Welche DSGVO-Pflichten gelten speziell für Online-Shops?

Datenschutzerklärung, Cookie-Consent (vor Analytics-Cookies), AV-Verträge mit Drittanbietern, Double-Opt-in bei E-Mail-Marketing, Widerrufsbelehrung, sicheres Checkout (HTTPS), Impressum nach §5 TMG.

Muss ich DSGVO auch einhalten, wenn ich nur in Deutschland verkaufe?

Ja. Die DSGVO gilt für alle Unternehmen, die Daten von EU-Bürgern verarbeiten. Als DE-Händler bist du vollumfänglich DSGVO-pflichtig — unabhängig von Unternehmensgröße oder Umsatz.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Ein internes Dokument nach Art. 30 DSGVO, das alle Datenverarbeitungen beschreibt: Zweck, Rechtsgrundlage, Datenarten, Empfänger, Speicherdauer. Pflicht für Betriebe mit mehr als 250 Mitarbeitern; freiwillig empfohlen für alle.

Wie oft muss ich die DSGVO-Compliance in meinem Shop prüfen?

Mindestens einmal jährlich und bei jeder Integration eines neuen Tools oder bei relevanten Gerichtsurteilen (z.B. neues Schrems-Urteil). Empfehlung: Jährlicher Audit-Termin im Kalender.

DSGVO-Checkliste Online-Shop 2026: 15 Punkte für vollständige Compliance

Hinweis: Dieser Artikel enthält Affiliate-Links zu eRecht24 und CookieYes. Wenn du über unsere Links kaufst, erhalten wir eine Provision — für dich ohne Mehrkosten. Unsere Empfehlungen basieren auf eigenen Tests. Stand Mai 2026.

TL;DR: DSGVO-Compliance für Online-Shops ist kein einmaliger Task, sondern ein laufender Prozess. Diese 15-Punkte-Checkliste entstand aus einem eigenen Audit-Prozess und deckt alle kritischen Pflichten ab — von Impressum bis Cookie-Consent. Die wichtigsten Tools: eRecht24 (AGB, DSE, Impressum) + CookieYes (Cookie-Consent).

Warum DSGVO für Online-Shops ernst zu nehmen ist

Beim eigenen DSGVO-Audit — ausgelöst durch die Integration eines neuen E-Mail-Marketing-Tools — haben wir 7 offene Punkte auf der Compliance-Liste gefunden. Nicht Datenmissbrauch, sondern formale Fehler: fehlender AV-Vertrag mit einem Zahlungsanbieter, veraltete Cookie-Kategorisierung, kein Consent-Log.

Die wichtigsten Bußgeld-Kategorien im KMU-Bereich (anonymisiert aus öffentlichen Entscheidungen):

€5.000–50.000: Fehlende Cookie-Einwilligung oder fehlerhafte Datenschutzerklärung
€50.000–250.000: Kein AV-Vertrag mit Drittanbietern bei erheblicher Datenverarbeitung
Ab €250.000: Datenpannen ohne Meldung, systematischer Datenmissbrauch

Realistisch: Die meisten Bußgelder gegen kleine Online-Shops entstehen durch formale Fehler, nicht durch bewussten Datenmissbrauch. Diese Checkliste deckt die formalen Pflichten ab.

DSGVO-Checkliste Online-Shop: 15 Punkte

Vor dem Launch

1. Impressum vollständig und erreichbar (§5 TMG)

Erreichbar in max. 2 Klicks von jeder Seite
Vollständige Angaben: Name, Adresse, E-Mail, ggf. USt-IdNr., HR-Nummer
BGH 2022: E-Mail-Adresse ist Pflicht, Kontaktformular allein reicht nicht → Impressum Online-Shop: Pflichtangaben

2. Datenschutzerklärung erstellt und aktuell (DSGVO Art. 13)

Alle verarbeiteten Tools namentlich erwähnt (Google Analytics, Klaviyo, Meta Pixel etc.)
Rechtsgrundlagen für jede Verarbeitung angegeben
Betroffenenrechte erklärt (Auskunft, Löschung, Widerspruch) → Datenschutzerklärung Generator Online-Shop

