Welche DSGVO-Pflichten hat ein Online-Shop-Betreiber?

Online-Shop-Betreiber müssen u. a. eine vollständige Datenschutzerklärung bereitstellen, Cookie-Consent korrekt implementieren, Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen, Betroffenenrechte gewährleisten und ein Löschkonzept umsetzen. Die Rechtsgrundlagen für jede Verarbeitung müssen nach Art. 6 DSGVO dokumentiert sein.

Brauche ich für meinen Online-Shop einen Auftragsverarbeitungsvertrag?

Ja, für jeden Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet (Art. 28 DSGVO). Das betrifft Hosting-Anbieter, Zahlungsdienstleister, Newsletter-Tools, Analyse-Dienste und viele weitere. Ohne AVV drohen Bußgelder.

Darf ich im Online-Shop Newsletter-Einwilligungen im Checkout abfragen?

Ja, aber die Einwilligung muss freiwillig, informiert und eindeutig sein (Art. 7 DSGVO). Die Checkbox darf nicht vorausgewählt sein, und die Newsletter-Anmeldung darf keine Bedingung für den Kauf sein. Zusätzlich ist ein Double-Opt-in-Verfahren erforderlich.

Wie lange darf ich Kundendaten im Online-Shop speichern?

Bestelldaten müssen aufgrund steuerrechtlicher Pflichten (§ 147 AO) 10 Jahre aufbewahrt werden. Danach sind sie zu löschen. Newsletter-Daten müssen nach Abmeldung sofort gelöscht werden. Für inaktive Kundenkonten sollte eine angemessene Frist (z. B. 3 Jahre) definiert werden.

Online-Shop DSGVO — Pflichten für Betreiber vollständig erklärt

Wenn Sie einen Online-Shop betreiben, verarbeiten Sie zwangsläufig personenbezogene Daten in erheblichem Umfang: Namen, Adressen, Zahlungsdaten, Bestellhistorien, E-Mail-Adressen. Die DSGVO stellt dabei klare Anforderungen an Sie als Verantwortlichen — und die Konsequenzen bei Verstößen sind empfindlich.

In diesem Leitfaden erkläre ich Ihnen alle wesentlichen DSGVO-Pflichten für Online-Shop-Betreiber. Praxisnah, vollständig und ohne unnötigen Juristenjargon.

Warum die DSGVO für Online-Shops besonders relevant ist

Online-Shops verarbeiten im Vergleich zu normalen Websites deutlich mehr und sensiblere personenbezogene Daten. Bei jeder Bestellung fallen an:

Stammdaten: Name, Anschrift, E-Mail, Telefonnummer
Zahlungsdaten: Kreditkartennummer, IBAN, PayPal-Adresse
Bestelldaten: Bestellhistorie, Warenkorbinhalte, Retouren
Technische Daten: IP-Adresse, Browser-Informationen, Gerätedaten

Das macht Online-Shops zu einem besonders attraktiven Ziel für Aufsichtsbehörden und Abmahner. Die Rechtsgrundlagen müssen für jede einzelne Verarbeitung stimmen.

Die wichtigsten Rechtsgrundlagen im E-Commerce

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Verarbeitung personenbezogener Daten zur Durchführung eines Kaufvertrags ist über Art. 6 Abs. 1 lit. b DSGVO gedeckt. Das umfasst:

Entgegennahme und Bestätigung der Bestellung
Abwicklung der Zahlung
Versand der Ware und Sendungsverfolgung
Kommunikation bei Rückfragen zur Bestellung
Rückabwicklung bei Widerruf oder Retoure

Wichtig: Diese Rechtsgrundlage gilt nur für Daten, die tatsächlich zur Vertragserfüllung erforderlich sind. Die Telefonnummer können Sie z. B. nur dann verpflichtend abfragen, wenn sie für die Zustellung wirklich benötigt wird.

Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Bestimmte Daten müssen Sie aufgrund gesetzlicher Pflichten speichern:

Steuerrechtliche Aufbewahrungspflichten (§§ 147 AO, 257 HGB): Rechnungen und Buchungsbelege müssen 10 Jahre aufbewahrt werden
Handelsrechtliche Pflichten: Geschäftsbriefe 6 Jahre
Gewährleistung: Relevante Daten für die Dauer der Gewährleistungsfrist

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Für alles, was über die Vertragserfüllung hinausgeht, brauchen Sie eine ausdrückliche Einwilligung:

Newsletter-Versand (mit Double-Opt-in)
Marketing-Tracking und Retargeting
Personalisierte Produktempfehlungen
Weitergabe von Daten an Werbepartner

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

In einigen Fällen können Sie sich auf ein berechtigtes Interesse berufen:

Betrugsprävention
Interne Analyse zur Verbesserung des Shops
Geltendmachung rechtlicher Ansprüche

Allerdings müssen Sie immer eine Interessenabwägung durchführen und dokumentieren.

Konkrete Pflichten für Shop-Betreiber

1. Datenschutzerklärung

Ihre Datenschutzerklärung muss nach Art. 13 DSGVO alle Verarbeitungen im Shop transparent darstellen:

Welche Daten werden bei der Bestellung erhoben?
Welche Zahlungsdienstleister werden eingesetzt?
Welche Tracking- und Analyse-Tools laufen?
An welche Drittanbieter werden Daten weitergegeben?
Wie lange werden Daten gespeichert?
Welche Rechte haben Betroffene?

Die Datenschutzerklärung muss von jeder Seite des Shops aus erreichbar sein — auch aus dem Warenkorb und dem Checkout-Prozess.

Für Marketing- und Analyse-Cookies gilt Opt-in-Pflicht. Das betrifft:

Google Analytics / GA4
Facebook Pixel
Pinterest Tag
Hotjar, Mouseflow und ähnliche Heatmap-Tools
Retargeting-Pixel aller Art

Technisch notwendige Cookies (Warenkorb-Session, Login-Status) dürfen ohne Einwilligung gesetzt werden.

3. Bestellprozess und Checkout

Im Checkout-Prozess müssen Sie:

Nur notwendige Daten als Pflichtfelder markieren (Datenminimierung, Art. 5 Abs. 1 lit. c DSGVO)
Auf die Datenschutzerklärung verlinken
Die Einwilligung zum Newsletter separat und nicht vorausgewählt anbieten
Bei Gastkauf die Daten nach Abschluss der Transaktion und Ablauf der Aufbewahrungsfristen löschen

4. Auftragsverarbeitungsverträge (AVV)

Für jeden Dienstleister, der Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen AVV nach Art. 28 DSGVO. Typische Auftragsverarbeiter im E-Commerce:

Dienstleister	Beispiele
Hosting	Hetzner, IONOS, AWS
Zahlungsabwicklung	Stripe, PayPal, Mollie
Versand/Fulfillment	DHL, DPD, Hermes
Newsletter	Mailchimp, CleverReach, Sendinblue
Analyse	Google Analytics, Matomo Cloud
Kundensupport	Zendesk, Freshdesk
Bewertungen	Trusted Shops, Trustpilot

Mehr zum Thema AVV finden Sie in unserem Glossar.

5. Betroffenenrechte gewährleisten

Ihre Kunden haben umfangreiche Rechte nach der DSGVO:

Auskunft (Art. 15): Welche Daten haben Sie über mich gespeichert?
Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden
Löschung (Art. 17): Das “Recht auf Vergessenwerden”
Datenübertragbarkeit (Art. 20): Daten in maschinenlesbarem Format
Widerspruch (Art. 21): Gegen bestimmte Verarbeitungen

Sie müssen diese Anfragen innerhalb von einem Monat beantworten (Art. 12 Abs. 3 DSGVO). Richten Sie interne Prozesse ein, um das zuverlässig zu gewährleisten.

6. Löschkonzept und Speicherfristen

Sie dürfen Daten nicht unbegrenzt speichern. Ein Löschkonzept muss festlegen:

Bestelldaten: Aufbewahrung gemäß steuerrechtlicher Pflichten (10 Jahre), danach Löschung
Kundenkonten: Löschung nach angemessener Inaktivitätsfrist (z. B. 3 Jahre) oder auf Anfrage
Newsletter-Daten: Sofortige Löschung nach Abmeldung
Tracking-Daten: Gemäß Consent-Einstellungen, typischerweise max. 26 Monate

7. Drittlandtransfers

Wenn Sie US-Dienste einsetzen (Shopify, Mailchimp, Stripe, Google), müssen Sie prüfen:

Ist der Anbieter unter dem EU-US Data Privacy Framework zertifiziert?
Werden Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) verwendet?
Wurde ein Transfer Impact Assessment durchgeführt?

