Shopware DSGVO-konform betreiben: Datenschutz im Shop
Was du als Shopware-Betreiber zur DSGVO wirklich wissen musst: Cookie-Consent, AVV, Tracking und die typischen Fallen im Alltag.
Shopware bringt von Haus aus solide Datenschutzwerkzeuge mit. Das heißt aber nicht, dass dein Shop nach der Installation automatisch DSGVO-konform ist. Die Plattform liefert das Handwerkszeug, du trägst die Verantwortung. Wer das nicht versteht, riskiert Abmahnungen, Bußgelder oder zumindest unruhige Nächte vor einem Audit. Dieser Artikel zeigt, worauf es im Shopware-Alltag tatsächlich ankommt.
Wichtiger Hinweis vorab: Dieser Artikel ist kein Rechtsgutachten und ersetzt keine anwaltliche Beratung. Er gibt einen praxisnahen Überblick aus der Perspektive einer Agentur, die täglich Shopware-Shops betreut. Rechtlich verbindliche Einschätzungen bekommst du nur von einem Fachanwalt für Datenschutzrecht.
Was Shopware mitbringt und was nicht
Shopware 6 enthält einen integrierten Cookie-Consent-Manager, eine konfigurierbare Datenschutzerklärung und Werkzeuge zur Datenlöschung (z. B. Kunden-Anonymisierung). Der Consent-Manager erfasst alle Shopware-eigenen Cookies und registriert auch Cookies, die installierte Plugins setzen, sofern diese korrekt implementiert wurden.
Was Shopware nicht macht: Es prüft nicht, ob deine Datenschutzerklärung vollständig ist. Es schließt keine Auftragsverarbeitungsverträge für dich ab. Und es entscheidet nicht, welche Cookie-Kategorie für welchen Zweck rechtlich erforderlich ist. Das bist du.
Ein häufiger Irrtum in der Praxis: Shop-Betreiber installieren Shopware, sehen den Cookie-Banner und glauben, fertig zu sein. Tatsächlich ist das nur der Start.
Cookie-Consent richtig einrichten
Der Standard-Cookie-Manager in Shopware unterscheidet zwischen technisch notwendigen Cookies und optionalen Kategorien (z. B. Statistiken, Marketing). Technisch notwendige Cookies dürfen ohne Zustimmung gesetzt werden. Für alle anderen gilt: zuerst Einwilligung einholen, dann erst setzen.
Das klingt einfach, scheitert aber regelmäßig an Details:
- Drittanbieter-Skripte (Google Analytics, Meta Pixel, Klaviyo) laden, bevor die Zustimmung erteilt wurde
- Plugins setzen eigene Cookies, ohne diese im Consent-Manager zu registrieren
- Die Consent-Einstellungen werden nach einem Update zurückgesetzt oder überschrieben
Wenn du Google-Dienste nutzt, ist seit März 2024 zusätzlich der Google Consent Mode v2 erforderlich. Ohne diese Implementierung verlierst du Conversion-Daten und riskierst, dass Google-Ads-Kampagnen ineffektiv werden. Shopware stellt dafür eine offizielle Erweiterung bereit, die du aktivieren und konfigurieren musst. Wer ein eigenes Google Tag Manager-Setup betreibt, muss das auf anderem Weg lösen. Unser Shopware Google Tag Manager Plugin unterstützt Consent Mode v2 nativ.
Auftragsverarbeitungsverträge: Pflichtprogramm, keine Option
Sobald ein Drittanbieter Zugriff auf personenbezogene Daten deiner Kunden erhält, brauchst du mit ihm einen Auftragsverarbeitungsvertrag (AVV). Das gilt für:
- deinen Hosting-Anbieter
- E-Mail-Versanddienstleister (z. B. Mailchimp, Klaviyo, Sendinblue)
- Analyse-Tools (Google Analytics 4, Matomo)
- Zahlungsdienstleister, sofern sie Daten verarbeiten
- CDN-Anbieter, die Nutzerdaten loggen
Bei Google Analytics schließt du den AVV direkt in den Kontoeinstellungen ab. Bei anderen Anbietern findest du ihn meist im Kundenportal oder musst ihn aktiv anfordern. Viele Betreiber vergessen diesen Schritt oder haben den AVV mit einem alten Anbieter, aber nicht mit dem neuen, der vor sechs Monaten hinzugekommen ist.
