Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Shopify

Was macht Shopify?

Shopify ist eine fuehrende E-Commerce-Plattform, die von Millionen von Haendlern weltweit genutzt wird. Als Datenverarbeiter fuer Haendler-Shops verarbeitet Shopify personenbezogene Kundendaten wie Namen, Adressen, E-Mail-Adressen, Zahlungstoken und Kaufhistorie im Auftrag des Haendlers (Verantwortlicher). Fuer die DSGVO-Konformitaet muessen Haendler einen AV-Vertrag mit Shopify abschliessen, Cookie-Einwilligung fuer nicht erforderliche Tracking-Cookies implementieren, eine datenschutzkonforme Datenschutzerklaerung vorhalten und Betroffenenrechte der Kunden ermoeglichen. Shopify bietet integrierte DSGVO-Werkzeuge einschliesslich Kundendaten-Export und -Loeschung.

Shopify als Auftragsverarbeiter: DSGVO-Grundlagen

Shopify agiert bei dem Betrieb von Haendler-Shops als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Haendler ist der Verantwortliche und bestimmt, fuer welche Zwecke Kundendaten verarbeitet werden. Shopify verarbeitet diese Daten ausschliesslich auf Weisung des Haendlers. Zu den verarbeiteten Datenkategorien gehoeren Namen, Lieferadressen, E-Mail-Adressen, Zahlungstoken und Kaufhistorie. Der erste Schritt zur DSGVO-Konformitaet besteht darin, die eigene Rolle als Verantwortlicher zu verstehen und alle Verarbeitungstaetigkeiten zu dokumentieren.

Cookie-Einwilligung fuer Shopify-Shops

Shopify setzt verschiedene Arten von Cookies ein. Technisch notwendige Cookies fuer Warenkorb und Checkout benoetigen keine Einwilligung. Analyse- und Marketing-Cookies, etwa fuer Google Analytics oder Facebook Pixel, erfordern hingegen eine vorherige informierte Einwilligung. Shopify bietet ueber die Customer Privacy API eine eingebaute Einwilligungsinfrastruktur an. Fuer einen vollstaendigen DSGVO-konformen Cookie-Banner empfiehlt sich der Einsatz einer spezialisierten Consent-Management-Plattform, die alle Drittanbieter-Cookies erkennt und steuert.

AV-Vertrag mit Shopify abschliessen

Art. 28 DSGVO schreibt vor, dass zwischen Verantwortlichem und Auftragsverarbeiter ein schriftlicher Vertrag zur Auftragsverarbeitung (AV-Vertrag) geschlossen wird. Shopify stellt diesen Vertrag automatisch als Teil seiner Nutzungsbedingungen bereit, er muss jedoch separat akzeptiert werden. Der Vertrag regelt Verarbeitungszwecke, Sicherheitsmassnahmen, Unterauftragnehmer sowie Pflichten bei Datenpannen. Haendler sollten pruefen, ob der AV-Vertrag in ihrem Shopify-Konto aktiviert ist, und dies in ihrem Verzeichnis von Verarbeitungstaetigkeiten dokumentieren.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Betroffenenrechte und Kundendaten-Anfragen

Kunden haben nach der DSGVO das Recht auf Auskunft, Berichtigung, Loeschung und Datenuebertragbarkeit. Shopify stellt hierfuer integrierte Werkzeuge bereit: Im Administrationsbereich koennen Haendler Kundendaten exportieren und Kundenkonten loeschen. Bei Loeschanfragen muessen Haendler sicherstellen, dass auch alle verbundenen Daten in installierten Apps geloescht werden. Anfragen sind grundsaetzlich innerhalb von 30 Tagen zu beantworten. Shopify unterstuetzt die Erfuellung dieser Pflichten, die letztliche Verantwortung liegt jedoch beim Haendler.

Datentransfers in die USA und Standardvertragsklauseln

Shopify ist ein kanadisches Unternehmen mit Serverinfrastruktur in den USA. Datentransfers in Drittlaender ausserhalb des EWR muessen durch geeignete Garantien abgesichert sein. Shopify setzt hierfuer Standardvertragsklauseln (SCC) der EU-Kommission ein. Haendler sollten in ihrer Datenschutzerklaerung transparent auf diese Datentransfers hinweisen und pruefen, ob Shopify zusaetzlich das EU-US Data Privacy Framework nutzt, um Compliance nachzuweisen.

Shopify-Apps und erweiterte DSGVO-Pflichten

Jede im Shopify App Store installierte App kann weitere Auftragsverarbeiter einfuehren. Fuer jede App, die personenbezogene Daten verarbeitet, benoetigen Haendler einen eigenen AV-Vertrag. Haendler sollten regelmaessig ihre installierten Apps pruefen, nicht mehr benoetigte Apps deinstallieren und dabei sicherstellen, dass alle Daten beim jeweiligen Anbieter geloescht werden. Viele Shopify-Apps bieten eigene DSGVO-Dokumentation an. Diese sollte in das eigene Verzeichnis von Verarbeitungstaetigkeiten integriert werden, um eine vollstaendige Compliance-Dokumentation sicherzustellen.

GDPR consent category

Sonstige

Websites using Shopify must obtain user consent under GDPR regulations.

Legal basisMultiple legal bases: contract performance (Art. 6(1)(b)) for order processing, account management, and fulfillment. Legitimate interest for fraud prevention and security. Consent required for marketing cookies, analytics tracking, and retargeting pixels. Shopify stores itself set strictly necessary cookies for cart and session management which do not require consent.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, SCCs for US/Canada transfers. Also subject to PCI DSS for payment processing.

