Shopify und DSGVO : Ihren Shop vor Bußgeldern schützen

← Blog E-Commerce DSGVO-Grundlagen
9 Min. Lesezeit
WebLegal Team

Shopify ist eine der beliebtesten E-Commerce-Plattformen im Jahr 2026, mit Millionen aktiver Online-Shops weltweit. Doch die Nutzung von Shopify macht Sie nicht automatisch DSGVO-konform. Als Shop-Betreiber sind Sie der Verantwortliche im Sinne der Datenschutz-Grundverordnung. Shopify handelt als Ihr Auftragsverarbeiter. Diese Unterscheidung ist entscheidend: Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) oder die zuständige Landesdatenschutzbehörde wird Sie zur Rechenschaft ziehen, nicht Shopify. Die Bußgelder können bis zu 20 Millionen Euro oder 4 % Ihres weltweiten Jahresumsatzes betragen.

Dieser Artikel erklärt Ihnen konkret, was Shopify für Ihre Compliance tut und was nicht, welche Pflichten Sie selbst erfüllen müssen, die häufigsten Fehler und wie Sie Ihren Shop schnell absichern können.

Was Shopify tut (und was nicht) für Ihre Compliance

Was Shopify bereitstellt

Shopify bietet mehrere DSGVO-bezogene Tools und Verpflichtungen:

  • Einen Auftragsverarbeitungsvertrag (AVV): dieser Vertrag, gemäß Artikel 28 DSGVO erforderlich, regelt die Datenverarbeitung durch Shopify in Ihrem Auftrag. Er ist in den rechtlichen Einstellungen Ihres Kontos verfügbar.
  • Integrierte DSGVO-Funktionen: Bearbeitung von Auskunfts- und Löschungsanfragen der Kunden sowie ein einfaches Cookie-Banner.
  • Konformes Hosting: Shopify speichert Daten in verschiedenen Regionen und stützt sich auf das EU-US Data Privacy Framework für transatlantische Übertragungen.

Was Shopify NICHT bereitstellt

Shopify erstellt Ihre Rechtsdokumente nicht für Sie. Die folgenden Elemente liegen vollständig in Ihrer Verantwortung:

  • Ihre individuelle Datenschutzerklärung
  • Ihre Cookie-Richtlinie gemäß den Anforderungen des TTDSG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)
  • Ihre Allgemeinen Geschäftsbedingungen (AGB)
  • Ihr Impressum (Pflicht nach § 5 TMG/DDG)
  • Ihre Widerrufsbelehrung (Pflicht im Fernabsatz)

Shopify bietet generische englischsprachige Vorlagen an, die jedoch nicht den spezifischen Anforderungen des BDSG, des TTDSG und des deutschen Fernabsatzrechts entsprechen. Sie ohne Anpassung zu verwenden, stellt ein echtes rechtliches Risiko dar. Einen vollständigen Überblick finden Sie in unserem Leitfaden zu den 4 Pflichtdokumenten für jede E-Commerce-Website.

Die 5 DSGVO-Pflichten für Ihren Shopify-Shop

1. Eine vollständige Datenschutzerklärung veröffentlichen

Die Artikel 13 und 14 der DSGVO verlangen eine transparente Information aller Personen, deren Daten Sie erheben. Ihre Datenschutzerklärung muss die Identität des Verantwortlichen, die Zwecke und Rechtsgrundlagen jeder Verarbeitung, die Empfänger der Daten (einschließlich Shopify und aller Drittanbieter-Apps), die Speicherdauer und die Rechte der Betroffenen detailliert aufführen. Lesen Sie dazu unseren Artikel über die Pflicht zur Datenschutzerklärung und Bußgelder.

Das einfache Cookie-Banner von Shopify reicht nicht aus. Gemäß TTDSG und den Vorgaben der deutschen Datenschutzaufsichtsbehörden muss das Ablehnen von Cookies genauso einfach sein wie das Akzeptieren (gleichwertige Schaltflächen „Akzeptieren” und „Ablehnen”), nicht-essentielle Cookies dürfen nicht vor der Einwilligung gesetzt werden, und der Nutzer muss seine Einstellungen jederzeit ändern können. Alle Regeln finden Sie in unserem Leitfaden zur Cookie-Richtlinie und Sanktionen.

