DSB NRW LogoDatenschutzbeauftragterNRWTÜV-zertifiziert · Externer DSB
Ratgeber · Web

Datenschutz im Online-Shop: Der Cookie-Banner ist nur die Spitze des Eisbergs

Die meisten Online-Händler glauben, sie hätten ihr Datenschutz-Hausaufgaben gemacht, wenn ein Cookie-Banner auf der Seite liegt. Das ist ungefähr so, als hielte man ein Auto für verkehrssicher, weil ein Verbandskasten im Kofferraum liegt. Der Banner ist sichtbar, deshalb kümmert man sich darum. Die teuren Risiken liegen woanders — und sind unsichtbar, bis es zu spät ist.

Ein Beispiel, das die Dimension zeigt: Während der fehlerhafte Umgang mit einer Datenpanne in einem bekannten Fall mit 11 Millionen Euro geahndet wurde, schlug der Verstoß gegen Privacy by Design (Art. 25 DSGVO) im selben Verfahren mit 240 Millionen Euro zu Buche. Die Botschaft: Datenschutz, der erst nachträglich aufgesetzt wird, ist um Größenordnungen teurer als Datenschutz, der von Anfang an mitgedacht wird. Genau das ist die Logik, die Online-Händler verinnerlichen müssen.

Warum der Online-Handel ein Datenschutz-Brennpunkt ist

Kein anderer Mittelständler verarbeitet so selbstverständlich so viele personenbezogene Daten wie ein Online-Shop. Bestelldaten, Zahlungsdaten, Adressdaten, das Surfverhalten über Tracking, Newsletter-Abonnenten, Kundenkonten mit Bestellhistorie. Und fast alles davon läuft über externe Dienstleister: Payment-Provider, Versanddienstleister, Fulfillment, Newsletter-Tools, Hosting, Analyse-Anbieter.

Dazu kommt der direkte Verbraucherkontakt. Kunden kennen ihre Rechte zunehmend gut und beschweren sich schneller bei der Aufsicht. Und es gibt eine Besonderheit, die andere Branchen nicht in diesem Maß haben: das Abmahnrisiko durch Mitbewerber und Verbände. Ein fehlerhafter Cookie-Banner ist nicht nur ein Aufsichtsthema, sondern ein klassischer Abmahngrund.

Cookies und Tracking: hier wird am häufigsten falsch gespielt

Der häufigste und am leichtesten nachweisbare Verstoß im Online-Handel betrifft den Einsatz von Cookies und Tracking. Die Rechtslage ist klar: Für nicht notwendige Cookies und für Analyse- und Marketing-Technologien ist nach § 25 TDDDG eine aktive, vorherige Einwilligung erforderlich. Das bedeutet konkret:

  • Ein bloßer Hinweis reicht nicht. „Mit der Nutzung dieser Seite stimmen Sie Cookies zu" ist keine wirksame Einwilligung.
  • Ablehnen muss so einfach sein wie Zustimmen. Ein Banner mit großem „Akzeptieren"-Button und versteckter Ablehn-Option ist angreifbar.
  • Tracking darf erst nach der Einwilligung starten. Wenn das Analyse-Tool schon beim Seitenaufruf lädt, bevor der Nutzer zugestimmt hat, ist die Einwilligung wertlos.
  • Vorausgewählte Häkchen sind unzulässig. Eine Einwilligung muss eine aktive Handlung sein.

In der Prüfungspraxis sehe ich fast immer dasselbe: Der Banner sieht gut aus, aber im Hintergrund laden die Skripte längst, bevor jemand geklickt hat. Der schöne Banner ist dann reine Dekoration — und im Zweifel ein dokumentierter Verstoß.

Die Dienstleister-Kette: jeder Baustein braucht einen Vertrag

Ein Online-Shop ist ein Netzwerk aus Dienstleistern. Und für jeden, der personenbezogene Daten im Auftrag verarbeitet, braucht es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das betrifft:

  • Payment-Provider — wobei hier genau zu klären ist, wer Verantwortlicher und wer Auftragsverarbeiter ist
  • Versand- und Fulfillment-Dienstleister — die Adressdaten erhalten
  • Newsletter- und E-Mail-Marketing-Tools
  • Hosting und Cloud-Speicher
  • Analyse- und Tracking-Anbieter

Fehlt einer dieser Verträge, fehlt die rechtliche Grundlage für die gesamte Zusammenarbeit. Und ein aktueller Trend in der Bußgeldpraxis ist eindeutig: Viele Strafen betreffen unzureichende technisch-organisatorische Maßnahmen — etwa unverschlüsselte Kundendaten in der Cloud. Wer seine Dienstleisterkette nicht im Griff hat, sammelt Risiken an Stellen, die er gar nicht überblickt.

