Datenschutzerklärung im Onlineshop: Wie Händler ihren Shop DSGVO-konform machen

Dass eine Datenschutzerklärung im Onlineshop vorhanden sein muss, ist gesetzlich festgeschrieben. Welche Informationen hineingehören, ist für Händler jedoch nicht immer eindeutig. Im Folgenden erklären wir, was beim Aufsetzen der Datenschutzerklärung zu beachten ist und welche weiteren Datenschutzvorgaben der DSGVO wichtig für E-Commerce-Händler sind.
Was ist die Datenschutzerklärung im Onlineshop?
Jede Website, die personenbezogene Daten erhebt, bedarf einer Datenschutzerklärung. Darin geben Shopbetreiber Besuchern Auskunft über Art, Umfang und Zweck der Datenverarbeitung. Außerdem gilt es, User aufzuklären, welche Möglichkeiten sie haben, eine Datenspeicherung zu widerrufen.
Für Onlineshops mit fehlender oder unvollständiger Datenschutzerklärung besteht das Risiko einer Abmahnung durch entsprechende Aufsichtsbehörden. Die gesetzliche Grundlage hierfür bildet die Datenschutz-Grundverordnung (DSGVO).
Was ist die DSGVO?
Im Jahr 2016 verabschiedete das Europäische Parlament die EU-Datenschutz-Grundverordnung. Innerhalb der zweijährigen Übergangsfrist bis zum 25. Mai 2018 mussten Onlinehändler daher einige Änderungen in ihrem Webshop vornehmen. Diese betreffen insbesondere die folgenden Bereiche:
- Datenerhebung
- Auskunftspflichten
- Newsletter-Versand
- Auftragsverarbeitung
Ziel der DSGVO war es, den Datenschutz online für alle EU-Mitgliedsstaaten zu vereinheitlichen. Das bietet nicht nur Vorteile für Käufer, sondern auch für Shopbetreiber. So erleichtert beispielsweise das One-Stop-Shop-Prinzip (OSS) den internationalen E-Commerce-Handel. Shopbetreiber müssen aufgrund derselben Datenverarbeitung nicht mehr parallel mit mehreren Datenschutzbehörden kommunizieren, sondern nur noch mit einer Zentrale.
Warum ist eine Datenschutzerklärung für Onlineshops wichtig?

