Shopify DSGVO-konform betreiben: Der komplette Leitfaden
Shopify und DSGVO: Server in Kanada/USA, Shopify-Cookies, Apps als Datenschutz-Risiko, Cookie-Banner-Integration und Rechtstexte. Der komplette Praxis-Leitfaden.
Shopify ist mit über 4,8 Millionen aktiven Shops weltweit die beliebteste E-Commerce-Plattform. In Deutschland wächst der Marktanteil stetig — aber Shopify bringt erhebliche Datenschutzprobleme mit sich, die viele Betreiber nicht kennen. Server in Nordamerika, undurchsichtige Cookie-Praktiken und Apps als unkontrollierte Datensammler machen DSGVO-Konformität zu einer echten Herausforderung.
Dieser Leitfaden zeigt dir, welche Probleme bestehen, wie du sie löst und welche Maßnahmen für einen DSGVO-konformen Shopify-Shop unverzichtbar sind.
Das Grundproblem: Server in Kanada und den USA
Shopify Inc. hat seinen Hauptsitz in Ottawa, Kanada. Die Infrastruktur läuft primär über Google Cloud und AWS mit Rechenzentren in Nordamerika. Das bedeutet: Jede Bestellung, jeder Seitenaufruf, jede Kundendatei wird außerhalb der EU verarbeitet.
Rechtsgrundlage für den Datentransfer
- Kanada: Die EU-Kommission hat für Kanada einen Angemessenheitsbeschluss nach Art. 45 DSGVO erlassen — allerdings nur für kommerzielle Organisationen, die dem kanadischen PIPEDA unterliegen. Shopify fällt darunter.
- USA: Shopify International Ltd. (Irland) ist der Vertragspartner für EU-Kunden. Shopify nutzt Standardvertragsklauseln (SCCs) und ist unter dem EU-US Data Privacy Framework (DPF) abgedeckt.
Risiko: Sowohl der Angemessenheitsbeschluss für Kanada als auch das DPF können vom EuGH angefochten werden. Der CLOUD Act ermöglicht US-Behörden zudem den Zugriff auf Daten, die von US-Unternehmen gespeichert werden — unabhängig vom Serverstandort.
Was du in der Datenschutzerklärung angeben musst
Du musst den Drittlandtransfer transparent dokumentieren (Art. 13 Abs. 1 lit. f DSGVO):
- Name des Empfängers: Shopify International Ltd. / Shopify Inc.
- Land: Irland / Kanada / USA
- Garantien: SCCs, DPF-Zertifizierung, Angemessenheitsbeschluss Kanada
- Verweis auf die Shopify DPA (Data Processing Addendum)
Shopify-eigene Cookies im Detail
Shopify setzt bereits ohne installierte Apps eine Reihe von Cookies. Nicht alle sind funktional — einige dienen Analytics-Zwecken und erfordern daher eine Einwilligung.
Cookie-Tabelle
| Cookie | Zweck | Laufzeit | Kategorie | Consent nötig? |
|---|---|---|---|---|
_shopify_s | Session-Tracking (Analytics) | 30 Minuten | Analytics | Ja |
_shopify_y | Persistentes Analytics-Tracking | 1 Jahr | Analytics | Ja |
_shopify_sa_t | Marketing-Referrer-Tracking | 30 Minuten | Marketing | Ja |
_shopify_sa_p | Marketing-Landing-Page | 30 Minuten | Marketing | Ja |
_shopify_evids | Event-Tracking (Conversion) | Session | Marketing | Ja |
_shopify_tm | Marketing-Tracking | 30 Minuten | Marketing | Ja |
_y | Shopify Analytics (Persistent) | 1 Jahr | Analytics | Ja |
_s | Shopify Analytics (Session) | 30 Minuten | Analytics | Ja |
cart | Warenkorb-Inhalt | 14 Tage | Funktional | Nein |
cart_ts | Warenkorb-Zeitstempel | 14 Tage | Funktional | Nein |
cart_sig | Warenkorb-Signatur | 14 Tage | Funktional | Nein |
secure_customer_sig | Kunden-Login | 20 Jahre | Funktional | Nein |
_tracking_consent | Consent-Speicher | 1 Jahr | Funktional | Nein |
_shopify_fs | Erster Besuch (Analytics) | 30 Minuten | Analytics | Ja |
_cmp_a | Consent-Management | 1 Jahr | Funktional | Nein |
Problem: Die Analytics-Cookies _shopify_s, _shopify_y und weitere werden von Shopify standardmäßig gesetzt — auch ohne aktive Analytics-Funktion im Admin. Du musst sie über ein Cookie-Banner blockieren, bis der Nutzer einwilligt.
