Shop bauen lassen
Ratgeber · E-Commerce DE

DSGVO-Checkliste für deinen Onlineshop (mit Abmahn-Fallen)

Lesezeit ~8 Min · Stand Juni 2026 · von Ladenfertig

Die DSGVO ist kein Papiertiger: Im Onlineshop wird genau hier abgemahnt, oft an Stellen, die du gar nicht als Datenverarbeitung wahrnimmst. Diese Checkliste geht jeden relevanten Punkt durch, markiert die typischen Abmahn-Fallen und gibt dir am Ende eine Liste zum Abhaken.

Warum gerade Shops getroffen werden

Ein Onlineshop verarbeitet zwangsläufig personenbezogene Daten: Name, Adresse, Zahlungsdaten, oft IP-Adressen über Tracking. Genau das macht ihn angreifbar, denn jeder dieser Punkte ist reguliert. Dazu kommt, dass Shop-Software und Marketing-Tools schnell installiert sind und dabei im Hintergrund Verbindungen zu Drittservern aufbauen, ohne dass der Betreiber es merkt. Die meisten DSGVO-Verstöße im Shop sind keine bösen Absichten, sondern übersehene Voreinstellungen. Die gute Nachricht: Die Stellen sind bekannt und lassen sich systematisch abarbeiten.

1. Datenschutzerklärung, passend zu deinen Tools

Jeder Shop braucht eine vollständige, aktuelle Datenschutzerklärung, die genau die Tools abbildet, die du wirklich einsetzt: Shopify, Zahlungsanbieter, Versanddienstleister, Analytics, Newsletter, eingebundene Schriftarten. Eine generische Vorlage, die nicht zu deinen tatsächlichen Tools passt, ist im Zweifel falsch.

Abmahn-Falle: Eine zusammenkopierte Datenschutzerklärung, die Tools nennt, die du gar nicht nutzt, oder die wichtige verschweigt. Nutze geprüfte Texte von einem Fachanbieter und pass sie an deine echten Tools an.

2. Cookie-Consent, der wirklich vorher fragt

Nicht-notwendige Cookies und Tracking (Analytics, Pixel von Meta oder TikTok, manche Apps) dürfen erst geladen werden, nachdem der Besucher aktiv zugestimmt hat. Ein Banner, das nur informiert oder bei dem schon vorab Häkchen gesetzt sind, reicht nicht.

Abmahn-Falle: Das Tracking startet schon beim Seitenaufruf, bevor jemand auf "Akzeptieren" geklickt hat. Häufig bei schnell installierten Pixeln. Der Consent muss echte Voreinstellung sein, kein Feigenblatt.

3. Google Fonts und externe Schriftarten lokal einbinden

Werden Schriftarten direkt von einem externen Server (z. B. Google Fonts über das CDN) geladen, wird beim Seitenaufruf die IP-Adresse des Besuchers übertragen, ohne Einwilligung. Das war eine ganze Abmahnwelle und ist weiterhin ein Risiko.

Abmahn-Falle: Externe Fonts oder eingebettete Karten und Videos, die ungefragt eine Verbindung zu Drittservern aufbauen. Fonts lokal einbinden, externe Einbettungen erst nach Consent laden.

4. Auftragsverarbeitung im Blick behalten

Sobald ein Dienstleister in deinem Auftrag personenbezogene Daten verarbeitet (Shop-Hosting, Versand, Zahlungsabwicklung, Newsletter-Tool), brauchst du in der Regel einen Vertrag zur Auftragsverarbeitung (AVV). Die großen Anbieter stellen den meist standardisiert bereit, du musst ihn aber aktiv abschließen oder akzeptieren.

Abmahn-Falle: Hier geht es weniger um Abmahnungen durch Mitbewerber als um Probleme bei einer Datenschutz-Beschwerde oder Prüfung. Trotzdem Pflicht: AVV mit jedem relevanten Dienstleister abschließen und dokumentieren.

5. Bestell- und Kundendaten sparsam und sicher

Erhebe nur Daten, die du für die Bestellung wirklich brauchst (Datensparsamkeit). Pflichtfelder im Checkout auf das Nötige beschränken, Daten verschlüsselt übertragen (HTTPS ist bei Shopify Standard) und nicht länger speichern als nötig oder gesetzlich vorgeschrieben.

Abmahn-Falle: Ein Newsletter-Häkchen, das im Checkout schon vorausgewählt ist, oder eine Newsletter-Anmeldung ohne echtes Double-Opt-In. Beides ist ein klassischer Abmahngrund.

6. Newsletter nur mit Double-Opt-In

Wenn du E-Mail-Marketing machst, brauchst du eine nachweisbare Einwilligung. Standard ist das Double-Opt-In: Der Interessent trägt sich ein und bestätigt über einen Link in einer Bestätigungsmail. Ohne diesen Nachweis ist jede Werbemail angreifbar.

Abmahn-Falle: Gekaufte Adressen, Single-Opt-In oder das Verschicken von Werbung an Bestandskunden ohne saubere Rechtsgrundlage. Immer Double-Opt-In und den Bestätigungszeitpunkt protokollieren.

7. Betroffenenrechte und Erreichbarkeit

Besucher haben Rechte: Auskunft, Löschung, Berichtigung, Widerspruch. Deine Datenschutzerklärung muss erklären, wie man diese Rechte ausübt, und du brauchst eine funktionierende Kontaktmöglichkeit. Bei größeren Strukturen kann ein Datenschutzbeauftragter nötig werden; für die meisten Solo-Shops ist das anfangs nicht der Fall, aber prüfe deine Situation.

Abmahn-Falle: Eine Datenschutzerklärung, die zwar existiert, aber keine konkrete Kontaktstelle für Betroffenenanfragen nennt. Klare E-Mail-Adresse angeben und Anfragen tatsächlich beantworten.

Woher die richtigen Texte kommen

Eine DSGVO-konforme Datenschutzerklärung schreibst du nicht aus dem Bauch. Nutze geprüfte, abmahnsichere Texte von spezialisierten Anbietern (z. B. eRecht24, Händlerbund, IT-Recht Kanzlei). Die werden bei Gesetzesänderungen aktualisiert und kosten oft nur wenige Euro im Monat. Das ist die günstigste Absicherung, die du im E-Commerce kaufen kannst.

DSGVO sauber, ohne dass du dich reinfuchsen musst

Wir richten deinen Shopify-Shop technisch DSGVO-konform ein: Consent-Banner, lokale Fonts, geprüfte Datenschutztexte korrekt eingebunden. Festpreis ab 390 €, startklar in 7–14 Tagen, du besitzt alles.

Pakete ansehen →

DSGVO-Checkliste zum Abhaken

Weiterlesen: Abmahnung im Onlineshop vermeiden: die 7 häufigsten Fehler →

Hinweis: Dieser Beitrag bietet allgemeine Orientierung und ist keine Rechts- oder Datenschutzberatung. Für verbindliche, auf deinen Shop bezogene Texte wende dich an einen spezialisierten Rechtstext-Anbieter (z. B. eRecht24, Händlerbund) oder einen Anwalt.