Every web shop collects data – and not just when a purchase is made. Tracking tools, social media plugins and cookies also collect information about shop visitors. In order to ensure that online retailers handle this data responsibly and do not misuse it, the data protection declaration as well as the imprint is a must for every web shop. Otherwise, they risk a warning and high fines.
Darüber hinaus ist eine Datenschutzerklärung im Onlinehandel essenziell, um Vertrauen bei potenziellen Kunden zu schaffen. Verbraucher möchten wissen, welche ihrer Daten der Webshop erhebt und ob ihre Angaben dabei geschützt sind. Nur wenn sie eine Website als vertrauenswürdig einstufen, sind sie bereit, etwas zu kaufen. Eine vollständige Datenschutzerklärung sowie das Impressum gehören daher neben sicheren Zahlungsmethoden zu den wichtigsten vertrauensbildenden Maßnahmen im Onlineshop.
Wie sieht eine korrekte Datenschutzerklärung für E-Commerce-Händler aus?
Laut DSGVO haben Onlineshops eine Datenschutzerklärung zur Verfügung zu stellen, die folgenden Anforderungen entspricht:
- präzise
- transparent
- verständlich
- leicht zugänglich
Daher gilt es in erster Linie sicherzustellen, dass die Datenschutzerklärung im Onlineshop öffentlich und von jeder Unterseite aus erreichbar ist. So besteht auch mitten im Kaufprozess für Kunden noch die Möglichkeit, die allgemeinen Informationen zum Datenschutz nachzulesen. Weiterhin ist der Inhalt so zu formulieren, dass ihn jeder versteht. Grundsätzlich umfasst eine Datenschutzerklärung im Onlineshop die folgenden vier Bereiche:
1. Verantwortliche und Kontakt
Oft beginnt die Datenschutzerklärung im Onlineshop mit Informationen über die verantwortliche Stelle für die Verarbeitung. Gemäß Art. 13 Abs. 1 lit. a und b DSGVO besteht für Shopbetreiber die Informationspflicht, folgende Kontaktdaten aufzuführen:
- des Verantwortlichen der Datenerhebung
- ggf. seines Vertreters
- ggf. des Datenschutzbeauftragten
2. Personenbezogene Daten
Viele Onlineshops definieren in ihrer Datenschutzerklärung zunächst, was personenbezogene Daten sind. Dies ist laut DSGVO nicht zwingend erforderlich, erleichtert aber möglicherweise das Verständnis der Kunden.
Anschließend gilt es darüber aufzuklären, …
- … which data the web shop collects and processes.
- … where the data is collected.
- … for what purpose this happens.
- … who receives the data.
- … für wie lange sie gespeichert werden.
3. Rechtsgrundlage
The legal basis must also be stated for each data collection. Here, retailers usually refer to a specific article of the GDPR. A common legal basis is, for example, Art. 6 (1) (f) GDPR: “The processing is necessary to protect the legitimate interests of the person responsible or a third party […]”. The legitimate interests must also be mentioned here. As an example for the collection of the IP address, the following table lists the associated legal basis and interests:
Personenbezogene Daten | IP-Adresse |
Zeitpunkt der Erhebung | Während des Verbindungsaufbaus |
Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO |
Zweck und berechtigtes Interesse | Damit wir Ihnen unsere Website zur Verfügung stellen können |
4. Betroffenenrechte
Die DSGVO schreibt Onlineshops vor, ihre Besucher über ihre Rechte aufzuklären. Dazu gehören die folgenden:
DSGVO-Artikel | Art des Betroffenenrechts | Erläuterung |
---|---|---|
15 | Auskunftsrecht | Besucher haben das Recht, vom Shopbetreiber eine Bestätigung darüber zu verlangen, ob er personenbezogene Daten verarbeitet . Wenn ja, ist aufzuführen, welche dies sind sowie die näheren Umstände der Verarbeitung. |
16 | Recht auf Berichtigung | Kunden haben bei unrichtigen Daten das Recht, die Berichtigung derer zu verlangen. |
17 | Recht auf Löschung | Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn sie für den ursprünglichen Zweck nicht mehr notwendig sind, die Rechtsgrundlage fehlt oder ähnliche Gründe gemäß Art. 17 DSGVO zutreffen. |
18 | Recht auf Einschränkung der Verarbeitung | Kunden haben das Recht, die Einschränkung der Verarbeitung zu verlangen. |
20 | Recht auf Datenübertragbarkeit | Dieses Recht greift bei Daten, die zur Erfüllung eines Vertrags notwendig sind oder in deren Verarbeitung Kunden eingewilligt haben. Hier können Kunden verlangen, dass Verantwortliche ihnen die erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format aushändigen, um sie an andere Verantwortliche zu übermitteln . Alternativ besteht die Möglichkeit, dass Händler auf Wunsch die Daten selbst an diese übermitteln. |
21 | Widerspruchsrecht | |
21 | Widerspruchsrecht | Bei der Datenverarbeitung für Direktwerbung besteht jederzeit das Recht, Widerspruch einzulegen. |
77 | Recht auf Beschwerde bei einer Aufsichtsbehörde | Besucher haben das Recht, jederzeit Beschwerde bei einer Aufsichtsbehörde einzulegen, wenn sie der Ansicht sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen geltendes Recht verstößt . |
Gibt es eine Vorlage für die Datenschutzerklärung im Onlineshop?
Es besteht keine allgemeine Vorlage, die sich auf jeden Onlineshop anwenden lässt. Die DSGVO schreibt Händlern nicht vor, wie genau sie ihre Kunden über den Umgang mit Daten aufklären. Daher gibt es Datenschutzerklärungen in unterschiedlichen Formen. Einige bauen sie ähnlich den AGBs auf. Andere Shopbetreiber bereiten ihre Datenschutzerklärung etwa in Form einer FAQ-Seite auf, um die leichte Verständlichkeit zu gewährleisten. Hier beantworten sie ihren Kunden z. B. die folgenden Fragen:
- Wie erfassen wir Ihre Daten?
- Wofür nutzen wir Ihre Daten?
- Welche Rechte haben Sie bezüglich Ihrer Daten?
Im Internet gibt es verschiedene Vorlagen, die sich als Muster für eine Datenschutzerklärung eignen. Da jedoch jeder Shopbetreiber Besucherdaten auf andere Weise verarbeitet, ist solch eine Vorlage stets an die eigenen Vorgänge anzupassen. Zudem empfiehlt es sich, die Datenschutzerklärung von einem Rechtsanwalt individuell erstellen oder zumindest überprüfen zu lassen. So lässt sich gewährleisten, dass sie richtig und vollständig ist.