AVV mit Shopify: DPA aktivieren
Shopify bietet ein Data Processing Addendum (DPA) an, das als AVV nach Art. 28 DSGVO dient. Du findest es unter:
Shopify Admin > Einstellungen > Rechtliches > Datenschutz
Alternativ ist die aktuelle Version der Shopify DPA unter shopify.com/legal/dpa einsehbar.
Was die Shopify DPA abdeckt
- Verarbeitungsgegenstand und -dauer
- Kategorien personenbezogener Daten
- Technische und organisatorische Maßnahmen
- Unterauftragsverarbeiter-Liste (Sub-processors)
- Standardvertragsklauseln (SCCs) für Drittlandtransfer
- Audit-Recht (eingeschränkt auf Berichte und Zertifizierungen)
Was die Shopify DPA NICHT abdeckt
- Individuelle Weisungserteilung (du bist an Shopifys Standard-Verarbeitung gebunden)
- Löschung einzelner Datensätze auf Zuruf (nur über Shopifys eigene DSGVO-Tools im Admin)
- Transparenz über alle internen Verarbeitungsprozesse von Shopify
Shopify Apps: Das unterschätzte Datenschutzrisiko
Jede installierte Shopify-App ist ein potenzieller eigenständiger Verantwortlicher oder Auftragsverarbeiter. Apps können auf Kundendaten, Bestellungen, Produkte und Shop-Einstellungen zugreifen — je nach erteilten Berechtigungen.
Typische Probleme mit Shopify-Apps
| Problem | Beispiel |
|---|---|
| Unkontrollierter Datenzugriff | Review-Apps lesen alle Kundendaten, obwohl sie nur Bewertungen anzeigen sollen |
| Drittlandtransfer | Viele App-Entwickler sitzen außerhalb der EU und haben kein DPA |
| Externe Scripts | Apps laden eigene JavaScript-Dateien von Drittanbieter-Servern |
| Cookies | Apps setzen eigene Tracking-Cookies ohne Consent-Integration |
| Kein AVV | Viele App-Anbieter bieten kein DPA/AVV an |
Empfohlene Vorgehensweise
- App-Audit: Prüfe jede installierte App auf Berechtigungen (Shopify Admin > Apps > App-Details)
- AVV/DPA anfordern: Kontaktiere jeden App-Anbieter und fordere ein DPA an
- Minimale Berechtigungen: Entferne Apps, die mehr Berechtigungen haben als nötig
- Nicht genutzte Apps deinstallieren: Inaktive Apps behalten oft ihre Daten-Zugriffsrechte
- Scripts prüfen: Nutze den Browser Network-Tab oder einen Scanner, um externe Requests durch Apps zu identifizieren
Cookie-Banner für Shopify
Shopifys native Consent-Lösung
Seit 2024 bietet Shopify eine eingebaute Consent-Verwaltung unter “Einstellungen > Customer Privacy”. Diese umfasst:
- Basis-Cookie-Banner (Design eingeschränkt anpassbar)
- Consent-API für Shopify-eigene Tracking-Pixels
- Integration mit Shopifys
_tracking_consentCookie
Limitationen der nativen Lösung:
- Kein echtes Script-Blocking für Drittanbieter-Scripts
- Kein automatischer Cookie-Scan
- Design-Anpassungen stark eingeschränkt
- Kein A/B-Testing der Consent-Rate
- Keine Integration mit externem Scanner
- Google Consent Mode v2 nur eingeschränkt
Compliso Cookie-Banner für Shopify
Der Compliso Cookie-Banner lässt sich in Shopify über das Theme-Editor-Snippet integrieren:
Shopify Admin > Online Store > Themes > Edit Code > Layout > theme.liquid
Füge im <head>-Bereich ein:
<!-- Compliso Cookie-Banner -->
<script
src="https://cdn.compliso.de/banner.js"
data-compliso-id="DEINE-DOMAIN-ID"
async
></script>
Wichtig: Deaktiviere gleichzeitig Shopifys nativen Cookie-Banner (“Einstellungen > Customer Privacy > Banner deaktivieren”), um Konflikte zu vermeiden.
