Alle Beiträge
· 6 min· Finn Stolle

Die Shopify-DSGVO-Falle: Warum eine AVV mit Shopify nicht reicht

Die meisten Shopify-Händler glauben, mit einer AVV von Shopify sei der Datenschutz erledigt. Ein gefährlicher Irrtum — jede installierte App braucht eine eigene Vereinbarung.

ShopifyDSGVO
Die Shopify-DSGVO-Falle: Warum eine AVV mit Shopify nicht reicht

Das Problem, das niemand sieht

Sie haben Ihren Shopify-Shop eingerichtet, eine Auftragsverarbeitungsvereinbarung (AVV) mit Shopify abgeschlossen und denken, der Datenschutz ist damit erledigt. Diese Annahme teilen Sie mit der überwiegenden Mehrheit aller Shopify-Händler in Deutschland.

Und diese Annahme ist falsch.

Die AVV mit Shopify deckt ausschließlich die Datenverarbeitung durch Shopify selbst ab. Aber ein typischer Shopify-Shop besteht nicht nur aus Shopify. Er besteht aus Shopify plus 15, 20 oder manchmal 30 installierten Apps. Und jede einzelne dieser Apps verarbeitet potenziell personenbezogene Daten Ihrer Kunden.

Was eine App mit den Daten Ihrer Kunden macht

Wenn Sie eine App in Ihrem Shopify-Shop installieren, gewähren Sie dieser App Zugriff auf Daten. Je nach App können das sein:

  • Kundendaten: Namen, E-Mail-Adressen, Telefonnummern, Lieferadressen
  • Bestelldaten: Was wurde gekauft, wann, wie oft, für wie viel
  • Verhaltensdaten: Welche Seiten wurden besucht, welche Produkte angesehen
  • Zahlungsdaten: Zwar nicht die Kreditkartennummer, aber Zahlungsmethode, Beträge, Transaktions-IDs

Jede App, die solche Daten verarbeitet, ist ein eigenständiger Auftragsverarbeiter im Sinne der DSGVO. Und für jeden eigenständigen Auftragsverarbeiter brauchen Sie eine separate AVV.

Die Realität: Kaum ein Händler hat das vollständig

In meiner Arbeit mit Enterprise-Shopify-Kunden sehe ich regelmäßig dasselbe Bild: 20+ installierte Apps, eine AVV mit Shopify — und keine einzige AVV mit einem App-Anbieter. Das ist kein Kavaliersdelikt. Bei einer Prüfung durch die Datenschutzbehörde kann das empfindliche Bußgelder nach sich ziehen.

Die Gründe für diese Lücke sind nachvollziehbar:

  1. Fehlendes Bewusstsein: Viele Händler wissen schlicht nicht, dass Apps separate Auftragsverarbeiter sind
  2. Unübersichtliches Ökosystem: Bei 20+ Apps den Überblick zu behalten, welche davon personenbezogene Daten verarbeiten, ist aufwändig
  3. Internationale Anbieter: Viele Shopify-Apps kommen aus den USA, Kanada oder anderen Nicht-EU-Ländern. Eine DSGVO-konforme AVV zu bekommen ist nicht immer einfach
  4. Kein standardisierter Prozess: Shopify bietet keinen zentralen Mechanismus, um AVVs mit App-Anbietern zu verwalten

Was Sie konkret tun sollten

Schritt 1: Inventar erstellen

Listen Sie alle installierten Apps auf. Nicht nur die, die Sie aktiv nutzen — auch die, die Sie mal installiert und vergessen haben. Jede installierte App hat potenziell noch Zugriff auf Ihre Daten.

Für jede App dokumentieren Sie:

  • Welche Daten verarbeitet die App?
  • Wo sitzt der Anbieter? (EU, USA, anderswo)
  • Gibt es eine AVV oder ein Data Processing Agreement (DPA)?
  • Werden Daten in Drittländer übertragen?

Schritt 2: Risikoanalyse

Nicht jede App verarbeitet personenbezogene Daten. Eine App, die ausschließlich Ihr Theme anpasst und keine Kundendaten liest, ist unkritisch. Aber sobald eine App Zugriff auf Kunden-, Bestell- oder Verhaltensdaten hat, wird sie relevant.