3. AGB rechtlich geprüft und aktuell (BGB, UWG)

Widerrufsrecht korrekt (14-Tage-Frist, Muster-Widerrufsformular)
Lieferbedingungen und Versandkosten klar kommuniziert
Keine unwirksamen Klauseln nach §§307–309 BGB → AGB-Generator Online-Shop

4. Cookie-Consent-Banner eingerichtet (DSGVO + BGH Planet49)

Opt-in vor Analytics/Marketing-Cookies (kein Pre-Checked)
Widerruf jederzeit möglich (gleich prominenter “Ablehnen”-Button)
Consent-Log vorhanden (dokumentiert Einwilligungen) → Cookie-Consent-Tool Vergleich

5. Widerrufsbelehrung und -formular vorhanden

14-Tage-Frist klar kommuniziert, Fristbeginn korrekt beschrieben
Muster-Widerrufsformular verfügbar (EGBGB Anlage 2)
Im Checkout verlinkt oder integriert

6. AV-Verträge mit allen Drittanbietern abgeschlossen (Art. 28 DSGVO)

Google Analytics: Google AV im Google-Konto abschließen
Klaviyo / Brevo: AV in den Account-Einstellungen
Shopify MSA: deckt Shopify-Hosting ab
PayPal, Stripe, Mollie: eigene AV-Vereinbarungen
Cloudflare: Cloudflare AV unterschreiben

7. SSL/HTTPS aktiviert (Art. 32 DSGVO — Datensicherheit)

HTTPS für gesamten Shop, inklusive Checkout
Kein gemischter Content (HTTP-Ressourcen auf HTTPS-Seite)
SSL-Zertifikat aktuell (Shopify: automatisch; WooCommerce: manuell prüfen)

Laufende Compliance

8. Verzeichnis von Verarbeitungstätigkeiten gepflegt (Art. 30 DSGVO)

VVT-Dokument mit allen Datenverarbeitungen: Zweck, Rechtsgrundlage, Datenarten, Empfänger, Speicherdauer
Pflicht ab 250 Mitarbeitern — für alle anderen: freiwillig empfohlen
Empfehlung: Google Sheets oder Notion-Tabelle, jährlich aktualisieren

9. Aufbewahrungsfristen eingehalten

Bestelldaten, Rechnungen: 10 Jahre (§147 AO)
Marketing-Opt-ins: solange Abo aktiv ist
Bewerberdaten: max. 6 Monate nach Absage (DSGVO Art. 5)

10. E-Mail-Marketing: Double-Opt-in (§7 UWG)

Kein Newsletter-Versand ohne bestätigten DOI
Opt-in-Protokoll speichern (Zeitstempel, IP, Bestätigungs-E-Mail)
Abmelde-Link in jeder E-Mail (gesetzliche Pflicht) → E-Mail-Marketing-Software Vergleich

11. Facebook Pixel / Meta / Google Ads: Einwilligung vor Tracking

Kein Pixel-Feuer ohne Cookie-Consent
Conversion API als Server-Side-Alternative ohne Cookie-Abhängigkeit
Meta Advanced Matching: nur mit Einwilligung

12. Google Analytics 4: IP-Anonymisierung und AV-Vertrag

GA4: Server-side Anonymisierung (kein separates Setting mehr nötig)
Google Signals in DACH: empfohlen zu deaktivieren oder nur mit expliziter Einwilligung
AV mit Google abgeschlossen → Google Analytics DSGVO-konform nutzen

13. Auskunfts- und Löschanfragen: Prozess definiert

Interne Ansprechperson benannt
Reaktionszeit: max. 30 Tage (Art. 12 DSGVO)
Prozess dokumentiert: wer bearbeitet, wie wird gelöscht (Shopify: Kunden-Export + Löschfunktion)

14. Kundendaten-Backup und Sicherheitskonzept (Art. 32 DSGVO)

Regelmäßige Backups (bei Shopify: automatisch; WooCommerce: Plugin nötig)
Zugriffsprotokollierung für Admin-Accounts
Passwort-Policy für alle Shop-Zugänge (2FA empfohlen)

15. DSGVO-Audit: Mindestens einmal jährlich

Neue Tools seit letztem Audit: DSE aktualisiert?
Neue Gerichtsurteile: Anpassungsbedarf?
Drittanbieter-Updates: neue Datenverarbeitungen?
Cookie-Auto-Scan: neue unbekannte Cookies?

