Sie betreiben einen Online-Shop. Impressum steht, Datenschutzerklärung ist verlinkt, Cookie-Banner poppt auf. Alles erledigt? Leider nein. Was auf den ersten Blick nach Compliance aussieht, hält einer ernsthaften Prüfung erstaunlich oft nicht stand.
Das Problem sitzt selten im fehlenden Link. Es sitzt im Zusammenspiel: Tracking-Dienste, die vor der Einwilligung laden. Datenschutzerklärungen, die einen Zustand beschreiben, den es seit zwei Shop-Relaunches nicht mehr gibt. Consent-Banner, die „Ablehnen“ so geschickt verstecken, dass man fast einen Detektivkurs bräuchte. Das alles ist keine Theorie – das sind die Fälle, die bei Behörden und Gerichten landen.
1 | Die Datenschutzerklärung muss zur Realität passen
Ihre Datenschutzerklärung ist kein historisches Dokument. Sie muss abbilden, was Ihre Website tatsächlich tut: welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage (Art. 6 Abs. 1 DSGVO), wie lange gespeichert wird und ob Daten an Dritte oder in Drittländer fließen (Art. 13, 14 DSGVO).
Genau hier beginnt die Fehlerparade. Ein Analyse-Tool wurde entfernt, steht aber noch im Text. Ein Newsletter-Dienst wurde gewechselt, die alte Beschreibung blieb. Rechtsgrundlagen werden pauschal auf „berechtigtes Interesse“ gestützt, ohne dass die nach Art. 6 Abs. 1 lit. f DSGVO erforderliche Interessenabwägung überhaupt stattgefunden hat. Und der tatsächliche Datenfluss interessiert sich bekanntlich nicht dafür, ob der Generatortext ganz ordentlich aussah.
Übrigens: Nach Auswertungen öffentlich gemeldeter Bußgeldfälle haben die deutschen Datenschutzaufsichtsbehörden für 2025 insgesamt 249 Bußgelder mit einer Gesamthöhe von rund 46,9 Mio. EUR verhängt. Unzureichende Informationspflichten gehören zu den Dauerbrennern.
2 | Das Cookie-Banner löst kein technisches Problem
Viele Shop-Betreiber verwechseln das Banner mit der Lösung. Dabei ist es nur die Benutzeroberfläche. Entscheidend ist, was vor der Einwilligung passiert: Werden Tracking- oder Marketingdienste bereits geladen, bevor ein wirksamer Consent vorliegt, verstößt das gegen § 25 Abs. 1 TDDDG – und macht die Einwilligung im Zweifel wertlos.
Das VG Hannover hat das im März 2025 noch einmal unmissverständlich klargestellt (Urt. v. 19.03.2025, Az. 10 A 5385/22): Ein Cookie-Banner, das „Alle akzeptieren“ prominent anbietet, aber die Ablehnungsoption auf eine zweite Ebene verbannt, verstößt gegen die Anforderungen an eine freiwillige Einwilligung nach Art. 4 Nr. 11 DSGVO. Das Gericht nannte die wiederholte Anzeige des Banners bei Nichtzustimmung eine „gezielte Beeinflussung der Entscheidungsfreiheit“ – im Klartext: Nudging.
Das VG Hannover hat zudem in den veröffentlichten Entscheidungsgründen den Einsatz des Google Tag Managers vor Einwilligung beanstandet. Nach den gerichtlichen Feststellungen wurden bereits vor Interaktion mit dem Banner Informationen auf dem Endgerät gespeichert bzw. ausgelesen und personenbezogene Daten verarbeitet. Die Ausnahme für technisch zwingend erforderliche Dienste nach § 25 Abs. 2 Nr. 2 TDDDG griff nach Auffassung des Gerichts nicht. Wie so oft gilt: Nicht das Etikett des Tools entscheidet, sondern die konkrete Einbindung.
Die Botschaft ist klar: Entscheidend ist nicht, ob ein Banner vorhanden ist, sondern ob Einwilligung, Widerruf und tatsächliche Einbindung technisch und rechtlich zusammenpassen.
3 | Die eigentlichen Baustellen heißen Drittanbieter
Externe Schriftarten, eingebettete Videos, Kartendienste, Analyse-Tools, Chat-Widgets, Social-Media-Plugins – das sind die Stellen, an denen Datenschutzverstöße entstehen. Nicht spektakulär, aber zuverlässig.
