Die deutschen Landesdatenschutzbehörden und der BfDI nehmen E-Commerce seit 2022 jedes Jahr in ihre Prüfungsschwerpunkte auf, und die Anzahl öffentlicher Verwarnungen gegen Online-Shops steigt stetig. EU-weit hat sich die durchschnittliche Bußgeldhöhe in zwei Jahren fast verdoppelt. Der Grund ist strukturell: Online-Shops verarbeiten in großem Umfang personenbezogene Daten (Zahlungsdaten, Adressen, Kaufhistorie), sind aber rechtlich oft weniger reif als große Plattformen. Das Ergebnis: E-Commerce steht jedes Jahr im Prüfungsprogramm der Datenschutzaufsichtsbehörden.
Wenn Sie einen Online-Shop betreiben, sind die folgenden sieben Fehler die häufigsten Auslöser für eine Aufnahme in die Prüfungsliste. Dieser Artikel beschreibt jeden Fehler mit den genauen rechtlichen Verweisen und konkreten Korrekturen. Beginnen Sie mit einer kostenlosen Konformitätsanalyse Ihres Shops, um Ihre Lücken zu identifizieren, und folgen Sie dann unserem DSGVO-Aktionsplan in 10 Schritten zur Korrektur.
Warum Datenschutzbehörden besonders auf E-Commerce achten
Die deutschen Landesdatenschutzbehörden (LDI, LfD, etc.), der BfDI und die DSK veröffentlichen jährlich thematische Prüfungsschwerpunkte. E-Commerce ist seit 2022 jedes Jahr dabei, neben Gesundheits-IT und Direktmarketing. Die Gründe sind strukturell.
Datenvolumen: Ein durchschnittlicher Online-Shop erfasst mehr als 30 Datenkategorien pro Kunde (Identität, Zahlung, Browserverhalten, Präferenzen, Geolokalisierung). Multipliziert mit zehntausenden Kunden ist die Risikoexposition erheblich.
Nachvollziehbarkeit der Customer Journey: Drittanbieter-Cookies, Werbe-Pixel, Retargeting, Marketing Automation. Jedes zusätzliche Tool schwächt das Einwilligungs-Framework.
Auftragsverarbeitung: Zwischen Hosting-Provider, Plattform (Shopify, WooCommerce, PrestaShop), Zahlungsdienstleister, E-Mail-Tool und Scoring-Lösung hat ein durchschnittlicher Online-Shop zwischen 8 und 15 DSGVO-Auftragsverarbeiter. Das Mapping ist selten aktuell.
Internationale Datentransfers: Google Analytics, Mailchimp, Stripe, AWS — viele in den USA gehosteten Dienste erfordern spezifische vertragliche Garantien (Standardvertragsklauseln, ergänzende Maßnahmen nach Schrems II).
Fehler 1: Cookies ohne wirksame Einwilligung
Das ist der häufigste Fehler — und der von außen am leichtesten erkennbare. Ein Cookie-Banner muss drei kumulative Anforderungen erfüllen (gemäß den Leitlinien des Europäischen Datenschutzausschusses, ergänzt durch Empfehlungen der DSK 2020-2024 und §25 TTDSG):
- Freiwillige Einwilligung: Ablehnen muss genauso einfach sein wie Akzeptieren. Ein „Alle akzeptieren”-Button ohne gleichwertig sichtbaren „Alle ablehnen”-Button ist ein Verstoß.
- Spezifische Einwilligung: Pro Zweck (Werbung, Reichweitenmessung, Personalisierung), nicht global.
- Vorherige Einwilligung: Kein Drittanbieter-Cookie darf vor dem Klick gesetzt werden.
Aktuelle Sanktionen: Französische, italienische und spanische Aufsichtsbehörden haben große Plattformen wegen genau dieser Verstöße mit 60-150 Millionen Euro belegt. In Deutschland erlassen die Landesdatenschutzbehörden Bußgeldbescheide zwischen 5.000 € und 200.000 €, je nach Unternehmensgröße und Dauer der Nichtkonformität.
