DSGVO für Online-Shops 2026 – Kompletter Pflichtenleitfaden

Die DSGVO (Datenschutz-Grundverordnung) gilt seit Mai 2018 – und wird 2026 konsequenter denn je durchgesetzt. Deutsche und europäische Datenschutzbehörden verhängen immer mehr und immer höhere Bußgelder. Allein in Deutschland wurden seit 2018 Bußgelder von über 350 Millionen Euro verhängt.

Dieser Leitfaden erklärt praxisnah, was Online-Shop-Betreiber 2026 zwingend umsetzen müssen.

---

🔑 DSGVO-Grundlagen für Online-Shop-Betreiber

Was ist die DSGVO?

Die DSGVO ist eine EU-Verordnung, die regelt, wie personenbezogene Daten erhoben, verarbeitet und gespeichert werden dürfen. Sie gilt für jeden, der Daten von EU-Bürgern verarbeitet – unabhängig vom Firmensitz.

Personenbezogene Daten im Online-Shop umfassen:

• Name, Adresse, E-Mail, Telefon (Bestelldaten)
• IP-Adressen (Serverprotokolle, Tracking)
• Cookies und Gerätekennungen
• Zahlungsdaten
• Bestellhistorie und Kaufverhalten

Die 6 Rechtsgründe zur Datenverarbeitung

Rechtsgrundlage	Anwendungsfall im Shop
Vertragserfüllung (Art. 6 Abs. 1 b)	Bestellabwicklung, Lieferung
Einwilligung (Art. 6 Abs. 1 a)	Newsletter, Marketing-Cookies
Rechtliche Verpflichtung (Art. 6 Abs. 1 c)	Steuerrelevante Daten (10 Jahre)
Berechtigtes Interesse (Art. 6 Abs. 1 f)	Betrugsprävention, IT-Sicherheit
Lebenswichtige Interessen (Art. 6 Abs. 1 d)	Selten im E-Commerce relevant
Öffentliches Interesse (Art. 6 Abs. 1 e)	Nicht relevant für private Shops

---

📄 Datenschutzerklärung – Was 2026 rein muss

Eine Datenschutzerklärung ist für jeden Online-Shop Pflicht (Art. 13 DSGVO). Sie muss:

Pflichtinhalte

1. Verantwortlicher

• Vollständiger Name / Firmenname
• Vollständige Adresse
• E-Mail und Telefon
• Datenschutzbeauftragter (falls Pflicht – s. u.)

2. Datenverarbeitungszwecke Für jeden Verarbeitungszweck:

• Art der Daten
• Rechtsgrundlage
• Speicherdauer
• Empfänger der Daten

3. Typische Shop-Verarbeitungen

Verarbeitungszweck	Rechtsgrundlage	Speicherdauer
Bestellabwicklung	Vertragserfüllung	Bis Abwicklung + Gewährleistungsfrist
Rechnungsstellung	Rechtl. Verpflichtung	10 Jahre (§ 147 AO)
Versand (Dienstleister)	Vertragserfüllung	Bis Zustellung
E-Mail-Newsletter	Einwilligung	Bis Abmeldung
Google Analytics	Einwilligung	Konfigurierbar (max. 26 Monate)
Retargeting (Meta Pixel)	Einwilligung	180 Tage
Zahlungsabwicklung (Stripe/Paypal)	Vertragserfüllung	Variiert

4. Betroffenenrechte (zwingend beschreiben)

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16)
• Recht auf Löschung (Art. 17) – „Recht auf Vergessenwerden"
• Recht auf Einschränkung (Art. 18)
• Datenübertragbarkeit (Art. 20)
• Widerspruchsrecht (Art. 21)
• Beschwerderecht bei Aufsichtsbehörde

5. Drittlandtransfers Wenn Sie Tools nutzen, die Daten in die USA übertragen (Google, Meta, Stripe, Mailchimp), ist ein ausdrücklicher Hinweis auf den Datentransfer und dessen Rechtsgrundlage Pflicht.

