Zum Hauptinhalt springen
<digital.mann/>
Zurück zum Blog
E-Commerce8 Min. Lesezeit

TDDDG & Datenschutz für Online-Shops: Pflichtangaben und häufige Fehler

Das TDDDG regelt, was Online-Shops bei Cookies, Tracking und Nutzerdaten beachten müssen. Was Pflicht ist, welche Fehler teuer werden können und eine Checkliste für Shop-Betreiber.

Abmahnung wegen Google Fonts — kein Einzelfall

In über 20 Jahren und mehr als 500 Projekten haben wir bei digitalmann viele Situationen erlebt. Wenn ein Händler aus der Metropolregion uns wegen einer Abmahnung anruft, liegt der Grund auffällig oft nicht im Kerngeschäft, sondern in einer scheinbar kleinen technischen Entscheidung: Google Fonts, direkt von Googles Servern geladen. Genau das ist einem mittelständischen Online-Händler passiert. Streitwert: 13.000 Euro. Nicht wegen eines mangelhaften Produkts, sondern weil die Schriftart bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google übermittelt hat, ohne vorherige Einwilligung.

Dieser Fall ist kein Einzelfall. Seit das Landgericht München I im Januar 2022 Google Fonts ohne Einwilligung für rechtswidrig erklärt hat, läuft eine regelrechte Abmahnwelle. Für Online-Shop-Betreiber ist die Situation besonders kritisch: Sie verarbeiten ohnehin Kundendaten, binden Zahlungsanbieter ein und nutzen Marketing-Tools. Das vergrößert die Angriffsfläche deutlich gegenüber einer einfachen Unternehmenswebsite.

Was das TDDDG konkret für Online-Shops bedeutet, welche Fehler regelmäßig zu Abmahnungen führen und was Shop-Betreiber jetzt prüfen sollten, gehen wir in diesem Artikel durch.

TDDDG kurz erklärt: Was es regelt und was es ergänzt

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis Mai 2024 als TTDSG bekannt) ist seit 1. Dezember 2021 in Kraft. Es setzt die europäische ePrivacy-Richtlinie in deutsches Recht um und ergänzt die DSGVO an einem entscheidenden Punkt: Während die DSGVO regelt, was mit personenbezogenen Daten passiert, regelt das TDDDG bereits den Moment des Gerätezugriffs.

Konkret heißt das: Nach § 25 TDDDG ist das Speichern von Informationen auf dem Endgerät eines Nutzers, also das Setzen von Cookies, nur zulässig, wenn der Nutzer eingewilligt hat oder der Zugriff technisch unbedingt erforderlich ist. Das gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden. Ein Cookie, das keine personenbezogenen Daten enthält, kann trotzdem einwilligungspflichtig sein, wenn er nicht zwingend notwendig ist.

Für Online-Shops bedeutet das: DSGVO und TDDDG greifen ineinander. Beide müssen eingehalten werden. Zuständige Aufsichtsbehörde auf Bundesebene ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, auf Landesebene die jeweiligen Landesdatenschutzbehörden. Den vollständigen Gesetzestext des TDDDG findest du bei Gesetze im Internet.

Was im Online-Shop einwilligungspflichtig ist

Die folgenden Tools werden in vielen Shops eingesetzt, und ohne gültige Einwilligung sind sie ein rechtliches Risiko.

Google Analytics 4 erfasst Nutzerverhalten, Seitenpfade und Conversions. Es ist ein Analyse-Tool, also nicht technisch notwendig. Ohne Einwilligung ist der Einsatz unzulässig. Hinzu kommt: GA4 überträgt Daten an US-amerikanische Server, was in der Datenschutzerklärung transparent gemacht werden muss.

Der Facebook Pixel beziehungsweise Meta Pixel erstellt Nutzerprofile über Seitengrenzen hinweg und ermöglicht Remarketing-Kampagnen. Er ist immer einwilligungspflichtig, ohne Ausnahme.

Google Ads Remarketing funktioniert ähnlich: Conversion-Tracking und Zielgruppen-Listen werden über Cookies aufgebaut. Kein Nutzer darf ohne Einwilligung in eine Remarketing-Liste aufgenommen werden.

Hotjar und ähnliche Session-Recording-Tools zeichnen Klicks, Scrolltiefe und Mausbewegungen auf. Sie sind nicht technisch notwendig und stellen einen erheblichen Eingriff in die Privatsphäre dar. Einwilligung ist hier zwingend.

