatorische Maßnahmen (TOMs)
Dokumentation, welche Schutzmaßnahmen du implementiert hast – z. B. Verschlüsselung, 2FA, Backup-Routinen.
Einwilligungsprotokolle
Nachvollziehbare Speicherung von Einwilligungen – inklusive Zeitstempel, Tool-Version und gewählter Einstellungen.
Datenschutzprozesse & Zuständigkeiten
Wer ist im Unternehmen für Datenschutz zuständig? Wie werden Anfragen von Betroffenen bearbeitet? Was passiert im Fall eines Datenlecks?

Unser Tipp: Achte beim Hosting besonders auf Datenschutz und technische Sicherheit.

Als Managed-Hosting-Anbieter legen wir bei maxcluster großen Wert auf eine datenschutzkonforme Infrastruktur. Unsere Sicherheitsmaßnahmen umfassen:

ISO 27001-zertifizierte Rechenzentren mit Standort in Deutschland.
Regelmäßige Backups und eine redundante Infrastruktur, um Datenverluste zu verhindern.
Verschlüsselte Speicherung und ein differenziertes Berechtigungsmanagement, das den Zugriff auf sensible Daten gezielt steuert.

Dokumentation: Rechenschaftspflicht einfach erfüllen | Quelle: maxcluster

Tipp: Auch wenn du keinen Datenschutzbeauftragten brauchst: Halte Zuständigkeiten schriftlich fest – und sorge für klare Abläufe bei Support, Technik und Geschäftsführung.

Tools für die Datenschutz-Dokumentation

Tool	Funktionen
Iubenda	Datenschutzerklärungen, Cookie-Banner, AV-Vertragsverwaltung
heyData	Datenschutzplattform für KMU – mit automatisierten Checks
DataGuard	Komplettlösung für Datenschutzmanagement & Audits

So bleibt deine Dokumentation aktuell

Einmal im Jahr prüfen – oder bei jeder Änderung (z. B. neues Tool)
Rollen und Zugriffe regelmäßig hinterfragen – wer hat Zugriff auf was?
Updates dokumentieren – auch kleine Änderungen gehören ins Verzeichnis
Schulungen festhalten – intern oder mit Dienstleistern

Künstliche Intelligenz (KI) im Shop – datenschutzkonform?

Künstliche Intelligenz (KI) im Shop. Künstliche Intelligenz im Shop | Quelle: Canva

Von personalisierten Produktempfehlungen bis zur automatisierten Kundenkommunikation: KI ist längst im E-Commerce angekommen. Doch die Verarbeitung großer Mengen personenbezogener Daten bringt neue DSGVO-Fragen mit sich. Wie du KI sicher und verantwortungsvoll im Online-Shop einsetzt und welche Rolle Betrugsprävention dabei spielt, liest du in unserem Beitrag KI-Sicherheit und Betrugsprävention im Online-Handel.

Typische Einsatzbereiche von KI im E-Commerce:

Dynamische Preisgestaltung
Produktvorschläge basierend auf Nutzungsverhalten
Chatbots & automatisierter Support
Risikoprüfungen bei Zahlungen

KI-gesteuerte E-Commerce-Verbesserungen | Quelle: maxcluster

Datenschutz-Herausforderungen bei KI-Systemen

Herausforderung	DSGVO-Anforderung
Intransparente „Black-Box“-Entscheidungen	Transparenzpflicht – Nutzer müssen verstehen, wie und warum eine Entscheidung getroffen wurde
Vollautomatisierte Entscheidungen	Art. 22 DSGVO – Nutzer dürfen nicht ausschließlich automatisierten Entscheidungen unterliegen
Verarbeitung sensibler Daten	Nur mit ausdrücklicher Einwilligung oder gesetzlicher Grundlage zulässig
Weitergabe personenbezogener Daten an externe Anbieter	Nur mit AV-Vertrag und klarer Zweckbindung erlaubt

