Ein Kunde bestellt in Ihrem Online-Shop. Was passiert dabei? Name, Adresse, E-Mail, Zahlungsdaten, IP-Adresse – in wenigen Sekunden verarbeiten Sie ein halbes Dutzend personenbezogener Daten. Und jede einzelne Verarbeitung muss den Anforderungen der DSGVO entsprechen.
In der Praxis sieht es anders aus. Bei Stichproben der Datenschutzbehörden fallen Online-Shops regelmäßig durch: fehlerhafte Cookie-Banner, veraltete Datenschutzerklärungen, fehlende Auftragsverarbeitungsverträge. Das Ergebnis sind Bußgelder, Abmahnungen und Vertrauensverlust bei Kunden.
Dieser Artikel zeigt Ihnen, welche Datenschutz-Pflichten für Ihren Online-Shop gelten, wo die größten Risiken liegen – und wie Sie Ihren Shop Schritt für Schritt DSGVO-konform aufstellen.
Bevor Sie Maßnahmen ergreifen, brauchen Sie einen Überblick. Diese personenbezogenen Daten fallen in einem typischen Webshop an:
Jede dieser Kategorien braucht eine Rechtsgrundlage. Bestelldaten dürfen Sie auf Basis der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) verarbeiten. Für Tracking und Marketing brauchen Sie eine Einwilligung.
Ihre Datenschutzerklärung muss jeden Dienst und jedes Tool benennen, das personenbezogene Daten verarbeitet. Art. 13 DSGVO schreibt vor: Zweck, Rechtsgrundlage, Speicherdauer und Empfänger der Daten. Fehlt ein eingebundener Zahlungsanbieter oder ein Analytics-Tool, ist die Erklärung unvollständig.
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) regelt in § 25, wann Cookies eine Einwilligung erfordern. Die Regel: Technisch notwendige Cookies (Warenkorb, Login) dürfen ohne Einwilligung gesetzt werden. Alles andere – Analytics, Marketing, Retargeting – braucht ein aktives Opt-in.
Die österreichische Datenschutzbehörde hat die Nutzung von Google Analytics ohne Einwilligung als rechtswidrig eingestuft. Deutsche Aufsichtsbehörden folgen dieser Linie. Wer Analytics ohne Cookie-Banner mit echtem Opt-in einsetzt, riskiert Bußgelder und Abmahnungen.
Art. 32 DSGVO verlangt technische Schutzmaßnahmen. Für Online-Shops bedeutet das: HTTPS auf der gesamten Website. Besonders im Checkout, bei Kontaktformularen und im Kundenbereich ist eine TLS-Verschlüsselung nicht verhandelbar. Ohne SSL-Zertifikat drohen Bußgelder und Abmahnungen.
Jeder externe Dienstleister, der Zugriff auf Kundendaten hat, braucht einen AVV nach Art. 28 DSGVO. Das betrifft: Hosting-Anbieter, Zahlungsdienstleister, Newsletter-Tools, Analytics-Dienste, Versanddienstleister und Bewertungsportale. Fehlt ein einziger AVV, haften Sie als Shopbetreiber.
Art. 30 DSGVO verpflichtet Sie, alle Verarbeitungstätigkeiten zu dokumentieren. In einem Online-Shop sind das schnell 15 bis 20 Einträge: Bestellabwicklung, Kundenkonto, Newsletter, Retargeting, Zahlungsabwicklung, Versand, Bewertungen, Support.
Ihre Kunden haben Rechte: Auskunft, Löschung, Berichtigung, Datenübertragbarkeit. Sie müssen Anfragen innerhalb eines Monats beantworten. Richten Sie einen Prozess ein – etwa ein Kontaktformular oder eine eigene E-Mail-Adresse für Datenschutzanfragen.
Ab 20 Personen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter Pflicht. Für kleinere Shops gilt: Wenn Sie besondere Datenkategorien verarbeiten oder Daten im großen Umfang verarbeiten, kann die Pflicht auch früher greifen. Ein externer Datenschutzbeauftragter ist oft die pragmatischste Lösung.
Die DSGVO verlangt, dass Daten gelöscht werden, sobald der Zweck entfällt. Gleichzeitig gibt es gesetzliche Aufbewahrungsfristen. Diese Tabelle zeigt die wichtigsten Fristen für Online-Shops:
| Datenart | Speicherfrist | Rechtsgrundlage |
|---|---|---|
| Bestelldaten (Rechnungen) | 10 Jahre | § 147 AO, § 257 HGB |
| Buchungsbelege | 10 Jahre | § 147 AO |
| Handelsbriefe | 6 Jahre | § 257 HGB |
| Kundenkonto-Daten | Bis Kontolöschung + 3 Jahre | Art. 17 DSGVO, § 195 BGB |
| Newsletter-Einwilligung | Bis Widerruf + Nachweis | Art. 7 Abs. 1 DSGVO |
| Tracking-Daten | Max. 14 Monate | Empfehlung Datenschutzbehörden |
| Bewerberdaten | 6 Monate nach Absage | AGG |
| Server-Logfiles | 7–30 Tage | Berechtigtes Interesse |
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugo
Google Fonts extern eingebunden. Das Landgericht München hat 2022 entschieden, dass die externe Einbindung von Google Fonts ohne Einwilligung rechtswidrig ist. Hosten Sie Schriftarten lokal auf Ihrem Server.