Beim Klaviyo- und Mailchimp-Tracking in E-Mails (Öffnungsraten, Klicks) brauchst du ebenfalls eine Rechtsgrundlage. Im E-Mail-Marketing ist die explizite Einwilligung über Double-Opt-In ohnehin Pflicht. Aber auch das Tracking-Pixel in der Mail selbst muss datenschutzkonform eingebunden sein.

Was NICHT einwilligungspflichtig ist

Nicht alles im Shop ist problematisch. Technisch notwendige Funktionen dürfen ohne Einwilligung arbeiten:

  • Session-Cookies für eingeloggte Nutzerkonten
  • Warenkorb-Cookies, die den Inhalt über die Sitzung hinweg speichern
  • Login-Tokens und CSRF-Schutz-Cookies
  • Cookies für die Sprachauswahl oder Währungseinstellung
  • Sicherheitsbezogene Cookies (z.B. für Fraud-Detection beim Checkout)

Die Abgrenzung ist nicht immer trivial. Faustregel: Wenn der Shop ohne diesen Cookie nicht korrekt funktionieren würde, ist er technisch notwendig. Wenn er nur die Arbeit des Betreibers erleichtert oder Marketingzwecke verfolgt, ist er es nicht.

Pflichtseiten im Online-Shop: Was rein muss

Jeder Online-Shop braucht vier rechtliche Pflichtseiten. Fehlen sie oder sind sie unvollständig, riskiert der Betreiber Abmahnungen, unabhängig vom Datenschutz.

Im Impressum stehen Name, Anschrift und Kontaktmöglichkeit, bei Einzelkaufleuten und GmbHs zusätzlich Handelsregisternummer und Geschäftsführer. Erreichbar muss es von jeder Seite des Shops aus mit maximal zwei Klicks sein.

Die Datenschutzerklärung listet vollständig alle verarbeiteten Daten, Zwecke, Rechtsgrundlagen und Empfänger. Dazu gehören Kundenkonto-Daten, Bestelldaten, Zahlungsdaten, eingesetzte Analyse- und Marketing-Tools, Newsletter-Dienste, Zahlungsanbieter und gegebenenfalls externe Fulfillment-Dienstleister. Sie muss aktuell sein, bei jeder Änderung im Tech-Stack also sofort anpassen.

Die AGB regeln Vertragsschluss, Preise, Lieferung, Rücktritt und Haftung. Generatortexte sind ein Ausgangspunkt, juristisch aber nicht immer ausreichend. Gerade bei digitalen Produkten, B2B-Geschäften oder speziellen Branchen ist eine anwaltliche Prüfung sinnvoll.

Bei der Widerrufsbelehrung gilt für Verbraucher im B2C-Handel die gesetzliche Widerrufsfrist von 14 Tagen. Die Belehrung muss vor Vertragsschluss deutlich sichtbar sein, nicht erst in der Bestellbestätigung.

Google Fonts: Das Problem und die einfache Lösung

Google Fonts ist technisch bequem, rechtlich aber heikel, solange die Schriften von Googles Servern geladen werden. Die Lösung: lokales Hosting.

Du lädst die gewünschten Schriftarten einmalig herunter (zum Beispiel über google-webfonts-helper) und lieferst sie direkt vom eigenen Server oder CDN aus. Keine externe Anfrage, keine IP-Übertragung, kein Datenschutzproblem. Die Performance wird sogar besser, weil ein externer DNS-Lookup wegfällt.

Wer auf Next.js setzt (wie digitalmann.de), nutzt next/font/google und bindet Schriften automatisch beim Build lokal ein. WordPress-Nutzer können das Plugin "OMGF | Host Google Fonts Locally" verwenden. Beide Ansätze lösen das Problem vollständig.

Aus unserer Praxis: Bei einem WooCommerce-Shop für einen Händler aus Speyer haben wir im Rahmen eines Redesigns festgestellt, dass das Theme Google Fonts, Google Maps und eine eingebettete Instagram-Galerie alle extern lud. Drei separate Datenschutzprobleme in einem einzigen Template. Lokales Hosting der Fonts, Two-Click-Lösung für Maps und eine Einwilligungsabfrage vor der Instagram-Einbettung haben das vollständig bereinigt. Der Aufwand war überschaubar, der Schutz vor Abmahnungen erheblich.

