Shopify & DSGVO: Was Shop-Betreiber prüfen müssen

Shopify gehört zu den meistgenutzten Shop-Systemen, und es nimmt Händlern viel technische Arbeit ab: Hosting, Checkout, Zahlungsabwicklung, ein App-Ökosystem für nahezu jeden Zweck. Genau diese Bequemlichkeit führt aber zu einem Trugschluss — nämlich, dass ein Shopify-Shop „automatisch" datenschutzkonform sei. Das ist er nicht. Welche Dienste in deinem Theme stecken, welche Apps im Hintergrund Daten verarbeiten und ob Marketing-Pixel erst nach einer Einwilligung feuern, liegt in deiner Verantwortung als Shop-Betreiber. Dieser Beitrag ordnet die Shopify-typischen Stolpersteine neutral ein und zeigt, wie du sie selbst aufspürst.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was an Shopify datenschutzrechtlich besonders ist

Shopify liefert die Grundlage — die Datenverarbeitung in deinem Shop bestimmst aber du. Vier Bereiche sind dabei erfahrungsgemäß besonders relevant:

• Marketing-Pixel von Meta/Facebook, TikTok, Google Ads und Pinterest, die du für Werbung und Conversion-Messung einbindest.
• Apps aus dem Shopify App Store, die Skripte in den Storefront laden — von Review-Widgets über Live-Chat bis zu Upselling-Tools.
• Eingebettete Inhalte wie YouTube-Videos, Google Maps oder externe Schriften, die Drittserver kontaktieren.
• Der Checkout, der je nach Plan und Konfiguration eigenes Tracking ausspielen kann.

Allen gemeinsam ist die Grundregel: Nicht notwendige Datenverarbeitung — vor allem Analyse und Marketing — darf erst nach einer aktiven Einwilligung deiner Besucher beginnen. In Deutschland greifen dafür § 25 TDDDG für das Setzen von Cookies und ähnlichen Techniken sowie, bei Personenbezug, die DSGVO. Mehr zum Grundprinzip „Consent vor Tracking" liest du im Ratgeber zu Trackern vor der Einwilligung.

Marketing-Pixel: Customer-Events und Apps

Conversion-Pixel sind im E-Commerce der Klassiker — und in Shopify gibt es mehrere Wege, sie einzubinden. Das macht sie schwer zu überblicken. Typischerweise stammen sie aus einer von drei Quellen:

• Customer-Events(früher „Zusätzliche Skripte"): ein zentraler Ort, an dem Custom-Pixel-Code für Meta, TikTok, Google Ads & Co. hinterlegt wird. Wird der Code hier ungesteuert eingefügt, feuert er beim Seitenaufruf.
• Offizielle Vertriebskanal-Appswie der „Facebook & Instagram"- oder „TikTok"-Kanal, die das jeweilige Pixel automatisch setzen.
• Tag-Manager-Lösungen wie der Google Tag Manager, oft über eine Drittanbieter-App eingebunden, die ihrerseits weitere Tags ausspielt.

Egal über welchen Weg: Ein nicht notwendiges Pixel — etwa das Meta Pixel — sollte erst laden, wenn deine Besucher zugestimmt haben. Shopify bietet dafür die Customer Privacy API an, über die ein kompatibles Consent-Banner den Einwilligungsstatus an Skripte und Apps weitergibt. Pixel, die diese API respektieren, warten dann auf das Signal. Der häufige Fehler in der Praxis: Das Pixel wird „fest verdrahtet" eingebunden und ignoriert den Consent-Status — das Banner wird damit zur Dekoration.

Cookie-Consent: Banner und Customer Privacy API

Ein Consent-Banner allein genügt nicht. Entscheidend ist, dass es technisch sauber an die Pixel und Apps gekoppelt ist. In Shopify führt der saubere Weg über die Customer Privacy API: Dein Consent-Tool setzt über sie das Einwilligungssignal, und alle Skripte, die die API berücksichtigen, halten sich daran. Achte beim Einrichten auf drei Dinge:

• Das Consent-Banner muss Customer-Privacy-API-kompatibel sein — viele, aber nicht alle Banner-Apps sind es.
• Pixel über Customer-Events sollten den Einwilligungsstatus abfragen, bevor sie feuern, statt ihn zu ignorieren.
• „Ablehnen" sollte ähnlich einfach erreichbar sein wie „Akzeptieren" — eine versteckte Ablehnung kann als unzulässiges Nudging gewertet werden.