Shop-System-spezifische Hinweise

Shopify DSGVO

Was Shopify übernimmt: Der Shopify MSA (Merchant Service Agreement) deckt Shopify als Auftragsverarbeiter für Hosting und Bestelldaten ab. Du brauchst keinen separaten AV-Vertrag mit Shopify — dieser ist im MSA integriert.

Was du selbst regeln musst:

Shopify Analytics: eigene Datenschutz-Einstellungen im Admin
Shopify Payments / Shop Pay: separate Datenschutz-Klausel in der DSE nötig
Alle Shopify Apps: jede App kann eigene Cookies setzen und Daten verarbeiten → eigene AV-Prüfung

→ Shopify DSGVO — was Händler wissen müssen

WooCommerce DSGVO

Was WooCommerce mitbringt:

WordPress eigene Datenschutz-Optionen (Admin → Datenschutz)
WooCommerce-Datenschutz-Optionen: Bestelldaten-Löschung konfigurierbar
WooCommerce GDPR Privacy Policy Erweiterung (kostenlos)

Was du selbst regeln musst:

Jedes WP-Plugin kann eigene Cookies setzen → regelmäßiger Auto-Scan empfohlen
Hosting-Anbieter: AV-Vertrag mit WordPress-Hosting-Provider
SMTP-Plugin: AV mit E-Mail-Versanddienst

Was droht bei DSGVO-Verstößen?

Reale Sanktionen (anonymisiert, aus öffentlichen Datenschutzbehörden-Entscheidungen):

Datenschutzbehörde (BfDI / Landesbehörden): Bußgeld bis 4% Weltumsatz oder 20 Mio. EUR
Abmahnungen durch Mitbewerber (UWG-basiert) für fehlende DSE oder Cookie-Fehler: typisch €300–1.500 Anwaltskosten plus Unterlassung
Schadensersatz betroffener Kunden (Art. 82 DSGVO): in Deutschland bislang meist €100–1.000 pro Person

Wichtig: Die meisten DSGVO-Bußgelder im KMU-Bereich liegen bei €1.000–50.000 und werden durch formale Fehler ausgelöst, nicht durch Datenmissbrauch. Diese Checkliste deckt genau diese formalen Pflichten ab.

Tool-Empfehlungen für vollständige DSGVO-Compliance

Aufgabe	Tool-Empfehlung	Affiliate
AGB + Datenschutz + Impressum	eRecht24 Premium	✓
Cookie-Consent	CookieYes (Free/Starter)	✓
Newsletter-Opt-in	Klaviyo / Brevo (DOI-Funktion)	—
Google Analytics DSGVO	GA4 mit Server-Side	—
Datenschutz-Dokumentation (VVT)	Google Sheets / Notion	—
Shopify-spezifisch	Shopify MSA + eigene AV	—

eRecht24 Premium CookieYes

Die vollständige Rechts-Anleitung: Rechtssicherer Online-Shop 2026

Rechtlicher Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bußgeld-Beispiele sind illustrativ. Bei spezifischen Compliance-Fragen wende dich an einen auf Datenschutzrecht spezialisierten Anwalt oder Datenschutzbeauftragten.

Quellen: DSGVO-Volltext (EUR-Lex), BGH Planet49-Urteil (I ZR 7/16), TTDSG §25, Datenschutzkonferenz.de, eRecht24 DSGVO-Ratgeber, §147 AO (Aufbewahrungsfristen).