Zahlungsanbieter-Datenschutz: Was in die Datenschutzerklärung muss

PayPal, Klarna und Stripe sind in deutschen Online-Shops weit verbreitet. Sie alle verarbeiten Zahlungsdaten und damit sensible personenbezogene Informationen. Was in die Datenschutzerklärung muss:

PayPal übermittelt Transaktionsdaten an seine eigenen Server und verarbeitet sie nach eigenen Datenschutzrichtlinien. In deiner Datenschutzerklärung muss PayPal als Datenempfänger genannt sein, inklusive Zweck (Zahlungsabwicklung), Rechtsgrundlage (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO) und Link zur PayPal-Datenschutzerklärung.

Klarna führt beim Kauf auf Rechnung oder Ratenzahlung eine Bonitätsprüfung durch. Das heißt: Kundendaten gehen an Auskunfteien. Das muss explizit in der Datenschutzerklärung stehen, und der Kunde muss darüber informiert werden, bevor er diese Zahlungsart wählt.

Stripe verarbeitet Karteninhaberdaten und übermittelt sie in die USA. Das Unternehmen ist unter dem EU-US Data Privacy Framework zertifiziert, was eine rechtliche Grundlage für die Übermittlung schafft. Der Hinweis auf die Drittlandübermittlung muss aber trotzdem in der Datenschutzerklärung stehen.

Grundregel: Jeder Dienst, der Kundendaten erhält, muss in der Datenschutzerklärung aufgeführt sein. Bei Zahlungsanbietern gilt das besonders streng, weil die verarbeiteten Daten besonders sensibel sind.

Abmahnrisiko: Wer mahnt ab, was kostet es, wie schützt man sich

Abmahnungen im Datenschutzbereich kommen aus zwei Richtungen.

Qualifizierte Einrichtungen wie Verbraucherzentralen oder der Verband Sozialer Wettbewerb (VSW) sind berechtigt, Datenschutzverstöße abzumahnen, wenn diese gleichzeitig einen Wettbewerbsverstoß darstellen. Nach der UWG-Reform 2021 ist das Abmahnrecht eingeschränkt, aber nicht abgeschafft worden. Gerade systematische Verstöße (kein Cookie-Banner trotz Tracking zum Beispiel) bleiben abmahnbar.

Mitbewerber können ebenfalls abmahnen, wenn ein Datenschutzverstoß einen Wettbewerbsvorteil verschafft. Wer Nutzerdaten ohne Einwilligung für Remarketing nutzt, verschafft sich einen Vorteil gegenüber regelkonformen Konkurrenten. Das ist ein klassischer Ansatzpunkt für Mitbewerber-Abmahnungen.

Zu den Streitwerten: Einfache Verstöße (fehlendes Impressum, falsch formatierter Cookie-Banner) beginnen bei 1.000 bis 3.000 Euro. Schwerwiegendere Verstöße (Tracking ohne Einwilligung, fehlende Widerrufsbelehrung) liegen bei 5.000 bis 15.000 Euro. Anwaltskosten kommen dazu.

Der beste Schutz ist ein regelkonformer Shop. Darüber hinaus empfehlen viele Anwälte eine Schutzrechtsabmahnung-Versicherung als Absicherung. Wer Mitglied bei Trusted Shops ist, profitiert zusätzlich von deren Rechtsschutz-Paketen und einer regelmäßig aktualisierten Rechtstexte-Bibliothek.

Checkliste: 10 Punkte für den TDDDG/DSGVO-konformen Online-Shop

  1. Google Fonts und andere externe Ressourcen werden lokal gehostet, nicht von externen Servern geladen
  2. Ein Cookie-Consent-Banner erscheint beim ersten Seitenaufruf, bevor Analyse- oder Marketing-Skripte geladen werden
  3. "Alle ablehnen" ist gleichwertig und auf gleicher Ebene wie "Alle akzeptieren" platziert
  4. Keine nicht notwendigen Cookies werden vor Einwilligung gesetzt, auch keine durch eingebettete Drittdienste
  5. Datenschutzerklärung listet alle Dienste: Analytics, Marketing, Zahlungsanbieter, Newsletter, Fulfillment
  6. Drittlandübermittlungen (USA) sind dokumentiert und rechtlich abgesichert (z.B. Adequacy Decision, SCCs)
  7. Impressum, AGB und Widerrufsbelehrung sind vollständig und von jeder Seite aus erreichbar
  8. Zahlungsanbieter wie Klarna mit Bonitätsprüfung sind in der Datenschutzerklärung mit konkretem Hinweis auf Auskunfteien aufgeführt
  9. E-Mail-Marketing läuft ausschließlich über Double-Opt-In, Einwilligungen werden dokumentiert
  10. Datenschutzerklärung wird bei jeder Änderung am Tech-Stack sofort aktualisiert