Vorteile gegenüber der nativen Lösung
| Kriterium | Shopify nativ | Compliso |
|---|---|---|
| Script-Blocking | Nur Shopify-eigene Pixels | Alle Scripts (MutationObserver) |
| Banner-Größe | ~25 KB | ~6 KB |
| Automatischer Cookie-Scan | Nein | Ja (30 Checks) |
| GCM v2 | Eingeschränkt | Nativ integriert |
| Design-Anpassung | Sehr eingeschränkt | Vollständig anpassbar |
| Dark-Pattern-Prüfung | Nein | Ja (automatisch) |
| Rechtstexte-Generator | Nein | Ja (DSE, Impressum) |
Checkout und Zahlungsdaten
Shopify Payments vs. externe Payment-Provider
| Kriterium | Shopify Payments | Externer PSP (Stripe, PayPal etc.) |
|---|---|---|
| Datenweitergabe | Daten bleiben bei Shopify | Zusätzlicher Datentransfer an PSP |
| AVV | Über Shopify DPA abgedeckt | Separater AVV mit PSP nötig |
| PCI DSS | Shopify-zertifiziert | PSP-zertifiziert |
| Drittlandtransfer | Kanada/USA (Shopify) | Abhängig vom PSP (Stripe: USA, Klarna: Schweden) |
| DSE-Anpassung | Shopify als Zahlungsdienstleister nennen | Jeden PSP einzeln nennen |
Empfehlung: Shopify Payments reduziert die Anzahl der Datentransfers und vereinfacht die DSGVO-Dokumentation. Bei externen PSPs wie PayPal oder Klarna musst du den jeweiligen Drittlandtransfer und die Datenkategorien in der Datenschutzerklärung dokumentieren.
Checkout-Seite und Consent
Die Shopify-Checkout-Seite liegt auf checkout.shopify.com — du hast keinen vollständigen Zugriff auf den HTML-Code. Das bedeutet:
- Du kannst auf der Checkout-Seite keine eigenen Scripts einbinden (nur Shopify Plus erlaubt Checkout-Customization)
- Shopify setzt auf der Checkout-Seite eigene Tracking-Cookies
- Der Consent-Status muss von deinem Banner an Shopifys Consent-API übergeben werden
Shopify Email und DSGVO
Shopify Email ist Shopifys integrierter E-Mail-Marketing-Dienst. Datenschutzrelevant:
- Verarbeiter: Shopify (über DPA abgedeckt)
- Tracking: Öffnungsraten und Klicks werden standardmäßig getrackt (Tracking-Pixel in E-Mails)
- Consent: Double-Opt-In ist in Shopify nicht standardmäßig aktiv — du musst es manuell aktivieren
- Abmeldung: Jede E-Mail muss einen Abmeldelink enthalten (ist bei Shopify Email integriert)
Konfiguration: Shopify Admin > Einstellungen > Benachrichtigungen > Marketing > “Kunden müssen die Anmeldung bestätigen” aktivieren.
Shopify Analytics vs. externe Analytics
Shopify-eigene Reports
Shopify bietet integrierte Analytics unter “Shopify Admin > Analytics”. Diese nutzen die Shopify-eigenen Analytics-Cookies (_shopify_s, _shopify_y). Vorteil: Kein zusätzlicher Drittanbieter. Nachteil: Consent für die Shopify-Analytics-Cookies ist trotzdem erforderlich.
Externe Analytics (GA4, Matomo)
Wenn du zusätzlich Google Analytics 4 oder Matomo einsetzen willst:
- GA4: Google Consent Mode v2 ist Pflicht. Scripts müssen vor Consent blockiert werden. Datentransfer in die USA muss dokumentiert werden.
- Matomo (Self-Hosted, Cookie-frei): Kein Consent nötig. Kann als Custom Pixel in Shopify eingebunden werden.
- Plausible: Kein Consent nötig. Simpler Script-Tag im Theme-Header.
Empfehlung: Nutze Shopifys eigene Analytics (mit Consent) oder Matomo/Plausible (ohne Consent) statt GA4, um Datentransfers und Consent-Verluste zu minimieren. Mehr dazu in unserem Artikel Matomo vs. Google Analytics.
Rechtstexte für Shopify-Shops
Jeder Shopify-Shop braucht mindestens vier Rechtstexte. So bindest du sie korrekt ein:
Wo die Rechtstexte platziert werden müssen
| Rechtstext | Platzierung | Shopify-Weg |
|---|---|---|
| Datenschutzerklärung | Von jeder Seite erreichbar (Footer) | Einstellungen > Rechtliches > Datenschutzerklärung |
| Impressum | Von jeder Seite erreichbar (Footer) | Seite anlegen + Footer-Navigation |
| AGB | Vor Bestellabschluss zugänglich | Einstellungen > Rechtliches > AGB |
| Widerrufsbelehrung | Vor Bestellabschluss zugänglich | Einstellungen > Rechtliches > Widerrufsbelehrung |
Wichtig: Shopify platziert AGB und Widerrufsbelehrung automatisch im Checkout-Footer — aber nur wenn sie unter “Einstellungen > Rechtliches” hinterlegt sind. Eine separate Seite im Shop reicht für die Checkout-Integration nicht aus.
