DSGVO für Onlineshops: Was Sie tun müssen (und was Sie lassen können)

Die DSGVO ist seit Mai 2018 in Kraft, aber viele Shop-Betreiber behandeln sie immer noch entweder als ein erschreckendes rechtliches Minenfeld oder als etwas, das sie ignorieren können, weil sie „zu klein sind, um eine Rolle zu spielen." Beide Einstellungen sind falsch. Die DSGVO ist ernst, aber für einen typischen PrestaShop-Shop sind die praktischen Anforderungen überschaubar. Lassen Sie uns trennen, was Sie tun müssen, von dem, was Sie vernünftigerweise zurückstellen können.

Was die DSGVO tatsächlich verlangt

Im Kern sagt die DSGVO: Informieren Sie die Menschen darüber, welche Daten Sie über sie sammeln, warum Sie sie sammeln, halten Sie sie sicher und geben Sie ihnen Kontrolle über ihre Informationen. Das ist das Prinzip. Die spezifischen Anforderungen für Online-Shops:

1. Datenschutzerklärung (Pflicht)

Sie benötigen eine Datenschutzerklärung, die in klarer, einfacher Sprache erklärt:

• Welche personenbezogenen Daten Sie erheben (Namen, E-Mails, Adressen, Zahlungsinformationen, Browsing-Daten)
• Warum Sie jeden Datentyp erheben (Bestellabwicklung, Marketing, Analyse)
• Wie lange Sie die Daten aufbewahren
• Mit wem Sie sie teilen (Zahlungsdienstleister, Versandunternehmen, Analyseanbieter)
• Wie Kunden auf ihre Daten zugreifen, sie ändern oder löschen können
• Ihre Kontaktdaten für Datenschutzanfragen

Dies muss nicht von einem Anwalt geschrieben werden, obwohl es hilfreich ist, einen Anwalt es überprüfen zu lassen. Es muss von einem normalen Menschen verständlich sein — nicht hinter juristischem Fachjargon versteckt.

2. Cookie-Einwilligung (Pflicht)

Wenn Ihr Shop Cookies verwendet, die über das hinausgehen, was für die Funktion des Shops unbedingt erforderlich ist, benötigen Sie eine Einwilligung, bevor diese Cookies gesetzt werden. Das bedeutet:

• Unbedingt notwendige Cookies (Sitzung, Warenkorb, Anmeldung) — keine Einwilligung erforderlich
• Analyse-Cookies (Google Analytics, Matomo) — Einwilligung erforderlich
• Marketing-Cookies (Facebook Pixel, Google Ads, Retargeting) — Einwilligung erforderlich
• Präferenz-Cookies (Sprache, Währung) — umstritten, werden aber im Allgemeinen als notwendig behandelt

Ihr Cookie-Banner muss eine echte Wahl bieten — einen prominenten „Akzeptieren"-Button und eine ebenso prominente „Ablehnen"- oder „Einstellungen verwalten"-Option. Dark Patterns (die Ablehnungsoption verstecken, verwirrende Sprache verwenden, Kästchen vorab ankreuzen) sind ausdrücklich nicht konform.

3. Einwilligung für Marketing (Pflicht)

Sie dürfen Kunden nicht automatisch zu Ihrer Marketing-E-Mail-Liste hinzufügen. Die Newsletter-Anmeldung muss eine bewusste, aktive Handlung sein — ein nicht angekreuztes Kästchen, das der Kunde aktiv ankreuzt, oder ein separates Anmeldeformular. Vorab angekreuzte „Newsletter abonnieren"-Kästchen während des Bezahlvorgangs sind nicht konform.

Sie können Kunden E-Mails zu ihren Bestellungen senden (transaktionale E-Mails) ohne zusätzliche Einwilligung. Sie können bestehenden Kunden auch E-Mails über ähnliche Produkte unter „berechtigtem Interesse" in den meisten EU-Ländern senden — aber Sie müssen eine einfache Abmeldemöglichkeit anbieten.

