Zurück zu den Artikeln
DSGVO und E-Commerce: 7 Pflichten fuer Online-Shops in Deutschland
DSGVO E-Commerce Online-Shop Abmahnung Datenschutz TTDSG Compliance

DSGVO und E-Commerce: 7 Pflichten fuer Online-Shops in Deutschland

DPLIANCEAnbieter souveräner Data- und KI-Lösungen
12 Min. Lesezeit

Doppeltes Risiko: Warum deutsche Online-Shops unter besonderem Druck stehen

Online-Shops in Deutschland stehen vor einem Problem, das es in dieser Form in keinem anderen EU-Land gibt: Sie muessen sich nicht nur vor den Aufsichtsbehoerden fuerchten — sondern auch vor ihren eigenen Wettbewerbern.

Denn in Deutschland koennen Konkurrenten Datenschutzverstoesse direkt abmahnen. Ein fehlendes Cookie-Banner, eine lueckenhafte Datenschutzerklaerung, ein unzulaessiger Datentransfer in die USA — all das kann eine Abmahnung nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) ausloesen. Kostenpunkt: 1.500 bis 25.000 Euro pro Fall, plus Anwaltskosten, plus Unterlassungserklaerung.

Gleichzeitig verschaerfen die Aufsichtsbehoerden ihre Kontrollen. 2025 verhängten die 16 Landesdatenschutzbehoerden und der BfDI insgesamt 249 Bussgelder mit einer Gesamthoehe von 46,9 Millionen Euro. Online-Haendler gehoeren zu den am staerksten betroffenen Branchen: Notebooksbilliger.de zahlte 10,4 Millionen Euro, H&M 35,3 Millionen Euro.

Doppeltes Risiko fuer deutsche Online-Shops: Neben den Aufsichtsbehoerden koennen auch Wettbewerber und Abmahnverbaende Datenschutzverstoesse direkt verfolgen — ein System, das in dieser Form in keinem anderen EU-Land existiert.

Dieser Leitfaden erklaert die 7 konkreten DSGVO-Pflichten fuer Online-Shops in Deutschland — mit den spezifischen Gesetzen, Urteilen und Risiken, die nur fuer den deutschen Markt gelten.


Warum Online-Shops in Deutschland Prioritaetsziele sind

Die Abmahnwelle

Deutschland hat eine lange Tradition wettbewerbsrechtlicher Abmahnungen. Seit der BGH-Entscheidung von 2022 (Az. I ZR 223/19) ist klar: DSGVO-Verstoesse koennen unter bestimmten Voraussetzungen als Wettbewerbsverstoesse verfolgt werden. Das OLG Muenchen, das OLG Stuttgart und das LG Berlin haben diese Linie bestaetigt.

Was das fuer Online-Shops bedeutet: Jeder Wettbewerber, jeder Abmahnverein kann einen Anwalt beauftragen, Ihren Shop technisch zu pruefen und bei Verstoessen eine Abmahnung zu versenden. Die Kosten einer einzelnen Abmahnung beginnen bei rund 1.500 Euro — bei wiederholten Verstoessen drohen Vertragsstrafen von 5.000 Euro und mehr pro Einzelfall.

16 Aufsichtsbehoerden, 16 Interpretationen

Deutschland hat neben dem BfDI (Bundesbeauftragter fuer den Datenschutz und die Informationsfreiheit) auf Bundesebene 16 unabhaengige Landesdatenschutzbehoerden. Jede kann eigene Bussgelder verhaengen, eigene Schwerpunktpruefungen durchfuehren und die DSGVO unterschiedlich auslegen.

Das BayLDA (Bayerisches Landesamt fuer Datenschutzaufsicht) hat 2024 bei automatisierten Pruefungen von rund 350 Websites systematisch Cookie-Banner kontrolliert. Bremen verhängte 2025 allein 101 Sanktionen. Die LfD Niedersachsen ging gezielt gegen manipulative Cookie-Banner vor.

Fuer Online-Shops bedeutet das: Ihr Firmensitz bestimmt, welche Landesbehoerde zustaendig ist — aber Beschwerden koennen aus jedem Bundesland kommen.

