In einem Satz. Ein Onlineshop wird DSGVO-konform, indem er den Kauf ohne Zwang zum Kundenkonto ermöglicht, Zahlungsdaten nur über PCI-DSS-konforme Dienstleister verarbeitet, Tracking und Marketing-Cookies erst nach echter Einwilligung setzt (TTDSG/TDDDG), Newsletter nur mit dokumentiertem Double-Opt-In versendet, für alle Dienstleister AVV führt und Bestelldaten fristgerecht löscht.
Was muss ein Onlineshop für DSGVO-Konformität tun? E-Commerce ist seit 2020 eine der meistsanktionierten Branchen. Konformität heißt: klare Rechtsgrundlagen pro Verarbeitung, ein TTDSG-konformer Cookie-Banner mit gleichwertiger Ablehnoption, Double-Opt-In für Newsletter, ein Transfer-Impact-Assessment für US-Tools und ein Löschkonzept entlang der handels- und steuerrechtlichen Fristen. Dieser Leitfaden ergänzt unseren Beitrag DSGVO Online-Shop E-Commerce Deutschland um die operative Umsetzung. Grundlagen: DSGVO Anforderungen.
Wichtige Punkte
- Gastbestellung muss möglich sein - kein Zwang zum Kundenkonto.
- Marketing-Cookies erst nach aktiver Einwilligung (TTDSG/TDDDG).
- Newsletter nur mit dokumentiertem Double-Opt-In.
- AVV mit Payment-Provider, Versender, Hoster, Tracking-Tools.
- Notebooksbilliger 10,4 Mio. € - Videoüberwachung als teurer Fehler.
1. Welche Daten ein Shop verarbeitet
Ein Onlineshop verarbeitet Kundenstammdaten, Bestell- und Zahlungsdaten, IP-Adressen, Tracking- und Nutzungsdaten, Newsletter-Daten und teils Bonitätsdaten (bei Kauf auf Rechnung). Hinzu kommen Beschäftigtendaten im Lager und Kundenservice. Jede Kategorie braucht eine Rechtsgrundlage nach Art. 6 DSGVO.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Kaufvertrag / Lieferung | Art. 6 Abs. 1 lit. b |
| Zahlungsabwicklung | Art. 6 Abs. 1 lit. b |
| Rechnung / Buchhaltung | Art. 6 Abs. 1 lit. c |
| Kundenkonto | Art. 6 Abs. 1 lit. b / lit. a |
| Bonitätsprüfung (Rechnungskauf) | Art. 6 Abs. 1 lit. f |
| Newsletter | Art. 6 Abs. 1 lit. a (Double-Opt-In) |
| Marketing-Tracking / Retargeting | Art. 6 Abs. 1 lit. a + § 25 TTDSG |
| Bestandskundenwerbung per E-Mail | § 7 Abs. 3 UWG |
3. Kundenkonto und Gastbestellung
Der Zwang zur Registrierung eines dauerhaften Kundenkontos für einen einmaligen Kauf ist unzulässig - er verstößt gegen die Datenminimierung. Ein Bestellvorgang muss auch als Gastbestellung möglich sein. Das Kundenkonto darf angeboten, aber nicht erzwungen werden. Die für die Gastbestellung erhobenen Daten dürfen nur für die Vertragsabwicklung genutzt werden.
4. Zahlungsdaten
Zahlungsdaten (Kreditkarte, IBAN) sind hochsensibel. Der Shop sollte sie nicht selbst speichern, sondern über PCI-DSS-konforme Payment-Provider (PayPal, Stripe, Klarna, Mollie) abwickeln. Diese sind je nach Konstellation eigenständig Verantwortliche oder Auftragsverarbeiter - die Einordnung ist vertraglich zu klären. Bei US-Anbietern ist ein Transfer-Impact-Assessment nötig; siehe DSGVO für US-Unternehmen.
5. Cookies und Tracking (TTDSG/TDDDG)
Nach § 25 TTDSG (heute TDDDG) dürfen nicht-essenzielle Cookies und Tracking-Technologien (Google Analytics, Meta-Pixel, Retargeting) erst nach aktiver Einwilligung gesetzt werden. Anforderungen an den Cookie-Banner:
- gleichwertige “Alles ablehnen”-Option auf der ersten Ebene,
- kein vorangekreuztes Kästchen,
- kein Nudging durch Farbgestaltung (“Dark Patterns”),
- granulare Auswahl pro Zweck.
Details und Bußgeldrisiken unter TTDSG Cookie-Banner Deutschland. Technisch notwendige Cookies (Warenkorb, Session) brauchen keine Einwilligung.
6. Newsletter und Double-Opt-In
Werbe-Newsletter setzen eine Einwilligung mit Double-Opt-In voraus: Der Nutzer trägt sich ein und bestätigt über einen Link in einer Bestätigungsmail. Der gesamte Vorgang (Zeitstempel, IP, Bestätigung) ist zu dokumentieren - fehlt der Nachweis, gilt die Einwilligung als nicht erteilt. Ausnahme: Bestandskundenwerbung per E-Mail für ähnliche Produkte nach § 7 Abs. 3 UWG, sofern der Kunde bei Erhebung und in jeder Mail widersprechen kann. Grundlagen: DSGVO Einwilligung.
