E-Commerce · Datenschutz

8 Datenschutz-Fallstricke im E-Commerce

Zuletzt aktualisiert:
1

Cookie-Banner ohne echte Wahl

Anti-Pattern: 'Alle akzeptieren' prominent + grun, 'Ablehnen' versteckt oder gar nicht. Verstoss gegen DSGVO + ePrivacy.

Fix: beide Buttons gleich prominent. 'Ablehnen' MUSS gleich einfach sein wie 'Akzeptieren'. EuGH 2019 + Bundesgerichtshof 2020.

2

Google Fonts via CDN

LG München 2022: Fonts nachladen von Googles CDN übermittelt IP-Adresse ohne Einwilligung. Abmahn-Welle 100-500 EUR pro Webseite.

Fix: Fonts lokal hosten. Tools: google-webfonts-helper, oder einfach @font-face mit selbst-gehosteten Files. 1-2 Stunden Aufwand pro Shop.

3

Google Analytics ohne ServerSide-Tracking

Aktuelles Google Analytics 4 übermittelt Daten in USA. Schrems-II-Urteil macht Daten-Transfer zwingend-prüfungspflichtig.

Fix: ServerSide-Tagging mit eigener Domain (z.B. via Stape, Bento). Daten bleiben in EU-Region, GA4 sieht nur aggregierte Werte.

4

Newsletter-Anmeldung ohne Double-Opt-In

Single-Opt-In: User gibt Email ein, ist sofort Abonnent. Klassischer DSGVO-Verstoss + UWG-Verstoss.

Fix: Double-Opt-In zwingend. User bestätigt per E-Mail-Link. Bestätigungs-Mail darf KEINE Werbung enthalten, nur Bestätigung.

5

Trustpilot / Rezensions-Widgets ohne Einwilligung

Eingebundene Widgets (Trustpilot, Bazaarvoice, ProvenExpert) laden Drittanbieter-Daten + setzen Cookies. Ohne Einwilligung DSGVO-Verstoss.

Fix: Widgets im 2-Click-Modus laden (User klickt explizit auf 'Reviews anzeigen'). Alternativ: Server-Side-Integration via API ohne Browser-Cookies.

6

Abandoned-Cart-Mails ohne Rechtsgrundlage

'Du hast was im Warenkorb vergessen!' E-Mails sind Werbung. Ohne Einwilligung des Users (Para 7 UWG) verboten.

Fix: bei Warenkorb-Anlage explizite Opt-In-Checkbox: 'Ich möchte Erinnerungen bei nicht abgeschlossenem Kauf'. Default: NICHT vorausgewählt.

7

KI-Personalisierung ohne Transparenz

Produkt-Empfehlungen via ML-Modell: 'Andere kauften auch'. Wenn personenbezogene Daten genutzt werden + Profiling vorliegt, EU-AI-Act + DSGVO greifen.

Fix: Transparenz-Hinweis im Datenschutz-Anhang. Opt-Out für Profiling anbieten. Bei Hochrisiko-Profiling: Konformitaetsbewertung EU-AI-Act.

8

Hosting in USA ohne Schrems-II-Konforme TIA

AWS / Google Cloud / Azure in US-Region. Ohne Transfer-Impact-Assessment + Standardvertragsklauseln Datentransfer-Verstoss.

Fix: EU-Region wählen (eu-central-1 bei AWS, europe-west3 bei GCP). Wenn US nötig: dokumentierter TIA + zusätzliche TOMs (Verschlüsselung, Pseudonymisierung).

Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.