Hohe Klagebereitschaft deutscher Verbraucher

Die Kombination aus aktivem Verbraucherschutz, der Moeglichkeit von Musterfeststellungsklagen und einem gut organisierten Abmahnwesen macht Deutschland zum anspruchsvollsten E-Commerce-Markt in Europa. Wer hier konform ist, ist es ueberall.


Die 7 DSGVO-Pflichten fuer Online-Shops

In Deutschland greifen zwei Gesetze gleichzeitig: Die DSGVO auf europaeischer Ebene und das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit Mai 2024 Nachfolger des TTDSG) als nationale Umsetzung der ePrivacy-Richtlinie.

Was das fuer Online-Shops bedeutet:

  • Kein Tracking ohne Einwilligung — Paragraph 25 TDDDG verlangt die Einwilligung fuer jeden Zugriff auf das Endgeraet, der nicht strikt notwendig ist. Google Analytics, Facebook Pixel, Hotjar, Remarketing-Tags: Alles muss blockiert sein, bis der Nutzer aktiv zustimmt.
  • Gleichwertiger Ablehnen-Button — Das VG Hannover urteilte am 19. Maerz 2025 (Az. 10 A 5385/22): Ein „Alles ablehnen”-Button muss auf der ersten Ebene des Banners sichtbar sein — in gleicher Groesse, Farbe und Position wie „Alle akzeptieren”.
  • Einwilligungsnachweis — Artikel 7 DSGVO verpflichtet Sie, jede erteilte Einwilligung nachweisbar zu dokumentieren.

Abmahnrisiko: Hoch. Fehlende oder manipulative Cookie-Banner gehoeren zu den haeufigsten Abmahngruenden im E-Commerce.

Eine konforme CMP loest alle drei Anforderungen gleichzeitig. Cookilio blockiert nicht-essenzielle Tracker vor der Einwilligung, stellt Ablehnung auf gleicher Ebene wie Akzeptanz dar und dokumentiert jeden Einwilligungsvorgang — fuer 9 Euro pro Monat.

2. E-Mail-Marketing: Double-Opt-in ist Pflicht

In Deutschland ist das Double-Opt-in-Verfahren fuer Newsletter und Werbe-E-Mails de facto verpflichtend. Der BGH hat dies in staendiger Rechtsprechung bestaetigt: Eine einfache Anmeldung auf der Website reicht nicht aus. Der Empfaenger muss seine E-Mail-Adresse ueber einen Bestaetigungslink in einer separaten E-Mail verifizieren.

Die deutsche Besonderheit: Waehrend in anderen EU-Laendern ein einfaches Opt-in genuegen kann, verlangt die deutsche Rechtsprechung (BGH, Urteil vom 10.02.2011, Az. I ZR 164/09) den doppelten Nachweis. Ohne Double-Opt-in riskieren Sie:

  • Bussgelder nach DSGVO — Fehlende Einwilligung nach Art. 6 Abs. 1 lit. a
  • Abmahnungen nach UWG — Unerlaubte Werbung nach § 7 UWG
  • Unterlassungsklagen — Von Wettbewerbern und Verbraucherschutzverbaenden

Checkliste E-Mail-Marketing:

  • Double-Opt-in — Fuer jeden Newsletter implementieren
  • Werbefreie Bestaetigungs-E-Mail — Bestaetigungs-E-Mail darf selbst keine Werbung enthalten
  • Abmeldelink — In jeder E-Mail (Art. 7 Abs. 3 DSGVO)
  • Einwilligungsprotokoll — Einwilligungen mit Zeitstempel, IP-Adresse und Umfang protokollieren
  • Keine vorausgefuellten Checkboxen — Verboten seit EuGH „Planet49”

3. Kundenkonto und Datenspeicherung

Online-Shops speichern systematisch personenbezogene Daten: Namen, Adressen, Zahlungsdaten, Bestellhistorie, Wunschlisten. Die DSGVO und das BDSG (Bundesdatenschutzgesetz) stellen klare Anforderungen an die Speicherdauer.

Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten duerfen nur so lange gespeichert werden, wie es fuer den jeweiligen Zweck erforderlich ist. Der Fall Deutsche Wohnen (14,5 Millionen Euro Bussgeld fuer fehlende Loeschkonzepte) zeigt, wie ernst die Behoerden diese Pflicht nehmen.

