Zum Inhalt springen
Zurück zum Shopify Wiki
Betrieb & Performance

Shopify DSGVO-konform betreiben: Datenschutz und US-Hosting

Shopify und DSGVO im Alltag: Was AVV, US-Datentransfer, Cookie-Consent und deine Datenschutzerklärung konkret bedeuten und wo die echten Fallstricke liegen.

5 Min. Lesezeit

Shopify ist ein kanadisches Unternehmen, dessen SaaS-Infrastruktur jedoch maßgeblich über US-Anbieter (Google Cloud, Cloudflare) läuft. Für deutsche Händler ist die Plattform damit datenschutzrechtlich sensibel. Das bedeutet nicht, dass ein Shopify-Shop nicht DSGVO-konform betreibbar wäre. Es bedeutet, dass du als Händler die Verantwortung für die Compliance trägst, nicht Shopify. Wer das früh versteht, vermeidet teure Abmahnungen und Bußgelder.

Wer ist hier eigentlich verantwortlich?

Nach der DSGVO bist du als Händler der Verantwortliche (Controller) für die Daten deiner Kunden. Shopify ist dein Auftragsverarbeiter (Processor). Das klingt nach einer klaren Aufgabenteilung, hat aber eine wichtige Konsequenz: Datenschutzbehörden richten sich bei Verstößen an dich, nicht an Shopify.

Shopify stellt dir technische Werkzeuge bereit, Datenschutzerklärungen, Cookie-Consent-Mechanismen und einen Auftragsverarbeitungsvertrag (AVV) anzubieten. Genutzt werden müssen diese Werkzeuge von dir.

Der AVV mit Shopify

Der Auftragsverarbeitungsvertrag ist Pflicht, sobald du personenbezogene Daten deiner Kunden über Shopify verarbeitest. Das gilt bereits beim ersten Testkauf. Shopify stellt seinen AVV über die Datenschutzrichtlinien zur Verfügung, und er gilt automatisch mit der Nutzung der Plattform.

Was du konkret tun musst:

  • Prüfen, ob dein Account unter den gültigen Shopify-Nutzungsbedingungen läuft und ob der AVV-Teil darin abgedeckt ist.
  • Den AVV dokumentieren und für eventuelle Behördenanfragen aufbewahren.
  • Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) anlegen, in dem Shopify als Auftragsverarbeiter aufgeführt ist.

Allein der AVV mit Shopify reicht nicht. Du brauchst separate AVVs mit allen weiteren Diensten, die du in deinen Shop integrierst: Google Analytics, Klaviyo, Meta Pixel, Trustpilot und so weiter.

US-Hosting und Datentransfer in die USA

Shopify betreibt seine Infrastruktur primär auf Google Cloud Platform und nutzt Cloudflare als CDN. Beide Dienste sind nach dem EU-US Data Privacy Framework (DPF) zertifiziert, das seit 2023 als Rechtsgrundlage für Datentransfers in die USA gilt.

Shopify selbst ist seit 2024 ebenfalls unter dem DPF registriert. Das erleichtert die rechtliche Absicherung erheblich. Für Daten, die an Sub-Prozessoren in den USA fließen, gelten zusätzlich Standardvertragsklauseln (SCCs), die Shopify mit seinen Unterauftragsverarbeitern abschließt.

Trotzdem bleibt ein Restrisiko: Das DPF ist politisch angreifbar. Nach dem Schrems-II-Urteil 2020 und dem Fall des Privacy Shield davor hat sich gezeigt, dass solche Rahmenwerke nicht unantastbar sind. Für eine belastbare Compliance-Strategie empfiehlt sich daher ein doppelter Absicherungsansatz.

Was das konkret bedeutet:

  • Dokumentiere, welche Daten in die USA fließen (Kundendaten, IP-Adressen, Verhaltensdaten).
  • Prüfe, ob die eingesetzten Drittanbieter (Apps, Marketing-Tools) ebenfalls DPF-zertifiziert oder mit SCCs abgesichert sind.
  • Führe ein Transfer Impact Assessment (TIA) für die Kernverarbeitungen durch, zumindest für Marketing-Dienste mit US-Bezug.