Der französische Datenschutzbeauftragte CNIL verhängte 2025 ein Bußgeld von 150 Mio. EUR gegen den Fast-Fashion-Anbieter Shein. Der Grund: Beim Besuch der Website wurden Cookies ohne Zustimmung gesetzt. Ein Widerspruch verhinderte weder das weitere Auslesen noch das Speichern neuer Cookies. Man muss kein Shein sein, um dasselbe Problem zu haben – nur kleiner.
Gerade hier zeigt sich, ob eine Website im Einzelfall geprüft wurde oder nur mit Standardbausteinen zusammengehalten wird. Denn entscheidend ist nicht die Behauptung „DSGVO-konform“ auf der Anbieterseite, sondern die konkrete technische Einbindung in Ihrem Shop.
4 | Auftragsverarbeitung ist kein Blindflug
Mit vielen Dienstleistern brauchen Sie einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO – etwa häufig im Hosting-, Cloud- oder Newsletter-Bereich. Bei anderen Diensten ist die Einordnung differenzierter: Ob ein Anbieter Auftragsverarbeiter, gemeinsamer Verantwortlicher oder eigenverantwortlich handelt, hängt von der tatsächlichen Rollenverteilung ab, nicht von der Vertragsüberschrift.
Wer hier alles pauschal als Auftragsverarbeitung einordnet, produziert Scheinsicherheit statt Compliance. Und wer Auftragsverarbeiter nicht prüft, riskiert empfindliche Konsequenzen: Die BfDI verhängte 2025 gegen Vodafone 15 Mio. EUR – unter anderem weil Auftragsverarbeiter nicht ausreichend kontrolliert wurden und deren Mitarbeitende infolgedessen gefälschte Verträge ausstellen konnten.
Die rechtliche Einordnung muss zum konkreten Dienst passen. Eine Checkliste kann dafür sensibilisieren. Sie ersetzt nicht die Prüfung.
5 | Datenschutz ist nur ein Teil der Website-Compliance
Online-Händler müssen mehr im Blick behalten als nur die DSGVO. Impressumspflicht, Consent-Management, Verbraucherinformationen im Fernabsatz nach § 312d BGB, Streitbeilegung nach § 36 VSBG, das Barrierefreiheitsstärkungsgesetz (BFSG) und die laufenden Anforderungen des TDDDG – all das greift ineinander. Beim BFSG gilt allerdings: Kleinstunternehmen mit weniger als zehn Beschäftigten und höchstens 2 Mio. EUR Jahresumsatz sind bei Dienstleistungen ausgenommen. Online-Shops fallen grundsätzlich als Dienstleistungen im elektronischen Geschäftsverkehr in den Anwendungsbereich – aber nicht jeder Händler ist gleich betroffen.
Auf EU-Ebene gibt es zudem weitere Reformüberlegungen, etwa zur Vereinfachung digitalrechtlicher Vorgaben im sogenannten Digital Omnibus. Für die aktuelle Website-Compliance maßgeblich ist aber das geltende Recht – nicht der nächste Brüsseler Wetterbericht.
6 | Wo die meisten Eigenprüfungen scheitern
Diese Checkliste kann Ihnen eine erste Orientierung geben. Ob Ihr Shop tatsächlich rechtlich trägt, entscheidet sich aber erst im konkreten Zusammenspiel aus Technik, Tracking, Drittanbietern, Shop-System und Geschäftsmodell.
Und genau dort liegen erfahrungsgemäß die Punkte, die in Eigenprüfungen übersehen werden. Nicht aus Nachlässigkeit – sondern weil die wirklich teuren Fehler selten groß und offensichtlich sind. Sie sind meistens klein, technisch und erstaunlich hartnäckig. Ein Script, das vor dem Consent feuert. Ein Vertrag, der seit drei Jahren in der Schublade liegt. Eine Rechtsgrundlage, die beim nächsten Audit nicht mehr trägt.
Merksatz zum Mitnehmen: DSGVO-Compliance ist kein Textproblem. Sie ist ein Technikproblem mit juristischem Preisschild. Wer nur die Fassade prüft, übersieht die Stellen, an denen es teuer wird.
Wenn Sie wissen möchten, ob Ihre Website einer ernsthaften Prüfung standhält – nicht nur die Texte, sondern das tatsächliche Setup aus Tracking, Einbindungen und Consent – sprechen Sie mich an, bevor es die Aufsichtsbehörde tut.