Was ist im E-Commerce beim Datenschutz noch zu beachten?
Neben der Datenschutzerklärung sind weitere Vorgaben zu berücksichtigen, damit der Onlineshop als DSGVO-konform gilt. Diese betreffen die folgenden Inhalte:
- Formulare
- Website-Verschlüsselung
- E-Mail-Marketing
- cookies
- Social-Media-Plugins
Formulare

Im Onlineshop gibt es meist verschiedene Formulare, die Kundendaten übermitteln, etwa im Warenkorb oder bei der Anmeldung zum Newsletter. Hier verlangt die DSGVO die Einhaltung zweier wichtiger Grundsätze:
- Datenminimierung: Shopbetreiber dürfen von ihren Besuchern nur solche Daten anfordern, die für die Erfüllung des Auftrags zwingend erforderlich sind. Das bedeutet im Warenkorb beispielsweise, dass Name und Anschrift notwendig sind, um die Onlinebestellung versenden zu können. Um einen E-Mail-Newsletter zu empfangen, sind Postanschrift und Telefonnummer hingegen nicht erforderlich. Daher dürfen Händler sie an dieser Stelle nicht abfragen.
- Vertraulichkeit: Jegliche Datenübertragung hat verschlüsselt zu erfolgen. Onlinehändler sind somit verpflichtet, personenbezogene Daten vor unbefugter oder unrechtmäßiger Verarbeitung zu schützen.
Website-Verschlüsselung

According to Art. 32 Para. 1 lit. a GDPR, shop operators are required to ensure encrypted data transmission. For this purpose, it is advisable to secure the web shop with the https communication protocol. With the help of this so-called SSL certificate, retailers guarantee …
- … the authentication of the communication partners through asymmetric encryption methods.
- … confidential end-to-end data transmission using symmetrical encryption processes.
- … the integrity of the transported data.
Wie Sie ein SSL-Zertifikat erhalten und welche weiteren Sicherheitsvorgaben zu beachten sind, lesen Sie in unserem ausführlichen Artikel zur Webshop-Sicherheit.
E-Mail-Marketing

Seit Einführung der DSGVO sind Onlineshops verpflichtet, das Double-Opt-in-Verfahren für die Einwilligung in Datenverarbeitungen einzurichten, etwa bei der Anmeldung zum Newsletter. Das bedeutet, dass Interessierte zunächst aktiv dem Informations- oder Werbeangebot zustimmen, wenn sie ihre Kontaktdaten angeben, beispielsweise indem sie einen Haken in einer Checkbox setzen. Daraufhin erhalten sie einen Bestätigungslink per E-Mail, den es anzuklicken gilt. Damit willigen sie ein zweites Mal in den Erhalt künftiger Angebote ein. Erst danach dürfen Shopbetreiber Newsletter und ähnliche Inhalte an die angegebene Adresse senden. Wird der Bestätigungslink nicht angeklickt, dürfen sie die E-Mail-Adresse nicht verwenden bzw. speichern.
cookies

Eine weitere wichtige Rolle beim Datenschutz im Onlineshop spielen die Cookies. Viele Webshops nutzen Cookies, um ihre Usability zu erhöhen. So speichern sie beispielsweise diese Informationen, damit User sie nicht bei jedem Besuch aufs Neue eingeben müssen:
- Spracheinstellungen
- Warenkorbinhalt
- Login-Daten
Als Ergänzung zur DSGVO gibt es daher die sogenannte EU-Cookie-Richtlinie (Richtlinie 2009/136/EG). Diese besagt, dass Shopbetreiber nur solche Cookies ohne Zustimmung der Besucher einsetzen dürfen, die technisch notwendig sind. Auf deren Verwendung ist jedoch in Form eines Cookie-Banners ausdrücklich hinzuweisen. Für andere Cookies, die technisch nicht für die Funktionsfähigkeit des Shops notwendig sind, gilt es, zuvor die Zustimmung der Kunden einzuholen.
Die folgende Tabelle führt Beispiele hierzu auf, welche Cookies als technisch notwendig gelten und welche nicht:
Technisch notwendige Cookies | Technisch nicht notwendige Cookies |
---|---|
Session-Cookies zur Speicherung von Nutzereinstellungen wie die Sprachauswahl | Tracking- und Analysetools |
Flash-Cookies zur Wiedergabe von Medieninhalten | Affiliate-Dienste |
Opt-out-Cookies zum Widerruf von Cookie-Einwilligungen | Remarketing- und Retargeting-Dienste |
Zahlungscookies von eingebundenen Zahlungsdienstleistern (die ausschließlich der Zahlungsabwicklung dienen und keiner Analyse des Nutzerverhaltens) | Social-Media-Plugins |
Cookies aus Live-Chat-Systemen | Online-Kartendienste |
Social-Media-Plugins