Die Lösung: Bereitstellung eines konformen Cookie-Banners mit automatischer Tracker-Blockierung vor Einwilligung. Der kostenlose WebLegal Cookie-Banner blockiert automatisch über 37 Tracker und entspricht den DSK-Empfehlungen plus Google Consent Mode v2.
Fehler 2: Generische oder fehlende Datenschutzerklärung
Ein erheblicher Anteil der in den letzten Jahren geprüften deutschen E-Commerce-Websites hatte keine vollständig konforme Datenschutzerklärung. Die häufigsten Lücken:
- Aus anderen Websites kopiert ohne Anpassung an die tatsächliche Datenverarbeitung.
- Speicherdauern nicht nach Datenkategorien spezifiziert.
- Liste der Auftragsverarbeiter fehlt oder ist veraltet.
- Rechtsgrundlagen der Verarbeitung nicht präzisiert (Einwilligung, Vertrag, berechtigtes Interesse, gesetzliche Pflicht).
Art. 13 DSGVO schreibt 12 Pflichtangaben vor, wenn Daten direkt bei der betroffenen Person erhoben werden. Das Fehlen einer einzigen davon stellt einen Verstoß dar — auch wenn die Website ansonsten sicher ist.
Die Lösung: Erstellung einer Datenschutzerklärung, die an Ihren tatsächlichen Geschäftsbetrieb angepasst ist. Vermeiden Sie generische Vorlagen. Die Pflichtangaben im Detail finden Sie in unserem Leitfaden Datenschutzerklärung Pflichtangaben.
Fehler 3: Unvollständiges Impressum
Das Impressum wird in Deutschland durch §5 TMG (Telemediengesetz) und §55 RStV geregelt. Es muss enthalten:
- Vollständiger Name und Anschrift des Verantwortlichen
- Rechtsform (GmbH, AG, GbR, etc.)
- Vertretungsberechtigte Personen
- E-Mail-Adresse und Telefonnummer
- Handelsregisternummer und Registergericht
- Umsatzsteuer-Identifikationsnummer (USt-IdNr.)
- Aufsichtsbehörde (bei zulassungspflichtigen Berufen)
Verstöße gegen die Impressumspflicht können zu Abmahnungen durch Wettbewerber, Verbraucherzentralen oder die Wettbewerbszentrale führen, mit Kosten von 1.000-3.000 € pro Abmahnung. Bei wiederholten Verstößen kann das Bußgeld nach §16 TMG bis zu 50.000 € betragen. Details dazu in unserem Leitfaden Impressum: 75.000 € Bußgeld bei Fehlen.
Fehler 4: Datentransfers außerhalb der EU ohne Absicherung
Seit dem Schrems II-Urteil (Juli 2020) muss jeder Datentransfer in die USA (und andere Länder ohne Angemessenheitsbeschluss) durch spezifische Garantien abgesichert sein:
- Standardvertragsklauseln (SCC), Version Juni 2021 — die alten Versionen sind seit 27. Dezember 2022 ungültig.
- Dokumentierte Transfer Impact Assessment (TIA).
- Ergänzende Maßnahmen, wenn die SCC allein nicht ausreichen (Verschlüsselung, Pseudonymisierung).
Konkrete Tools im E-Commerce, die betroffen sind:
| Service | Risiko | Maßnahme |
|---|---|---|
| Google Analytics 4 | BfDI/LfDI/CNIL/Garante Sanktionen 2022-2023 | IP-Anonymisierung + Consent Mode v2 aktivieren, oder Migration zu Matomo / Plausible |
| Mailchimp | US-Hosting | SCC + jährlicher Audit, oder EU-Alternative (Brevo, CleverReach) |
| Stripe | Teilweise US-Hosting | SCCs standardmäßig aktiv, Version prüfen |
| AWS / GCP | Je nach Region | eu-central-* / europe-west-* bevorzugen |
Die Lösung: Inventarisierung der Auftragsverarbeiter, SCC-Verifizierung und Umstieg auf europäische Alternativen für nicht-kritische Tools. Speziell für Google Analytics siehe unseren Leitfaden Google Analytics und DSGVO: konforme Alternativen.