2026 Aktuell: Das EU-U.S. Data Privacy Framework (seit Juli 2023) erlaubt Datentransfers zu zertifizierten US-Unternehmen. Prüfen Sie für jeden US-Dienst die Zertifizierung unter dataprivacyframework.gov.

---

🍪 Cookie-Banner – Die häufigsten Fehler

Was ist DSGVO-konform?

Pflicht-Elemente eines rechtssicheren Cookie-Banners:

• Klare Informationen über Cookie-Kategorien
• Separate Buttons für „Alle akzeptieren" und „Alle ablehnen"
• Möglichkeit, individuelle Präferenzen zu wählen
• Einstellungen nachträglich änderbar
• Kein Consent durch Weiterscrollen

Was nicht erlaubt ist:

• ❌ Nur „OK"-Button (kein Ablehnen möglich)
• ❌ „Ablehnen" als unauffälliger Kleintext
• ❌ Vorangehakte Checkboxen für Marketing-Cookies
• ❌ Cookie-Wand: „Erst Cookies akzeptieren, dann die Seite nutzen" (teilweise erlaubt bei fairer Alternative)
• ❌ Cookies vor Einwilligung setzen

Empfohlene Tools:

• Cookiebot / CookieYes – Gut für Shopify integrierbar
• Usercentrics – Enterprise-Lösung
• Borlabs Cookie – Für WordPress/WooCommerce

---

🏪 Die 8 wichtigsten DSGVO-Pflichten im Online-Shop

1. Auftragsverarbeitungsverträge (AVV) – Art. 28 DSGVO

Mit jedem Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, müssen Sie einen AVV abschließen:

Dienstleister	AVV erforderlich?
Shopify	✅ Ja
Stripe / PayPal	✅ Ja
MailChimp / Klaviyo	✅ Ja
Google Analytics	✅ Ja
Meta Pixel	✅ Ja
Versanddienstleister (DHL, DPD)	✅ Ja
steuerlicher Berater	✅ Ja
Cloud-Hosting	✅ Ja

Shopify-spezifisch: Shopify stellt unter shopify.com/legal/dpa einen standardisierten AVV zur Verfügung.

---

2. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist für Online-Shops Pflicht, wenn:

• Regelmäßig mehr als 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG)
• Kernaktivitäten sind umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheit, Religion, etc.)

Für die meisten kleinen Online-Shops gilt die Pflicht nicht – aber es empfiehlt sich, die Schwelle zu beobachten.

---

3. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Jedes Unternehmen, das mehr als 250 Mitarbeiter hat oder risikohafte Verarbeitungen durchführt, muss ein VVT führen (Art. 30 DSGVO). Für Online-Shops mit Tracking und Marketing ist das VVT eigentlich immer sinnvoll.

Mindestinhalt:

• Name und Kontaktdaten des Verantwortlichen
• Verarbeitungszwecke
• Kategorien der betroffenen Personen und Daten
• Empfänger (auch Drittländer)
• Löschfristen

---

4. Datenpannen melden (Art. 33/34 DSGVO)

Bei einer Datenpanne (Hack, unbeabsichtigte Veröffentlichung etc.):

• Meldung an zuständige Aufsichtsbehörde innerhalb von 72 Stunden
• Bei hohem Risiko: Betroffene direkt informieren
• Dokumentation auch wenn keine Meldung erforderlich ist

2026-Tipp: Richten Sie einen Notfallplan ein. Wer die 72h-Frist verpasst, zahlt – auch wenn der eigentliche Datenverlust gering war.

---

5. Recht auf Löschung – technische Umsetzung

Kunden können die Löschung ihrer Daten verlangen. Problem: In einem Shopify-Shop liegen Kundendaten oft verteilt:

• Shopify Kundenprofil
• E-Mail-Marketing-Tool (Klaviyo, Mailchimp)
• CRM (falls vorhanden)
• Google Analytics (User-Level Daten)
• Meta Custom Audiences

Lösung: Dokumentieren Sie bei Onboarding welche Systeme Kundendaten erhalten. Bei Löschanfragen müssen alle Systeme bereinigt werden.