US-Datentransfer und der Checkout

Shopify ist ein Anbieter mit Konzernbezug außerhalb der EU, und viele im E-Commerce verbreitete Dienste — Marketing-Pixel, Analyse-Werkzeuge, eingebettete Inhalte — werden von US-Unternehmen betrieben. Werden dabei personenbezogene Daten wie die IP-Adresse oder Gerätekennungen deiner Besucher in ein Drittland übertragen, braucht das eine tragfähige Rechtsgrundlage. Ob und wie ein solcher Transfer im konkreten Fall abgesichert ist, hängt vom jeweiligen Dienst und den vertraglichen Grundlagen ab und lässt sich nicht pauschal beantworten.

Ein eigener Blick gilt dem Checkout. Je nach Plan und Konfiguration kann Shopify im Bestellprozess eigenes Tracking ausspielen oder dort eingebundene Pixel auslösen. Prüfe deshalb nicht nur Startseite und Produktseiten, sondern gehe einmal bis kurz vor den Kaufabschluss und beobachte, welche Drittdienste dabei aktiv werden.

So prüfst du deinen Shop selbst

Du brauchst dafür keine Spezialsoftware — die Entwicklertools deines Browsers und der Shopify-Adminbereich reichen. Wichtig ist die Reihenfolge: erst messen, dann klicken.

1. Netzwerk-Tab: was lädt vor dem Klick?

• Öffne deinen Shop in einem privaten/Inkognito-Fenster, drücke F12 und wechsle in den Tab „Netzwerk".
• Aktiviere „Cache deaktivieren", lade neu — aber klicke noch nichts im Consent-Banner an.
• Filtere nach verdächtigen Hosts, etwa connect.facebook.net, analytics.tiktok.com, googletagmanager.com oder google-analytics. Tauchen sie vor deiner Zustimmung auf, deutet das auf Tracking vor Einwilligung hin.

2. App-Liste im Adminbereich durchsehen

• Öffne im Shopify-Adminbereich die App-Übersicht und sieh nach, welche Apps installiert sind — gerade alte oder nicht mehr genutzte Apps laden oft noch Skripte.
• Prüfe unter Customer-Events, welche Custom-Pixel hinterlegt sind und ob sie an den Einwilligungsstatus gekoppelt sind.
• Deinstalliere, was du nicht (mehr) brauchst — jede aktive App ist eine potenzielle Datenverarbeitung, die du benennen und steuern musst.

Wenn dir die manuelle Prüfung zu fummelig ist: Der kostenlose Schnellcheck lädt deinen Shop automatisiert und macht sichtbar, welche eingebundenen Drittdienste schon beim Aufruf aktiv werden — ein schneller erster Eindruck, der keine fachkundige Prüfung ersetzt.

Soll-Ist-Abgleich der Datenschutzerklärung

Sobald du weißt, welche Pixel, Apps und eingebetteten Inhalte dein Shop tatsächlich lädt, gleichst du das mit deiner Datenschutzerklärung ab. Beide Richtungen zählen:

• Ist ohne Soll: Was lädt, muss benannt sein. Ein Meta- oder TikTok-Pixel, das feuert, aber in der Datenschutzerklärung nicht auftaucht, ist eine Lücke.
• Soll ohne Ist: Was beschrieben ist, sollte auch wirklich (noch) im Einsatz sein. Beschreibst du einen Dienst, den du längst deinstalliert hast, ist das ebenfalls unsauber.

Wie dieser Abgleich systematisch funktioniert, zeigt der Ratgeber zum Soll-Ist-Abgleich. Den passenden Prüfbereich findest du im Datenschutz-Check für Websites.

Kurz zusammengefasst

• Ein Shopify-Shop ist nicht automatisch DSGVO-konform — die Konfiguration von Pixeln, Apps und Checkout liegt bei dir.
• Marketing-Pixel (Meta, TikTok, Google Ads) kommen über Customer-Events oder Apps in den Shop und sollten an die Shopify Customer Privacy API bzw. einen Consent-Modus gekoppelt sein, damit sie erst nach Einwilligung feuern.
• Viele Shop-Dienste werden von US-Unternehmen betrieben; ein möglicher Drittlandtransfer braucht eine tragfähige Grundlage, die sich nicht pauschal beurteilen lässt.
• Prüfen kannst du selbst: im Netzwerk-Tab beobachten, was vor dem Klick lädt, die App-Liste und Customer-Events durchsehen — und das Ergebnis mit der Datenschutzerklärung abgleichen.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.