Konkret fuer Online-Shops:

  • Bestelldaten — Aufbewahrung nach HGB (6 Jahre) und AO (10 Jahre fuer steuerrelevante Unterlagen)
  • Kundenkontodaten — Loeschung oder Anonymisierung nach angemessener Frist bei Inaktivitaet
  • Zahlungsdaten — Nur so lange speichern, wie fuer die Abwicklung notwendig
  • Bonitaetsdaten — Strikte Zweckbindung, Loeschung nach Abschluss der Pruefung

Abmahnrisiko: Mittel. Fehlende Loeschkonzepte werden seltener abgemahnt als Cookie-Verstoesse, aber die Aufsichtsbehoerden pruefen zunehmend systematisch.

4. Zahlungssicherheit und Datenschutz

Die Verarbeitung von Zahlungsdaten unterliegt sowohl der DSGVO (Art. 32: technisch-organisatorische Massnahmen) als auch der PSD2-Richtlinie und branchenspezifischen Standards wie PCI DSS.

Pflichten fuer Online-Shops:

  • TLS-Verschluesselung — Fuer den gesamten Checkout-Prozess zwingend erforderlich
  • Kartendaten — Keine Speicherung vollstaendiger Kreditkartennummern (PCI DSS)
  • Auftragsverarbeitungsvertrag — Payment-Service-Provider als Auftragsverarbeiter: AVV nach Art. 28 DSGVO erforderlich
  • Strong Customer Authentication — SCA nach PSD2 umsetzen
  • Datenschutzerklaerung — Zahlungsdienstleister namentlich benennen

Der Fall 1&1 Telecom (9,55 Millionen Euro) zeigt die Konsequenzen mangelhafter Authentifizierung: Eine einfache Abfrage von Name und Geburtsdatum genuegt nicht, um Kundendaten am Telefon herauszugeben.

5. Produktbewertungen und nutzergenerierte Inhalte

Kundenbewertungen sind fuer Online-Shops essenziell — aber datenschutzrechtlich komplex. Jede Bewertung, die einen Nutzernamen oder ein Profilbild enthaelt, ist eine Verarbeitung personenbezogener Daten.

Anforderungen:

  • Rechtsgrundlage — Fuer die Veroeffentlichung klaeren (berechtigtes Interesse nach Art. 6 Abs. 1 lit. f oder Einwilligung)
  • Recht auf Loeschung — Nutzer muessen ihre Bewertungen loeschen koennen
  • Externe Bewertungsplattformen — Bei Einsatz von Trustpilot, Trusted Shops: AVV abschliessen und Datentransfers pruefen
  • Moderationsprozesse — Dokumentieren

Besonderheit: Wenn Sie Bewertungen automatisiert per E-Mail nach dem Kauf anfragen, gelten die Regeln fuer E-Mail-Marketing (Double-Opt-in). Eine pauschale „Bitte bewerten Sie Ihren Einkauf”-E-Mail ohne vorherige Einwilligung ist ein Verstoss.

6. Remarketing und Werbetracking

Google Ads Remarketing, Meta Custom Audiences, TikTok Pixel — fuer Online-Shops sind diese Tools umsatzrelevant. In Deutschland unterliegen sie jedoch einer besonders strengen Auslegung.

Das Problem:

  • Einwilligungspflicht — Jeder Remarketing-Pixel erfordert eine ausdrueckliche Einwilligung nach TDDDG und DSGVO
  • Kein berechtigtes Interesse — Die DSK (Datenschutzkonferenz der deutschen Aufsichtsbehoerden) hat wiederholt betont, dass berechtigtes Interesse als Rechtsgrundlage fuer Tracking nicht genuegt
  • Drittlandtransfers — Die meisten Remarketing-Tools uebertragen Daten an Server ausserhalb der EU

Die Konsequenz: Ohne konforme CMP verlieren Sie entweder die Rechtsgrundlage fuer Ihr Tracking oder Sie riskieren Abmahnungen und Bussgelder. Der Ausweg: eine CMP, die nicht-essenzielle Tracker zuverlaessig blockiert und erst nach ausdruecklicher Einwilligung freigibt.