Mehr zu den technischen Aspekten sicherer Server- und Shop-Infrastruktur findest du im Artikel zu Shopware Sicherheit.
Zahlungsarten und DSGVO
Zahlungsanbieter sind aus Datenschutzsicht eine eigene Baustelle. Dienste wie PayPal, Klarna oder Stripe übermitteln Kundendaten in die USA oder andere Drittländer. Das ist grundsätzlich erlaubt, aber nur unter bestimmten Bedingungen: entweder auf Basis von Standardvertragsklauseln (SCC) oder eines Angemessenheitsbeschlusses der EU-Kommission.
In der Praxis bedeutet das: Du musst in deiner Datenschutzerklärung transparent machen, welche Zahlungsanbieter du einsetzt, welche Daten übermittelt werden und auf welcher Rechtsgrundlage. Wer alle Zahlungsarten aktiviert, ohne die Datenschutzerklärung anzupassen, baut sich still Haftungsrisiken auf.
Einen Überblick über die technische Einrichtung verschiedener Zahlungsanbieter bietet der Wiki-Artikel zu Zahlungsarten in Shopware 6.
Tracking, Analytics und die Rechtsgrundlage
Für Analyse- und Marketing-Tracking brauchst du in aller Regel eine aktive Einwilligung (Opt-in), keine bloße Möglichkeit zum Opt-out. Die Beweislast liegt bei dir: Du musst nachweisen können, dass ein Nutzer zugestimmt hat und wann.
Konkret heißt das für Shopware:
- Der Consent-Manager muss Zustimmungen protokollieren (Zeitstempel, Version der Einwilligung)
- Skripte dürfen erst nach Zustimmung geladen werden, nicht vorher
- Nutzer müssen ihre Zustimmung jederzeit widerrufen können
- Der Widerruf muss so einfach sein wie die Zustimmung
Ein verbreitetes Problem: Der Cookie-Banner ist korrekt eingerichtet, aber ein altes Plugin lädt Google Analytics direkt im Template, vorbei am Consent-Manager. Das passiert bei Shops, die über Jahre gewachsen sind und bei denen nie jemand systematisch geprüft hat, was eigentlich noch alles aktiv ist.
Wer SEO-Tracking mit Datenschutz verbinden will, findet im Wiki-Artikel zu Shopware SEO-Grundlagen ergänzende Hinweise zur datenschutzfreundlichen Konfiguration von Tracking-Tools.
Datenlöschung, Auskunftspflicht und Betroffenenrechte
Die DSGVO gibt Betroffenen Rechte: Auskunft, Berichtigung, Löschung, Datenportabilität. Du musst als Shop-Betreiber in der Lage sein, diese Rechte zu erfüllen, und zwar innerhalb von 30 Tagen nach einer Anfrage.
Shopware unterstützt dich dabei mit einer Anonymisierungsfunktion für Kundendaten. Kundendaten können auf Anfrage anonymisiert werden, sodass sie im System bleiben (z. B. für Buchhaltungszwecke), aber keiner Person mehr zugeordnet werden können. Das ist für viele Anfragen der praktikable Weg, weil vollständiges Löschen bei bestehenden Bestellungen mit handelsrechtlichen Aufbewahrungspflichten kollidiert.
Ein häufig vergessener Punkt: externe Systeme. Wenn Kundendaten in deinem ERP, deinem E-Mail-Tool oder deinem Fulfillment-Dienstleister landen, musst du Löschanfragen dort ebenfalls umsetzen. Shopware löscht nur, was in Shopware liegt.
