Brauche ich als kleiner Online-Shop eine Datenschutzerklärung?

Ja, die DSGVO gilt ohne Unternehmensgrößen-Ausnahme für alle, die Daten von EU-Bürgern verarbeiten. Ausnahme: rein private Verarbeitung. Als Online-Shop verarbeitest du immer personenbezogene Daten (Bestelldaten, E-Mail-Adressen).

Was ist der Unterschied zwischen Datenschutzerklärung und Cookie-Consent-Banner?

Die Datenschutzerklärung erklärt dauerhaft, was mit Daten passiert (statisches Dokument). Der Cookie-Consent-Banner holt aktive Einwilligung für nicht-notwendige Cookies ein (aktive Interaktion). Beides ist separat Pflicht.

Muss ich einen Datenschutzbeauftragten benennen?

Nur wenn du mehr als 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigst (§38 BDSG). Für die meisten kleinen Shops: nicht verpflichtend, aber empfehlenswert ab mittlerer Unternehmensgröße.

Wie lange darf ich Kundendaten speichern?

Steuerrelevante Daten (Rechnungen, Bestellungen): 10 Jahre (§147 AO). Andere Daten: nur solange nötig für den Zweck (Datensparsamkeitsprinzip DSGVO Art. 5). Marketing-Opt-ins: solange der Vertrag/das Abo aktiv ist.

Datenschutzerklärung Online-Shop 2026: Generator-Vergleich & DSGVO-Pflichtinhalte

Hinweis: Dieser Artikel enthält Affiliate-Links zu eRecht24 und CookieYes. Wenn du über unsere Links kaufst, erhalten wir eine Provision — für dich ohne Mehrkosten. Unsere Empfehlungen basieren auf eigenen Tests. Stand Mai 2026.

TL;DR: Eine Datenschutzerklärung ist für jeden Online-Shop Pflicht — und ein generisches Copy-Paste-Template aus dem Internet ist in der Regel nicht DSGVO-konform. Jedes Tool, das du nutzt (Google Analytics, Klaviyo, Meta Pixel), muss namentlich erwähnt werden. Empfehlung: eRecht24 als Generator (ab ~€30/Monat) — er deckt tool-spezifische Klauseln ab und aktualisiert automatisch.

Warum die Datenschutzerklärung kein Copy-Paste sein darf

Als ein E-Mail-Marketing-Tool zum eigenen Shop dazukam, haben wir gelernt: die Datenschutzerklärung musste komplett neu aufgesetzt werden. Nicht weil sie schlecht war, sondern weil Klaviyo als Auftragsverarbeiter namentlich erwähnt, der Zweck der Datenverarbeitung beschrieben und ein Auftragsverarbeitungsvertrag (AV-Vertrag) geschlossen werden musste — alles nicht im ursprünglichen Template enthalten.

DSGVO-Bußgelder: bis 20 Mio. EUR oder 4% des Weltumsatzes. In der Praxis für Online-Shops: die meisten Bußgelder liegen im €1.000–50.000-Bereich und werden durch fehlende AV-Verträge, nicht genannte Drittanbieter oder fehlende Betroffenenrechts-Hinweise ausgelöst.

Was muss in die Datenschutzerklärung eines Online-Shops?

DSGVO-Artikel	Pflicht-Information	Beispiel
Art. 13 DSGVO	Identität des Verantwortlichen	Name, Adresse, E-Mail
Art. 13 DSGVO	Kontaktdaten Datenschutzbeauftragter	Falls vorhanden
Art. 13 DSGVO	Verarbeitungszwecke	Bestellabwicklung, Newsletter
Art. 13 DSGVO	Rechtsgrundlagen	Art. 6 Abs. 1 lit. a/b/c/f
Art. 13 DSGVO	Speicherdauer	Steuerliche Aufbewahrung 10 Jahre
Art. 13 DSGVO	Empfänger der Daten	Versanddienstleister, Zahlungsanbieter
Art. 13 DSGVO	Betroffenenrechte	Auskunft, Löschung, Widerspruch
Art. 13 DSGVO	Beschwerderecht	Hinweis auf Aufsichtsbehörde

Wichtig: Diese Liste ist ein Mindestrahmen. Jede weitere Datenverarbeitung (jedes zusätzliche Tool) erfordert eigene Abschnitte in der Datenschutzerklärung.