4. Recht auf Datenzugang und Löschung (Pflicht)

Kunden haben das Recht auf:

• Zugang: Eine Kopie aller Daten anfordern, die Sie über sie gespeichert haben
• Berichtigung: Sie auffordern, ungenaue Daten zu korrigieren
• Löschung: Sie auffordern, ihre Daten zu löschen (das „Recht auf Vergessenwerden")
• Datenübertragbarkeit: Ihre Daten in einem maschinenlesbaren Format anfordern

PrestaShop 1.7+ enthält ein DSGVO-Modul, das grundlegende Datenexport- und Löschungsanfragen aus dem Kundenkontobereich verarbeitet. Stellen Sie sicher, dass es installiert und konfiguriert ist.

5. Datensicherheit (Pflicht)

Sie müssen „angemessene technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten implementieren. Für einen Online-Shop bedeutet das:

• SSL/TLS-Verschlüsselung auf Ihrer gesamten Website (überall HTTPS)
• Starke Passwörter und eingeschränkter Admin-Zugriff
• Regelmäßige Software-Updates (PrestaShop-Core, Module, Server-Software)
• Sichere Zahlungsabwicklung (PCI-DSS-Konformität — wird normalerweise von Ihrem Zahlungsgateway gehandhabt)
• Datenbank-Backups sicher aufbewahrt

Sie benötigen keine Sicherheitsinfrastruktur auf Enterprise-Niveau. Sie benötigen angemessene Maßnahmen, die den Daten entsprechen, die Sie verarbeiten. Für die meisten Shops erfüllen grundlegende Shop-Sicherheitspraktiken diese Anforderung.

Was Sie wahrscheinlich überspringen können

Datenschutzbeauftragter (DSB)

Ein DSB ist nur erforderlich, wenn Sie personenbezogene Daten in großem Umfang als Kerntätigkeit verarbeiten oder besondere Kategorien von Daten verarbeiten (Gesundheit, religiöse Überzeugungen usw.). Ein typischer Online-Shop, der Konsumprodukte verkauft, braucht keinen DSB. Sie sollten jemanden haben, der für den Datenschutz verantwortlich ist, aber es muss keine formelle DSB-Rolle sein.

Datenschutz-Folgenabschätzung (DSFA)

DSFAs sind für Verarbeitungen erforderlich, die voraussichtlich ein hohes Risiko für Personen darstellen — großflächiges Profiling, systematische Überwachung öffentlicher Bereiche oder Verarbeitung sensibler Daten. Ein Standard-E-Commerce-Shop, der Bestellungen verarbeitet und Marketing-E-Mails versendet, benötigt in der Regel keine DSFA.

Ausdrückliche Einwilligung für jedes Cookie

Es gibt ein Missverständnis, dass Sie eine individuelle Einwilligung für jedes einzelne Cookie benötigen. In der Praxis wird das Gruppieren von Cookies nach Zweck (notwendig, Analyse, Marketing) und das Einholen der Einwilligung pro Kategorie von den meisten Datenschutzbehörden akzeptiert. Sie benötigen kein Kontrollkästchen für jedes einzelne Cookie.

Alle Daten sofort auf Anfrage löschen

Das Recht auf Löschung hat Ausnahmen. Sie können Daten aufbewahren, die erforderlich sind für:

• Die Abwicklung einer offenen Bestellung
• Gesetzliche Verpflichtungen (Steuerunterlagen — je nach Land typischerweise 7-10 Jahre)
• Die Geltendmachung oder Verteidigung von Rechtsansprüchen

Wenn ein Kunde die Löschung beantragt, löschen Sie seine Marketing-Daten und persönlichen Kontoinformationen, aber Sie können anonymisierte Bestelldaten für Buchhaltungs- und Steuerzwecke aufbewahren.

