Ein Online-Shop ist nicht nur eine Verkaufsplattform – er ist auch ein Ort, an dem täglich personenbezogene Daten verarbeitet werden: Namen, Adressen, E-Mail-Adressen, Zahlungsdaten. Damit du rechtlich auf der sicheren Seite bist, solltest du die wichtigsten DSGVO-Vorgaben für Online-Shops kennen und umsetzen.
Warum die DSGVO für Shops besonders wichtig ist
Die Datenschutz-Grundverordnung gilt für alle Websites, die personenbezogene Daten verarbeiten – und das tut jeder Webshop. Bereits bei der Registrierung, im Warenkorb oder beim Newsletter fallen Daten an, die du nur mit klarer Zustimmung speichern darfst. Verstöße können nicht nur teuer werden, sondern auch Vertrauen kosten.
Die wichtigsten DSGVO-Pflichten im Online-Shop
1. Datenschutzerklärung & Impressum
Beides ist Pflicht. In der Datenschutzerklärung musst du erklären, welche Daten du sammelst, zu welchem Zweck und auf welcher Rechtsgrundlage. Für rechtssichere Vorlagen nutze Generatoren von eRecht24 oder iubenda.
Das Impressum muss laut WKO jederzeit leicht erreichbar sein.
2. SSL-Verschlüsselung
Ein SSL-Zertifikat ist Pflicht, sobald du personenbezogene Daten verarbeitest – also eigentlich immer. Ohne „https“ riskierst du nicht nur DSGVO-Verstöße, sondern auch abgesprungene Kund:innen. Kostenlose Zertifikate bietet Let’s Encrypt.
3. Cookie-Banner & Tracking
Setzt du Tools wie Google Analytics, Meta Pixel oder Remarketing ein? Dann brauchst du ein Opt-in-Cookie-Banner. Cookies dürfen erst nach Zustimmung gesetzt werden. Beliebte Lösungen sind Complianz oder Borlabs Cookie.
4. Bestellformular & Double Opt-in
Im Checkout und bei Formularen musst du transparent machen, warum du Daten erhebst („zur Abwicklung der Bestellung“). Für Newsletter-Abonnements ist das Double-Opt-in Pflicht: erst nach Bestätigung per E-Mail darf die Adresse gespeichert werden. Das ist Standard bei MailerLite und FluentCRM.
5. Auftragsverarbeitung (AV-Verträge)
Wenn du mit Dienstleistern arbeitest (z. B. Hoster, Newsletter-Anbieter, Zahlungsanbieter), musst du einen Vertrag zur Auftragsverarbeitung abschließen. Diese findest du meist direkt im Kundenbereich deiner Anbieter. Beispiel: Stripe DPA oder PayPal Datenschutzvereinbarung.
6. Zahlungsanbieter & Sicherheit
Verwende nur zertifizierte Zahlungsanbieter mit sicherer Datenübertragung. Informiere deine Kund:innen in der Datenschutzerklärung darüber, welche Zahlungsoptionen du anbietest und welche Daten an Dritte weitergegeben werden.
7. Kundendaten & Löschfristen
Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck nötig sind. Rechnungsdaten musst du laut Steuerrecht sieben Jahre aufbewahren, aber Newsletter-Daten musst du sofort löschen, wenn jemand sich abmeldet.
Typische DSGVO-Fehler in Shops
- Google Fonts oder Tracking ohne Einwilligung
- Fehlende oder veraltete Datenschutzerklärung
- Kein AV-Vertrag mit Zahlungsdienstleistern
- Newsletter ohne Double-Opt-in
- Keine SSL-Verschlüsselung im Checkout
Wie du deinen Shop testen kannst
Mit Tools wie dem eRecht24 DSGVO-Check oder dem Cookiebot GDPR Checker kannst du prüfen, ob deine Website DSGVO-konform ist. Für österreichische Shops sind außerdem die Hinweise der Datenschutzbehörde hilfreich.
DSGVO klingt trocken, ist aber schnell umsetzbar, wenn du die Grundlagen kennst. Mit klaren Informationen, sicheren Tools und fairer Kommunikation schützt du nicht nur dich, sondern auch deine Kund:innen – und das zahlt sich langfristig aus.
Mach jetzt deinen Website-Check!
Willst du wissen, wie gut deine Website wirklich optimiert ist? Schick mir einfach deine Domain – wir analysieren sie und zeigen dir deine größten Chancen.