Drittanbieter-Tools: Jedes Tool muss erwähnt werden

Jedes externe Tool, das du im Shop nutzt und das personenbezogene Daten verarbeitet, muss in der Datenschutzerklärung beschrieben werden — inklusive AV-Vertrag.

Tool	Datenverarbeitung	AV-Vertrag nötig?
Shopify	Hosting, Bestelldaten	Ja (im Shopify MSA bereits enthalten)
Google Analytics 4	Websiteanalyse, IP-Adressen	Ja (Google AV abschließen)
Klaviyo	E-Mail-Marketing, Kundendaten	Ja (Klaviyo AV)
Meta Pixel / Facebook	Retargeting, Conversion-Tracking	Ja (Meta AV)
Cloudflare	CDN, DDoS-Schutz	Ja (Cloudflare AV)
PayPal / Stripe / Mollie	Zahlungsabwicklung	Ja (eigene AV-Vereinbarungen)
Hotjar	Heatmaps, Session Recordings	Ja (Hotjar AV)

Praxis-Erfahrung: Bei einem DSGVO-Audit in einem Shopify-Store haben wir festgestellt, dass der Meta Pixel seit einem App-Update zusätzliche Daten übermittelte — ohne Update der Datenschutzerklärung. Der Auto-Scan-Feature von CookieYes hat das aufgedeckt, nicht die Datenschutzerklärung selbst. Merke: Cookie-Consent-Tool und Datenschutzerklärung ergänzen sich — beides muss aktuell sein.

Google Analytics DSGVO-konform betreiben: Google Analytics DSGVO: GA4 rechtskonform nutzen

Datenschutzerklärung Generator Vergleich

eRecht24 Datenschutzerklärung-Generator — Empfehlung

eRecht24 ist die bekannteste Lösung für DACH-konforme Datenschutzerklärungen. Das All-in-One-Paket deckt DSE + AGB + Impressum ab.

Was enthalten:

Datenschutzerklärung mit tool-spezifischen Klauseln für alle gängigen Shop-Tools
Automatischer Update-Service bei DSGVO-Änderungen
Shopify-spezifische Klauseln (Shopify Payments, Shop Pay)
AV-Vertrag-Verweis vorformuliert
Formulierungen für Betroffenenrechte, Beschwerderecht, Speicherfristen

Preismodell (Stand Mai 2026):

Basic: ca. €30/Monat — DSE + AGB + Impressum, 1 Projekt
Business: ca. €60/Monat — mehrere Projekte
Agentur: ca. €297/Monat — unbegrenzte Kundenprojekte

Was überzeugend ist: Jedes Mal, wenn wir ein neues Tool in unsere Teststores integriert haben (Klaviyo, Tidio, Gorgias), hat eRecht24 die entsprechenden tool-spezifischen Klauseln bereits vorformuliert gehabt. Das spart mehrere Stunden juristischer Recherche pro Tool.

Was fehlt: Der Update-Service ist stark auf DACH-Rechtslage fokussiert — wer in mehreren EU-Ländern verkauft, braucht für länderspezifische Anforderungen (z.B. Frankreich CNIL) zusätzliche Beratung.

Bewertung: 8,7/10

✓ All-in-One, automatische Updates, DACH-geprüft, tool-spezifische Klauseln
✗ Premium-Features erst in höheren Paketen, Preis steigt bei Agentur-Nutzung stark

eRecht24 Premium

Datenschutz.org Generator (kostenlos)

Grundfunktion: DSE-Grundgerüst kostenlos erstellen
Einschränkung: Manuelle Anpassung für jedes Tool nötig, kein Update-Service
Qualität: Solides Grundgerüst, aber tool-spezifische Klauseln fehlen
Eignung: Erste Orientierung oder sehr einfache Shops ohne Drittanbieter-Tools
Kein Affiliate-Programm → neutral erwähnt

Ehrliche Einschätzung: Für einen Shop mit Google Analytics, einem Newsletter-Tool und Zahlungsanbietern ist der kostenlose Generator nur ein Startpunkt — die manuelle Ergänzung der fehlenden Klauseln erfordert entweder Rechtskenntnisse oder zieht die Kosten für einen Anwalt nach sich.