3. AGB und Widerrufsbelehrung erstellen

Ihre AGB regeln die Geschäftsbeziehung mit Ihren Kunden und müssen insbesondere die 14-tägige Widerrufsfrist (Richtlinie 2011/83/EU, umgesetzt im BGB), die Lieferbedingungen, die gesetzlichen Gewährleistungsrechte und die Rückgabebedingungen enthalten. Unvollständige AGB setzen Ihren Shop Abmahnungen und behördlichen Sanktionen aus.

4. Ihr Impressum veröffentlichen

Nach § 5 TMG (bzw. dem neuen DDG) ist jeder Webseitenbetreiber verpflichtet, ein Impressum mit Name, Anschrift, Kontaktdaten und ggf. Handelsregistereintrag zu veröffentlichen. Ein fehlendes oder unvollständiges Impressum stellt einen abmahnfähigen Rechtsverstoß dar.

5. Ein Verzeichnis der Verarbeitungstätigkeiten führen

Artikel 30 DSGVO verpflichtet Sie, alle Verarbeitungen personenbezogener Daten zu dokumentieren. Dieses Verzeichnis muss Zwecke, Datenkategorien, Empfänger und Speicherfristen auflisten. Einen vollständigen Aktionsplan finden Sie in unserem Leitfaden zur DSGVO-Konformität in 10 Schritten.

Die häufigsten Fehler bei Shopify

Shopify-Shop-Betreiber machen regelmäßig dieselben DSGVO-Compliance-Fehler:

  • Das Standard-Cookie-Banner verwenden: Das native Shopify-Banner bietet keine gleichwertige „Ablehnen”-Schaltfläche, was es nach TTDSG und den Vorgaben der Aufsichtsbehörden nicht konform macht.
  • Die Datenschutzerklärung eines Wettbewerbers kopieren: Neben dem Plagiatsrisiko entsteht ein Dokument, das Ihre tatsächlichen Verarbeitungen nicht widerspiegelt und Sie bei einer Prüfung angreifbar macht.
  • Drittanbieter-Apps nicht erwähnen: Jede Shopify-App, die Kundendaten verarbeitet (Klaviyo, Mailchimp, Meta Pixel, Google Analytics, Judge.me, Tidio), muss in Ihrer Datenschutzerklärung als Empfänger aufgeführt werden.
  • Das Widerrufsrecht ignorieren: Ihre Kunden nicht über ihr 14-tägiges Widerrufsrecht in Ihren AGB zu informieren, verstößt gegen die Richtlinie 2011/83/EU und das deutsche Fernabsatzrecht — und ist ein klassischer Abmahngrund.
  • Den AVV bei Shopify nicht aktivieren: Der Auftragsverarbeitungsvertrag ist in Ihren Einstellungen verfügbar, aber nicht standardmäßig aktiviert. Ohne diesen Vertrag ist die Auftragsverarbeitung durch Shopify nicht gemäß Artikel 28 DSGVO geregelt.

Shopify-Apps und die DSGVO

Das App-Ökosystem ist eine der großen Stärken von Shopify, aber jede App, die auf Ihre Kundendaten zugreift, stellt einen zusätzlichen Auftragsverarbeiter im Sinne der DSGVO dar. Dies hat konkrete Auswirkungen auf Ihre Compliance:

  • Ihre Datenschutzerklärung muss jede Kategorie von Auftragsverarbeitern nennen oder die Apps, die personenbezogene Daten verarbeiten, explizit auflisten.
  • Prüfen Sie Übermittlungen außerhalb der EU: Viele Shopify-Apps stammen von US-amerikanischen Unternehmen. Stellen Sie sicher, dass diese durch das Data Privacy Framework oder durch Standardvertragsklauseln abgedeckt sind.
  • Überprüfen Sie Ihre Apps regelmäßig: Deinstallieren Sie Apps, die Sie nicht mehr nutzen. Jede aktive App, die Kundendaten speichert, vergrößert Ihre Angriffsfläche.

