DSGVO-Konformität E-Commerce : Aktionsplan in 10 Schritten

← Blog DSGVO-Grundlagen E-Commerce
10 Min. Lesezeit
WebLegal Team

Die DSGVO-Konformität ist für E-Commerce-Websites in 2026 keine Option: Sie ist eine gesetzliche Pflicht, bei deren Verstoß Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes drohen (Artikel 83 DSGVO). Dennoch ist ein erheblicher Anteil der deutschen Online-Shops noch nicht vollständig konform. Die gute Nachricht ist, dass die Einhaltung mit einem strukturierten Ansatz durchaus machbar ist — selbst für kleine Unternehmen. Dieser Leitfaden bietet Ihnen einen konkreten Aktionsplan in 10 Schritten.

Warum ein strukturierter Aktionsplan unverzichtbar ist

DSGVO-Konformität beschränkt sich nicht darauf, eine Datenschutzerklärung auf der Website zu veröffentlichen. Sie erfordert einen ganzheitlichen Ansatz, der Datenerhebung, Speicherung, Sicherheit, Betroffenenrechte und Beziehungen zu Auftragsverarbeitern umfasst. Ohne Plan gehen Unternehmen diese Themen fragmentiert an und hinterlassen Lücken, die bei einer Prüfung durch den BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) oder die Landesaufsichtsbehörden kostspielig werden können.

Ein strukturierter Plan hilft Ihnen, Maßnahmen zu priorisieren, Ihren Ansatz zu dokumentieren (was an sich einen Nachweis des guten Willens darstellt) und nichts zu übersehen. Er verwandelt eine als komplex empfundene Pflicht in eine Reihe konkreter und umsetzbarer Aufgaben.

Die 10 Schritte zur DSGVO-Konformität

Schritt 1: Ihre Datenverarbeitungen kartieren

Der erste Schritt ist eine vollständige Bestandsaufnahme aller personenbezogenen Daten, die Sie erheben. Für einen Online-Shop umfasst dies in der Regel: Bestelldaten (Name, Adresse, E-Mail, Telefon), Zahlungsdaten (verwaltet durch Ihren Zahlungsdienstleister), Browsing-Daten (Cookies, IP-Adressen), Kundenkontodaten und Marketingdaten (Newsletter-Abonnements, Kaufhistorie).

Identifizieren Sie für jede Verarbeitung: welche Daten erhoben werden, von wem, zu welchem Zweck, wie lange sie gespeichert werden und wer Zugang hat. Diese Kartierung bildet das Fundament Ihrer gesamten Compliance-Strategie.

Schritt 2: Die Rechtsgrundlage jeder Verarbeitung bestimmen

Die DSGVO verlangt, ergänzt durch das BDSG (Bundesdatenschutzgesetz), dass jede Datenverarbeitung auf einer gültigen Rechtsgrundlage beruht (Artikel 6). Die häufigsten im E-Commerce sind:

  • Vertrag: für Daten, die zur Vertragserfüllung erforderlich sind (Name, Lieferadresse, Bestätigungs-E-Mail).
  • Einwilligung: für nicht-essentielle Cookies, Newsletter, E-Mail-Marketing.
  • Berechtigtes Interesse: für Betrugsprävention, anonymisierte Statistiken.
  • Rechtliche Verpflichtung: für die Aufbewahrung von Rechnungen (steuerliche Pflichten).

Jede Verarbeitung muss einer bestimmten Rechtsgrundlage zugeordnet werden. Die Einwilligung muss, wenn sie herangezogen wird, freiwillig, spezifisch, informiert und unmissverständlich sein.

Schritt 3: Ihre Datenschutzerklärung erstellen oder aktualisieren

Die Datenschutzerklärung ist das zentrale Dokument Ihrer DSGVO-Konformität. Die Artikel 13 und 14 der DSGVO listen die Pflichtangaben auf: Identität des Verantwortlichen, Zwecke und Rechtsgrundlagen, Empfänger der Daten, Speicherfristen, Betroffenenrechte und Kontaktdaten des DSB, falls zutreffend.