Newsletter und Direktwerbung: der schmale Grat

E-Mail-Marketing ist für den Online-Handel überlebenswichtig — und ein rechtliches Minenfeld. Die Grundregeln:

  • Newsletter brauchen eine Einwilligung im Double-Opt-In-Verfahren. Eintragung, Bestätigungsmail, erst nach Klick auf den Bestätigungslink ist die Person aufgenommen.
  • Jede Werbe-Mail braucht einen Abmeldelink.
  • Kaltakquise per E-Mail ist unzulässig. Wer Adressen einkauft und anschreibt, handelt rechtswidrig.
  • Bestandskundenwerbung ist unter den engen Voraussetzungen des § 7 UWG möglich — aber eben nur unter diesen Voraussetzungen.

Der häufigste Fehler: Eine fleißig gewachsene E-Mail-Liste, bei der niemand mehr nachweisen kann, wie die Einwilligungen zustande kamen. Im Zweifel ist eine solche Liste rechtlich wertlos — und ihre Nutzung riskant.

Betroffenenrechte: die Anfrage, die niemand bearbeiten will

Ein unterschätztes Risiko. Kunden haben das Recht auf Auskunft (Art. 15), Löschung (Art. 17) und weitere Betroffenenrechte. Im Online-Handel kommen solche Anfragen regelmäßig — und viele Shops haben keinen Prozess dafür. Die Folge: Anfragen werden ignoriert oder verschleppt. Genau das fällt Aufsichtsbehörden negativ auf; ignorierte oder extrem verspätete Auskunftsersuchen sind ein eigener Sanktionsgrund. Ein definierter Ablauf mit Fristen — wer bearbeitet die Anfrage, wie wird die Identität geprüft, wann wird geantwortet — gehört zur Grundausstattung.

Privacy by Design: der teuerste Hebel, den man früh ziehen muss

Zurück zum Anfang. Der Unterschied zwischen 11 und 240 Millionen Euro im genannten Fall ist kein Zufall, sondern eine Lehre: Art. 25 DSGVO verlangt Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen. Übersetzt für den Online-Handel heißt das: Datenschutz muss bei jedem neuen Feature, jedem neuen Tool, jeder Shop-Erweiterung von Anfang an mitgedacht werden — nicht nachträglich „drangeflanscht". Wer einen Datenschutzbeauftragten früh in neue Projekte einbindet, vermeidet genau die Fehler, die später richtig teuer werden.

Braucht der Online-Shop eine/n Datenschutzbeauftragte/n?

Häufig ja. Online-Shops verarbeiten systematisch und in großem Umfang Kundendaten — eine Konstellation, die nach Art. 37 DSGVO eine Benennungspflicht auslösen kann. Hinzu kommt die nationale 20-Personen-Schwelle (§ 38 BDSG), die in vielen Betrieben schneller erreicht ist als gedacht. Es kommt auf den Einzelfall an, aber gerade bei datenintensiven Shops liegt die Pflicht oft nahe.

Was Sie konkret mitnehmen sollten

Drei Dinge: Erstens, prüfen Sie nicht nur, ob ein Cookie-Banner da ist, sondern ob das Tracking wirklich erst nach der Einwilligung startet. Zweitens, machen Sie eine vollständige Liste Ihrer Dienstleister und prüfen Sie, ob für jeden ein AVV vorliegt. Drittens, richten Sie einen Prozess für Betroffenenanfragen ein, bevor die erste kommt.

Datenschutz im Online-Handel ist kein einmaliges Projekt, sondern ein laufender Prozess, der mit dem Shop mitwächst.

Über den Autor

Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.

Stand: Mai 2026. Die genannten Bußgeld-Beispiele stammen aus veröffentlichten Entscheidungen der Aufsichtsbehörden.

Externer DSB für NRW

Sie wollen das in Ihrem Unternehmen sauber umsetzen?

Wir betreuen KMU, Heilberufler und Kommunen in ganz NRW als externer Datenschutzbeauftragter. Erstgespräch ist kostenfrei und unverbindlich.

Kostenloses Erstgespräch Leistungen ansehen
Weiterlesen

Passende Ratgeber-Artikel

Gesundheit

Datenschutz in der Arztpraxis — DSGVO & Schweigepflicht

Gesundheitsdaten sind besondere Daten nach Art. 9 DSGVO. Was Praxen für § 203 StGB sicherstellen müssen.

7 Min.Lesen
Sport

Datenschutz im Fitnessstudio

Mitgliederdaten, Gesundheitsangaben, Videoüberwachung und Apps — was Studios beim Datenschutz beachten müssen.

5 Min.Lesen
Handwerk

Datenschutz im Handwerksbetrieb

Auch Handwerksbetriebe müssen die DSGVO einhalten — Kundendaten, Mitarbeiterdaten und Baustellenfotos in der Praxis.

5 Min.Lesen