Häufige Missverständnisse

„Die DSGVO gilt nur für EU-Unternehmen"

Falsch. Die DSGVO gilt für jedes Unternehmen, das Daten von EU-Bürgern verarbeitet, unabhängig davon, wo das Unternehmen seinen Sitz hat. Wenn Sie EU-Kunden aus einem US-basierten Shop bedienen, gilt die DSGVO für diese Transaktionen.

„Kleine Shops sind befreit"

Es gibt keine Größenbefreiung. Einige Verpflichtungen (wie das Verzeichnis der Verarbeitungstätigkeiten) können für kleine Organisationen vereinfacht werden, aber die Kernprinzipien — Einwilligung, Transparenz, Sicherheit, Betroffenenrechte — gelten für alle.

„Wir brauchen Cookie-Einwilligung bevor irgendeine Seite geladen wird"

Unbedingt notwendige Cookies (Sitzungsverwaltung, Warenkorbfunktionalität, Sicherheits-Token) erfordern keine Einwilligung. Ihr Shop kann laden und funktionieren, bevor der Benutzer eine Cookie-Wahl trifft. Was Sie nicht tun dürfen, ist Analyse- oder Marketing-Skripte vor der Einwilligung zu laden.

„IP-Adressen sind keine personenbezogenen Daten"

Der EuGH (Gerichtshof der Europäischen Union) hat entschieden, dass IP-Adressen personenbezogene Daten sind. Das bedeutet, dass das Protokollieren von IP-Adressen, einschließlich für Analysezwecke, eine Verarbeitung personenbezogener Daten im Sinne der DSGVO ist.

Praktische Konformitäts-Checkliste

1. Schreiben oder aktualisieren Sie Ihre Datenschutzerklärung. Machen Sie sie von jeder Seite aus zugänglich (Link im Footer).
2. Implementieren Sie ein ordnungsgemäßes Cookie-Einwilligungsbanner mit echten Akzeptieren/Ablehnen-Optionen.
3. Stellen Sie sicher, dass die Newsletter-Anmeldung Opt-in ist (nicht vorab angekreuzt).
4. Installieren und konfigurieren Sie das PrestaShop DSGVO-Modul für Datenexport und Löschung.
5. Überprüfen Sie, ob Ihr Shop überall HTTPS verwendet.
6. Prüfen Sie, welche Drittanbieter Kundendaten erhalten (Analyse, Zahlung, Versand) und listen Sie sie in Ihrer Datenschutzerklärung auf.
7. Legen Sie Datenaufbewahrungsfristen fest — bewahren Sie Daten nicht unbegrenzt ohne Grund auf.
8. Erstellen Sie einen einfachen Prozess für die Bearbeitung von Datenzugangs- und Löschungsanfragen.
9. Überprüfen Sie Ihre Allgemeinen Geschäftsbedingungen, um sicherzustellen, dass sie auf Ihre Datenschutzerklärung verweisen.

Diese Checkliste deckt 90% dessen ab, was ein typischer kleiner bis mittlerer E-Commerce-Shop für die DSGVO-Konformität benötigt. Wenn Sie ungewöhnliche Daten verarbeiten, altersbeschränkte Produkte verkaufen oder in stark regulierten Branchen tätig sind (Gesundheit, Finanzen), benötigen Sie möglicherweise zusätzliche Maßnahmen — und hier lohnt sich die Investition in Rechtsberatung.

Die DSGVO wird nicht verschwinden, und die Durchsetzung nimmt zu. Aber die Konformität ist für die meisten Online-Shops nicht die überwältigende Belastung, als die sie oft dargestellt wird. Gehen Sie verantwortungsvoll mit personenbezogenen Daten um, seien Sie transparent gegenüber Ihren Kunden und geben Sie ihnen Kontrolle über ihre Informationen. Das ist sowohl gute Geschäftspraxis als auch DSGVO-Konformität.