8 Datenschutz-Fallstricke im E-Commerce
Cookie-Banner ohne echte Wahl
Anti-Pattern: 'Alle akzeptieren' prominent + grun, 'Ablehnen' versteckt oder gar nicht. Verstoss gegen DSGVO + ePrivacy.
Fix: beide Buttons gleich prominent. 'Ablehnen' MUSS gleich einfach sein wie 'Akzeptieren'. EuGH 2019 + Bundesgerichtshof 2020.
Google Fonts via CDN
LG München 2022: Fonts nachladen von Googles CDN übermittelt IP-Adresse ohne Einwilligung. Abmahn-Welle 100-500 EUR pro Webseite.
Fix: Fonts lokal hosten. Tools: google-webfonts-helper, oder einfach @font-face mit selbst-gehosteten Files. 1-2 Stunden Aufwand pro Shop.
Google Analytics ohne ServerSide-Tracking
Aktuelles Google Analytics 4 übermittelt Daten in USA. Schrems-II-Urteil macht Daten-Transfer zwingend-prüfungspflichtig.
Fix: ServerSide-Tagging mit eigener Domain (z.B. via Stape, Bento). Daten bleiben in EU-Region, GA4 sieht nur aggregierte Werte.
Newsletter-Anmeldung ohne Double-Opt-In
Single-Opt-In: User gibt Email ein, ist sofort Abonnent. Klassischer DSGVO-Verstoss + UWG-Verstoss.
Fix: Double-Opt-In zwingend. User bestätigt per E-Mail-Link. Bestätigungs-Mail darf KEINE Werbung enthalten, nur Bestätigung.
Trustpilot / Rezensions-Widgets ohne Einwilligung
Eingebundene Widgets (Trustpilot, Bazaarvoice, ProvenExpert) laden Drittanbieter-Daten + setzen Cookies. Ohne Einwilligung DSGVO-Verstoss.
Fix: Widgets im 2-Click-Modus laden (User klickt explizit auf 'Reviews anzeigen'). Alternativ: Server-Side-Integration via API ohne Browser-Cookies.
Abandoned-Cart-Mails ohne Rechtsgrundlage
'Du hast was im Warenkorb vergessen!' E-Mails sind Werbung. Ohne Einwilligung des Users (Para 7 UWG) verboten.
Fix: bei Warenkorb-Anlage explizite Opt-In-Checkbox: 'Ich möchte Erinnerungen bei nicht abgeschlossenem Kauf'. Default: NICHT vorausgewählt.
KI-Personalisierung ohne Transparenz
Produkt-Empfehlungen via ML-Modell: 'Andere kauften auch'. Wenn personenbezogene Daten genutzt werden + Profiling vorliegt, EU-AI-Act + DSGVO greifen.
Fix: Transparenz-Hinweis im Datenschutz-Anhang. Opt-Out für Profiling anbieten. Bei Hochrisiko-Profiling: Konformitaetsbewertung EU-AI-Act.
Hosting in USA ohne Schrems-II-Konforme TIA
AWS / Google Cloud / Azure in US-Region. Ohne Transfer-Impact-Assessment + Standardvertragsklauseln Datentransfer-Verstoss.
Fix: EU-Region wählen (eu-central-1 bei AWS, europe-west3 bei GCP). Wenn US nötig: dokumentierter TIA + zusätzliche TOMs (Verschlüsselung, Pseudonymisierung).
Fachkraft für Datenschutz und -sicherheit (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.