Gleichzeitig benoetigen Sie Analytics-Daten, um Ihr Marketing zu steuern. Mirage Analytics liefert Website-Analysen ohne Cookies und ohne Einwilligungsbanner — vollstaendig konform, in Europa gehostet, fuer 19 Euro pro Monat. Die Daten stehen sofort zur Verfuegung, unabhaengig davon, ob Nutzer das Cookie-Banner akzeptieren oder ablehnen.

7. Internationale Datentransfers

Online-Shops setzen typischerweise Dutzende Drittanbieter-Tools ein: Zahlungsanbieter, Versanddienstleister, E-Mail-Marketing-Plattformen, Chat-Widgets, Analyse-Tools. Viele dieser Dienste haben ihren Sitz in den USA.

Rechtslage nach Schrems II:

  • Data Privacy Framework — Das EU-US DPF erlaubt seit 2023 Datentransfers an zertifizierte US-Unternehmen
  • Skepsis der Behoerden — Die deutschen Aufsichtsbehoerden bleiben skeptisch: Die DSK hat wiederholt darauf hingewiesen, dass das DPF jederzeit durch ein neues EuGH-Urteil kippen kann (wie zuvor Safe Harbor und Privacy Shield)
  • Empfehlung BayLDA — Europaeische Alternativen bevorzugen

Was Online-Shops tun muessen:

  • Verzeichnis fuehren — Alle Datentransfers in Drittlaender dokumentieren
  • Rechtsgrundlage — Fuer jeden Transfer die Rechtsgrundlage dokumentieren (DPF, SCC, Ausnahmen nach Art. 49)
  • Transfer Impact Assessments — TIA durchfuehren
  • Datenschutzerklaerung — Alle Drittlandtransfers auflisten

Ein automatisierter Audit mit Complio identifiziert alle Drittanbieter-Skripte, deren Serverstandorte und potenzielle Drittlandtransfers — in Minuten statt Wochen.


Abmahnungen: Das deutsche Sonderrisiko

Was ist eine Abmahnung?

Eine Abmahnung ist eine aussergerichtliche Aufforderung, einen Rechtsbruch zu unterlassen — verbunden mit einer strafbewehrten Unterlassungserklaerung und Anwaltskosten. Im deutschen Wettbewerbsrecht (UWG) koennen Mitbewerber und qualifizierte Verbaende Datenschutzverstoesse direkt abmahnen.

Dieses System existiert in dieser Form in keinem anderen EU-Land. In Frankreich, Spanien oder Italien koennen nur die Aufsichtsbehoerden oder Betroffene gegen Datenschutzverstoesse vorgehen. In Deutschland kann Ihr direkter Wettbewerber einen Anwalt beauftragen und innerhalb von Tagen eine Abmahnung zustellen.

Achtung: Eine einzige Abmahnung kostet mindestens 1.500 Euro — bei wiederholten Verstoessen drohen Vertragsstrafen von 5.000 Euro und mehr pro Einzelfall. Wer eine strafbewehrte Unterlassungserklaerung ungeprüft unterschreibt, haftet bei jedem weiteren Verstoss.

Haeufigste Abmahngruende im E-Commerce

AbmahngrundRisikoTypische Kosten
Fehlende DatenschutzerklaerungHoch1.500 - 5.000 EUR
Mangelhaftes Cookie-BannerHoch1.500 - 5.000 EUR
Google Fonts ueber CDNMittel1.000 - 3.000 EUR
Newsletter ohne Double-Opt-inMittel1.500 - 5.000 EUR
Fehlender AVVNiedrig1.000 - 2.500 EUR
  1. Fehlende oder unvollstaendige Datenschutzerklaerung — Der Klassiker. Fehlende Angaben zu eingesetzten Tools, Zwecken oder Rechtsgrundlagen genuegen fuer eine Abmahnung.
  2. Mangelhaftes Cookie-Banner — Kein gleichwertiger Ablehnen-Button, Tracking vor Einwilligung, fehlende Zweckinformation.
  3. Google Fonts ueber CDN eingebunden — Das LG Muenchen I urteilte 2022 (Az. 3 O 17493/20): Das Laden von Google Fonts von Google-Servern ohne Einwilligung ist ein DSGVO-Verstoss. Dieses Urteil loeste eine Welle von Abmahnungen aus.
  4. Newsletter ohne Double-Opt-in — Unerlaubte Werbung nach § 7 UWG.
  5. Fehlender Auftragsverarbeitungsvertrag — Einsatz von Drittanbieter-Tools ohne dokumentierte AVV.