Dieses Dokument muss in klarer, verständlicher Sprache verfasst sein. Vermeiden Sie unnötigen Fachjargon. Für einen umfassenden Leitfaden zu diesem Thema lesen Sie unseren Artikel über die Pflicht zur Datenschutzerklärung und Bußgelder.

Gemäß dem TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) und den Leitlinien der DSK (Datenschutzkonferenz) ist das Cookie-Banner ein unverzichtbares Element. Ihre Website muss die Nutzer über die verwendeten Cookies informieren, ihre Einwilligung einholen, bevor nicht-essentielle Cookies gesetzt werden, und ihnen die Ablehnung ebenso einfach ermöglichen wie die Zustimmung.

In der Praxis muss Ihr Banner Schaltflächen „Akzeptieren” und „Ablehnen” in gleicher Größe und Sichtbarkeit anbieten. Analyse- und Werbe-Cookies dürfen nicht vor der Einwilligung gesetzt werden. Alle Regeln finden Sie in unserem Leitfaden zur Cookie-Richtlinie und Sanktionen.

Schritt 5: Ihre AGB und Nutzungsbedingungen erstellen

Allgemeine Geschäftsbedingungen (AGB) und Nutzungsbedingungen sind wesentliche Vertragsdokumente für jeden Online-Shop. Die Nutzungsbedingungen regeln die Nutzung Ihrer Website, während die AGB die Geschäftsbeziehung mit Ihren Kunden bestimmen (Preise, Lieferung, Widerruf, Gewährleistung).

Diese Dokumente müssen mit Ihrer Datenschutzerklärung und Ihrer Cookie-Richtlinie übereinstimmen. Einen vollständigen Überblick finden Sie in unserem Leitfaden zu den 4 Pflichtdokumenten für jede E-Commerce-Website, und vermeiden Sie häufige Fallstricke mit unserem Artikel über AGB-Fehler.

Schritt 6: Ein Verzeichnis von Verarbeitungstätigkeiten anlegen

Artikel 30 der DSGVO schreibt die Führung eines Verzeichnisses von Verarbeitungstätigkeiten vor. Dieses Verzeichnis dokumentiert alle Ihre Datenverarbeitungen: Zwecke, Kategorien von Daten und betroffenen Personen, Empfänger, Übermittlungen in Drittländer, Speicherfristen und Sicherheitsmaßnahmen.

Dieses Verzeichnis muss nicht komplex sein. Eine gut strukturierte Tabelle kann für ein KMU ausreichen. Der BfDI stellt auf seiner Website kostenlose Muster zur Verfügung. Entscheidend ist, dass es aktuell gehalten und bei einer Prüfung verfügbar ist.

Schritt 7: Personenbezogene Daten sichern

Artikel 32 der DSGVO verlangt geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit. Für einen Online-Shop bedeutet dies mindestens:

  • HTTPS-Verschlüsselung auf der gesamten Website (nicht nur auf Zahlungsseiten).
  • Starke Passwörter für Administrator- und Kundenkonten.
  • Regelmäßige Updates Ihres CMS, Ihrer Plugins und Abhängigkeiten.
  • Verschlüsselte Backups mit einem getesteten Wiederherstellungsplan.
  • Zugriffskontrollen, die auf diejenigen beschränkt sind, die sie tatsächlich benötigen.

Dokumentieren Sie Ihre Sicherheitsmaßnahmen: Diese Dokumentation ist bei einer Prüfung oder einem Vorfall von unschätzbarem Wert.

Schritt 8: Die Rechte der Betroffenen gewährleisten

Die DSGVO gewährt betroffenen Personen mehrere Rechte in Bezug auf ihre Daten (Artikel 15 bis 22): Auskunftsrecht, Recht auf Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch und Einschränkung der Verarbeitung. Ihre Website muss einfache Mittel zur Ausübung dieser Rechte bereitstellen.

Richten Sie in der Praxis eine spezielle E-Mail-Adresse ein (z. B. dsb@ihrshop.de) oder ein entsprechendes Kontaktformular. Sie haben einen Monat Zeit, auf jede Anfrage zu antworten. Schulen Sie Ihr Team im Umgang mit diesen Anfragen und dokumentieren Sie jede Antwort.

