Shopify DSGVO: Der komplette Compliance-Guide fuer deutsche Haendler (2026)
Shopify DSGVO-konform machen: Checkliste, AVV, Cookie Consent, Datenschutzerklaerung und die haeufigsten Fehler. Praxisguide fuer Shopify-Haendler in der DACH-Region.
Was ist die DSGVO und warum betrifft sie Shopify-Shops?
Die Datenschutz-Grundverordnung (DSGVO) regelt seit Mai 2018, wie Unternehmen in der EU personenbezogene Daten verarbeiten duerfen. Jeder Shopify-Shop, der Kunden in Deutschland, Oesterreich oder der Schweiz bedient, faellt unter diese Verordnung, unabhaengig davon, wo Shopify selbst die Daten speichert.
Die Konsequenzen bei Verstoessen sind real: Laut Art. 83 DSGVO drohen Bussgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes. 2025 wurden in Deutschland 249 Bussgelder mit einem Gesamtvolumen von rund 46,9 Mio. EUR verhaengt. Die Zahl gemeldeter Datenpannen stieg auf 10.259, ein Anstieg gegenueber 8.623 im Vorjahr (DSGVO-Gesetzestext).
Ich habe in den letzten zwei Jahren dutzende Shopify-Shops von innen gesehen. Die meisten Haendler wissen, dass sie eine Datenschutzerklaerung brauchen. Aber die eigentlichen Risiken liegen tiefer: in Tracking-Pixeln, die vor dem Consent laden, in fehlenden AVVs mit Drittanbietern und in Kontaktformularen ohne Double-Opt-in. Wer seinen Shopify-Shop rechtssicher machen will, muss bei der DSGVO anfangen.
Ist Shopify DSGVO-konform?
Die kurze Antwort: Shopify liefert eine Grundlage, aber DSGVO-konform wird dein Shop erst durch deine eigene Konfiguration. Shopify stellt einen Auftragsverarbeitungsvertrag (AVV) bereit, nutzt Standard Contractual Clauses (SCCs) fuer den Datentransfer in die USA und bietet eine Customer Privacy API fuer Cookie-Consent. Die Infrastruktur laeuft auf Google Cloud Platform und Cloudflare, beide seit 2024 unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
Was Shopify nicht fuer dich erledigt: rechtskonforme Seiten (Impressum, AGB, Widerrufsbelehrung), eine vollstaendige Datenschutzerklaerung, Consent-Management fuer Drittanbieter-Scripts, AVVs mit allen weiteren Dienstleistern und ein dokumentiertes Verfahren fuer Datenloesch-Anfragen.
| Bereich | Shopify liefert | Du musst |
|---|---|---|
| AVV/DPA | Automatisch ueber AGB abgeschlossen | AVVs mit allen weiteren Dienstleistern (Klarna, Google, Mailchimp) separat abschliessen |
| Datentransfer USA | SCCs + DPF-Zertifizierung | Pruefen, ob alle Drittanbieter-Apps ebenfalls abgesichert sind |
| Cookie Consent | Customer Privacy API, Consent Mode | Consent-Banner konfigurieren, GA4 und Marketing-Pixel erst nach Einwilligung laden |
| Datenschutzerklaerung | Nicht enthalten | Vollstaendige Datenschutzerklaerung erstellen und verlinken |
| Impressum / AGB | Nicht enthalten | Alle Pflichtseiten erstellen (Impressum, AGB, Widerrufsbelehrung) |
| Datenloeschung | Kunden-Datenexport und -Loeschung im Admin moeglich | Prozess dokumentieren, Fristen einhalten (Art. 17 DSGVO) |
| SSL/TLS | Standardmaessig aktiviert | Nichts, automatisch aktiv |
Shopify DSGVO Checkliste
Diese Checkliste deckt jeden Punkt ab, den du als Shopify-Haendler in der DACH-Region erfuellen musst. Ich empfehle, sie einmal komplett durchzugehen und anschliessend quartalsweise zu pruefen, ob alle Punkte noch aktuell sind.