Prioritäre App-Kategorien: E-Mail-Marketing (Klaviyo, Omnisend), Kundenbewertungen (Judge.me, Loox), Analytics (Google Analytics, Lucky Orange), Chat und Support (Tidio, Gorgias), Werbe-Retargeting (Meta Pixel, Google Ads).

Eine gute Gewohnheit: Jedes Mal, wenn Sie eine neue App installieren, überprüfen Sie deren Datenschutzerklärung und aktualisieren Sie Ihre eigene entsprechend. Diese einfache Disziplin wird Ihnen bei einer Prüfung viele Probleme ersparen.

Mein Risiko jetzt senken

Mögliches Bußgeld: Schützen Sie sich ab

Basierend auf Art. 83 DSGVO, Höchststrafe von 4 % des Jahresumsatzes oder 20 Mio. €, je nachdem welcher Betrag höher ist.

Wie Sie Ihren Shopify-Shop konform machen

Vier Optionen stehen Ihnen zur Verfügung, um alle Ihre Rechtsdokumente zu erhalten:

Einen Anwalt beauftragen (500-2.000 €): Sie erhalten individuelle Beratung und spezialisierte Rechtsexpertise. Allerdings sind die Kosten hoch und der Prozess kann mehrere Wochen dauern.

Selbst mit Vorlagen arbeiten (0 €, hohes Risiko): Es gibt kostenlose Vorlagen im Internet, aber sie entsprechen selten den aktuellen Anforderungen von DSGVO, BDSG und TTDSG und sind nicht auf die Besonderheiten Ihres Shopify-Shops und Ihrer Apps zugeschnitten.

Generische KI verwenden (0 € + 150-300 € für Prüfung): Tools wie ChatGPT können Entwürfe erstellen, aber jedes Dokument muss einzeln generiert werden, was zu Inkonsistenzen zwischen Ihren Rechtstexten führt. Eine professionelle Überprüfung bleibt unerlässlich.

Eine spezialisierte Rechts-KI verwenden (14,90-19,90 €): Lösungen wie WebLegal.ai erstellen alle 4 Rechtsdokumente (Datenschutzerklärung, Cookie-Richtlinie, AGB, Widerrufsbelehrung) in weniger als 10 Minuten mit garantierter Konsistenz. Das geführte Formular stellt die richtigen Fragen zu Ihrem Shopify-Shop, Ihren Apps und Ihrer Geschäftstätigkeit, um Dokumente zu erstellen, die wirklich auf Ihre Situation zugeschnitten sind.

Für Shopify-Shops, die in mehreren EU-Ländern verkaufen, ist die Compliance noch wichtiger: Jede nationale Datenschutzbehörde kann Sie überprüfen, wenn Sie Kunden in ihrem Land ansprechen. Ein solides und konsistentes Set an Rechtsdokumenten ist Ihr bester Schutz.

Fazit

Einen Shop auf Shopify zu betreiben, befreit Sie nicht von Ihren DSGVO-Pflichten. Als Verantwortlicher müssen Sie sicherstellen, dass Ihre Datenschutzerklärung, Ihr Cookie-Banner, Ihre AGB, Ihre Widerrufsbelehrung und Ihr Impressum dem europäischen Recht, dem BDSG und dem TTDSG entsprechen. Die von Shopify bereitgestellten Tools sind ein Ausgangspunkt, aber sie reichen nicht aus. Im Jahr 2026, mit verstärkten Kontrollen der Datenschutzbehörden und wachsendem Verbraucherbewusstsein, ist Compliance keine Option mehr — sie ist eine Überlebensbedingung für Ihren Online-Shop. Warten Sie nicht auf ein Bußgeldverfahren, um zu handeln.