EU-DSGVO für E-Commerce 2026 — Kurzüberblick
Die Datenschutz-Grundverordnung, Verordnung (EU) 2016/679, gilt seit dem 25. Mai 2018 unmittelbar in der gesamten EU und bleibt das folgenreichste Datenschutzgesetz der Welt. Jeder E-Commerce-Händler in der EU/im EWR ist Verantwortlicher für die personenbezogenen Daten seiner Kunden: Name, Adresse, Zahlungsdaten, Browsing-Verlauf, Cookies, IP-Adressen. Die Prioritäten für 2026 sind ein TCF-v2.2-konformes Cookie-Banner, eine klare Datenschutzerklärung nach Artikel 13, ein dokumentiertes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30, schnelle Workflows für Betroffenenanfragen (DSR), ein 72-Stunden-Meldeplan bei Datenschutzverletzungen sowie Standardvertragsklauseln nach Schrems II für jede nicht angemessene Übermittlung (insbesondere in die USA im Rahmen des im Juli 2023 verabschiedeten EU-US Data Privacy Framework). Die Aufsichtsbehörden — CNIL (Frankreich), AEPD (Spanien), Garante (Italien), BfDI und die deutschen Landesbehörden, AP (Niederlande), NAIH (Ungarn), ICO (Vereinigtes Königreich, unter UK-DSGVO) — verhängen Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
Der EU-Datenschutz im Überblick 2026
Die DSGVO wird von einem Netzwerk nationaler Datenschutzbehörden (DPAs) durchgesetzt, koordiniert auf EU-Ebene durch den Europäischen Datenschutzausschuss (EDSA). Die folgende Kartenübersicht fasst die acht Behörden zusammen, mit denen Sie als EU-E-Commerce-Händler am wahrscheinlichsten zu tun bekommen — behalten Sie sie beim Lesen der folgenden Abschnitte im Blick.
EDSA — Europäischer Datenschutzausschuss
Gegründet 25. Mai 2018 · Brüssel · Erlässt verbindliche Leitlinien, Stellungnahmen und koordiniert die Zusammenarbeit der Aufsichtsbehörden (One-Stop-Shop)
CNIL — Commission Nationale de l'Informatique et des Libertés (Frankreich)
Gegründet 1978 · Paris · Strengste Cookie-Durchsetzung in der EU; führende Behörde im Bereich Adtech & TCF
AEPD — Agencia Española de Protección de Datos (Spanien)
Gegründet 1993 · Madrid · Aktivste nationale Aufsichtsbehörde nach Bußgeldanzahl; starker Fokus auf KMU
Garante — Garante per la Protezione dei Dati Personali (Italien)
Gegründet 1997 · Rom · Aggressive Durchsetzung bei KI/ChatGPT, Telemarketing und Cookies
BfDI + 16 Landesdatenschutzbeauftragte (Deutschland)
Bundes-BfDI in Bonn + je eine Aufsichtsbehörde pro Bundesland · dezentralisiert; LfDI BW, BlnBDI und HmbBfDI besonders aktiv
ICO — Information Commissioner's Office (Vereinigtes Königreich)
Wilmslow · Setzt die UK-DSGVO (nach dem Brexit) und den Data Protection Act 2018 durch · Angemessenheitsbeschluss in Kraft
AP — Autoriteit Persoonsgegevens (Niederlande)
Den Haag · Niederländische Aufsichtsbehörde · Aktiv bei Cookie-Walls, KI-Register und Datenlecks im öffentlichen Sektor
NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság (Ungarn)
Budapest · Ungarische Aufsichtsbehörde · Aktiv bei Gesichtserkennung, Videoüberwachung und Personaldaten
Bereit, EU-weit zu verkaufen — von Tag eins an DSGVO-konform?
Verbinden Sie jeden EU-Marktplatz und jeden kundenseitigen Onlineshop mit einem einzigen Zunapro-Panel — inklusive integrierter TCF-v2.2-CMP, Art.-30-Verzeichnis, DSR-Workflow und vorab unterzeichneten SCCs für jeden Unterauftragsverarbeiter.
1. DSGVO im Überblick — Verordnung (EU) 2016/679, in Kraft seit Mai 2018
Was die DSGVO wirklich ist
Die Datenschutz-Grundverordnung — Verordnung (EU) 2016/679 — wurde am 27. April 2016 verabschiedet und trat am 25. Mai 2018 unmittelbar in allen 27 EU-Mitgliedstaaten sowie den drei EWR-Staaten (Norwegen, Island, Liechtenstein) in Kraft. Als Verordnung und nicht als Richtlinie erforderte die DSGVO keine nationale Umsetzung — sie galt am selben Tag in Madrid, Paris, Berlin, Rom, Warschau und jeder anderen EU-Hauptstadt. Sie ersetzte die Datenschutzrichtlinie von 1995 (95/46/EG), die zu 28 uneinheitlichen nationalen Umsetzungen geführt hatte.
Für E-Commerce-Händler sind drei strukturelle Weichenstellungen im Text besonders wichtig:
- Sachlicher Anwendungsbereich (Art. 2) — gilt für jede „Verarbeitung personenbezogener Daten“ mit automatisierten Mitteln, was praktisch jeden Datenbankvorgang in einem modernen Web-Stack erfasst.
- Räumlicher Anwendungsbereich (Art. 3) — gilt für Verantwortliche mit Niederlassung in der EU unabhängig davon, wo die Verarbeitung stattfindet, und für Verantwortliche außerhalb der EU, die betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Dies ist die „extraterritoriale Reichweite“, die US-amerikanische, britische, türkische, schweizerische und asiatische Händler in den Anwendungsbereich zog.
- Definition personenbezogener Daten (Art. 4) — extrem weit gefasst: alles, was sich „auf eine identifizierte oder identifizierbare natürliche Person bezieht“. IP-Adressen, Cookie-IDs, Geräte-Fingerabdrücke und sogar eindeutige URL-Parameter können darunterfallen.
Die sechs Rechtsgrundlagen (Artikel 6)
Jede Verarbeitungstätigkeit benötigt mindestens eine von sechs Rechtsgrundlagen:
- Einwilligung — freiwillig, für den bestimmten Fall, informiert und unmissverständlich (Art. 4 Abs. 11 + Art. 7).
- Vertrag — Verarbeitung, die zur Erfüllung eines Vertrags mit der betroffenen Person erforderlich ist (die Standardgrundlage für die Auftragsabwicklung).
- Rechtliche Verpflichtung — z. B. Umsatzsteuer-Rechnungsstellung, KYC, steuerliche Aufzeichnungen.
- Lebenswichtige Interessen — im kommerziellen E-Commerce selten.
- Öffentliche Aufgabe — für den privaten Einzelhandel in der Regel nicht relevant.
- Berechtigte Interessen — erfordert eine Interessenabwägung; genutzt für Betrugsprävention, Sicherheit, einfache Analysen.
Der häufigste Compliance-Fehler 2026 ist die Vermischung von Rechtsgrundlagen — etwa sich für Marketing-E-Mails auf „Vertrag“ zu berufen (wofür nach der ePrivacy-Richtlinie eine Einwilligung nötig ist) oder für Tracking-Cookies auf „berechtigte Interessen“ (wofür nach Art. 5 Abs. 3 der ePrivacy-Richtlinie ebenfalls eine Einwilligung nötig ist).
Besondere Kategorien personenbezogener Daten (Artikel 9)
Gesundheitsdaten, biometrische Daten, ethnische Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, sexuelle Orientierung und politische Meinungen sind besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist untersagt, sofern nicht eine der zehn Bedingungen nach Art. 9 Abs. 2 erfüllt ist — die ausdrückliche Einwilligung ist im E-Commerce am gängigsten (z. B. Nahrungsergänzungsmittel-Abonnements, die Gesundheitsinformationen offenbaren, oder Modeanbieter, die aus bevorzugten Größen auf die ethnische Herkunft schließen).
2. Cookie-Einwilligung — TCF v2.2 und das IAB-Europe-Framework
Warum Cookies überhaupt ein DSGVO-Thema sind
Cookies und ähnliche Tracking-Technologien werden nicht allein durch die DSGVO geregelt, sondern durch Artikel 5 Abs. 3 der ePrivacy-Richtlinie 2002/58/EG (die „Cookie-Richtlinie“, geändert 2009). Die Richtlinie verlangt eine vorherige, informierte Einwilligung für das Speichern von Informationen oder den Zugriff auf bereits gespeicherte Informationen auf dem Endgerät eines Nutzers, außer wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Die DSGVO legt dann den Maßstab dafür fest, was als gültige Einwilligung gilt (Art. 4 Abs. 11 und Art. 7).
Die kombinierte praktische Regel für E-Commerce-Händler im Jahr 2026 lautet:
- Technisch notwendige Cookies (Warenkorb, Login, CSRF-Token, Sprachauswahl, einfaches Load Balancing) — keine Einwilligung erforderlich, müssen aber in der Datenschutzerklärung dokumentiert werden.
- Alle übrigen Cookies — Analyse (GA4, Plausible, Matomo mit Standardkonfiguration), Werbung (Meta Pixel, Google Ads, TikTok), Personalisierung, A/B-Tests, Fingerprinting — erfordern eine Opt-in-Einwilligung, bevor das Cookie gesetzt wird.
IAB Europe Transparency & Consent Framework v2.2
Das IAB Europe Transparency & Consent Framework (TCF) v2.2 — veröffentlicht am 16. Mai 2023 und verpflichtend seit dem 20. November 2023 — ist der De-facto-Branchenstandard zur Erfassung, Signalisierung und Speicherung von Cookie-Einwilligungen in der gesamten EU. Wichtige Merkmale:
- 11 Zwecke + 3 „besondere Zwecke“ + 2 „Funktionen“ + 2 „besondere Funktionen“ — granulare Steuerung statt eines pauschalen „Alle akzeptieren“
- ~700 registrierte Anbieter — jeder Adtech-, Analyse- und CDP-Partner deklariert Zwecke und Rechtsgrundlagen in der TCF Global Vendor List (GVL)
- TC-String — ein base64-kodiertes Signal, eingebettet in
__tcfapi/__tcfapi v2, das jede Adtech-Anfrage begleitet - Verbesserungen in v2.2 — klarere Zwecke 1, 3, 4, Wegfall von „berechtigtem Interesse“ als Ausweichgrundlage für Werbung/Messung, verpflichtender Widerrufs-Workflow
Was die Einwilligungs-UI leisten muss — und was nicht
Sowohl die EDSA-Leitlinien 05/2020 zur Einwilligung als auch die CNIL-Leitlinien 2020-091 sind eindeutig:
- Vorangekreuzte Kästchen sind unzulässig (Planet49, EuGH C-673/17, 1. Oktober 2019)
- „Weiterbrowsen“ stellt keine Einwilligung dar — Klicken, Scrollen oder Verweilen auf der Seite ist kein Opt-in
- Ablehnen muss genauso einfach sein wie Akzeptieren — „Alle akzeptieren“ und „Alle ablehnen“ müssen visuell und verfahrensmäßig gleichwertig sein (die CNIL verhängte im Januar 2022 genau dafür 60 Mio. € gegen Google und 60 Mio. € gegen Facebook)
- Cookie-Walls — den Zugang von einer Einwilligung abhängig zu machen — sind weitgehend untersagt (niederländische AP-Leitlinie 2019, EDSA-Leitlinien 05/2020)
- Granularität — Umschalter je Zweck statt eines einzigen globalen Schalters
- Der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung (Art. 7 Abs. 3 DSGVO)
Best Practice 2026: eine TCF-v2.2-kompatible Consent-Management-Plattform (CMP) mit gleichwertigen Schaltflächen „Alle akzeptieren“ / „Alle ablehnen“ auf der ersten Ebene, granularen Umschaltern auf der zweiten Ebene und einem dauerhaften „Cookie-Einstellungen“-Link in der Fußzeile. Zunapro-Onlineshops liefern diese Konfiguration standardmäßig mit. Zunapro-EU-Onlineshops ansehen →
3. Datenschutzerklärung — Artikel 13 und 14 in der Praxis
Warum eine Datenschutzerklärung unverzichtbar ist
Die Artikel 13 und 14 der DSGVO verpflichten jeden Verantwortlichen, zum Zeitpunkt der Erhebung personenbezogener Daten eine Datenschutzerklärung bereitzustellen (Art. 13) bzw., wenn Daten bei Dritten erhoben werden, innerhalb eines Monats (Art. 14). Im E-Commerce ist dies typischerweise die Seite, die über die Fußzeile als „Datenschutzerklärung“, „Datenschutzhinweis“ oder „Informationen zur Verarbeitung personenbezogener Daten“ verlinkt ist.
Die verpflichtenden Inhalte
Artikel 13 verlangt mindestens Folgendes — üblicherweise als mehrschichtiger Hinweis mit einer kurzen Zusammenfassung und einer vollständigen Version strukturiert:
- Identität und Kontaktdaten des Verantwortlichen (und des EU-Vertreters, sofern Art. 27 anwendbar ist)
- Kontaktdaten des Datenschutzbeauftragten, sofern einer benannt ist
- Zwecke der Verarbeitung und die Rechtsgrundlage für jeden Zweck (Art. 6 sowie Art. 9 für besondere Datenkategorien)
- Empfänger oder Kategorien von Empfängern — Zahlungsdienstleister, Fulfillment-Partner, Marketing-Tools, Hosting-Anbieter
- Internationale Übermittlungen — betroffene Drittländer, Angemessenheitsbeschlüsse oder geeignete Garantien (SCCs)
- Speicherfristen — oder die Kriterien für deren Festlegung
- Rechte der betroffenen Personen — Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, automatisierte Entscheidungen
- Widerrufsrecht der Einwilligung jederzeit (sofern die Einwilligung die Rechtsgrundlage ist)
- Beschwerderecht bei einer Aufsichtsbehörde
- Ob die Bereitstellung der Daten verpflichtend ist und welche Folgen eine Nichtbereitstellung hat
- Vorliegen automatisierter Entscheidungsfindung, einschließlich Profiling, sowie aussagekräftige Informationen über die involvierte Logik
Häufige Fehler, für die CNIL und AEPD Bußgelder verhängen
- Standardisierte Erklärungen, die nicht mit den tatsächlichen Verarbeitungstätigkeiten übereinstimmen — die Aufsichtsbehörden gleichen sie mit dem Art.-30-Verzeichnis ab
- Auflistung „berechtigter Interessen“ ohne Erläuterung der Interessenabwägung
- Vage Speicherfristen wie „so lange wie erforderlich“ ohne konkrete Zeitangaben
- Fehlende oder veraltete Angaben zu internationalen Übermittlungen (insbesondere Übermittlungen in die USA nach Schrems II)
- Fehlender Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde — ein häufiger AEPD-Prüfungsbefund
4. Datenschutzbeauftragter — Wann Artikel 37 greift
Die drei Pflichtfälle
Artikel 37 Abs. 1 schreibt die Benennung eines Datenschutzbeauftragten in drei Fällen zwingend vor:
- Behörde oder öffentliche Stelle (außer Gerichte)
- Die Kerntätigkeit erfordert eine regelmäßige und systematische umfangreiche Überwachung betroffener Personen
- Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9) oder strafrechtlich relevanter Daten (Art. 10)
„Umfangreich“ wird in den EDSA-Leitlinien WP243 anhand von vier Kriterien definiert: Anzahl der betroffenen Personen, Datenvolumen, Dauer der Verarbeitung und geografische Ausdehnung. Im E-Commerce erfüllen Betriebe mit intensivem Verhaltens-Tracking, Marktplätze und große Einzelhandelsplattformen fast immer die Schwelle „regelmäßige und systematische Überwachung in umfangreichem Ausmaß“.
Der Mythos der 250 Beschäftigten
Die vielzitierte Schwelle von „250 Beschäftigten“ betrifft Artikel 30 (Verzeichnis von Verarbeitungstätigkeiten) und nicht die Benennung eines DSB. Artikel 30 Abs. 5 befreit Organisationen mit weniger als 250 Beschäftigten von der Pflicht zur Führung eines Verzeichnisses — jedoch nur, wenn die Verarbeitung gelegentlich erfolgt, keine besonderen Datenkategorien umfasst und voraussichtlich kein Risiko für die betroffenen Personen birgt. Für einen aktiven E-Commerce-Händler greift diese Ausnahme in der Praxis so gut wie nie: Der Versand von Bestellungen an Tausende Kunden ist per Definition nicht gelegentlich.
Nationale Verschärfungen
Die Mitgliedstaaten können zusätzliche Anforderungen an die DSB-Bestellung stellen. Das deutsche BDSG beispielsweise verlangt einen DSB bereits, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind — deutlich niedriger als der DSGVO-Grundstandard. Dies ist eine der größten praktischen Compliance-Lücken zwischen deutschen, französischen und spanischen E-Commerce-Betrieben vergleichbarer Größe.
Unabhängigkeit und Aufgaben des DSB
- Artikel 38 — muss in alle mit dem Datenschutz zusammenhängenden Fragen ordnungsgemäß und frühzeitig eingebunden werden, erhält Ressourcen, berichtet an die oberste Managementebene, darf wegen der Erfüllung seiner Aufgaben nicht abberufen werden
- Artikel 39 — unterrichtet und berät, überwacht die Einhaltung der Vorschriften, berät bei DSFA, arbeitet mit der Aufsichtsbehörde zusammen, ist Anlaufstelle für betroffene Personen
- Interessenkonflikte — der Leiter Marketing oder der Leiter IT kann in der Regel nicht DSB sein (EDSA-Leitlinien WP243; Bußgeld der belgischen Aufsichtsbehörde in Höhe von 50.000 € im Jahr 2020 gegen einen Verantwortlichen, der den Leiter von Compliance, interner Revision und Risikomanagement zum DSB bestellt hatte)
💡 DPO-as-a-Service oder intern?
Viele EU-E-Commerce-Betriebe mit weniger als 50 Mitarbeitenden setzen auf externe Datenschutzbeauftragte, um die Unabhängigkeit klar sicherzustellen. Das Zunapro-Panel bietet ein DSB-Kontaktfeld und leitet Betroffenenanfragen direkt an Ihr DSB-Postfach weiter.
5. Rechte der betroffenen Personen — Artikel 15–22
Die acht Rechte im Überblick
Die Rechte aus Kapitel III bilden das operative Rückgrat der DSGVO für jedes kundenorientierte Unternehmen:
- Recht auf Information (Art. 13–14) — wird durch die oben genannte Datenschutzerklärung erfüllt
- Auskunftsrecht (Art. 15) — Bestätigung der Verarbeitung + eine Kopie der personenbezogenen Daten + die Metadaten nach Artikel 13
- Recht auf Berichtigung (Art. 16) — unrichtige Daten korrigieren, unvollständige Daten vervollständigen
- Recht auf Löschung / „Recht auf Vergessenwerden“ (Art. 17) — sechs spezifische Gründe (nicht mehr erforderlich, Einwilligung widerrufen, unrechtmäßige Verarbeitung usw.); kein absolutes Recht
- Recht auf Einschränkung der Verarbeitung (Art. 18) — Daten während der Klärung eines Streits als „eingefroren“ markieren
- Recht auf Datenübertragbarkeit (Art. 20) — personenbezogene Daten in einem strukturierten, gängigen, maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln
- Widerspruchsrecht (Art. 21) — gegen Verarbeitung auf Grundlage berechtigter Interessen oder öffentlicher Aufgaben; absolut bei Direktwerbung
- Recht, keiner ausschließlich automatisierten Entscheidung einschließlich Profiling unterworfen zu werden (Art. 22) — enge Ausnahmen bei Vertrag, Recht, ausdrücklicher Einwilligung
Antwortfristen und Format
Artikel 12 legt die operativen Regeln fest:
- Ein Monat als Standardfrist — verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anfragen, mit begründeter Mitteilung an die betroffene Person
- Unentgeltlich — außer bei „offenkundig unbegründeten oder exzessiven“ Anfragen, bei denen ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden darf (Beweislast liegt beim Verantwortlichen)
- Gleiches Format wie die Anfrage — E-Mail-Anfrage, E-Mail-Antwort; strukturiert und maschinenlesbar bei Übertragbarkeit
- Identitätsprüfung erforderlich, aber verhältnismäßig — übermäßig belastende Identitätsprüfungen stellen selbst einen Verstoß dar (CNIL-Leitlinie)
Wie E-Commerce-Händler dies operativ umsetzen
- Eigenes DSR-Postfach (z. B.
[email protected]), weitergeleitet an den DSB oder das Datenschutzteam - Ticketing-Workflow mit 1-Monats-SLA-Timer und automatischer Eskalation nach 25 Tagen
- Eine zentrale Datenkarte (das Art.-30-Verzeichnis), die zeigt, welche Systeme welche Daten enthalten — Zunapro zentralisiert dies für Marktplätze, Onlineshops, CRM und Zahlungsdaten
- Vorgefertigte Antwortvorlagen mit den gesetzlich erforderlichen Metadaten
- Audit-Protokoll jeder Anfrage und jeder Antwort — Aufsichtsbehörden verlangen bei Untersuchungen routinemäßig die DSR-Protokolle der letzten 12 Monate
6. Meldung von Datenschutzverletzungen — Die 72-Stunden-Frist (Artikel 33–34)
Was als „Verletzung des Schutzes personenbezogener Daten“ gilt
Artikel 4 Abs. 12 definiert eine Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Nach den EDSA-Leitlinien 9/2022 unterscheidet man drei Kategorien:
- Vertraulichkeitsverletzung — unbefugte Offenlegung oder unbefugter Zugang (typisch bei Hacks / geleakten Datenbanken)
- Integritätsverletzung — unbefugte Veränderung von Daten
- Verfügbarkeitsverletzung — unbeabsichtigter oder unrechtmäßiger Verlust des Zugangs oder Vernichtung (typisch bei Ransomware)
Die 72-Stunden-Meldung an die Aufsichtsbehörde
Artikel 33 verlangt, dass die zuständige Aufsichtsbehörde „unverzüglich und, wenn möglich, binnen 72 Stunden, nachdem der Verantwortliche Kenntnis von der Verletzung erlangt hat“ benachrichtigt wird, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Verspätete Meldungen müssen mit einer Begründung für die Verzögerung versehen werden. Die Frist beginnt, sobald der Verantwortliche mit hinreichender Sicherheit weiß, dass eine Verletzung eingetreten ist — nicht bereits beim ersten vagen Alarm.
Die Benachrichtigungspflicht bei „hohem Risiko“
Artikel 34 sieht eine parallele Pflicht vor, betroffene Personen „unverzüglich“ zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat. Ausnahmen: verschlüsselte Daten, im Nachhinein ergriffene Abhilfemaßnahmen oder unverhältnismäßiger Aufwand (dann genügt eine öffentliche Bekanntmachung).
Inhalt einer Meldung einer Datenschutzverletzung
- Art der Verletzung, einschließlich Kategorien und ungefährer Anzahl der betroffenen Personen und Datensätze
- Kontaktdaten des DSB oder einer anderen Anlaufstelle
- Wahrscheinliche Folgen
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und Abmilderung ihrer möglichen nachteiligen Auswirkungen
Typische Durchsetzungsmuster
Verspätete oder unterlassene Meldungen werden routinemäßig unabhängig von der zugrunde liegenden Verletzung mit Bußgeldern belegt. Beispiele: Twitter International (heute X) wurde 2020 von der irischen DPC mit 450.000 € wegen verspäteter Meldung einer Datenschutzverletzung belegt; Uber wurde von der niederländischen AP mit 600.000 € belegt, weil eine Verletzung aus dem Jahr 2016 nicht innerhalb von 72 Stunden nach Inkrafttreten der DSGVO gemeldet wurde. In beiden Fällen war die technische Verletzung selbst eher geringfügig; der Verfahrensfehler bestimmte das Bußgeld.
Praxistipp: Ein dokumentiertes Incident-Response-Playbook mit 72-Stunden-Uhr, einem namentlich benannten Bereitschafts-DSB, einer vorformulierten Vorlage für die Meldung an die Aufsichtsbehörde und im Voraus zugeordneten Aufsichtsbehörden pro Mitgliedstaat ist das absolute Minimum. Zunapro protokolliert jedes Authentifizierungsereignis, jeden Datenexport und jede Admin-Aktion, sodass sich der 72-Stunden-Sachverhalt in Stunden statt Tagen rekonstruieren lässt. Tools zur Reaktion auf Datenschutzverletzungen ansehen →
7. Grenzüberschreitende Übermittlungen — SCCs, Angemessenheit und Schrems II
Die Grundregel — Kapitel V
Kapitel V der DSGVO (Art. 44–50) untersagt Übermittlungen personenbezogener Daten in ein „Drittland“ (Nicht-EU/EWR) oder an eine internationale Organisation, sofern nicht eine von drei Garantien vorliegt:
- Angemessenheitsbeschluss (Art. 45) — die Kommission hat förmlich entschieden, dass das Drittland ein „im Wesentlichen gleichwertiges“ Schutzniveau bietet.
- Geeignete Garantien (Art. 46) — Standardvertragsklauseln (SCCs), verbindliche interne Datenschutzvorschriften (BCRs), genehmigte Verhaltensregeln oder Zertifizierungen.
- Spezifische Ausnahmen (Art. 49) — eng gefasste Ausnahmen: ausdrückliche Einwilligung, Vertragserfüllung, wichtiges öffentliches Interesse, lebenswichtige Interessen.
Geltende Angemessenheitsbeschlüsse (2026)
Stand 2026 bestehen vollständige oder teilweise Angemessenheitsbeschlüsse für: Andorra, Argentinien, Kanada (kommerzielle Organisationen), Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Republik Korea (Südkorea), Schweiz, Vereinigtes Königreich (2025 verlängert, gültig bis 2031), Uruguay sowie — im Rahmen des am 10. Juli 2023 verabschiedeten EU-US Data Privacy Framework (DPF) — zertifizierte US-Organisationen.
Schrems II und die SCCs
Am 16. Juli 2020 erklärte der EuGH im Urteil Schrems II (C-311/18) das EU-US Privacy Shield für ungültig und stellte klar, dass SCCs allein nicht ausreichen, wenn das Recht des Drittlands (z. B. der US-amerikanische FISA 702) zu widersprüchlichen Pflichten führt. Verantwortliche müssen:
- Die neuen SCCs gemäß Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 verwenden, aufgebaut in vier Modulen (C2C, C2P, P2P, P2C)
- Eine Transfer-Folgenabschätzung (TIA) zum Rechtsrahmen des Empfängerlands durchführen
- Ergänzende Maßnahmen anwenden, sofern die TIA ein Risiko aufzeigt — typischerweise Ende-zu-Ende-Verschlüsselung, Pseudonymisierung oder vertragliche/organisatorische Maßnahmen (EDSA-Empfehlungen 01/2020)
Das EU-US Data Privacy Framework
Das DPF von 2023 hat einen Angemessenheitsmechanismus im Stil des Privacy Shield für zertifizierte US-Empfänger neu eingeführt. Händler, die Daten an einen DPF-zertifizierten US-Auftragsverarbeiter übermitteln (die meisten großen Hyperscaler — AWS, Google Cloud, Microsoft Azure — sind zertifiziert), benötigen für diesen konkreten Empfänger keine SCCs, sollten die Rechtsgrundlage aber dennoch dokumentieren und die Entwicklung im Auge behalten: Eine „Schrems III“-Klage ist bereits anhängig und könnte die Frage erneut aufwerfen.
Was das operativ bedeutet
- Erfassen Sie jeden Unterauftragsverarbeiter und das Land, in dem die Daten tatsächlich verarbeitet werden (nicht nur die Rechnungsadresse)
- Unterzeichnen Sie die SCCs 2021 mit Empfängern ohne Angemessenheitsbeschluss, mit dem passenden Modul für das jeweilige Verhältnis
- Führen Sie für jeden Fall eine TIA — die meisten CMPs und Tools zur Verwaltung von Aufsichtsbehörden bieten Vorlagen
- Aktualisieren Sie jährlich oder bei Änderungen des Rechts bzw. der Unterauftragsverarbeiter
8. Die kommende ePrivacy-Verordnung — Was sich bei Cookies und Marketing ändert
Der legislative Hintergrund
Die ePrivacy-Verordnung (ePVO) wurde im Januar 2017 von der Kommission vorgeschlagen, um die ePrivacy-Richtlinie 2002/58/EG (die „Cookie-Richtlinie“) zu ersetzen. Anders als eine Richtlinie würde sie unmittelbar gelten, ohne nationale Umsetzung — und damit den derzeitigen Flickenteppich beenden, in dem Frankreich (CNIL-Beschluss 2020-091), Deutschland (TTDSG/TDDDG), Spanien (LSSI-CE), Italien (Garante-Cookie-Leitlinien 2021) und andere denselben EU-Grundstandard jeweils unterschiedlich auslegen.
Was voraussichtlich erfasst wird (Stand 2026)
- Cookies und ähnliche Technologien — einschließlich Fingerprinting und Kennungen auf SDK-Ebene
- Metadaten der elektronischen Kommunikation — Ausweitung des Kommunikationsgeheimnisses über klassische Telekommunikationsanbieter hinaus auf OTT-Messaging
- Direktmarketing — Opt-in für elektronisches Marketing (E-Mail, SMS) mit dem bestehenden „Soft-Opt-in“ für ähnliche Produkte im Rahmen der Kundenbeziehung
- Einwilligungssignale auf Browser-Ebene — ausdrückliche Anerkennung von Signalen im Stil von „Do Not Track“ / Global Privacy Control
- Unerbetene Kommunikation — strenges Opt-in für B2C, weniger streng für B2B
Was sich nicht ändert
Die DSGVO bleibt die lex generalis für die Qualität der Einwilligung (Art. 4 Abs. 11, Art. 7). Die ePVO ist lex specialis dazu, wann eine Einwilligung für elektronische Kommunikation und Tracking erforderlich ist. Eine heute konzipierte TCF-v2.2-CMP sollte für den Übergang zur ePVO zukunftssicher sein.
Erwartete Auswirkungen auf den E-Commerce
- Nationale Unterschiede (etwa die Feinheiten des deutschen Telekommunikationsrechts) verdichten sich zu einer einzigen EU-Regel
- Ablehnungssignale auf Browser-Ebene lassen sich schwerer ignorieren — Analyse- und Adtech-Stacks müssen sie automatisch respektieren
- B2B-Marketingregeln können stärker von B2C abweichen, wobei einige Mitgliedstaaten strengere B2C-Regime beibehalten
- Grenzüberschreitende Marketingkampagnen lassen sich anhand einer einzigen verlässlichen Quelle leichter auf Compliance prüfen
9. Bußgelder — 20 Millionen Euro oder 4 % des weltweiten Umsatzes (Artikel 83)
Die zwei Stufen
Artikel 83 sieht zwei Höchstbußgeldstufen vor:
- Stufe 1 — bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist: Verstöße gegen die Pflichten von Verantwortlichen/Auftragsverarbeitern (Art. 8, 11, 25–39, 42, 43)
- Stufe 2 — bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist: Verstöße gegen die Grundprinzipien (Art. 5), die Rechtsgrundlage (Art. 6), die Bedingungen für die Einwilligung (Art. 7), besondere Datenkategorien (Art. 9), Betroffenenrechte (Art. 12–22) und internationale Übermittlungen (Art. 44–49)
Wie Aufsichtsbehörden den Betrag berechnen
Der EDSA hat die Leitlinien 04/2022 zur Berechnung von Bußgeldern (angenommen am 24. Mai 2023) veröffentlicht, die eine fünfstufige Methodik festlegen:
- Ermittlung der Verarbeitungsvorgänge und Anwendung von Art. 83 Abs. 3, um festzustellen, ob ein oder mehrere Bußgelder gelten
- Ermittlung des Ausgangsbetrags anhand der Schwere des Verstoßes (Art. 83 Abs. 2 lit. a, b, g)
- Berücksichtigung erschwerender oder mildernder Umstände (Art. 83 Abs. 2 lit. c–k)
- Sicherstellung, dass die dynamische Obergrenze (Art. 83 Abs. 4–6) nicht überschritten wird
- Bewertung von Wirksamkeit, Verhältnismäßigkeit und Abschreckungswirkung
Die Bußgeldlandschaft 2026
Die kumulierten DSGVO-Bußgelder übersteigen bis 2026 5,5 Mrd. €. Zu den Schlagzeilen zählen:
- 1,2 Mrd. € — Meta Platforms Ireland (irische DPC, 22. Mai 2023) — unrechtmäßige Übermittlungen in die USA
- 746 Mio. € — Amazon Europe Core (luxemburgische CNPD, 16. Juli 2021) — Adtech-Einwilligung
- 405 Mio. € — Meta / Instagram (irische DPC, 5. September 2022) — Daten von Kindern
- 390 Mio. € — Meta / Facebook + Instagram (irische DPC, Januar 2023) — Rechtsgrundlage für Werbung
- 345 Mio. € — TikTok (irische DPC, September 2023) — Datenschutz von Kindern
- 290 Mio. € — Uber B.V. (niederländische AP, August 2024) — Fahrerdaten in die USA
- 225 Mio. € — WhatsApp (irische DPC, September 2021) — Transparenzmängel
Die Realität für KMU
Die Schlagzeilen-Bußgelder betreffen die größten Verantwortlichen, doch Aufsichtsbehörden wie die AEPD verhängen jährlich routinemäßig hunderte Bußgelder von 1.000–50.000 € gegen KMU — typische Verstöße sind fehlende Datenschutzerklärungen, nicht gemeldete Videoüberwachung, unzulässige Cookies und verspätete Beantwortung von Betroffenenanfragen. Für einen EU-Online-Händler mit einem Umsatz von 1–10 Mio. € liegt das realistische Risiko pro Feststellung im Bereich von 5.000–100.000 € — spürbar, aber verkraftbar, sofern eine grundlegende Compliance vorhanden ist.
📊 Bußgeldrisiko-Prognose im Panel
Das Compliance-Dashboard von Zunapro gleicht Ihre Verarbeitungstätigkeiten mit der EDSA-Bußgeldberechnungsmethodik ab und markiert zuerst die risikoreichsten Lücken.
10. DSGVO-Checkliste für E-Commerce + nationale Aufsichtsbehörden
Die 12-Punkte-Checkliste für die Praxis
- Einen Verantwortlichen und (sofern erforderlich) einen DSB benennen — Benennung und Kontaktdaten öffentlich dokumentieren
- Ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 führen, gegliedert nach Zweck, Rechtsgrundlage, Empfängern, Speicherfrist, Übermittlungen
- Eine DSGVO-konforme Datenschutzerklärung veröffentlichen gemäß Art. 13–14 — mehrschichtig, klar formuliert, in der Sprache des jeweiligen Marktes
- Eine TCF-v2.2-kompatible CMP einsetzen mit gleichwertigen Schaltflächen „Alle akzeptieren“ / „Alle ablehnen“ und granularen Umschaltern
- Die Rechtsgrundlage dokumentieren für jede Verarbeitungstätigkeit — insbesondere die Unterscheidung zwischen Vertrag, berechtigten Interessen und Einwilligung
- AVVs (Art. 28) unterzeichnen mit jedem Auftragsverarbeiter — Zahlungsdienstleister, Hosting-Anbieter, Fulfillment-Partner, Marketing-Tools
- Workflows für Betroffenenanfragen einrichten — Art. 15–22, 1-Monats-SLA, Identitätsprüfung, Audit-Protokoll
- Aufbewahrungs- und Löschfristen festlegen — Bestelldaten, Marketingdaten, Protokolldaten, Zahlungsdaten jeweils mit eigener Frist
- Einen 72-Stunden-Meldeplan bei Datenschutzverletzungen implementieren — Playbook, benannter DSB, Vorlagen für die Aufsichtsbehörde, Monitoring
- SCCs 2021 unterzeichnen + TIAs durchführen für jede Übermittlung ohne Angemessenheitsbeschluss; auf das EU-US DPF zurückgreifen, sofern der Auftragsverarbeiter zertifiziert ist
- DSFA (Art. 35) durchführen für risikoreiche Verarbeitungen — Profiling, umfangreiche besondere Datenkategorien, systematische Überwachung
- Mitarbeitende schulen, Entscheidungen protokollieren, alles dokumentieren — die Rechenschaftspflicht (Art. 5 Abs. 2) ist selbst eine materielle Pflicht
Nationale Aufsichtsbehörden — Wer ist wann zuständig
| Mitgliedstaat | Behörde | Sitz | Schwerpunkt der Durchsetzung 2026 |
|---|---|---|---|
| Frankreich | CNIL | Paris | Cookies, Adtech, TCF, hohe Bußgelder |
| Spanien | AEPD | Madrid | KMU-Durchsetzung, Videoüberwachung, verspätete Betroffenenanfragen |
| Italien | Garante | Rom | KI/ChatGPT, Telemarketing, Cookies |
| Deutschland — Bund | BfDI | Bonn | Bundesbehörden, Telekommunikation, Post |
| Deutschland — Länder | 16 Landesbehörden | Je Bundesland | Durchsetzung im Privatsektor (LfDI BW, BlnBDI, HmbBfDI am aktivsten) |
| Niederlande | Autoriteit Persoonsgegevens (AP) | Den Haag | Cookie-Walls, KI-Register, Datenlecks im öffentlichen Sektor |
| Irland | Data Protection Commission (DPC) | Dublin | Federführende Behörde für Big Tech, höchste Bußgelder |
| Ungarn | NAIH | Budapest | Videoüberwachung, Gesichtserkennung, Personaldaten |
| Belgien | Gegevensbeschermingsautoriteit (APD/GBA) | Brüssel | Adtech, IAB-Europe-TCF-Entscheidungen |
| Vereinigtes Königreich | ICO (UK-DSGVO) | Wilmslow | Adtech, Kinder-Verhaltenskodex, KI-Leitlinien |
Zum Lesen der Tabelle: Bei grenzüberschreitenden Fällen gilt der One-Stop-Shop-Mechanismus, wobei die federführende Behörde die Aufsichtsbehörde der Hauptniederlassung des Verantwortlichen ist. Bei rein innerstaatlichen Beschwerden ist die lokale Aufsichtsbehörde zuständig. Zunapro speichert für jeden Mandanten eine Konfiguration der federführenden Behörde, sodass Kundenbeschwerden automatisch weitergeleitet werden.
So machen Sie einen Zunapro-Onlineshop DSGVO-bereit — Schritt für Schritt
1. Verantwortlichen und DSB konfigurieren
Im Zunapro-Panel unter Einstellungen → Datenschutz geben Sie den rechtlichen Verantwortlichen, die eingetragene Adresse, den EU-Vertreter (falls Sie außerhalb der EU ansässig sind) und die Kontaktdaten des DSB an. Diese Angaben füllen automatisch die Datenschutzerklärung nach Artikel 13, die erste Ebene des Cookie-Banners und die Konfiguration des DSR-Postfachs.
2. Die TCF-v2.2-CMP aktivieren
- Die Consent-Management-Plattform unter Einstellungen → Cookies aktivieren
- Das Layout wählen (Banner, Modal, Leiste) und die gleichwertige Behandlung von „Alle akzeptieren“ / „Alle ablehnen“ bestätigen
- Zwecke 1–11 aus der TCF-GVL auswählen — Zunapro schlägt die E-Commerce-Standardwerte bereits vor
- Den dauerhaften „Cookie-Einstellungen“-Link in der Fußzeile bestätigen
3. Die Datenschutzerklärung nach Artikel 13 erstellen
Zunapro generiert eine mehrsprachige Erklärung aus den in Schritt 1 eingegebenen Daten sowie den von Ihnen verbundenen Integrationen (Zahlungsdienstleister, Marketing-Tools, Hosting-Region). Prüfen Sie die lokalisierte Version für jeden Markt, bearbeiten Sie sie und veröffentlichen Sie sie.
4. Den DSR-Workflow einrichten
- Das Datenschutz-Postfach (oder einen Webformular-Endpunkt) konfigurieren
- Jedes Recht (Auskunft, Löschung usw.) der zugehörigen SLA und den Systemen zuordnen, die handeln müssen
- Das Audit-Protokoll aktivieren
5. Überwachung von Datenschutzverletzungen + SCC-Bibliothek aktivieren
Aktivieren Sie das 72-Stunden-Incident-Response-Playbook und importieren Sie vorab unterzeichnete SCCs 2021 für jeden Unterauftragsverarbeiter, der außerhalb der EU/des EWR tätig ist. Zunapro versendet jährliche Erinnerungen zur Aktualisierung der TIA.
6. Live gehen
- Bei Zunapro anmelden und das EU-Modul öffnen
- Privacy Hub aktivieren in den Einstellungen
- Den Assistenten durchlaufen — Verantwortlicher, DSB, CMP, Datenschutzerklärung, DSR, Meldeplan, SCCs
- Übersetzen Sie alles für jeden Markt, in dem Sie verkaufen (Zunapro liefert Vorlagen in EN, DE, FR, ES, IT, NL, PL, HU, PT, RO, CS, SK)
- Live gehen — der erste vollständige Durchlauf dauert für einen einzelnen Onlineshop typischerweise 10–15 Minuten
Machen Sie jeden EU-Onlineshop in einem einzigen Panel DSGVO-bereit
TCF-v2.2-CMP · Datenschutzerklärung nach Artikel 13 · DSR-Workflow · 72-Stunden-Meldeplan · SCCs 2021 + TIAs · vorab zugeordnete Bibliothek der Aufsichtsbehörden für CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. 10-minütige Integration, keine Demo erforderlich.
EU-Marktplätze verbinden →DSGVO-FAQ für die EU 2026
Was ist die DSGVO und seit wann gilt sie?
Die DSGVO ist die Datenschutz-Grundverordnung — formell Verordnung (EU) 2016/679. Sie wurde am 27. April 2016 verabschiedet und trat am 25. Mai 2018 unmittelbar in den 27 EU-Mitgliedstaaten und den drei EWR-Staaten (Norwegen, Island, Liechtenstein) in Kraft.
Da es sich um eine Verordnung und nicht um eine Richtlinie handelt, trat sie am selben Tag in jedem Mitgliedstaat in Kraft, ohne dass eine nationale Umsetzung nötig war. Sie ersetzte die Datenschutzrichtlinie von 1995 (95/46/EG).
Benötige ich eine DSGVO-Einwilligung für Cookies auf meiner E-Commerce-Website?
Ja, für alle nicht unbedingt erforderlichen Cookies: Analyse, Werbung, Personalisierung, A/B-Tests, eingebettete Inhalte von Drittanbietern. Technisch notwendige Cookies (Warenkorb, Login-Sitzung, CSRF-Token) sind ausgenommen, müssen aber dennoch dokumentiert werden.
Das seit November 2023 verpflichtende Framework IAB Europe TCF v2.2 ist der Standard zur Erfassung und Signalisierung von Einwilligungen. Vorangekreuzte Kästchen, Cookie-Walls ohne gleichwertige Ablehnungsoption und „Weiterbrowsen als Zustimmung“ sind gemäß den EDSA-Leitlinien sowie der Durchsetzungspraxis von CNIL/AEPD ausdrücklich untersagt.
Ist eine Datenschutzerklärung nach der DSGVO verpflichtend?
Ja. Die Artikel 13 und 14 der DSGVO verpflichten jeden Verantwortlichen — einschließlich jedes E-Commerce-Händlers — eine klare, transparente Datenschutzerklärung bereitzustellen. Zu den Pflichtangaben zählen die Identität des Verantwortlichen, die Zwecke und Rechtsgrundlagen der Verarbeitung, die Speicherfristen, die Empfänger, internationale Übermittlungen, die Rechte der betroffenen Personen sowie das Beschwerderecht bei einer Aufsichtsbehörde.
Die Erklärung muss in einfacher Sprache verfasst, leicht zugänglich sein (üblicherweise über die Fußzeile jeder Seite verlinkt) und den tatsächlichen Verarbeitungstätigkeiten entsprechen. Standardisierte Erklärungen, die nicht mit dem Art.-30-Verzeichnis übereinstimmen, sind ein häufiges Bußgeldmuster.
Wann muss ein E-Commerce-Unternehmen einen Datenschutzbeauftragten benennen?
Artikel 37 DSGVO verlangt einen Datenschutzbeauftragten, wenn (a) die Verarbeitung von einer Behörde durchgeführt wird, (b) die Kerntätigkeit eine regelmäßige und systematische umfangreiche Überwachung betroffener Personen erfordert oder (c) die Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlich relevanter Daten umfasst.
Die vielzitierte Schwelle von 250 Beschäftigten betrifft die Aufzeichnungspflicht nach Artikel 30, nicht die Benennung eines DSB. In der Praxis benötigen die meisten Marktplätze, großen Einzelhändler und E-Commerce-Betriebe mit intensivem Verhaltens-Tracking unabhängig von der Mitarbeiterzahl einen DSB. Nationale Regelungen können strenger sein — das deutsche BDSG verlangt einen DSB bereits ab 20 Personen, die mit der automatisierten Verarbeitung befasst sind.
Welche Rechte haben betroffene Personen nach der DSGVO?
Kapitel III (Artikel 15–22) gewährt acht Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung/„Recht auf Vergessenwerden“ (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht, keiner ausschließlich automatisierten Entscheidung einschließlich Profiling unterworfen zu werden (Art. 22), zuzüglich des Rechts auf Information (Art. 13–14).
Artikel 12 legt die operativen Regeln fest: Antwort innerhalb eines Monats, verlängerbar um zwei weitere Monate bei komplexen oder zahlreichen Anfragen, unentgeltlich, sofern die Anfrage nicht „offenkundig unbegründet oder exzessiv“ ist.
Was besagt die 72-Stunden-Regel zur Meldung von Datenschutzverletzungen?
Artikel 33 DSGVO verpflichtet Verantwortliche, der zuständigen Aufsichtsbehörde eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Besteht ein hohes Risiko, verlangt Artikel 34 zusätzlich eine unverzügliche Benachrichtigung der betroffenen Personen.
Verspätete oder unterlassene Meldungen führen regelmäßig unabhängig von der zugrunde liegenden Verletzung zu Bußgeldern — Twitter International (450.000 €, irische DPC 2020) und Uber (600.000 €, niederländische AP) sind bekannte Beispiele.
Wie übermittle ich E-Commerce-Kundendaten nach Schrems II in Länder außerhalb der EU?
Nach Schrems II (EuGH C-311/18, 16. Juli 2020) wurde der Privacy Shield für ungültig erklärt. Übermittlungen in ein Drittland erfordern nun entweder (i) einen Angemessenheitsbeschluss der Kommission — derzeit unter anderem für das Vereinigte Königreich, die Schweiz, Japan, Südkorea, Kanada (kommerzielle Organisationen), Israel sowie das im Juli 2023 verabschiedete EU-US Data Privacy Framework — oder (ii) die Standardvertragsklauseln 2021 zusammen mit einer Transfer-Folgenabschätzung und ergänzenden technischen Maßnahmen.
Ende-zu-Ende-Verschlüsselung, Pseudonymisierung sowie vertragliche/organisatorische Maßnahmen sind die gängigsten ergänzenden Garantien (EDSA-Empfehlungen 01/2020).
Wie wird sich die geplante ePrivacy-Verordnung auf die Cookie-Regeln auswirken?
Die ePrivacy-Verordnung, die die ePrivacy-Richtlinie von 2002/2009 (Richtlinie 2002/58/EG, die „Cookie-Richtlinie“) ersetzen soll, wird seit 2017 verhandelt. Nach ihrer Verabschiedung wird sie Cookie-, elektronische Marketing- und Metadatenregeln EU-weit auf Verordnungsebene vereinheitlichen und den derzeitigen Flickenteppich nationaler Gesetze ablösen.
Für 2026 wird derzeit von einer Finalisierung unter der neuen Kommission ausgegangen. Bis dahin gelten nationale ePrivacy-Gesetze (Frankreich LCEN / CNIL-Beschluss 2020-091, Deutschland TTDSG/TDDDG, Spanien LSSI-CE, Italien Garante-Cookie-Leitlinien 2021) weiterhin neben der DSGVO. Eine TCF-v2.2-CMP ist mit dem ePVO-Entwurf zukunftskompatibel.
Wie hoch sind DSGVO-Bußgelder und wer verhängt sie?
Artikel 83 DSGVO sieht zwei Stufen vor: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für administrative Verstöße und bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes für Verstöße gegen die Grundprinzipien, die Rechtsgrundlage, die Rechte betroffener Personen sowie internationale Übermittlungen.
Bußgelder werden von den nationalen Aufsichtsbehörden verhängt — CNIL (Frankreich), AEPD (Spanien), Garante (Italien), BfDI und die 16 Landesbehörden (Deutschland), AP (Niederlande), NAIH (Ungarn), ICO (Vereinigtes Königreich unter UK-DSGVO), sowie die irische DPC (federführende Behörde für die meisten Big-Tech-Fälle). Das bislang höchste Einzelbußgeld beträgt 1,2 Mrd. € gegen Meta Platforms Ireland (irische DPC, Mai 2023).
Wie sieht eine Mindest-DSGVO-Checkliste für einen EU-E-Commerce-Händler aus?
Zwölf wesentliche Punkte: (1) einen Verantwortlichen und, sofern erforderlich, einen DSB benennen; (2) ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 führen; (3) eine DSGVO-konforme Datenschutzerklärung veröffentlichen; (4) TCF-v2.2-Cookie-Einwilligung implementieren; (5) die Rechtsgrundlage je Verarbeitungstätigkeit dokumentieren; (6) Auftragsverarbeitungsverträge mit jedem Auftragsverarbeiter abschließen; (7) Workflows für Betroffenenanfragen mit klaren SLAs einrichten; (8) Aufbewahrungs- und Löschfristen festlegen; (9) einen 72-Stunden-Meldeplan bei Datenschutzverletzungen implementieren; (10) SCCs 2021 + TIAs für nicht angemessene Übermittlungen einrichten; (11) Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durchführen; (12) Mitarbeitende schulen und alles dokumentieren.
Gilt die DSGVO auch für Händler außerhalb der EU, die in die EU liefern?
Ja. Artikel 3 Abs. 2 DSGVO hat extraterritoriale Wirkung: Jeder Verantwortliche oder Auftragsverarbeiter außerhalb der EU, der Waren oder Dienstleistungen für betroffene Personen in der EU/im EWR anbietet oder deren Verhalten beobachtet, unterliegt der DSGVO.
Händler außerhalb der EU müssen in den meisten Fällen einen EU-Vertreter nach Artikel 27 benennen — eine natürliche oder juristische Person mit Sitz in der EU, die als Ansprechpartner für Aufsichtsbehörden und betroffene Personen fungiert. Türkische, britische, US-amerikanische und asiatische E-Commerce-Betriebe, die grenzüberschreitend in die EU verkaufen, benötigen daher ebenfalls DSGVO-Konformität und in der Regel einen Vertreter nach Art. 27.
Was unterscheidet einen Verantwortlichen von einem Auftragsverarbeiter?
Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung fest — in der Regel der E-Commerce-Händler selbst. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen nach dokumentierten Weisungen — typischerweise Zahlungsdienstleister, Fulfillment-Partner, Marketing-Tools, Hosting-Anbieter.
Artikel 28 verlangt einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zwischen ihnen, der Gegenstand, Dauer, Art, Zweck, Datenkategorien sowie die Pflichten des Verantwortlichen und des Auftragsverarbeiters regelt (einschließlich der Genehmigung von Unterauftragsverarbeitern, der Meldung von Verletzungen an den Verantwortlichen sowie der Löschung/Rückgabe der Daten nach Ende der Dienstleistung).
Wie lange dauert es, einen Zunapro-Onlineshop DSGVO-konform zu machen?
Für die technische Ebene rund 10 Minuten. Zunapro liefert DSGVO-fertige Onlineshops mit einer TCF-v2.2-kompatiblen Consent-Management-Plattform, Datenschutzerklärungsvorlagen nach Artikel 13 in 12 EU-Sprachen, Workflows für Betroffenenanfragen, konfigurierbaren Aufbewahrungsregeln, automatisierten Meldetools für Datenschutzverletzungen und vorab unterzeichneten SCCs 2021 für Unterauftragsverarbeiter.
Der verbleibende Aufwand ist eher organisatorischer als technischer Natur: das Dokumentieren Ihrer Rechtsgrundlagen je Verarbeitungstätigkeit, das Befüllen Ihres Art.-30-Verzeichnisses und die Abstimmung Ihrer Kontaktdaten für die Aufsichtsbehörde. Die meisten Händler schließen den ersten vollständigen Durchlauf innerhalb eines Nachmittags ab und optimieren anschließend weiter.
Starten Sie Ihren EU-E-Commerce-Stack — von Anfang an DSGVO-konform
Verordnung (EU) 2016/679 · TCF-v2.2-Cookie-Einwilligung · Datenschutzerklärung nach Artikel 13 · 8 Betroffenenrechte · 72-Stunden-Meldeplan · SCCs 2021 + TIAs · vorab zugeordnete Bibliothek der Aufsichtsbehörden für CNIL, AEPD, Garante, BfDI, AP, NAIH, ICO. Ein Panel, jeder EU-Onlineshop, jeder Marktplatz.
🇪🇺 EU-weit starten →Brauchen Sie Hilfe dabei?
Passender Dienst: E-Commerce