---

6. Datensparsamkeit (Art. 5 Abs. 1 c DSGVO)

Erheben Sie nur Daten, die Sie wirklich brauchen. Typische Verstöße:

• Pflichtfeld „Geburtsdatum" bei Newsletter-Anmeldung (nicht nötig)
• Pflichtfeld „Telefon" im Checkout wenn Lieferung ohne Telefon möglich
• Exzessives Session-Tracking

---

7. Auskunftsanfragen beantworten

Verbraucher können jederzeit Auskunft verlangen. Sie müssen innerhalb von einem Monat antworten (verlängerbar auf 3 Monate bei Komplexität).

Checkliste für Auskunftsanfragen:

• Was verarbeiten Sie von dieser Person?
• Zu welchem Zweck?
• Wem haben Sie die Daten weitergegeben?
• Wie lange speichern Sie?

---

8. Zahlungsdaten besonders schützen

Kreditkartendaten dürfen niemals auf Ihren Servern gespeichert werden. Shopify und Zahlungsdienstleister wie Stripe sind PCI-DSS-zertifiziert und übernehmen diese Verantwortung – aber nur wenn Sie die Integration korrekt nutzen.

---

🚨 Bußgelder 2026 – Was wirklich passiert

Verstoßkategorie	Maximales Bußgeld
Schwere Verstöße (z. B. kein Rechtsgrund für Verarbeitung)	20 Mio. € oder 4% Weltumsatz
Leichtere Verstöße (z. B. AVV fehlt)	10 Mio. € oder 2% Weltumsatz

Reale Fälle aus Deutschland:

• Online-Shop ohne ausreichenden Cookie-Consent: 50.000 € (2024)
• Datenweitergabe an Werbenetzwerk ohne Einwilligung: 105.000 € (2024)
• Nicht-Beantwortung von Auskunftsanfragen: 30.000 € (2025)

Wichtig: Auch Abmahnungen durch Wettbewerber und Verbraucherschutzverbände sind möglich – oft schneller und für Kleine Unternehmen teurer als Behördenbußgelder.

---

✅ DSGVO-Audit-Checkliste für Online-Shops 2026

Datenschutzerklärung:

• Vollständig, aktuell, für alle Verarbeitungen
• Drittlandtransfers für US-Tools dokumentiert
• Betroffenenrechte beschrieben
• Einfach erreichbar (Footer-Link genügt)

Cookie-Consent:

• Aktive Einwilligung vor Marketing-Cookies
• „Alle ablehnen" genauso einfach wie „Alle akzeptieren"
• Einwilligungs-Präferenzen jederzeit änderbar

Verträge:

• AVV mit allen Auftragsverarbeitern
• Shopify DPA unterzeichnet
• Zahlungsanbieter AVV

Prozesse:

• Löschkonzept dokumentiert
• Datenpannen-Notfallplan vorhanden
• Prozess für Auskunfts- und Löschanfragen

---

📲 Shopify-spezifische DSGVO-Tipps

1. Shopify Privacy & Compliance Center
Unter Shopify Admin → Einstellungen → Datenschutz & Compliance können viele Standardprozesse konfiguriert werden.

2. Customer Data Request API
Shopify bietet eine automatisierte Verarbeitung von Kundenanfragen (Auskunft, Löschung). Aktivieren Sie diese!

3. Consent Mode v2 (für Google Tracking)
Ohne korrekte Consent Mode v2-Integration verlieren Sie Conversion-Daten. Nutzen Sie eine zertifizierte CMP die automatisch Consent Mode steuert.

4. Datenschutzfreundliche App-Prüfung
Prüfen Sie jeden neuen Shopify App Store vor Installation:

• Welche Daten überträgt sie?
• Besteht ein AVV?
• Erfolgt ein Transfer in Drittländer?

---

Datenschutz ist kein Hindernis – sondern ein Vertrauenssignal. Shops, die transparent mit Daten umgehen, haben nachweislich höhere Conversion-Rates und weniger Kaufabbrüche.

Haben Sie Fragen zur DSGVO-Konformität Ihres Online-Shops? Lassen Sie uns sprechen.