DPIA considerations

Eine DSFA wird fuer Shopify-Shops empfohlen, die umfangreiches Kunden-Profiling, verhaltensbasierte Werbung ueber mehrere Werbeplattformen hinweg oder die Verarbeitung von Gesundheits- oder sensiblen Kaufdaten (Apotheken, Medizinprodukte) durchfuehren. Standard-E-Commerce-Verarbeitungen erfordern in der Regel keine DSFA.

Sample consent text

Dieser Shop verwendet Cookies fuer wesentliche Shop-Funktionen (Warenkorb, Checkout), die technisch notwendig sind. Wir verwenden ausserdem Analyse- und Marketing-Cookies, um Ihre Erfahrung zu verbessern und relevante Werbung zu zeigen. Ihre Einstellungen koennen Sie unten verwalten.

Technical details

Tracking methodE-commerce platform, first-party analytics, Shopify Pixel, third-party app tracking, checkout cookies, customer account cookies

Server locationUnited States and Canada (Shopify Inc., Ottawa Canada, global CDN)

Data transferred outside the EUShopify is a Canadian e-commerce platform with infrastructure primarily in the US and Canada. EU personal data (customer names, addresses, purchase history, payment tokens) is processed on North American infrastructure. Shopify provides a GDPR-compliant DPA and SCCs for EU data transfers. Shopify also offers a EU Data Processing Addendum.

Third-party domains contacted

shopify.comcdn.shopify.commonorail.shopifycloud.com

Cookies placed

Name	Type	Duration	Purpose
_shopify_y	persistent	1 year	Shopify analytics visitor identifier tracking unique visitors across sessions
_shopify_s	session	Session	Shopify analytics session cookie grouping page views within a single visit

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Ist Shopify DSGVO-konform?

Shopify als Plattform erfuellt viele DSGVO-Anforderungen. Die Verantwortung fuer die DSGVO-Konformitaet des Shops liegt jedoch beim Haendler. Dieser muss einen AV-Vertrag abschliessen, einen Cookie-Banner implementieren, eine konforme Datenschutzerklaerung bereitstellen und Betroffenenrechte ermoeglichen.

Welche DSGVO-Rolle hat ein Shopify-Haendler?

Der Shopify-Haendler ist der Verantwortliche im Sinne der DSGVO. Er entscheidet, fuer welche Zwecke Kundendaten verarbeitet werden. Shopify ist der Auftragsverarbeiter und handelt auf Weisung des Haendlers. Diese klare Rollenverteilung ist die Grundlage fuer alle weiteren DSGVO-Pflichten.

Benoetigen Shopify-Warenkorb-Cookies eine Einwilligung?

Nein, technisch notwendige Cookies fuer Warenkorb und Checkout-Prozess sind vom Einwilligungserfordernis ausgenommen. Sie sind fuer den Betrieb des Shops erforderlich. Cookies fuer Tracking, Analyse und Marketing benoetigen jedoch eine vorherige informierte Einwilligung.

Wie bearbeite ich Loeschanfragen von Kunden in Shopify?

Im Shopify-Administrationsbereich koennen Sie unter dem Kundenprofil eine Datenanfrage ausloesen, die den Kunden automatisch per E-Mail benachrichtigt. Nach Bestaetigung koennen Sie das Kundenkonto loeschen. Stellen Sie sicher, dass Daten auch in allen installierten Apps geloescht werden. Die Anfrage muss innerhalb von 30 Tagen abgeschlossen sein.

Entstehen durch die Installation von Shopify-Apps DSGVO-Pflichten?

Ja, jede App, die personenbezogene Daten Ihrer Kunden verarbeitet, fuehrt einen weiteren Auftragsverarbeiter ein. Sie benoetigen fuer jede solche App einen eigenen AV-Vertrag. Pruefen Sie regelmaessig Ihre installierten Apps, entfernen Sie nicht mehr benoetigte Apps und stellen Sie sicher, dass alle Daten beim Anbieter geloescht werden.

Uebertraegt Shopify Daten ausserhalb der EU?

Ja, Shopify betreibt Server in den USA und Kanada. Diese Datentransfers ausserhalb des EWR werden durch Standardvertragsklauseln der EU-Kommission abgesichert. Haendler sollten auf diese Transfers in ihrer Datenschutzerklaerung hinweisen und die entsprechenden Nachweise in ihrer Compliance-Dokumentation aufbewahren.

Was ist Shopifys Customer Privacy API?

Die Customer Privacy API ist eine von Shopify bereitgestellte Programmierschnittstelle, die Theme- und App-Entwicklern ermoeglicht, auf Einwilligungsstatus zuzugreifen und Marketing-Cookies bedingt zu setzen. Sie bildet die technische Grundlage fuer Cookie-Consent-Integrationen in Shopify-Themes und ist ein wichtiger Baustein fuer DSGVO-konforme Shops.

Wie fuge ich einen Cookie-Banner zu meinem Shopify-Shop hinzu?

Es gibt mehrere Moeglichkeiten: Shopifys eigene Datenschutzeinstellungen bieten eine einfache Cookie-Bannerfunktion. Fuer erweiterte Anforderungen empfiehlt sich eine Consent-Management-Plattform wie Cookiebot, OneTrust oder eine aehnliche Loesung, die alle Drittanbieter-Cookies erkennt, kategorisiert und Einwilligungen dokumentiert.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note