Schritt 9: Datenübermittlungen außerhalb der EU regeln

Wenn Sie Dienste nutzen, die außerhalb der Europäischen Union gehostet werden (Cloud-Hosting, Analysetools, E-Mail-Dienste), müssen Sie diese Übermittlungen gemäß Kapitel V der DSGVO regeln. Der EU-US-Datenschutzrahmen erleichtert Übermittlungen an zertifizierte US-Unternehmen, aber Sie müssen den Zertifizierungsstatus jedes Anbieters überprüfen.

Identifizieren Sie alle Ihre Auftragsverarbeiter und deren Standorte. Prüfen Sie für jede Übermittlung außerhalb der EU das Vorliegen eines Angemessenheitsbeschlusses, von Standardvertragsklauseln oder eines anderen gültigen Übermittlungsmechanismus. Dokumentieren Sie diese Prüfungen in Ihrem Verarbeitungsverzeichnis.

Schritt 10: Ein Verfahren zur Meldung von Datenschutzverletzungen einrichten

Artikel 33 der DSGVO schreibt vor, jede Datenschutzverletzung innerhalb von 72 Stunden nach Kenntnisnahme der zuständigen Aufsichtsbehörde zu melden. Besteht ein hohes Risiko für die betroffenen Personen, müssen auch diese informiert werden (Artikel 34).

Bereiten Sie ein internes Verfahren vor: Wer soll zuerst benachrichtigt werden, wie wird die Schwere des Vorfalls bewertet, welches Formular wird für die Meldung verwendet, und wie werden die betroffenen Personen informiert. Kein Verfahren vorliegen zu haben, ist selbst ein Verstoß, den die Aufsichtsbehörden ahnden können.

Mein Risiko jetzt senken

Mögliches Bußgeld: Schützen Sie sich ab

Basierend auf Art. 83 DSGVO, Höchststrafe von 4 % des Jahresumsatzes oder 20 Mio. €, je nachdem welcher Betrag höher ist.

Wie Sie Ihre Compliance beschleunigen können

Angesichts dieser 10 Schritte stehen Ihnen mehrere Optionen zur Verfügung:

Einen spezialisierten Anwalt beauftragen (500-2.000 €): maximale Individualisierung und strategische Beratung, aber hohe Kosten und ein Zeitrahmen von mehreren Wochen. Geeignet für Unternehmen mit komplexen oder sensiblen Datenverarbeitungen.

Selbst mit kostenlosen Vorlagen arbeiten (0 €): viele Vorlagen sind online verfügbar, aber sie sind oft veraltet und generisch und erfordern mehrere Stunden Anpassung. Das Risiko der Nicht-Konformität bleibt ohne juristische Expertise hoch.

Generische KI verwenden (0 € + 150-300 € für Überprüfung): Tools wie ChatGPT können Entwürfe erstellen, aber jedes Dokument muss separat generiert werden, was zu Inkonsistenzen führt. Eine professionelle Überprüfung ist unerlässlich.

Spezialisierte Rechts-KI verwenden (14,90-19,90 €): Lösungen wie WebLegal.ai generieren alle Ihre Rechtsdokumente in weniger als 10 Minuten mit garantierter Konsistenz zwischen Datenschutzerklärung, Cookie-Richtlinie, Nutzungsbedingungen und AGB. Diese Option deckt die Schritte 3 bis 5 dieses Aktionsplans ab und eignet sich für 95 % der E-Commerce-Websites.

Fazit

Die DSGVO-Konformität Ihres Online-Shops ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Dieser 10-Schritte-Plan gibt Ihnen einen klaren Rahmen, um methodisch voranzukommen — vom Audit Ihrer Verarbeitungen bis zur Vorbereitung auf Datenschutzvorfälle. Jeder abgeschlossene Schritt reduziert Ihr rechtliches Risiko und stärkt das Vertrauen Ihrer Kunden. In 2026 ist Compliance kein Wettbewerbsvorteil mehr — sie ist eine Grundvoraussetzung. Warten Sie nicht auf eine Prüfung durch die Aufsichtsbehörde, um zu handeln.