Kategorisieren Sie Ihre Apps:

Unkritisch: Kein Zugriff auf personenbezogene Daten (z.B. reine Theme-Erweiterungen)

Relevant: Zugriff auf Kundendaten, aber mit AVV vom Anbieter verfügbar (z.B. große, etablierte Apps wie Klaviyo oder Yotpo)

Problematisch: Zugriff auf Kundendaten, keine AVV verfügbar oder Anbieter in einem Drittland ohne Angemessenheitsbeschluss

Schritt 3: AVVs einholen

Für jede relevante App brauchen Sie eine AVV. Die gute Nachricht: Viele größere App-Anbieter bieten inzwischen standardmäßig ein DPA an — oft als PDF auf ihrer Website oder als Bestandteil ihrer AGB.

Die weniger gute Nachricht: Kleinere Anbieter, insbesondere aus Nicht-EU-Ländern, haben oft weder eine AVV noch ein Verständnis dafür, warum Sie eine brauchen. Hier haben Sie drei Optionen:

  1. Anfragen: Kontaktieren Sie den Anbieter und fordern Sie eine AVV an. Oft reicht eine E-Mail mit einem Standard-AVV-Template.
  2. Alternative suchen: Gibt es eine vergleichbare App von einem EU-Anbieter, der bereits eine AVV anbietet?
  3. Eigenentwicklung: Für kritische Funktionen kann es sinnvoller sein, eine eigene Lösung zu bauen, bei der Sie die volle Kontrolle über die Datenverarbeitung haben.

Schritt 4: Drittlandübertragungen absichern

Wenn eine App Daten in die USA oder andere Drittländer überträgt, brauchen Sie zusätzlich zur AVV eine Rechtsgrundlage für die Übertragung. Seit dem EU-US Data Privacy Framework gibt es für US-Anbieter, die unter diesem Framework zertifiziert sind, wieder eine relativ unkomplizierte Lösung. Aber nicht jeder App-Anbieter ist zertifiziert — prüfen Sie das im Einzelfall.

Die unterschätzte Option: Eigenentwicklung

In meiner Arbeit mit Fissler bin ich genau diesen Prozess durchgegangen. Und in mehreren Fällen war die Konsequenz: Die App muss ersetzt werden — entweder durch eine DSGVO-konforme Alternative oder durch eine Eigenentwicklung.

Das klingt zunächst aufwändig. Aber eine eigene Shopify App, die genau die benötigte Funktionalität abbildet und bei der Sie die volle Kontrolle über die Datenverarbeitung haben, ist langfristig oft die bessere Lösung. Keine Abhängigkeit von Drittanbietern, keine Unsicherheit bei Datenschutz-Audits, keine überraschenden Änderungen in den AGB eines App-Anbieters.

Checkliste

Bevor Sie diesen Artikel schließen, stellen Sie sich diese Fragen:

  • Haben Sie eine Liste aller installierten Shopify-Apps?
  • Wissen Sie, welche dieser Apps personenbezogene Daten verarbeiten?
  • Haben Sie für jede datenverarbeitende App eine AVV?
  • Wissen Sie, wo die Daten gespeichert werden?
  • Haben Sie Drittlandübertragungen rechtlich abgesichert?
  • Haben Sie nicht mehr genutzte Apps deinstalliert?

Wenn Sie nicht alle Fragen mit Ja beantworten können, haben Sie Handlungsbedarf. Das ist kein Grund zur Panik — aber ein Grund, das Thema jetzt anzugehen, bevor es die Datenschutzbehörde für Sie tut.

Fazit

Die DSGVO-Falle bei Shopify ist keine theoretische Gefahr. Es ist eine konkrete, alltägliche Lücke, die in fast jedem Shopify-Shop existiert. Die AVV mit Shopify ist der Anfang — nicht das Ende Ihrer Datenschutz-Pflichten.

Wer das Thema ernst nimmt, schützt nicht nur sich vor Bußgeldern, sondern baut auch Vertrauen bei seinen Kunden auf. In einer Zeit, in der Datenschutz zunehmend zum Wettbewerbsfaktor wird, ist das keine Last — es ist eine Chance.

Weiterlesen

Weitere Artikel

Headless Commerce: Shopify-Backend mit Nuxt-Frontend — das Beste aus beiden Welten
ShopifyHeadless

Headless Commerce: Shopify-Backend mit Nuxt-Frontend — das Beste aus beiden Welten

23. Apr. 2026 · 7 min

Shopify Custom Apps: Wann sich Eigenentwicklung statt App Store lohnt
ShopifyDSGVOWebentwicklung

Shopify Custom Apps: Wann sich Eigenentwicklung statt App Store lohnt

22. Apr. 2026 · 6 min

Die Zukunft von Shopify: Was die Editions 2025/2026 für Händler bedeuten
ShopifyE-CommerceStrategie