Was Online-Shops jetzt tun sollten

KI-Systeme kennzeichnen – Offenlegen, wenn KI eingesetzt wird (z. B. in der Datenschutzerklärung)
Profiling vermeiden oder absichern – Automatisierte Entscheidungen müssen nachvollziehbar & menschlich überprüfbar sein
Einwilligung gezielt einholen – z. B. für personalisierte Vorschläge oder dynamische Preise
Datenschutz-Folgenabschätzung (DSFA) durchführen – bei Verarbeitungstätigkeiten mit hohem Risiko für die Rechte der Nutzer
Datenminimierung & Pseudonymisierung umsetzen – vor allem bei sensiblen Informationen

Was bringt der EU AI Act für deinen Shop?

Der EU AI Act – das neue EU-Gesetz zur Regulierung von Künstlicher Intelligenz – ist seit August 2024 in Kraft. Für Online-Shops, die KI einsetzen (z. B. für Produktempfehlungen oder Preisautomatisierung), werden neue Pflichten eingeführt – je nach Risikostufe des eingesetzten Systems.

Für dich als Shopbetreiber relevant:

Transparenzpflichten: Nutzer müssen erkennen können, dass sie mit KI interagieren – z. B. bei Chatbots oder dynamischer Preisgestaltung.
Dokumentation: Du musst dokumentieren, wie die KI funktioniert, welche Daten sie nutzt und wie Entscheidungen zustande kommen.
Menschliche Aufsichtspflicht: Bei sensiblen Entscheidungen (z. B. Ablehnung von Bestellungen, Bonitätsbewertung) muss immer ein Mensch mitentscheiden oder eingreifen können.

Fristen beachten: Je nach Risikoklasse greifen die Vorgaben gestaffelt – spätestens ab August 2026. Für viele Shops lohnt es sich, Prozesse und Tools schon jetzt zu überprüfen.

Tipp: Prüfe deine KI-basierten Systeme frühzeitig und stimme sie mit Datenschutz- und IT-Sicherheitsmaßnahmen ab – das spart später Aufwand und verhindert Bußgelder.

DSGVO-Checkliste für Online-Shops: So bleibt dein Shop rechtssicher

Jetzt die vollständige DSGVO-Checkliste herunterladen und die Datenschutz-Compliance deines Online-Shops dauerhaft sichern.

Mit der Checkliste hast du alle relevanten Anforderungen übersichtlich an einem Ort – ideal für die tägliche Arbeit, interne Audits und die Zusammenarbeit mit Dienstleistern.

Checkliste als PDF herunterladen

Fazit

Die DSGVO ist kein reines Compliance-Thema – sondern ein zentraler Erfolgsfaktor im E-Commerce. Wer strategisch denkt, minimiert Risiken und schafft Vertrauen bei Kunden, Partnern und Dienstleistern.

Mit den richtigen Tools, klaren Prozessen und einer praxisnahen Umsetzung kannst du deinen Shop dauerhaft rechtssicher aufstellen – und gleichzeitig die Zusammenarbeit mit Agenturen und Drittanbietern optimieren.

Mehr zum Thema: Lies auch Teil 1 unserer Blogserie: DSGVO im E-Commerce – So machst du deinen Shop rechtssicher (Teil 1).

Hinweis: Die Inhalte dieses Leitfadens dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung dar. Obwohl wir uns bemühen, die bereitgestellten Informationen aktuell und korrekt zu halten, übernehmen wir keine Gewähr für deren Richtigkeit, Vollständigkeit oder Aktualität. Die Umsetzung gesetzlicher Vorgaben erfolgt auf eigene Verantwortung. Bei konkreten rechtlichen Fragestellungen empfehlen wir, einen fachkundigen Rechtsberater zu konsultieren.

Veröffentlicht am 12.06.2025 | DSGVO im E-Commerce (Teil 2) | KS