Besondere Anforderungen für bestimmte Shop-Typen

Shops mit Kundenkonto

Wenn Sie Kundenkonten anbieten, beachten Sie:

Die Registrierung darf keine Pflicht sein — Gastkauf muss möglich sein (zumindest sollte es so sein, auch wenn keine direkte DSGVO-Pflicht besteht, reduziert es das Datenvolumen)
Das Konto muss löschbar sein (Art. 17 DSGVO)
Passwörter müssen sicher gespeichert werden (gehasht, Art. 32 DSGVO)

Shops mit Bewertungsfunktion

Kundenbewertungen enthalten personenbezogene Daten. Beachten Sie:

Rechtsgrundlage klären (typischerweise berechtigtes Interesse)
Hinweis in der Datenschutzerklärung
Möglichkeit zur Löschung der Bewertung

Shops mit personalisierten Empfehlungen

Produktempfehlungen auf Basis von Kaufverhalten oder Browsing-Verhalten sind Profiling nach Art. 4 Nr. 4 DSGVO. Hier brauchen Sie:

Transparente Information (Art. 13 Abs. 2 lit. f DSGVO)
In der Regel eine Einwilligung
Ein Widerspruchsrecht (Art. 21 DSGVO)

Häufige DSGVO-Verstöße in Online-Shops

Diese Fehler sehe ich in der Praxis am häufigsten:

Newsletter-Checkbox im Checkout vorausgewählt — klarer Verstoß gegen Art. 7 DSGVO
Kein Double-Opt-in beim Newsletter — die Einwilligung ist nicht nachweisbar
Google Analytics ohne Cookie-Consent — Bußgeldrisiko
Fehlende oder unvollständige AVVs — besonders bei Zahlungsdienstleistern übersehen
Keine Löschroutinen — Kundendaten werden ewig gespeichert
Social-Media-Plugins direkt eingebunden — Datenübermittlung ohne Einwilligung

Wenn Sie unsicher sind, ob Ihr Shop alle Anforderungen erfüllt, nutzen Sie unseren DSGVO-Check. Für schnelle Hilfe bei akuten Problemen gibt es unser Rettungspaket.

Fazit

Die DSGVO-Anforderungen für Online-Shops sind umfangreich, aber machbar. Der Schlüssel liegt in der systematischen Herangehensweise: Rechtsgrundlagen klären, Verarbeitungsverzeichnis pflegen, AVVs abschließen, Betroffenenrechte gewährleisten und regelmäßig prüfen.

Investieren Sie die Zeit jetzt — denn ein DSGVO-konformer Shop schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen Ihrer Kunden.

Starten Sie mit unserem DSGVO-Check und verschaffen Sie sich einen Überblick. Alle Fachbegriffe erklären wir im Glossar, und in unserer Produktübersicht finden Sie die passende Lösung für Ihren Shop.

Warum die DSGVO für Online-Shops besonders relevant ist#

Die wichtigsten Rechtsgrundlagen im E-Commerce#

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)#

Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)#

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)#

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)#

Konkrete Pflichten für Shop-Betreiber#

1. Datenschutzerklärung#

2. Cookie-Consent und Tracking#

3. Bestellprozess und Checkout#

4. Auftragsverarbeitungsverträge (AVV)#

5. Betroffenenrechte gewährleisten#

6. Löschkonzept und Speicherfristen#

7. Drittlandtransfers#

Besondere Anforderungen für bestimmte Shop-Typen#

Shops mit Kundenkonto#

Shops mit Bewertungsfunktion#

Shops mit personalisierten Empfehlungen#

Häufige DSGVO-Verstöße in Online-Shops#

Fazit#

Häufig gestellte Fragen (FAQ)#