WordPress-Plugin-Lösung für WooCommerce-Shops
Erzeugt DSE-Grundgerüste, aber keine vollständige DACH-Abdeckung
Empfehlung: Nur als Ergänzung zu einem professionellen Generator, nicht allein

Datenschutzerklärung in Shopify einbinden

Schritt-für-Schritt:

Shopify Admin → Online Store → Pages → “Datenschutzerklärung” (oder “Datenschutz”)
DSE-Text einfügen
Navigation: Footer-Menü → Link “Datenschutzerklärung” hinzufügen
Checkout: Shopify Admin → Einstellungen → Checkout → Richtlinien → Datenschutzerklärung verknüpfen

Wichtig bei Shopify Payments: Die Datenverarbeitung durch Stripe muss explizit in der DSE erwähnt werden. eRecht24 hat dafür vorformulierte Klauseln.

Shopify DSGVO-Pflichten im Detail: Shopify DSGVO — was Händler wissen müssen

Datenschutzerklärung aktuell halten

Die DSE ist kein einmaliges Dokument — sie muss aktuell sein:

Wann muss sie aktualisiert werden:

Bei Integration jedes neuen Tools (sofort)
Nach relevanten DSGVO-Urteilen (z.B. neues Schrems-Urteil)
Bei Änderungen im Geschäftsmodell (neues Produktsegment, neue Kundendaten)
Bei gesetzlichen Änderungen (neue EU-Richtlinien)

Dokumentationspflicht: Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist ein internes Dokument, das alle Datenverarbeitungen beschreibt. Pflicht für Unternehmen mit >250 Mitarbeitern, empfohlen für alle.

DSGVO-Checkliste für die laufende Compliance: DSGVO-Checkliste Online-Shop

Die 5 häufigsten Datenschutz-Fehler in Online-Shops

1. Generisches DSE-Template ohne tool-spezifische Klauseln → Google Analytics, Klaviyo, Meta Pixel etc. müssen namentlich erwähnt werden — mit Beschreibung des Verarbeitungszwecks und Hinweis auf AV-Vertrag.

2. Kein AV-Vertrag mit Drittanbietern → AV-Vertrag ist Pflicht für alle Auftragsverarbeiter (Art. 28 DSGVO). Fix: AV-Verträge mit Google, Klaviyo, Meta, Zahlungsanbietern abschließen (meist in den Einstellungen des jeweiligen Tools).

3. Datenschutzerklärung hinter mehr als 2 Klicks versteckt → Muss direkt aus dem Footer erreichbar sein. Fix: Link im Footer-Menü auf jeder Seite.

4. Nur englische Datenschutzerklärung → Für DACH-Shops mit deutschen Kunden: Deutsche DSE Pflicht. Englische Version kann zusätzlich vorhanden sein.

5. Kein Hinweis auf Betroffenenrechte → Auskunft (Art. 15), Löschung (Art. 17), Widerspruch (Art. 21), Datenportabilität (Art. 20) müssen in der DSE erklärt werden.

Empfehlung nach Shop-Situation

Neuer Shopify-Shop, einfaches Setup: eRecht24 Basic (DSE + AGB + Impressum) + CookieYes Free für Cookie-Consent → ca. €30/Monat Gesamtkosten.

Bestehender Shop, komplexes Tool-Setup: eRecht24 Business + eigene AV-Verträge dokumentieren + jährlicher DSGVO-Audit.

WooCommerce-Shop: eRecht24 (gleiche Dokumente, andere Einbindung) + Borlabs Cookie oder CookieYes für WP.

eRecht24 Premium

Nächster Schritt: Cookie-Consent einrichten → Cookie-Consent-Tool Vergleich

Vollständiger Rechts-Leitfaden: Rechtssicherer Online-Shop 2026

Rechtlicher Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. DSGVO-Compliance ist ein komplexes Thema — bei spezifischen Fragen wende dich an einen auf Datenschutzrecht spezialisierten Anwalt.

Quellen: DSGVO Art. 13, 14, 28, 30 (EUR-Lex), Datenschutzkonferenz.de (DSK-Orientierungshilfen), eRecht24 DSGVO-Ratgeber, Shopify Privacy Policy Help Center.