Wie Sie sich schuetzen

  • Regelmäßiger Website-AuditComplio identifiziert die haeufigsten Abmahngruende automatisch — Drittanbieter-Skripte, Cookie-Verstoesse, fehlende Rechtstexte, Drittlandtransfers. Ein Audit kostet 89 Euro und dauert weniger als 10 Minuten.
  • Konforme CMP einsetzenCookilio stellt sicher, dass Ihr Cookie-Banner den Anforderungen der deutschen Rechtsprechung entspricht.
  • Datenschutzerklaerung prufen — Vollstaendig, aktuell, alle eingesetzten Dienste benannt.
  • Bei Abmahnungserhalt — Fristen beachten (in der Regel 7 bis 14 Tage). Modifizierte Unterlassungserklaerung pruefen lassen. Nie ungeprüft unterschreiben.

Deutsche Sanktionen im E-Commerce: Die Lektionen

UnternehmenBussgeldBehoerdeVerstoss
H&M35,3 Mio. EURHmbBfDISystematische Mitarbeiterueberwachung
Notebooksbilliger.de10,4 Mio. EURLfD NiedersachsenVideoueberwachung ohne Rechtsgrundlage
1&1 Telecom9,55 Mio. EURBfDIUnzureichende Authentifizierung

H&M: 35,3 Millionen Euro

Der Hamburger Datenschutzbeauftragte verhängte 2020 das damals hoechste deutsche DSGVO-Bussgeld. Im Servicecenter Nuernberg hatte das Management systematisch Hunderte Mitarbeiter ueber Gesundheitsdaten, religioeseUeberzeugungen und Familieverhaeltnisse befragt und die Informationen in einem Archiv gespeichert.

Die Lektion fuer Online-Shops: Die DSGVO schuetzt nicht nur Kunden, sondern auch Mitarbeiter. Wer ein Warenlager, ein Callcenter oder ein Fulfillment-Center betreibt, muss den Beschaeftigtendatenschutz genauso ernst nehmen wie den Kundendatenschutz.

Notebooksbilliger.de: 10,4 Millionen Euro

Die LfD Niedersachsen verhängte 2021 10,4 Millionen Euro gegen den Online-Haendler Notebooksbilliger.de. Das Unternehmen hatte ueber mindestens zwei Jahre Mitarbeiter und Kunden per Videoueberwachung aufgezeichnet — ohne Rechtsgrundlage, ohne zeitliche Begrenzung, ohne Verhaeltnismaessigkeitspruefung.

Die Lektion fuer Online-Shops: Auch wenn Ihr Kerngeschaeft online stattfindet — physische Standorte (Lager, Showrooms, Abholstationen) unterliegen denselben Datenschutzregeln. Videoueberwachung erfordert eine Datenschutz-Folgenabschaetzung (DSFA) nach Art. 35 DSGVO.


Compliance-Checkliste fuer Online-Shops

Sofortmassnahmen

  • Cookie-Banner pruefen — Gleichwertiger Ablehnen-Button, keine Tracker vor Einwilligung
  • Datenschutzerklaerung aktualisieren — Alle eingesetzten Dienste, Zwecke und Rechtsgrundlagen benennen
  • Google Fonts lokal einbinden — Nicht ueber Google-CDN laden
  • Double-Opt-in sicherstellen — Fuer alle Newsletter und Werbe-E-Mails
  • Analytics-Tool pruefen — Werden Daten in die USA uebertragen?