Die Zukunft von Shopify: Was die Editions 2025/2026 für Händler bedeuten

22. Apr. 2026 · 7 min

Core Web Vitals optimieren: Warum die Architektur wichtiger ist als Plugins
PerformanceWebentwicklung

Core Web Vitals optimieren: Warum die Architektur wichtiger ist als Plugins

21. Apr. 2026 · 6 min

Die Zukunft der Webentwicklung: Warum Spezialisierung Generalismus schlägt
KIStrategie

Die Zukunft der Webentwicklung: Warum Spezialisierung Generalismus schlägt

21. Apr. 2026 · 6 min

Composable Architecture: Enterprise-Architektur ohne Enterprise-Budget
HeadlessStrategie

Composable Architecture: Enterprise-Architektur ohne Enterprise-Budget

20. Apr. 2026 · 7 min

Über die Hälfte des Codes entsteht mit KI: Was das für Webprojekte bedeutet
KIWebentwicklung

Über die Hälfte des Codes entsteht mit KI: Was das für Webprojekte bedeutet

20. Apr. 2026 · 6 min

Nuxt Content vs. externes Headless CMS: Wann reicht Git-basiertes Content Management?
HeadlessWebentwicklung

Nuxt Content vs. externes Headless CMS: Wann reicht Git-basiertes Content Management?

19. Apr. 2026 · 6 min

Sanity vs. Storyblok vs. Strapi: Welches Headless CMS passt zu wem?
HeadlessWebentwicklung

Sanity vs. Storyblok vs. Strapi: Welches Headless CMS passt zu wem?

19. Apr. 2026 · 7 min

Shopware vs. Shopify Plus: Ein ehrlicher Vergleich für den DACH-Markt
ShopifyE-CommerceInternationalisierung

Shopware vs. Shopify Plus: Ein ehrlicher Vergleich für den DACH-Markt

18. Apr. 2026 · 8 min

Warum ein Headless CMS 2026 die bessere Wahl ist
HeadlessPerformance

Warum ein Headless CMS 2026 die bessere Wahl ist

18. Apr. 2026 · 6 min

Shopify Audiences & Shop Pay: Die unterschätzten Conversion-Hebel
ShopifyE-Commerce

Shopify Audiences & Shop Pay: Die unterschätzten Conversion-Hebel

17. Apr. 2026 · 6 min

Shopify B2B: Funktionsumfang, Grenzen und Workarounds für den DACH-Markt
ShopifyE-CommerceInternationalisierung

Shopify B2B: Funktionsumfang, Grenzen und Workarounds für den DACH-Markt

17. Apr. 2026 · 7 min

Enterprise-Migration auf Shopify: Warum große Marken ihre teuren Systeme ablösen
ShopifyE-CommerceStrategie

Enterprise-Migration auf Shopify: Warum große Marken ihre teuren Systeme ablösen

16. Apr. 2026 · 8 min

Shopify AI 2026: Welche Features wirklich Zeit sparen
ShopifyKI

Shopify AI 2026: Welche Features wirklich Zeit sparen

16. Apr. 2026 · 8 min

Für wen lohnt sich Shopify Plus? 5 typische Unternehmensprofile
ShopifyE-CommerceStrategie

Für wen lohnt sich Shopify Plus? 5 typische Unternehmensprofile

15. Apr. 2026 · 6 min

Wann lohnt sich Shopify Plus? Eine ehrliche Kosten-Nutzen-Analyse
ShopifyE-CommerceStrategie

Wann lohnt sich Shopify Plus? Eine ehrliche Kosten-Nutzen-Analyse

15. Apr. 2026 · 7 min

Wie KI die Make-or-Buy-Entscheidung verändert
KIStrategie

Wie KI die Make-or-Buy-Entscheidung verändert

14. Apr. 2026 · 8 min

Shopify Markets vs. Multi-Store: Der Entscheidungsguide für internationale Händler
ShopifyInternationalisierung

Shopify Markets vs. Multi-Store: Der Entscheidungsguide für internationale Händler

14. Apr. 2026 · 8 min

Was ist ein Headless CMS? Ein Leitfaden für Entscheider
HeadlessWebentwicklung

Was ist ein Headless CMS? Ein Leitfaden für Entscheider

14. Apr. 2026 · 7 min

Shopify Checkout 1.0 zu 2.0: Was bei der Migration wirklich auf euch zukommt
ShopifyE-Commerce

Shopify Checkout 1.0 zu 2.0: Was bei der Migration wirklich auf euch zukommt

5. Apr. 2026 · 5 min

Alle Blogartikel ansehen