- SSL-Zertifikat aktiv (Shopify liefert automatisch, pruefen unter Einstellungen > Domains)
- Impressum als eigene Seite erstellt und im Footer verlinkt
- Datenschutzerklaerung vollstaendig, mit allen eingesetzten Diensten (Analytics, Zahlungsanbieter, Marketing-Tools)
- AGB fuer den deutschen Markt erstellt und verlinkt
- Widerrufsbelehrung mit Muster-Widerrufsformular
- Cookie-Banner mit Opt-in vor dem Laden von Tracking-Scripts konfiguriert
- Google Analytics 4 erst nach Einwilligung geladen (Consent Mode v2)
- Marketing-Pixel (Meta, TikTok, Pinterest) erst nach Consent aktiv
- Double-Opt-in fuer Newsletter und E-Mail-Marketing aktiviert
- AVV mit Shopify geprueft (automatisch ueber AGB, einsehbar unter Einstellungen > Rechtliches)
- AVVs mit allen Drittanbietern abgeschlossen (Klarna, PayPal, Mailchimp, Google, Meta)
- Datenloesch-Prozess dokumentiert und testbar (Art. 17 DSGVO)
- Verarbeitungsverzeichnis (Art. 30 DSGVO) erstellt und aktuell
- Alle Shopify-Apps auf DSGVO-Konformitaet geprueft (Datenschutzerklaerung jeder App lesen)
Fuer die technischen Details der einzelnen Datenschutz-Einstellungen im Shopify-Admin gibt es einen separaten Deep Dive: [URL PENDING] (Shopify Datenschutz-Einstellungen im Detail).
Cookie Consent und Tracking
Cookies und Tracking-Scripts sind der Bereich, in dem die meisten Shopify-Shops gegen die DSGVO verstossen. Das Problem ist strukturell: Viele Themes und Apps laden Scripts automatisch, bevor der Nutzer ueberhaupt eine Einwilligung geben konnte. Laut der Datenschutzkonferenz gehoeren Cookie-Verstoesse zu den am haeufigsten geahndeten Vergehen (Datenschutzkonferenz).
Shopify bietet mit der Customer Privacy API und dem integrierten Consent Mode eine Basis. Fuer einfache Shops ohne externe Tracking-Pixel kann das ausreichen. Sobald du Google Analytics 4, Meta Pixel, TikTok Pixel oder andere Marketing-Tools einsetzt, brauchst du eine zertifizierte Consent-Management-Plattform (CMP).
GA4 ist dabei ein Sonderfall: Zwar anonymisiert GA4 IP-Adressen automatisch, aber der Datentransfer auf US-Server bleibt rechtlich umstritten. Die Mindestanforderungen: ein AVV mit Google, nachweisbare Nutzereinwilligung vor dem Tracking, datenschutzfreundliche Einstellungen und eine vollstaendige Erwaehnung in der Datenschutzerklaerung. Wer auf Nummer sicher gehen will, setzt auf europaeische Alternativen wie Matomo (selbst gehostet) oder etracker (Hosting in Deutschland).
Eine detaillierte Anleitung zur Einrichtung eines Cookie Banners findest du hier: Cookie Banner fuer Shopify einrichten.
Datenschutzerklaerung fuer Shopify-Shops
Die Datenschutzerklaerung ist kein optionales Dokument. Art. 13 DSGVO schreibt vor, dass du Betroffene bei der Erhebung ihrer Daten umfassend informieren musst. Eine unvollstaendige oder veraltete Datenschutzerklaerung ist einer der haeufigsten Abmahngruende im deutschen E-Commerce.
- Verantwortlicher: Name, Adresse, Kontaktdaten des Shopbetreibers
- Zwecke und Rechtsgrundlagen: Fuer welche Zwecke du Daten verarbeitest (Vertragserfuellung, berechtigtes Interesse, Einwilligung) mit Verweis auf Art. 6 DSGVO
- Empfaenger und Drittanbieter: Alle Dienste, die personenbezogene Daten erhalten (Shopify, Zahlungsanbieter, Analytics, Marketing-Tools, Versanddienstleister)
- Datentransfer in Drittlaender: Hinweis auf US-Datentransfer via Shopify, Google, Meta mit Rechtsgrundlage (SCCs, DPF)
- Speicherdauer: Wie lange du Daten aufbewahrst und nach welchen Kriterien du loeschst
- Betroffenenrechte: Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenportabilitaet, Widerspruch (Art. 15-21 DSGVO)
- Cookies und Tracking: Welche Cookies du setzt, welche Tools du nutzt und wie der Consent-Prozess funktioniert
Einen detaillierten Leitfaden zur Erstellung findest du hier: [URL PENDING] (Datenschutzerklaerung fuer Shopify erstellen).
AGB und rechtliche Pflichtseiten
Neben der Datenschutzerklaerung verlangt das deutsche Recht vier weitere Pflichtseiten fuer jeden Online-Shop. Fehlt eine davon, riskierst du Abmahnungen, unabhaengig von der DSGVO.