Wann ein Anwalt sinnvoll ist und wann Tools wie Trusted Shops reichen

Für viele KMU-Shops ist Trusted Shops eine pragmatische Lösung. Die Plattform liefert regelmäßig aktualisierte Rechtstexte (Datenschutzerklärung, AGB, Widerrufsbelehrung), ein integriertes Bewertungssystem und Abmahnschutz. Das spart Kosten und sorgt dafür, dass die Texte aktuell bleiben, ohne dass bei jeder Gesetzesänderung ein Anwalt beauftragt werden muss.

Ein Anwalt ist trotzdem sinnvoll, wenn:

  • der Shop B2B- und B2C-Geschäft parallel betreibt, weil sich die rechtlichen Anforderungen erheblich unterscheiden
  • digitale Produkte oder Abonnements verkauft werden, die besondere Regelungen für das Widerrufsrecht erfordern
  • Klarna oder andere Anbieter mit Bonitätsprüfung eingebunden sind, weil sich hier eine individuelle Prüfung der Datenschutzklauseln empfiehlt
  • ein Abmahnschreiben bereits eingegangen ist. In diesem Fall nie ohne Anwalt reagieren.

Für Shops, die gerade neu aufgesetzt werden oder nach längerer Zeit überprüft werden sollen, ist ein Datenschutz-Audit sinnvoll, entweder durch einen Spezialanwalt oder durch eine Agentur, die technische und rechtliche Aspekte gemeinsam betrachten kann.

Branchenspezifisches Webdesign für Online-Händler, inklusive DSGVO-Setup, behandeln wir auf unserer Seite Webdesign für E-Commerce & Online-Shops.

Wir bauen datenschutzkonforme Online-Shops für Händler in der Metropolregion Rhein-Neckar und deutschlandweit, technisch sauber und rechtlich abgesichert. Wenn du unsicher bist, wo dein Shop aktuell steht, melde dich einfach. Beim kostenlosen Erstgespräch schauen wir gemeinsam, wo Handlungsbedarf besteht. Konkret und ohne Verkaufsdruck. Jetzt Erstgespräch anfragen oder mehr über unsere Leistungen im E-Commerce-Bereich erfahren.

Weitere Hintergründe zu Cookie-Bannern und Consent-Pflichten findest du in unserem Artikel Datenschutz & Cookie-Banner 2026. Wer seinen Shop zusätzlich auf die richtige Plattform stellen möchte, findet in unserem Vergleich JTL-Shop vs. Shopify vs. WooCommerce eine fundierte Entscheidungsgrundlage.

MA

Mehmet Aydoğdu

Digital Operations Architect & Developer

Mehmet (alias digitalmann) digitalisiert Unternehmen — KMU, Handwerksbetriebe, Kanzleien, Online-Händler. Mit über 20 Jahren Praxiserfahrung aus Agentur und Konzern. Was hier steht, kommt aus realen Projekten: Websites, Shops, CRM- und ERP-Systeme. KI-Werkzeuge helfen bei der Aufbereitung. Das Urteil bleibt seines.

Aktualisiert: 6. April 2026

Kostenloses Erstgespräch

Eine Website, die dir
Kunden bringt.

Festpreis ab 699 € oder Miete ab 39 €/Monat, monatlich kündbar. Wir melden uns innerhalb von 24 h (Mo–Fr) mit einem schriftlichen Angebot.

Anfrage starten Preise ansehen
Festpreis vor dem StartKeine VertragslaufzeitAntwort in 24 h (Mo–Fr)

Webdesign in Ihrer Region

Persönliche Beratung, schnelle Erreichbarkeit — regional verankert, digital stark.

Direktes Einzugsgebiet · bis 45 Min.

ReilingenBW · 8 Min.SchwetzingenBW · 10 Min.Sankt Leon-RotBW · 10 Min.BrühlBW · 12 Min.KetschBW · 12 Min.Oberhausen-RheinhausenBW · 12 Min.WalldorfBW · 14 Min.PlankstadtBW · 15 Min.SandhausenBW · 15 Min.LimburgerhofRP · 18 Min.WaghäuselBW · 18 Min.EppelheimBW · 18 Min.
Alle 52 Standorte ansehen →