DSGVO-Anforderungen für Online-Shops 2025: Was Sie wissen müssen

Was ist die DSGVO und wen betrifft sie?

Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in der gesamten Europäischen Union verbindlich. Sie regelt, wie Unternehmen mit personenbezogenen Daten von EU-Bürgern umgehen müssen – und das gilt für jeden Online-Shop, unabhängig von Größe oder Umsatz.

Als Online-Händler verarbeiten Sie täglich sensible Kundendaten: Namen, Adressen, Zahlungsinformationen und Kaufverhalten. Die DSGVO verpflichtet Sie, diese Daten transparent, zweckgebunden und sicher zu verarbeiten.

Die fünf wichtigsten Pflichten für Online-Händler

Aus der täglichen Praxis lassen sich fünf zentrale Anforderungen ableiten, die jeder Online-Shop erfüllen muss:

• Vollständige Datenschutzerklärung: Sie muss alle Verarbeitungsvorgänge transparent benennen – von der Bestellabwicklung bis zum Newsletter.
• Einwilligung für Marketing: Für Werbe-E-Mails benötigen Sie eine ausdrückliche, dokumentierte Einwilligung (Double-Opt-In).
• Auftragsverarbeitungsvertrag (AVV): Nutzen Sie externe Dienstleister wie Versanddienstleister oder E-Mail-Provider, ist ein AVV Pflicht.
• Auskunfts- und Löschrecht: Kunden können jederzeit Auskunft über ihre gespeicherten Daten verlangen – und deren Löschung fordern.
• Verzeichnis der Verarbeitungstätigkeiten: Ab 250 Mitarbeitern Pflicht, für kleinere Shops dringend empfohlen.

Häufige DSGVO-Fehler im E-Commerce

In der Praxis zeigen sich immer wieder dieselben Schwachstellen. Fehlende oder veraltete Datenschutzerklärungen, nicht eingehaltene Löschfristen und die unzulässige Datenweitergabe an Drittländer gehören zu den häufigsten Verstößen.

Besonders heikel ist der Einsatz von US-amerikanischen Tools wie Google Analytics oder Facebook Pixel ohne ausreichende Rechtsgrundlage. Seit dem Schrems-II-Urteil des EuGH muss die Übermittlung personenbezogener Daten in Drittstaaten besonders sorgfältig geprüft und dokumentiert werden.

Ein weiterer Klassiker: vorausgefüllte Einwilligungs-Checkboxen im Checkout. Diese sind nach DSGVO unzulässig – die Einwilligung muss aktiv erteilt werden.

Sofortmaßnahmen für Ihren Shop

Beginnen Sie mit einer ehrlichen Bestandsaufnahme: Welche Daten erheben Sie, wozu, auf welcher Rechtsgrundlage und wie lange speichern Sie diese? Dokumentieren Sie diese Prozesse schriftlich.

Prüfen Sie anschließend, ob Ihre Datenschutzerklärung alle eingesetzten Tools und Dienste vollständig abbildet. Eine automatisierte Prüfung – wie sie Gesetzcheck.de bietet – kann erste Schwachstellen schnell sichtbar machen und als Ausgangspunkt für tiefergehende Maßnahmen dienen.

Fazit

DSGVO-Konformität ist keine einmalige Aufgabe, sondern ein fortlaufender Prozess. Wer seinen Shop regelmäßig prüft und seine Datenschutzdokumentation aktuell hält, minimiert das Risiko von Abmahnungen und Bußgeldern erheblich. Die Prüfung erfolgt nach deutschem Recht (DSGVO, DDG, BGB) — unabhängig von der Domain.