- Impressum (Pflicht nach TMG/DDG): Vollstaendiger Name, Adresse, Kontakt, Handelsregisternummer, USt-IdNr. In Shopify als eigene Seite anlegen und im Footer verlinken.
- AGB (Allgemeine Geschaeftsbedingungen): Regeln Vertragsschluss, Lieferung, Zahlung und Haftung. Muessen vor dem Kauf einsehbar sein und aktiv bestaetigt werden.
- Widerrufsbelehrung: 14-Tage-Widerrufsrecht fuer Verbraucher nach Fernabsatzrecht. Muss ein Muster-Widerrufsformular enthalten.
- Datenschutzerklaerung: Siehe vorheriger Abschnitt.
In Shopify legst du diese Seiten unter Online-Shop > Seiten an. Verlinke sie im Footer und, wo noetig, im Checkout. Einen Vergleich der besten AGB-Generatoren fuer Shopify findest du hier: [URL PENDING] (Shopify AGB Generator im Vergleich).
Auftragsverarbeitungsvertrag (AVV) mit Shopify
Art. 28 DSGVO schreibt vor, dass du mit jedem Dienstleister, der in deinem Auftrag personenbezogene Daten verarbeitet, einen Auftragsverarbeitungsvertrag abschliessen musst. Bei Shopify ist dieser Vertrag in die allgemeinen Geschaeftsbedingungen integriert: Mit der Nutzung von Shopify akzeptierst du automatisch das Shopify Auftragsverarbeitungsvertrag.
Das reicht aber nur fuer Shopify selbst. Jeder weitere Dienst in deinem Stack braucht einen eigenen AVV. In der Praxis bedeutet das: Wenn du Klarna, PayPal, Mailchimp, Google Analytics, Meta Ads oder einen Versanddienstleister nutzt, brauchst du mit jedem dieser Anbieter einen separaten Vertrag.
- Shopify AVV pruefen: Gehe zu Einstellungen > Rechtliches im Shopify-Admin. Der AVV ist automatisch abgeschlossen.
- Subprocessor-Liste einsehen: Shopify fuehrt eine aktuelle Liste aller Unterauftragsverarbeiter. Du hast das Recht, bei Aenderungen informiert zu werden.
- Drittanbieter-AVVs abschliessen: Suche auf der Website jedes Anbieters nach 'Data Processing Agreement' oder 'Auftragsverarbeitungsvertrag'. Die meisten grossen Anbieter bieten diese digital zum Abschluss an.
- Dokumentation: Halte alle abgeschlossenen AVVs in deinem Verarbeitungsverzeichnis fest.
Shopify DSGVO Apps und Tools im Vergleich
Fuer die meisten Shopify-Haendler ist eine spezialisierte DSGVO-App sinnvoller als eine rein manuelle Konfiguration. Die drei relevantesten Optionen im deutschen Markt, Stand Anfang 2026:
| App | Bewertung | Google CMP zertifiziert | IAB TCF | Geo-Targeting | Preis |
|---|---|---|---|---|---|
| Pandectes GDPR | 5.0 / 5.0 (2.743 Bewertungen) | Ja (Google + Microsoft) | v2.2 | Ja | Kostenloser Plan verfuegbar |
| Consentmo | 5.0 / 5.0 (1.781 Bewertungen) | Ja | v2.3 | Ja | Kostenloser Plan verfuegbar |
| Shopify nativ | Integriert | Consent Mode v2 | Nein | Nein | Kostenlos |
| CookieYes | 4.5+ / 5.0 | Ja | v2.2 | Ja | Ab ca. 10 EUR/Monat |
Meine Empfehlung: Fuer Shops mit GA4 und Marketing-Pixeln ist Pandectes oder Consentmo die sicherste Wahl. Beide sind von Google als CMP zertifiziert, unterstuetzen IAB TCF und bieten einen kostenlosen Einstieg. Shopifys native Loesung eignet sich nur fuer Shops ohne externe Tracking-Tools.
Haeufige DSGVO-Fehler bei Shopify-Shops
In meiner Arbeit mit E-Commerce-Haendlern sehe ich immer wieder dieselben Fehler. Keiner davon ist schwer zu beheben, aber jeder einzelne kann eine Abmahnung oder ein Bussgeld ausloesen.