Datenschutzerklärung: aktuell halten, nicht einmalig erstellen
Die Datenschutzerklärung ist kein Dokument, das du einmal erstellst und dann vergisst. Jedes neue Plugin, jede neue Integration, jeder neue Dienstleister kann eine Anpassung erfordern. In der Praxis empfehlen wir, die Erklärung mindestens zweimal im Jahr zu prüfen, und nach jeder größeren Änderung am Shop sofort.
Dienste wie eRecht24 oder Trusted Shops bieten Generatoren und Update-Dienste für Datenschutzerklärungen an. Sie sind kein Ersatz für anwaltliche Beratung, aber ein sinnvoller erster Schritt für kleinere und mittlere Shops.
Shopware selbst stellt in der Administration eine konfigurierbare Datenschutzseite bereit. Du kannst dort Inhalte hinterlegen, aber den rechtlichen Inhalt musst du selbst verantworten.
Häufige Fragen
Muss ich für jeden Cookie eine separate Einwilligung einholen?
Nicht für jeden einzelnen Cookie, aber für jede funktionale Kategorie. Technisch notwendige Cookies brauchen keine Einwilligung. Für Statistik- und Marketing-Cookies musst du eine Zustimmung einholen, bevor sie gesetzt werden. Shopwares Consent-Manager gruppiert Cookies in Kategorien, die du entsprechend konfigurieren kannst.
Ist Shopware Cloud datenschutzkonformer als self-hosted?
Nicht automatisch. Bei Shopware Cloud liegt die Serverinfrastruktur bei Shopware bzw. dessen Hosting-Partnern, du musst deren AVV prüfen und akzeptieren. Bei self-hosted bist du selbst für die Wahl des Hosters und die entsprechenden Verträge verantwortlich. Beide Varianten können DSGVO-konform betrieben werden, beide erfordern aktives Handeln.
Was passiert, wenn ein Plugin Cookies setzt, die nicht im Banner auftauchen?
Das ist ein klares Compliance-Problem. Du haftest als Betreiber, auch wenn das Plugin schuld ist. Prüfe bei jeder Plugin-Installation, ob es Cookies setzt, und registriere diese im Consent-Manager. Seriöse Plugin-Hersteller liefern entsprechende Dokumentation mit.
Muss ich beim Shopware-Update die Datenschutzeinstellungen neu prüfen?
Nach Major-Updates (z. B. von 6.5 auf 6.6) ja. Shopware kann dabei Consent-Konfigurationen ändern oder neue Standard-Cookies hinzufügen. Auch Plugins können durch Updates neue Tracking-Funktionen mitbringen. Ein kurzer Check nach jedem größeren Update ist kein Luxus, sondern Pflicht.
Wenn du deinen Shopware-Shop dauerhaft sauber halten willst, lohnt sich eine strukturierte Betreuung, die Datenschutz nicht als einmaliges Projekt, sondern als laufenden Prozess versteht. Was das in der Praxis bedeutet und welche Leistungen wir dabei übernehmen, erfährst du auf unserer Seite zur Shopware-Betreuung.
Shopware-Projekt oder Frage im Kopf?
Als Shopware Premium Extension Partner kennen wir die Plattform in der Tiefe. Lass uns ehrlich besprechen, was für dich sinnvoll ist.
Mehr aus dem Shopware Wiki
Shopware Updates: Warum sie wichtig sind und wie sie ablaufen
Shopware-Updates schützen deinen Shop vor Sicherheitslücken und bringen neue Funktionen. Hier erfährst du, wie der Update-Prozess sicher abläuft.
Lesen Betrieb & PerformanceShopware Hosting: Anforderungen und die richtige Wahl
Was ein Shopware-Server wirklich können muss, welche Hosting-Modelle sich lohnen und wo viele Händler beim Umzug Fehler machen.
Lesen Betrieb & PerformanceShopware Performance optimieren: schnellere Ladezeiten
So machst du deinen Shopware-Shop wirklich schnell: Caching, Bildoptimierung, Elasticsearch und Hosting-Stellschrauben praxisnah erklärt.
Lesen