Newsletter ohne Double-Opt-in. Ohne nachweisbare Einwilligung ist jede Marketing-Mail ein Verstoß. Dokumentieren Sie den Zeitpunkt und die IP-Adresse der Anmeldung.
Checkout ohne Gastbestellung. Wenn Sie Kunden zur Kontoerstellung zwingen, verarbeiten Sie mehr Daten als nötig. Das widerspricht dem Grundsatz der Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO.
Kein Löschkonzept. Viele Shops speichern Kundendaten unbegrenzt. Ohne Löschkonzept verstoßen Sie gegen die Speicherbegrenzung – und riskieren ein Bußgeld bei der nächsten Prüfung.
Cookie-Banner als Dark Pattern. Ein großer grüner “Akzeptieren”-Button und ein grauer, kaum sichtbarer “Ablehnen”-Link sind nicht DSGVO-konform. Beide Optionen müssen gleichwertig gestaltet sein.
Der Handelsverband Deutschland (HDE) stellt einen Datenschutz-Leitfaden für den Einzelhandel bereit. Die DSGVO im Volltext und das TDDDG sind die zentralen Rechtsgrundlagen. Die Landesdatenschutzbehörden veröffentlichen regelmäßig Orientierungshilfen zu Cookies und Tracking.
Online-Shop DSGVO-konform?
Unser Hugo Check scannt Ihren Shop auf Datenschutz-Probleme. Kostenlos und sofort.
Jetzt Shop scannen →DSGVO-konformer E-Commerce ist kein Hexenwerk. Die meisten Pflichten lassen sich mit einer strukturierten Checkliste abarbeiten. Wichtig ist, dass Sie nicht erst bei einer Beschwerde oder Prüfung aktiv werden, sondern Ihre Prozesse von Anfang an richtig aufsetzen.
Wenn Sie unsicher sind, wo Ihr Shop steht: Starten Sie mit unserem kostenlosen Datenschutz-Check. In wenigen Minuten sehen Sie, welche Lücken bestehen. Für eine umfassende Betreuung steht Ihnen unser Team als externer Datenschutzbeauftragter zur Seite.
Hamburg ist einer der stärksten E-Commerce-Standorte Deutschlands. Mit Otto, About You und Hunderten mittelständischen Online-Händlern sitzt hier eine hohe Dichte an Shopbetreibern, die DSGVO-Pflichten umsetzen müssen. Der HmbBfDI hat in den vergangenen Jahren mehrfach Hamburger Online-Shops wegen fehlerhafter Cookie-Banner und unvollständiger Datenschutzerklärungen beanstandet. Wenn Sie einen Online-Shop in Hamburg betreiben, lohnt sich ein Datenschutzbeauftragter mit E-Commerce-Erfahrung – jemand, der Shopsysteme wie Shopify, WooCommerce oder Shopware kennt und die Anforderungen der Hamburger Aufsichtsbehörde einschätzen kann.
Ab 20 Personen, die regelmäßig personenbezogene Daten automatisiert verarbeiten, ist ein Datenschutzbeauftragter Pflicht. Dazu zählen alle Mitarbeitenden, die mit dem Shopsystem, CRM oder E-Mail-Marketing arbeiten. Auch bei weniger Personen kann die Pflicht greifen, wenn Sie besondere Datenkategorien verarbeiten.
Technisch notwendige Cookies (Warenkorb, Session, Login) dürfen ohne Einwilligung gesetzt werden. Für alle anderen – Analytics, Marketing, Retargeting, Social-Media-Plugins – brauchen Sie ein aktives Opt-in über einen DSGVO-konformen Cookie-Banner.
Sie müssen die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden informieren (Art. 33 DSGVO). Bei hohem Risiko für die Betroffenen müssen Sie auch die betroffenen Kunden direkt benachrichtigen (Art. 34 DSGVO). Dokumentieren Sie den Vorfall und die ergriffenen Maßnahmen.
Inhaltsverzeichnis
Datenschutz im Handwerk: Welche DSGVO-Pflichten für Hamburger Handwerksbetriebe gelten – und was Sie sich sparen können. Mit Checkliste.
WeiterlesenDSGVO Einwilligung richtig einholen: Die 5 Pflicht-Anforderungen, häufige Fehler und Muster-Formulierungen für Hamburger Unternehmen.
WeiterlesenHome-Office und Datenschutz: Welche Regeln gelten, welche TOM nötig sind – Checkliste und Muster-Vereinbarung für Hamburger Arbeitgeber.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