- Tracking vor Consent laden: Google Analytics, Meta Pixel oder Hotjar werden im Theme-Code eingebunden und feuern sofort beim Seitenaufruf. Loesung: Alle Scripts erst nach expliziter Einwilligung laden, idealerweise ueber eine CMP.
- Vorangekreuzte Consent-Boxen: Newsletter-Anmeldungen im Checkout mit vorausgewaehlter Checkbox. Seit der DSGVO eindeutig verboten (Art. 7 Abs. 4).
- Fehlende AVVs mit Drittanbietern: Shopify-AVV ist abgeschlossen, aber Klarna, Google und Mailchimp laufen ohne Vertrag. Jeder Dienst braucht einen eigenen.
- Unvollstaendige Datenschutzerklaerung: Neue Apps installiert, aber die Datenschutzerklaerung nicht aktualisiert. Jede App, die personenbezogene Daten verarbeitet, muss erwaehnt werden.
- Kein Double-Opt-in fuer Newsletter: In Deutschland ist Double-Opt-in der rechtliche Standard. Single-Opt-in reicht nicht.
- Datenloesch-Anfragen ignorieren: Art. 17 DSGVO gibt Betroffenen das Recht auf Loeschung. Du musst innerhalb von 30 Tagen reagieren. In Shopify: Kunden > Kunde auswaehlen > Personenbezogene Daten loeschen.
Verhaengt gegen Vodafone wegen Datenschutzmaengeln
Anstieg von 8.623 im Vorjahr
Stand 2025, europaweit
Mehr Traffic ist nur die halbe Miete. Ein KI-Mitarbeiter von Qualimero beraet deine Kunden in Echtzeit, DSGVO-konform und auf EU-Servern gehostet. Unsere Kunden steigern den Warenkorbwert um bis zu 35%. Bei Rasendoktor automatisierte KI-Mitarbeiter Hektor 100% der Webchat-Anfragen mit einem 16-fachen ROI.
Kostenlose Demo buchenFAQ
Shopify bietet eine technische Grundlage fuer DSGVO-Compliance: AVV ueber die AGB, SCCs und DPF-Zertifizierung fuer den US-Datentransfer, Customer Privacy API fuer Cookie Consent. Die vollstaendige Compliance liegt aber beim Haendler: Datenschutzerklaerung, Impressum, Consent-Management und AVVs mit Drittanbietern musst du selbst einrichten.
Art. 83 DSGVO sieht Bussgelder von bis zu 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes vor. In Deutschland wurden 2025 insgesamt 249 Bussgelder mit einem Gesamtvolumen von 46,9 Mio. EUR verhaengt. Auch kleine Shops koennen betroffen sein, besonders durch Abmahnungen wegen fehlender Datenschutzerklaerung oder fehlendem Impressum.
In Deutschland ist ein Datenschutzbeauftragter Pflicht, wenn mindestens 20 Personen regelmaessig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind (Art. 38 BDSG). Fuer kleinere Shops ist er nicht zwingend vorgeschrieben, aber ein externer Datenschutzbeauftragter kann bei der Umsetzung helfen.
In deinem Shopify-Admin gehst du zu Kunden, waehlst den betreffenden Kunden aus und klickst auf 'Personenbezogene Daten loeschen'. Shopify loescht dann alle personenbezogenen Daten innerhalb von 30 Tagen. Du bist verpflichtet, die Anfrage innerhalb dieser Frist zu bearbeiten (Art. 17 DSGVO).
Die beiden am besten bewerteten DSGVO-Apps fuer Shopify sind Pandectes GDPR (5.0/5.0, 2.743 Bewertungen) und Consentmo (5.0/5.0, 1.781 Bewertungen). Beide sind von Google als CMP zertifiziert, unterstuetzen IAB TCF und bieten einen kostenlosen Einstiegsplan. Shopifys native Customer Privacy API reicht nur fuer Shops ohne externe Tracking-Tools.
Gehe in deinem Shopify-Admin zu Einstellungen > Benachrichtigungen > Kunden-Marketing. Aktiviere dort die Option 'Kunden muessen ihre E-Mail bestaetigen'. Bei externen E-Mail-Tools wie Mailchimp oder Klaviyo musst du Double-Opt-in direkt in deren Einstellungen aktivieren, da Shopifys Einstellung dort nicht greift.
Qualimeros KI-Mitarbeiter werden in der EU gehostet und verarbeiten personenbezogene Daten ausschliesslich DSGVO-konform. Kein US-Datentransfer, keine unsicheren Drittanbieter. Teste es 14 Tage kostenlos.
Jetzt kostenlos testen