7. Auskunft, Löschung, Betroffenenrechte
Kunden haben Anspruch auf Auskunft und Löschung. Der Shop braucht dafür Prozesse: Wer bearbeitet Anfragen, in welcher Frist (ein Monat), wie werden Daten aus Shop-System, Newsletter-Tool und Payment-Provider zusammengeführt? Ein Kundenkonto-Löschwunsch berührt nicht die 10-jährige Aufbewahrung der Rechnungen - diese bleiben aus steuerrechtlicher Pflicht erhalten, werden aber gesperrt.
8. Aufbewahrungsfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Rechnungen, Buchungsbelege | 10 Jahre | § 147 AO, § 257 HGB |
| Handels- und Geschäftsbriefe (Bestellbestätigung) | 6 Jahre | § 257 HGB |
| Kundenkonto (inaktiv) | nach Zweckerreichung / Inaktivität | Speicherbegrenzung |
| Newsletter-Einwilligungsnachweis | bis Widerruf + Nachweisfrist | Rechenschaftspflicht |
| Server-/Zugriffs-Logs | wenige Tage bis 7 Tage (i.d.R.) | Datenminimierung |
| Bewerberdaten | 6 Monate nach Absage | AGG-Klagefrist |
Inaktive Kundenkonten sollten nach einer definierten Frist (z. B. 2-3 Jahre ohne Bestellung) gelöscht oder anonymisiert werden.
9. Echte Bußgelder - was den Sektor betrifft
E-Commerce ist Sanktions-Spitzenreiter:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für Shops |
|---|---|---|---|---|
| 2021 | LfDI BW | Notebooksbilliger | 10.400.000 € | keine dauerhafte Videoüberwachung |
| 2019 | BlnBDI | Deutsche Wohnen (Immobilien) | 14.500.000 € | Löschfristen einhalten |
| 2020 | HmbBfDI | H&M (Beschäftigte) | 35.300.000 € | keine exzessiven Personalprofile |
Notebooksbilliger ist ein Onlinehändler - das Bußgeld traf die dauerhafte Videoüberwachung von Beschäftigten, nicht das Shop-Frontend. Für Shops mit Lager und Callcenter ist der Beschäftigtendatenschutz damit ein direktes, teures Risiko - nicht nur der Cookie-Banner.
10. Häufige Fehler
- Zwang zum Kundenkonto ohne Gastbestellung.
- Cookie-Banner ohne gleichwertige Ablehnoption oder mit vorangekreuzten Kästchen.
- Newsletter ohne dokumentiertes Double-Opt-In.
- Kein AVV mit Payment-Provider, Versender, Tracking-Tool.
- Google Analytics / Meta-Pixel ohne TIA und ohne Einwilligung geladen.
- Inaktive Kundenkonten und Logs werden nie gelöscht.
11. Tool-Unterstützung
Legiscope hilft Shop-Betreibern beim Verarbeitungsverzeichnis, bei AVV mit Payment- und Versanddienstleistern, bei der Cookie- und Consent-Prüfung und einem automatisierten Löschkonzept für Kundenkonten und Logs.
12. Datenpanne im Onlineshop
Typische Szenarien: eine SQL-Injection oder ein Datenleck der Shop-Datenbank mit Kundenkonten, ein kompromittiertes Zahlungsmodul, ein falsch konfigurierter Cloud-Speicher mit offenen Bestelldaten oder ein Fehlversand von Rechnungen. Ab Kenntnis läuft die 72-Stunden-Frist nach Art. 33 DSGVO; bei hohem Risiko - etwa bei betroffenen Zahlungsdaten - ist zusätzlich nach Art. 34 zu benachrichtigen. Vorsorge: aktuelle Shop-Software und Plugins, Pentests, Zwei-Faktor-Authentifizierung im Adminbereich, Verschlüsselung, minimale Zahlungsdatenspeicherung. Meldewege: Datenpanne melden.
13. Umsetzung in fünf Schritten
- Datenlandkarte: Kunden-, Bestell-, Zahlungs-, Tracking- und Newsletter-Daten sowie alle Dienstleister erfassen.
- Consent und Cookies: TTDSG-konformen Banner mit gleichwertiger Ablehnoption einrichten; Tags erst nach Einwilligung laden.
- AVV-Inventur und TIA: Payment, Versand, Hosting, Tracking prüfen; für US-Tools Transfer-Impact-Assessment dokumentieren.
- Rechtstexte und Prozesse: Datenschutzerklärung, Gastbestellung, Double-Opt-In, Auskunfts- und Löschprozess mit Monatsfrist.