Datenschutzerklärung: Was rein muss
Eine Shopify-spezifische Datenschutzerklärung muss mindestens enthalten:
- Shopify als Auftragsverarbeiter (mit Drittlandtransfer-Hinweis)
- Alle eingesetzten Shopify-Apps und deren Datenverarbeitung
- Cookie-Tabelle mit allen Shopify-Cookies
- Payment-Provider und Zahlungsdatenverarbeitung
- E-Mail-Marketing (Shopify Email oder externe Anbieter)
- Analytics-Tools (Shopify Analytics, GA4, etc.)
- Social-Media-Plugins (falls vorhanden)
Der Compliso Content-Generator erstellt eine Datenschutzerklärung basierend auf deinen tatsächlich eingesetzten Diensten — inklusive Shopify-spezifischer Abschnitte.
Häufige Fehler bei Shopify-Shops
1. Kein Cookie-Banner oder nur Shopifys Basis-Banner
Shopifys nativer Banner blockiert keine Drittanbieter-Scripts. Wenn du GA4, Meta Pixel oder App-Scripts einsetzt, werden diese trotz Banner vor Consent geladen.
2. Apps ohne AVV
Viele Shop-Betreiber installieren dutzende Apps, ohne je ein DPA abzuschließen. Jede App, die Kundendaten verarbeitet, erfordert einen AVV.
3. Kein Double-Opt-In für Newsletter
Shopify hat Double-Opt-In nicht standardmäßig aktiviert. In Deutschland ist das DOI-Verfahren aber Standard und wird von den Gerichten erwartet (vgl. UWG SS 7 Abs. 2 Nr. 3).
4. Impressum fehlt oder ist falsch platziert
Das Impressum muss nach DDG SS 5 “leicht erkennbar, unmittelbar erreichbar und ständig verfügbar” sein. Ein Link im Footer reicht — aber er muss auf jeder Seite sichtbar sein, auch auf Produktseiten und im Blog.
5. Google Fonts über Shopify-Theme geladen
Viele Shopify-Themes laden Google Fonts direkt von Google-Servern. Du kannst das in den meisten Themes unter “Theme-Einstellungen > Typografie” ändern oder System-Fonts verwenden.
6. Tracking-Pixels ohne Consent aktiv
Facebook Pixel, TikTok Pixel und Google Ads Conversion Tracking müssen im Cookie-Banner als Marketing-Kategorie konfiguriert und vor Consent blockiert werden.
Praxis-Checkliste: Shopify DSGVO-konform
- Shopify DPA aktiviert (Einstellungen > Rechtliches > Datenschutz)?
- Cookie-Banner mit echtem Script-Blocking installiert?
- Shopifys native Analytics-Cookies erst nach Consent aktiv?
- Alle Shopify-Apps auf Datenschutzkonformität geprüft?
- AVV/DPA mit jedem App-Anbieter abgeschlossen?
- Nicht genutzte Apps deinstalliert?
- Datenschutzerklärung mit allen Diensten und Drittlandtransfers?
- Impressum auf jeder Seite erreichbar (Footer-Navigation)?
- AGB und Widerrufsbelehrung unter “Einstellungen > Rechtliches” hinterlegt?
- Double-Opt-In für Newsletter aktiviert?
- Google Fonts lokal eingebunden oder System-Fonts gewählt?
- Google Consent Mode v2 konfiguriert (falls GA4 im Einsatz)?
- Checkout-Seite auf zusätzliche Tracking-Scripts geprüft?
- Regelmäßiger Scan auf neue Cookies und Tracker durch Apps?
Fazit
Shopify DSGVO-konform zu betreiben erfordert mehr als einen Cookie-Banner. Der Drittlandtransfer nach Kanada und den USA, die Analytics-Cookies, die unkontrollierten App-Datenflüsse und die eingeschränkte Checkout-Anpassung machen eine sorgfältige Konfiguration notwendig.
Mit dem Compliso Scanner kannst du deinen Shopify-Shop automatisch auf alle 30 DSGVO-relevanten Prüfpunkte scannen — von Cookies über Third-Party-Requests bis zu Security-Headers. Der Compliso Cookie-Banner blockiert alle Scripts zuverlässig per Shadow DOM und MutationObserver, unabhängig von Shopifys Theme-Architektur.
Scanne deinen Shopify-Shop jetzt kostenlos und finde heraus, welche Datenschutzprobleme in deinem Shop bestehen — oder registriere dich für den kostenlosen Plan und starte mit der Optimierung.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.