Fehler 5: Auftragsverarbeiter ohne Vertrag (AV-Vertrag)
Art. 28 DSGVO verlangt einen schriftlichen Vertrag (Auftragsverarbeitungsvertrag, kurz AVV oder DPA) zwischen dem Verantwortlichen (Ihnen) und jedem Auftragsverarbeiter, der auf personenbezogene Daten Ihrer Kunden zugreift. Der Vertrag muss 9 Pflichtklauseln enthalten: Gegenstand, Dauer, Zwecke, Datenkategorien, Pflichten des Auftragsverarbeiters, Rechte des Verantwortlichen, Drittlandtransfers, Unterauftragsverarbeitung, Vertragsende.
Große Plattformen (Shopify, Stripe, AWS, Mailchimp) stellen einen Standard-AVV bereit, der online unterschrieben wird. Sie müssen ihn jedoch tatsächlich abschließen und archivieren. Die Aufsichtsbehörden fordern AVV systematisch bei einer Prüfung an. Das Fehlen eines AVV für nur einen Auftragsverarbeiter kann eine Verwarnung auslösen.
Die Lösung: Führen eines Auftragsverarbeiter-Registers mit für jeden Eintrag: verarbeitete Datenkategorien, Hosting-Land, AVV-Unterzeichnungsdatum, Link zum archivierten Vertrag. Aktualisierung bei jedem neuen Tool.
Fehler 6: Kein Prozess für Betroffenenrechte
Die DSGVO gewährt Kunden sieben durchsetzbare Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch und Rechte bezüglich automatisierter Entscheidungen (Art. 15 bis 22). Das Unternehmen muss innerhalb eines Monats antworten (verlängerbar auf drei Monate bei komplexen Anfragen).
In der Praxis stellen die Aufsichtsbehörden regelmäßig fest:
- Keine dedizierte E-Mail-Adresse für Anfragen (eine generische Kontakt-E-Mail genügt nicht).
- Kein dokumentierter interner Prozess — Anfragen verzögern sich oder werden vergessen.
- Unvollständige Antworten: z.B. bei einer Auskunftsanfrage sendet das Unternehmen einen Export der Kundenkontodaten, vergisst aber Login-Logs, archivierte Zahlungsdaten oder erhaltene Marketing-E-Mails.
- Keine Identitätsprüfung des Anfragenden, oder umgekehrt überzogene Anforderungen (systematische Personalausweis-Kopie).
Die Lösung: Einrichtung einer Adresse dsb@ihre-website.de oder datenschutz@ihre-website.de, Dokumentation des internen Prozesses (wer empfängt, wer validiert, wer antwortet, in welcher Frist) und Überprüfung der Schulungsfrequenz des Teams.
Fehler 7: Datenpannen ohne Meldung innerhalb von 72 Stunden
Art. 33 DSGVO verlangt die Meldung einer Datenpanne an die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Kenntnisnahme, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Bei hohem Risiko verlangt Art. 34 zusätzlich die individuelle Benachrichtigung der betroffenen Kunden.
Die häufigsten Datenpannen im E-Commerce:
- Leck der Kundendatenbank durch Export-Bug (öffentliche URL).
- Unbefugter Zugriff nach Kompromittierung des Admin-Kontos.
- Datendiebstahl durch SQL-Injection oder XSS.
- Massenversand-Fehler (E-Mail mit Kundendatenbank im Anhang).
Die Aufsichtsbehörden stellen regelmäßig fest, dass E-Commerce-Betreiber aus Unkenntnis oder Imageangst nicht fristgerecht melden. Das ist ein erschwerender Umstand: Sanktionen werden dann gegenüber einer ursprünglich geringfügigen Verletzung verdoppelt.
Die Lösung: Vorbereitung eines Meldeprotokolls (Vorlage Aufsichtsbehörde-Anschreiben, verantwortliches Team, Verletzungsregister). Die Landesdatenschutzbehörden bieten Online-Formulare für Meldungen an (z.B. das des BfDI oder Ihrer zuständigen LDI).