In der Vergangenheit haben Social-Media-Plugins von Beginn an Daten von Shopbesuchern gesammelt. Daher sind sie laut DSGVO im Onlineshop nur noch dann zulässig, wenn sie zunächst inaktiv sind. Der passive Button aktiviert sich bei korrekter Einbindung erst, wenn User ihn anklicken. Die Betätigung des Buttons gilt in dem Fall als Zustimmung für die Datenübertragung an die jeweilige Plattform. Denn es ist davon auszugehen, dass User nur dann auf den Button klicken, wenn sie diesen auch nutzen möchten, etwa um Inhalte des Webshops zu teilen.
Bei dieser gängigen Lösung handelt es sich um sogenannte Shariff-Buttons. Daneben ist analog zum Double-Opt-in-Verfahren für den Newsletter auch die Zwei-Klick-Einwilligung in die Social-Media-Button-Nutzung möglich. Hier klicken Besucher zuerst das gewünschte Social-Media-Symbol an. Anschließend fragt der Shop explizit nach der Zustimmung für die Datenübertragung.
Auftragsverarbeitung
Shopbetreiber arbeiten mit zahlreichen Dienstleistern zusammen, z. B. mit:
- Zahlungsdienstleistern
- SaaS-Anbietern
- Cloud-Diensten
Diese verarbeiten ebenfalls personenbezogene Daten der Onlineshopkunden. Daher ist laut DSGVO ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Nur wenn ein gültiger AVV vorliegt, existiert eine Rechtsgrundlage, um die Kundendaten an Dritte weiterzugeben. Wenngleich ein solcher Vertrag zusätzlichen Aufwand für Onlinehändler bedeutet, gibt er ihnen auch eine größere Sicherheit als in der Vergangenheit. So lässt sich etwa im Falle eines Datenschutzverstoßes durch den Dienstleister nachweisen, dass die Verantwortung in seinem Aufgabenbereich lag.
Fazit zum Datenschutz im Webshop: Checkliste zur Datenschutzerklärung
Jeder Onlineshop erhebt personenbezogene Daten seiner Besucher. Um diese entsprechend zu schützen, gibt es die Datenschutz-Grundverordnung. Sie vereinheitlicht die Datenschutzvorgaben im Internet für alle EU-Mitgliedsstaaten. Auf dieser Basis gilt es für E-Commerce-Händler, besondere Regeln etwa in Bezug auf den Newsletter-Versand, Social-Media-Buttons und Formulare zu berücksichtigen. Daneben besteht die Vorschrift, dass Shopbetreiber ihre Besucher über die Datenverarbeitung sowie den Datenschutz in ihrem Webshop unterrichten. Damit diese Datenschutzerklärung für den Onlineshop DSGVO-konform ist, finden Sie im Folgenden eine zusammenfassende Checkliste:
Inhalt | Erläuterung | Beispiel |
Verantwortlichkeit | Wer ist für die Datenerfassung im Webshop verantwortlich? | Webshop-Inhaber, Datenschutzbeauftragte |
Art und Umfang der Datenerhebung | Welche der Besucherdaten erhebt und verarbeitet der Webshop? | IP-Adresse, Name und Anschrift |
Art und Umfang der Datenerhebung | An welcher Stelle im Webshop erfolgt die genannte Datenerhebung? | Absenden eines Kontaktformulars, Aufruf des Webshops, Social-Media-Buttons |
Art und Umfang der Datenerhebung | Was passiert mit den Daten? | Speicherung bis zu einem bestimmten Zeitpunkt |
Art und Umfang der Datenerhebung | Zu welchem Zweck geschieht das? | Marketingzwecke, Ausführung einer Bestellung |
Art und Umfang der Datenerhebung | Wie lange erfolgt die Datenspeicherung? | Bis zum Abschluss einer Bestellung, bis zum Widerspruch |
Art und Umfang der Datenerhebung | Werden die Daten an Dritte weitergegeben und warum? | Google Analytics, Versanddienstleister |
Art und Umfang der Datenerhebung | Welche Maßnahmen ergreift der Shopbetreiber, um die Sicherheit der Daten zu gewährleisten? | https-Protokoll |
Rechtsgrundlage | Auf welcher Grundlage gilt die Datenerhebung als rechtmäßig? | Art. 6 Abs. 1 lit. f DSGVO |
Widerspruchsrecht | Wann haben User das Recht, der Verarbeitung ihrer Daten zu widersprechen? | Jederzeit bei Direktwerbung, bei allen anderen Zwecken nur unter Abwägung besonderer Gründe |
Weitere User-Rechte | Welche weiteren Rechte haben Seitenbesucher? | Recht auf Auskunft, Berichtigung und Löschung |