Shopify bietet eine eigene Customer Privacy API an, über die du den Einwilligungsstatus von Besuchern steuern kannst. Diese API ist die Grundlage für alle datenschutzkonformen Tracking-Integrationen.

Ohne eingebundenes Consent-Management-Tool (CMT) ist ein Shopify-Shop für deutschen Traffic nahezu sicher nicht konform. Beliebte Lösungen im Shopify-Umfeld sind OneTrust, Cookiebot oder CookieYes. Einige Theme-eigene Consent-Banner genügen den deutschen Anforderungen nicht, weil sie keine granulare Einwilligung nach Kategorien ermöglichen oder das „Ablehnen” zu schwer zugänglich machen.

Achte auf:

  • Keine vorausgewählten Checkboxen für nicht-notwendige Cookies.
  • Gleich einfache Bedienung für Zustimmung und Ablehnung (keine „Dark Patterns”).
  • Möglichkeit, die Einwilligung jederzeit zu widerrufen.
  • Speicherung und Dokumentation des Einwilligungsnachweises.

Das Shopify-Sicherheits- und PCI-Compliance-Thema hängt eng damit zusammen: Technische Schutzmaßnahmen und Datenschutz-Compliance gehen Hand in Hand.

Datenschutzerklärung und Impressum

Deine Datenschutzerklärung muss konkret benennen, welche Dienste du einsetzt, zu welchem Zweck, auf welcher Rechtsgrundlage und wohin Daten übermittelt werden. Ein generisches Template aus dem Netz reicht nicht, wenn du zehn Apps aktiv betreibst und Google Analytics plus Meta Pixel im Einsatz hast.

Praktischer Ablauf für eine aktualisierte Datenschutzerklärung:

  1. Inventur aller aktiven Shopify-Apps und integrierten Dienste.
  2. Prüfen, welche davon Daten erheben oder übermitteln.
  3. Für jeden Dienst: Zweck, Rechtsgrundlage (Einwilligung, berechtigtes Interesse oder Vertrag), Empfänger, Übermittlung in Drittländer.
  4. Abgleich mit dem AVV-Stand der jeweiligen Anbieter.

Vergiss dabei auch die Formulare nicht: Kontaktformular, Newsletter-Anmeldung und Checkout erheben jeweils personenbezogene Daten. Jeder dieser Punkte braucht einen Eintrag in der Datenschutzerklärung.

Für Zahlungsanbieter gilt dasselbe. Die gängigen Zahlungsarten für Shopify in Deutschland bringen ihre eigenen Datenschutz-Anforderungen mit, zum Beispiel bei Klarna, PayPal oder Stripe.

Weitere Fallstricke im Alltag

Google Fonts: Wenn Shopify dein Theme Google Fonts extern nachlädt (über Google-CDN statt lokal), werden IP-Adressen ohne Einwilligung an Google übermittelt. Das ist nach Urteilen mehrerer Landgerichte abmahnfähig. Lösung: Fonts lokal einbinden oder ein Theme wählen, das das bereits korrekt handhabt.

Newsletter-Apps: Double-Opt-In ist Pflicht. Überprüfe, ob die eingesetzte E-Mail-Marketing-Lösung (Klaviyo, Shopify Email oder andere) das korrekt umsetzt und Einwilligungsnachweise speichert.

Meta Pixel und Server-Side-Tracking: Browser-seitiges Tracking ohne Einwilligung ist nicht zulässig. Server-Side-Tagging löst das Problem nicht vollständig, reduziert es aber. Du trägst die Verantwortung für die korrekte Einbindung, nicht Shopify.

Shopify Markets und internationale Shops: Sobald du in mehrere Länder verkaufst, gelten unterschiedliche Datenschutzgesetze. Die Möglichkeiten von Shopify Markets für den internationalen Verkauf sind technisch stark, aber rechtlich bringt jeder Zielmarkt eigene Anforderungen mit.

Häufige Fragen

Muss ich mit Shopify einen AVV abschließen?

