DSGVO für Online-Shops: Die wichtigsten Anforderungen

Online-Shops verarbeiten besonders viele personenbezogene Daten: Namen, Adressen, Zahlungsinformationen, Bestellhistorien und Nutzerverhalten. Entsprechend hoch sind die DSGVO-Anforderungen. Dieser Ratgeber zeigt dir, worauf du achten musst.

Rechtsgrundlagen für Online-Shops

Im E-Commerce kommen verschiedene Rechtsgrundlagen nach Art. 6 DSGVO zum Einsatz:

Verarbeitung	Rechtsgrundlage	Artikel
Bestellabwicklung	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Rechnungsstellung	Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c
Tracking & Marketing	Einwilligung	Art. 6 Abs. 1 lit. a
Betrugsprävention	Berechtigtes Interesse	Art. 6 Abs. 1 lit. f
Newsletter	Einwilligung	Art. 6 Abs. 1 lit. a

Payment und Zahlungsdaten

Zahlungsanbieter verarbeiten sensible Daten. Darauf musst du achten:

Stripe, PayPal & Co.

AVV (Auftragsverarbeitungsvertrag) mit jedem Zahlungsanbieter abschließen
Drittlandtransfer: Stripe und PayPal sind US-Unternehmen — DPF-Zertifizierung oder SCCs prüfen
PCI DSS: Kreditkartendaten nie selbst speichern, immer über zertifizierte Provider abwickeln
Datenschutzerklärung: Zahlungsanbieter und übermittelte Daten nennen

Datensparsamkeit

Keine Zahlungsdaten speichern, die du nicht brauchst
Kreditkartennummern nur tokenisiert (via Stripe/PayPal)
CVV/CVC-Codes nie speichern

Tracking und Remarketing

Online-Shops nutzen besonders viele Tracking-Tools. Jedes einzelne braucht eine Rechtsgrundlage:

Google Analytics 4 — Nutzerverhaltensanalyse
Facebook Pixel / Meta Pixel — Remarketing, Lookalike Audiences
Google Ads Conversion Tracking — Konversionsmessung
TikTok Pixel — Social Remarketing
Pinterest Tag — Conversion Tracking
Hotjar / Microsoft Clarity — Session Recording
Dynamic Remarketing — Personalisierte Anzeigen

Serverseitige Webanalyse (eigene Logfiles, aggregiert)
Plausible Analytics (kein Cookie, EU-gehostet)
Matomo (self-hosted, Cookie-frei konfigurierbar)

Wichtig: Alle Tracking-Scripts müssen vor der Einwilligung blockiert werden. Ein Cookie-Banner allein reicht nicht — die Scripts dürfen erst nach Consent laden.

Kundendaten und Bestelldaten

Aufbewahrungsfristen

Rechnungen: 10 Jahre (§ 14b UStG, § 147 AO)
Geschäftsbriefe: 6 Jahre (§ 147 AO)
Vertragsdaten: Dauer der Geschäftsbeziehung + 3 Jahre Verjährungsfrist
Logfiles: Maximal 7 Tage (DSK-Empfehlung)

Löschkonzept

Du brauchst ein dokumentiertes Löschkonzept (Art. 5 Abs. 1 lit. e DSGVO):

Welche Daten werden wann gelöscht?
Welche Aufbewahrungsfristen gelten?
Wie wird die Löschung technisch umgesetzt?

Recht auf Löschung (Art. 17)

Kunden können die Löschung ihrer Daten verlangen. Ausnahmen: steuerrechtliche Aufbewahrungspflichten. In dem Fall: Daten sperren, nicht löschen.

Produktbewertungen

Bewertungssysteme verarbeiten personenbezogene Daten:

Name/Pseudonym des Bewertenden
E-Mail-Adresse zur Verifizierung
IP-Adresse bei der Abgabe
Kaufhistorie (verifizierte Käufer)

DSGVO-konform umsetzen

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder Einwilligung
Bewertungen anonymisierbar machen
Externe Bewertungsportale (Trusted Shops, Trustpilot): AVV abschließen, Datenschutzerklärung anpassen

Double-Opt-In Pflicht

In Deutschland ist das Double-Opt-In-Verfahren Standard (UWG § 7):

Nutzer gibt E-Mail-Adresse ein
System sendet Bestätigungs-Mail
Nutzer klickt Bestätigungslink
Erst dann: Newsletter-Versand

Was du dokumentieren musst

Zeitpunkt der Einwilligung
IP-Adresse bei der Anmeldung
Text der Einwilligung (wofür genau zugestimmt wurde)
Bestätigungszeitpunkt (Double-Opt-In)

Abmeldung

Jeder Newsletter muss einen Abmeldelink enthalten. Die Abmeldung muss genauso einfach sein wie die Anmeldung.

Shop-Systeme und DSGVO

WooCommerce (WordPress)

Cookies: WooCommerce setzt Session-Cookies (woocommerce_cart_hash, woocommerce_items_in_cart) — diese sind funktional (kein Consent nötig)
Plugins: Jedes Plugin kann zusätzliche Cookies setzen oder Daten an Dritte übermitteln
Hosting: WordPress.com ist US-gehostet — self-hosted bevorzugen

Shopify

Cookies: Shopify setzt mehrere Cookies (_shopify_s, _shopify_y) — teilweise Analytics-relevant
Hosting: Shopify-Server in Kanada und USA — Drittlandtransfer-Hinweis nötig
Apps: Jede App kann eigene Datenschutzprobleme verursachen

Allgemeine Empfehlung

Egal welches Shop-System: Scanne regelmäßig, welche Cookies und Third-Party-Requests dein Shop erzeugt. Der Compliso Scanner erkennt automatisch Tracking-Scripts, problematische Cookies und Drittanbieter-Verbindungen.

Pflichtdokumente für Online-Shops

Datenschutzerklärung (Art. 13/14 DSGVO) — alle Verarbeitungen auflisten
Impressum (DDG § 5) — vollständige Angaben
AGB — empfohlen, nicht gesetzlich vorgeschrieben
Widerrufsbelehrung (§ 312g BGB) — für Verbraucher-Fernabsatzverträge
Cookie-Banner — für nicht-essentielle Cookies

Der Compliso Content-Generator erstellt alle Rechtstexte automatisch basierend auf einem Fragebogen.

Praxis-Checkliste

Cookie-Banner mit Script-Blocking vor dem Consent
Alle Tracking-Scripts nur nach Einwilligung laden
AVV mit allen Dienstleistern (Payment, Hosting, Analytics, Newsletter)
Datenschutzerklärung mit allen Verarbeitungen
Löschkonzept dokumentieren
Double-Opt-In für Newsletter
Aufbewahrungsfristen einhalten (10 Jahre Rechnungen, 6 Jahre Geschäftsbriefe)
Recht auf Auskunft und Löschung technisch umsetzen
Regelmäßige Scanner-Checks (Cookies, Tracking, Third-Party-Requests)

Fazit

DSGVO-Compliance im E-Commerce ist kein einmaliges Projekt, sondern ein laufender Prozess. Neue Plugins, Payment-Provider-Änderungen oder Marketing-Tools können jederzeit neue Datenschutz-Risiken einführen.

Teste deinen Online-Shop jetzt kostenlos: Der Compliso Demo-Scanner prüft in unter 30 Sekunden, ob dein Shop DSGVO-konform ist — von Cookies über Tracking bis zu Security-Headers.