Strukturelle Massnahmen

  • Verarbeitungsverzeichnis fuehren — Nach Art. 30 DSGVO
  • AVV abschliessen — Mit allen Dienstleistern (Zahlungsanbieter, Versand, Marketing-Tools)
  • Loeschkonzept erstellen — Aufbewahrungsfristen dokumentieren
  • Betroffenenrechte einrichten — Prozess fuer Auskunft, Loeschung, Widerspruch
  • Datenschutzbeauftragten bestellen — Pflicht ab 20 Mitarbeitern, die regelmaessig personenbezogene Daten verarbeiten

Laufende Kontrolle

  • Regelmaessige Website-Audits — Mindestens quartalsweise
  • Mitarbeiterschulungen — Dokumentieren
  • Cookie-Banner pruefen — Nach jedem Website-Update
  • Drittanbieter-Skripte inventarisieren — Regelmaessig aktualisieren

Werkzeuge fuer die Umsetzung:

WerkzeugFunktionPreis
ComplioAutomatisierter Website-Audit: Cookies, Tracker, Rechtstexte, Drittlandtransfers89 EUR / Audit
CookilioKonforme CMP mit Blockierung vor Einwilligung und Einwilligungsnachweis9 EUR / Monat
Mirage AnalyticsWebsite-Analysen ohne Cookies, in Europa gehostet, ohne Einwilligungsbanner19 EUR / Monat

FAQ

Was ist eine Abmahnung und wer kann sie aussprechen?

Eine Abmahnung ist eine aussergerichtliche Aufforderung, einen Rechtsbruch zu unterlassen. In Deutschland koennen Mitbewerber, Wettbewerbsverbaende und qualifizierte Verbraucherverbände DSGVO-Verstoesse ueber das UWG abmahnen. Die Kosten beginnen bei rund 1.500 Euro pro Fall. Das System ist einzigartig in Europa — in anderen EU-Laendern gibt es diese Moeglichkeit nicht.

Welche Landesdatenschutzbehoerde ist fuer meinen Online-Shop zustaendig?

Zustaendig ist die Landesdatenschutzbehoerde des Bundeslandes, in dem Ihr Unternehmen seinen Sitz hat. Hat Ihr Unternehmen seinen Sitz in Bayern, ist das BayLDA zustaendig. In Hamburg der HmbBfDI, in Nordrhein-Westfalen die LDI NRW. Beschwerden koennen Betroffene aber bei jeder Behoerde einreichen — diese leiten sie dann an die zustaendige Stelle weiter.

Braucht mein Online-Shop einen Datenschutzbeauftragten?

Ja, wenn mindestens 20 Personen regelmaessig mit der automatisierten Verarbeitung personenbezogener Daten beschaeftigt sind (§ 38 BDSG). Fuer Online-Shops, die regelmaessig Kundendaten verarbeiten, ist diese Schwelle schnell erreicht. Unabhaengig davon ist ein DSB Pflicht, wenn die Kerntaetigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht (Art. 37 DSGVO).

Reicht das EU-US Data Privacy Framework fuer US-Tools aus?

Das DPF ist aktuell eine gueltige Rechtsgrundlage fuer Datentransfers an zertifizierte US-Unternehmen. Die deutschen Aufsichtsbehoerden empfehlen jedoch, sich nicht ausschliesslich darauf zu verlassen: Sowohl Safe Harbor als auch Privacy Shield wurden vom EuGH fuer ungueltig erklaert. Europaeische Alternativen minimieren dieses Restrisiko strukturell.

Wie oft sollte ich meinen Online-Shop auf DSGVO-Konformitaet pruefen?

Mindestens quartalsweise — und nach jedem groesseren Update Ihrer Website, jedem neuen Drittanbieter-Tool und jeder Aenderung am Checkout-Prozess. Automatisierte Audits mit Complio machen diese Pruefung in wenigen Minuten moeglich.


Weiterfuehrende ArtikelDSGVO-Bussgelder in Deutschland | DSGVO Checkliste Website | Cookies und DSGVO | DSGVO-konformes Cookie-Banner


Quellen: BfDI, BayLDA — Cookie-Pruefung 2024, LfD Niedersachsen — VG Hannover Cookie-Urteil, DSGVO-Portal — Rückblick 2025, LG Muenchen I — Google Fonts Urteil (Az. 3 O 17493/20). Veroeffentlicht am 9. April 2026.