Wie Sie schnell konform werden
Die sieben oben genannten Fehler sind in weniger als einer Woche für die meisten KMU korrigierbar. Die empfohlene Reihenfolge:
- Tag 1: Audit des Bestehenden über einen automatischen Konformitäts-Scanner, um öffentliche Fehler zu identifizieren (Cookies, Impressum, Datenschutzerklärung).
- Tag 2: Erstellung oder Aktualisierung der Rechtsdokumente (Datenschutzerklärung, Impressum, AGB) mit einem spezialisierten Tool.
- Tag 3: Bereitstellung eines konformen Cookie-Banners mit Auto-Blockierung.
- Tag 4: Inventarisierung der Auftragsverarbeiter und AVV-Verifizierung.
- Tag 5: Erstellung der dedizierten Adresse für Betroffenenrechte + Dokumentation des internen Prozesses.
- Tag 6-7: Vorbereitung des Meldeprotokolls für Datenpannen und Schulung des Teams.
Für die im Audit-Fall drohenden Bußgelder siehe unsere Dossiers DSGVO-Strafen 2026: Top 15 Deutschland oder Nicht DSGVO-konforme Website: bis zu 300.000 € Bußgeld.
FAQ
Prüfen Aufsichtsbehörden zufällig oder nur bei Beschwerde?
Beides. Etwa 70 % der Prüfungen erfolgen nach einer Beschwerde (Kunde, Wettbewerber, Verbraucherverband). Die übrigen 30 % sind jährliche thematische Prüfungen (E-Commerce, Gesundheit, öffentlicher Sektor) oder Folge-Prüfungen nach einer früheren Verwarnung.
Wie hoch sind die durchschnittlichen Bußgelder für ein deutsches KMU im E-Commerce 2026?
Für KMU (Umsatz < 5 Mio. €) liegt der typische Bereich zwischen 5.000 € und 50.000 €. Für mittelständische Unternehmen zwischen 50.000 € und 500.000 €. Sanktionen in Millionenhöhe betreffen vor allem große Plattformen oder vorsätzliche Verstöße.
Brauche ich einen Datenschutzbeauftragten (DSB) für einen Online-Shop?
Nicht immer. Ein DSB ist nach §38 BDSG verpflichtend, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn Sie Daten in großem Umfang verarbeiten (Art. 37 DSGVO). Ein allgemeiner Online-Shop mit weniger als 50.000 Kunden pro Jahr braucht in der Regel keinen, kann aber einen internen DSGVO-Verantwortlichen benennen.
Woher weiß ich, ob mein Google Analytics konform ist?
Drei Punkte: (1) IP-Anonymisierung aktiviert, (2) Consent Mode v2 mit Ihrem Cookie-Banner verbunden, (3) AVV mit Google unterzeichnet. Wenn Sie bei einem der drei Punkte unsicher sind, sollten Sie Plausible oder Matomo erwägen, die standardmäßig konform sind.
Was tun, wenn ich heute eine Datenpanne entdecke?
In dieser Reihenfolge: (1) Leck eindämmen (kompromittierte Passwörter ändern, System isolieren), (2) Risiko für Betroffene bewerten (wer, wie viele, welche Daten), (3) Aufsichtsbehörde innerhalb von 72 Stunden über Online-Formular informieren, wenn ein Risiko besteht, (4) bei hohem Risiko die betroffenen Kunden individuell benachrichtigen, (5) alles im Verletzungsregister dokumentieren.
Wie lange dauert eine Prüfung durch die Aufsichtsbehörde?
Eine Vor-Ort-Prüfung dauert ein bis zwei Tage. Die anschließende Untersuchungsphase kann sechs Monate bis zwei Jahre bis zur endgültigen Entscheidung dauern. In dieser Zeit haben Sie eine Mitwirkungspflicht und müssen auf zusätzliche Unterlagenanforderungen reagieren.
Die Auditierung Ihres Online-Shops dauert heute weniger als fünf Minuten mit einem automatischen Scanner — und erspart Ihnen Wochen der Unsicherheit im Falle einer Prüfung. Für Shopify-spezifische Verpflichtungen siehe auch unser Dossier Shopify und DSGVO: schützen Sie Ihren Shop vor Bußgeldern.