Ja. Da Shopify in deinem Auftrag Kundendaten verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO verpflichtend. Shopify stellt diesen Vertrag im Rahmen seiner Nutzungsbedingungen bereit. Du musst die gültige Version dokumentieren und in deinem Verarbeitungsverzeichnis festhalten.

Ist Shopify wegen US-Hosting illegal in Deutschland?

Nein, pauschal nicht. Shopify und seine Infrastrukturpartner sind unter dem EU-US Data Privacy Framework zertifiziert, was als Rechtsgrundlage für Datentransfers in die USA anerkannt ist. Voraussetzung ist, dass du den Datentransfer in deiner Datenschutzerklärung transparent ausweist und die eingesetzten Drittdienste ebenfalls abgesichert sind. Ein gewisses Restrisiko besteht politisch, aber es ist kein Grund, Shopify grundsätzlich auszuschließen.

In den meisten Fällen nicht für den deutschen Markt. Das eingebaute Consent-Banner erfüllt nicht immer alle Anforderungen der deutschen Gerichte und der TDDDG (vormals TTDSG). Empfehlenswert ist eine dedizierte Consent-Management-Lösung, die granulare Kategorien, gleich einfache Opt-out-Möglichkeit und Einwilligungs-Dokumentation bietet.

Was passiert, wenn das EU-US Data Privacy Framework gekippt wird?

Dann greift als Auffanglösung der Standardvertragsklauseln-Mechanismus (SCCs). Shopify und seine Sub-Prozessoren nutzen SCCs bereits parallel zum DPF. Du solltest sicherheitshalber prüfen, ob deine Datenschutzerklärung SCCs als zusätzliche Grundlage erwähnt, damit du bei einer Rechtslagenänderung nicht sofort nachdokumentieren musst.

Professionelle Betreuung zahlt sich aus

DSGVO-Compliance ist kein einmaliges Projekt, sondern laufende Pflege. Jede neue App, jedes neue Marketing-Tool und jede Shopify-Plattformänderung kann Anpassungsbedarf auslösen. Wenn du möchtest, dass jemand das für dich im Blick behält, schau dir unsere Shopify-Betreuungspakete an. Wir unterstützen dich bei der technischen Einbindung datenschutzkonformer Lösungen, dem App-Audit und der laufenden Shop-Pflege. Rechtliche Beratung leisten wir nicht. Für individuelle Fragen zur DSGVO-Compliance empfehlen wir einen spezialisierten Datenschutzanwalt oder -beauftragten.

Shopify-Projekt oder Frage im Kopf?

Wir bauen, optimieren und betreuen Shopify-Shops, mit echter Backend- und Schnittstellen-Kompetenz. Lass uns auf Augenhöhe sprechen.

Kostenloses Erstgespräch buchen Alles zu Shopify

Mehr aus dem Shopify Wiki

Betrieb & Performance

Shopify Performance optimieren: schnellere Ladezeiten

Shopify-Shop zu langsam? Hier lernst du, wie du Ladezeiten messbar senkst, Core Web Vitals verbesserst und Conversion-Verluste durch schlechte Performance vermeidest.

Lesen Betrieb & Performance

Shopify App-Kosten im Griff behalten

Wie du den Überblick über deine Shopify App-Kosten behältst, unnötige Ausgaben erkennst und deinen App-Stack wirklich schlank hältst.

Lesen Betrieb & Performance

Shopify Wartung: Warum auch ein SaaS-Shop Pflege braucht

Shopify übernimmt nicht alles automatisch. Wir zeigen, welche Wartungsaufgaben du aktiv angehen musst, damit dein Shop sicher, schnell und konversionsstark bleibt.

Lesen
Zurück zum Shopify Wiki
BuI Insights

Shopware- & xentral-Praxiswissen direkt ins Postfach

Plugin-Updates, Best Practices, Migrations-Tipps und Branchen-Cases. Ein Mal im Monat, nur das, was wirklich relevant ist. Jederzeit abbestellbar.

Mit dem Klick stimmst du zu, dass wir dir den Newsletter zusenden dürfen (Art. 6 Abs. 1 lit. a DSGVO). Mehr in der Datenschutzerklärung.