- Löschkonzept: inaktive Kundenkonten und Logs automatisiert löschen, Rechnungen 10 Jahre sperren statt löschen.
14. Betroffenenrechte in der Praxis
Kunden machen ihre Rechte im E-Commerce besonders häufig geltend - der Shop braucht dafür schlanke, automatisierte Prozesse mit der Monatsfrist (Art. 12 Abs. 3):
- Auskunft (Art. 15): Bestell-, Konto-, Newsletter- und Trackingdaten müssen aus Shop-System, Payment-Provider und Marketing-Tool zusammengeführt werden.
- Berichtigung (Art. 16): Stammdaten im Kundenkonto korrigierbar halten.
- Löschung (Art. 17): Ein Löschwunsch berührt nicht die 10-jährige Aufbewahrung der Rechnungen (AO, HGB) - diese werden gesperrt. Kundenkonto und Marketingdaten sind aber zu löschen.
- Widerspruch (Art. 21) gegen Direktwerbung und Profiling: sofort umzusetzen; jede Werbe-Mail braucht einen Abmeldelink.
- Datenübertragbarkeit (Art. 20): Auf Anfrage sind die vom Kunden bereitgestellten Daten in einem gängigen Format herauszugeben.
- Beschwerde und Schadensersatz: unzufriedene Kunden wenden sich an die Aufsichtsbehörde (Art. 77); Verstöße können Ansprüche nach Art. 82 auslösen.
Da ein Shop schnell tausende Kunden hat, ist die manuelle Bearbeitung keine Option - ein standardisierter, teilautomatisierter Ablauf über alle beteiligten Systeme ist entscheidend.
Fazit
Der Onlineshop ist DSGVO-Hochrisiko: Cookie-Banner, Newsletter-Einwilligung, US-Datentransfers und Beschäftigtendatenschutz laufen zusammen. Wer Gastbestellung ermöglicht, Tracking erst nach echter Einwilligung lädt, Double-Opt-In dokumentiert und AVV lückenlos führt, deckt die häufigsten Angriffspunkte ab. Der Fall Notebooksbilliger erinnert daran, dass auch das Lager und der Kundenservice teure Risiken bergen. Ergänzend zum stationären Verkauf siehe DSGVO Einzelhandel.
FAQ
Muss ich eine Gastbestellung anbieten?
Ja. Der Zwang zu einem dauerhaften Kundenkonto für einen einmaligen Kauf verstößt gegen die Datenminimierung. Ein Kundenkonto darf angeboten, aber nicht erzwungen werden.
Wann darf ich Google Analytics oder den Meta-Pixel laden?
Erst nach aktiver Einwilligung über den Cookie-Banner (§ 25 TTDSG/TDDDG). Für die US-Datenübermittlung ist zusätzlich ein Transfer-Impact-Assessment erforderlich.
Reicht ein einfaches Anmeldeformular für den Newsletter?
Nein. Erforderlich ist Double-Opt-In mit Bestätigungsmail, und der gesamte Vorgang (Zeit, IP, Bestätigung) muss dokumentiert werden. Ohne Nachweis gilt die Einwilligung als nicht erteilt.
Wie lange muss ich Bestelldaten aufbewahren?
Rechnungen und Buchungsbelege 10 Jahre (AO, HGB). Ein Löschwunsch des Kunden führt zur Sperrung dieser Daten, nicht zur sofortigen Löschung. Inaktive Kundenkonten sollten nach 2-3 Jahren gelöscht werden.
Brauche ich einen AVV mit PayPal oder Stripe?
Das hängt von der Rolle ab: Payment-Provider sind je nach Konstellation eigene Verantwortliche oder Auftragsverarbeiter. Die Einordnung ist vertraglich zu klären; für als Auftragsverarbeiter tätige Dienstleister ist ein AVV nach Art. 28 nötig.
Darf ich Google Fonts oder Google Maps einfach einbinden?
Nicht per Remote-Einbindung ohne Weiteres. Beim externen Laden von Google Fonts wird die IP-Adresse des Nutzers an Google übertragen - ein Gericht hat dafür bereits immateriellen Schadensersatz zugesprochen. Google Fonts sollten daher lokal eingebunden werden. Google Maps und eingebettete Videos setzen eine vorherige Einwilligung voraus; eine Zwei-Klick-Lösung oder ein Consent-Banner ist erforderlich.
Muss ich Bestandskunden für Werbung um Einwilligung bitten?
Nicht zwingend per E-Mail. Nach § 7 Abs. 3 UWG dürfen Sie Bestandskunden Werbung für ähnliche eigene Produkte per E-Mail senden, wenn der Kunde bei Erhebung und in jeder Nachricht widersprechen kann und die Adresse beim Verkauf erlangt wurde. Für alle anderen Fälle - und für Newsletter allgemein - gilt das Double-Opt-In.
Behördeninformationen: DSK und BfDI; Gesetzestext TTDSG/TDDDG unter gesetze-im-internet.de/tdddg.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial