Datenschutz im Multi-Channel-E-Commerce – So bleibst du zwischen Shop, Marktplatz und Buchhaltung DSGVO-konform
Datenschutz im Multi-Channel-E-Commerce – So bleibst du zwischen Shop, Marktplatz und Buchhaltung DSGVO-konform
Der Datenschutz im Onlinehandel wird oft unterschätzt. Viele Händler betreiben heute mehrere Vertriebskanäle gleichzeitig: den eigenen Onlineshop, verschiedene Marktplätze wie Amazon oder Kaufland, zusätzlich Buchhaltungs- und Versandtools wie Billbee, sevDesk oder Easybill. In jedem dieser Systeme werden personenbezogene Daten verarbeitet. Teilweise automatisch, häufig mehrfach, und nicht immer nachvollziehbar. Damit wächst das Risiko, gegen die DSGVO zu verstoßen, ohne es zu merken.
Dieser Leitfaden zeigt, worauf du achten musst, um Kundendaten in einem Multi-Channel-Setup rechtssicher und strukturiert zu verarbeiten; mit Fokus auf die wichtigsten Systeme, AV-Verträge, Compliance-Dokumentation und die Vorbereitung auf eine mögliche Prüfung.
Datenflüsse verstehen – die Grundlage jeder Datenschutzstrategie
Bevor du dich mit Verträgen oder Tools beschäftigst, solltest du zunächst wissen, wo Kundendaten überall hinfließen. Jeder Bestellvorgang erzeugt einen komplexen Datenpfad:
Der Kunde bestellt über Shopify oder einen Marktplatz, die Daten werden an Billbee oder eine andere Middleware weitergegeben, dort an die Buchhaltung (z. B. sevDesk oder Lexware) übertragen, von dort an den Versanddienstleister und in manchen Fällen an Newsletter- oder Supportsysteme.
Dieser Ablauf muss dokumentiert werden. Die DSGVO schreibt dafür ein „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) nach Art. 30 vor. Darin wird festgehalten, welche Daten erhoben werden, zu welchem Zweck, wie lange sie gespeichert und an wen sie weitergegeben werden. Eine einfache Excel-Tabelle oder Tools wie Privacy Desk oder Proliance360 reichen oft schon aus, solange sie aktuell gepflegt werden.
Wer seine Datenflüsse versteht, erkennt schnell, wo Daten mehrfach gespeichert oder unnötig lange aufbewahrt werden. Diese Transparenz ist die wichtigste Grundlage für Datenschutzkonformität.
Auftragsverarbeitung und Verantwortlichkeiten richtig regeln
Im Multi-Channel-E-Commerce ist fast jedes Tool ein eigener Akteur im Datenschutzrecht. Nach Art. 28 DSGVO muss mit jedem Auftragsverarbeiter ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden.
Typische Beispiele:
Billbee, sevDesk, Lexoffice und Easybill sind Auftragsverarbeiter. Versanddienstleister wie DHL oder DPD sind eigene Verantwortliche, an die du Daten übermittelst, aber mit denen kein AVV erforderlich ist. Shopify ist ebenfalls Auftragsverarbeiter, während Marktplätze wie Amazon oder Kaufland als eigene Verantwortliche agieren. Du kannst hier also keine AV-Verträge abschließen, musst aber die Datenweitergabe dokumentieren.
Alle AV-Verträge sollten zentral gesammelt werden, idealerweise in einem Ordner „Datenschutz / AVV“. Wichtig ist, zu jedem Vertrag zu notieren, wann er abgeschlossen wurde und für welchen Zweck. Bei Tools mit Sitz in den USA, etwa Mailchimp oder Klaviyo, muss geprüft werden, ob sie unter das EU-US Data Privacy Framework fallen oder Standardvertragsklauseln vorliegen.
Datenschutz im Onlineshop
Das Shopsystem ist die zentrale Datendrehscheibe und damit der kritischste Punkt. Besonders bei Shopify gilt: Jede installierte App kann Kundendaten abrufen. Daher sollte regelmäßig geprüft werden, welche Apps aktiv sind und welche Berechtigungen sie haben.
Zugriffsrechte sollten auf das Notwendige beschränkt bleiben – weder Mitarbeiter noch externe Partner benötigen Vollzugriff auf alle Kundendaten. Bei der Einbindung von Analyse- oder Marketingtools ist darauf zu achten, dass Cookies nur mit Einwilligung gesetzt werden. Tools wie ConsentManager oder Cookiebot sind für Shopify-Shops eine gute Wahl, um Consent-Management zentral zu steuern.
Exportfunktionen innerhalb von Shopify sollten nur verschlüsselt genutzt werden. Kunden- oder Bestelldaten gehören nicht in ungesicherte E-Mails oder frei zugängliche Cloud-Ordner.
Wer mit WooCommerce oder anderen Systemen arbeitet, sollte DSGVO-Plugins einsetzen, automatische Löschfunktionen für abgebrochene Bestellungen aktivieren und sicherstellen, dass der Checkout datenschutzkonform gestaltet ist.
Datenschutz bei Marktplätzen
Marktplätze bringen eine zusätzliche Ebene der Komplexität. Sie sind keine Auftragsverarbeiter, sondern eigene Verantwortliche. Das bedeutet: Du übermittelst Kundendaten an sie, hast aber keinen direkten Einfluss darauf, wie diese Daten weiterverarbeitet werden.
Für dich gilt:
Prüfe, welche Daten deine Middleware (z. B. Billbee oder Plentymarkets) an den Marktplatz überträgt. Beschränke die Weitergabe auf das Nötigste. Kundendaten, die über Amazon oder Kaufland stammen, dürfen nicht für eigene Newsletter oder Marketingaktionen genutzt werden, da keine Einwilligung vorliegt.
Rechnungen, Versandinformationen oder Garantien sollten ausschließlich über die vorgesehenen Schnittstellen der Marktplätze abgewickelt werden. Nach Abschluss des Auftrags sollten exportierte Datensätze regelmäßig gelöscht oder anonymisiert werden.
Buchhaltung, Versand und interne Abläufe
Buchhaltungssoftware und Versandtools sind essenzielle, aber oft unterschätzte Datenschutzrisiken. Nur autorisierte Personen, etwa die Geschäftsführung, Buchhalter oder Steuerberater, sollten Zugriff auf diese Systeme haben.
In Tools wie Billbee, sevDesk oder Easybill sollten regelmäßige Zugriffsüberprüfungen erfolgen. Viele Plattformen bieten Audit-Logs, mit denen sich nachvollziehen lässt, wer wann welche Daten exportiert hat. Diese Protokolle sind bei einer Datenschutzprüfung wertvoll.
Alte Rechnungen oder Versanddaten müssen nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht oder anonymisiert werden. Dabei ist zwischen steuerrechtlicher Pflicht (zehn Jahre) und Datenschutzrecht zu unterscheiden: Nach Ablauf der Pflicht dürfen personenbezogene Daten nicht weiter gespeichert bleiben, wenn sie für den ursprünglichen Zweck nicht mehr benötigt werden.
Interne Datenschutz-Dokumentation und Compliance
Ein professioneller Datenschutz im Unternehmen steht und fällt mit der Dokumentation. Bei einer Prüfung zählt weniger, ob jemals ein kleiner Fehler passiert ist, sondern ob du nachvollziehbar zeigen kannst, wie du den Datenschutz organisierst.
Diese Unterlagen solltest du bereithalten:
Verzeichnis der Verarbeitungstätigkeiten (VVT): Übersicht aller Systeme, Datenkategorien, Zwecke, Speicherorte und AV-Verträge.
Technisch-organisatorische Maßnahmen (TOMs): Beschreibung deiner Sicherheitsvorkehrungen – Zugangskontrollen, Backups, Verschlüsselung, Firewall, Passwortrichtlinien, Zwei-Faktor-Authentifizierung.
Datenschutzkonzept: Internes Dokument mit Verantwortlichkeiten und Prozessen, etwa wie mit Auskunftsersuchen oder Datenpannen umgegangen wird.
Richtlinie für Mitarbeiterzugriffe: Wer darf welche Tools nutzen, wer darf Daten exportieren oder löschen.
Nachweise: Belege über abgeschlossene AV-Verträge, Einwilligungen und Datenschutzerklärungen.
Für die Verwaltung dieser Unterlagen können spezialisierte Datenschutz-Plattformen wie Proliance360, DataGuard oder HeyData hilfreich sein. Sie führen dich strukturiert durch die Dokumentation und erleichtern die regelmäßige Aktualisierung.
Vorbereitung auf eine DSGVO-Prüfung
Eine Datenschutzprüfung klingt für viele Unternehmen bedrohlich, ist aber gut zu bewältigen, wenn die Grundlagen stimmen. Behörden oder externe Datenschutzbeauftragte fordern in der Regel dieselben Unterlagen an:
das Verzeichnis der Verarbeitungstätigkeiten, die TOMs, die Datenschutzerklärung der Website, Nachweise über technische Sicherheitsmaßnahmen und Löschkonzepte.
Lege diese Dokumente digital in einem zentralen Ordner ab – zum Beispiel „DSGVO 2025“ – mit Unterordnern für AV-Verträge, Richtlinien, Nachweise und Screenshots. So kannst du im Fall einer Anfrage alles in wenigen Minuten bereitstellen.
Datenschutz ist im Multi-Channel-E-Commerce keine lästige Pflicht, sondern ein Zeichen von Professionalität. Wer Datenflüsse dokumentiert, Verträge sauber pflegt und seine Tools regelmäßig überprüft, ist nicht nur rechtlich auf der sicheren Seite, sondern schafft Vertrauen bei Kunden und Geschäftspartnern.
Mit klaren Prozessen, geprüften Tools wie Billbee, sevDesk oder Shopify und einer gut organisierten Dokumentation lässt sich Datenschutz problemlos in den Arbeitsalltag integrieren und du bist bestens vorbereitet, falls eine Behörde tatsächlich einmal nachfragt.
