Zum Hauptinhalt springen
<digital.mann/>
Zurück zum Blog
E-Commerce8 Min. Lesezeit

TDDDG & Datenschutz für Online-Shops: Pflichtangaben und häufige Fehler

Das TDDDG regelt, was Online-Shops bei Cookies, Tracking und Nutzerdaten beachten müssen. Was Pflicht ist, welche Fehler teuer werden können und eine Checkliste für Shop-Betreiber.

Abmahnung wegen Google Fonts — kein Einzelfall

In über 20 Jahren und mehr als 500 Projekten haben wir bei digitalmann viele Situationen erlebt — aber wenn ein Händler aus der Metropolregion uns wegen einer Abmahnung anruft, liegt der Grund erschreckend oft nicht im Kerngeschäft. Sondern in einer scheinbar kleinen technischen Entscheidung: Google Fonts, direkt von Googles Servern geladen. Genau das ist einem mittelständischen Online-Händler passiert — Streitwert: 13.000 Euro. Nicht wegen eines mangelhaften Produkts, sondern weil die Schriftart bei jedem Seitenaufruf die IP-Adresse des Besuchers an Google übermittelt hat, ohne vorherige Einwilligung.

Dieser Fall ist kein Einzelfall. Seit das Landgericht München I im Januar 2022 Google Fonts ohne Einwilligung für rechtswidrig erklärt hat, hat sich eine regelrechte Abmahnwelle entwickelt. Für Online-Shop-Betreiber ist die Situation besonders kritisch: Sie verarbeiten ohnehin Kundendaten, binden Zahlungsanbieter ein und nutzen Marketing-Tools — das erhöht die Angriffsfläche deutlich gegenüber einer einfachen Unternehmenswebsite.

Dieser Artikel erklärt, was das TDDDG konkret für Online-Shops bedeutet, welche Fehler regelmäßig zu Abmahnungen führen und was Shop-Betreiber jetzt konkret prüfen sollten.

TDDDG kurz erklärt: Was es regelt und was es ergänzt

Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, bis Mai 2024 als TTDSG bekannt) ist seit 1. Dezember 2021 in Kraft. Es setzt die europäische ePrivacy-Richtlinie in deutsches Recht um und ergänzt die DSGVO in einem entscheidenden Punkt: Während die DSGVO regelt, was mit personenbezogenen Daten passiert, regelt das TDDDG bereits den Moment des Gerätezugriffs.

Konkret: Nach § 25 TDDDG ist das Speichern von Informationen auf dem Endgerät eines Nutzers — also das Setzen von Cookies — nur zulässig, wenn der Nutzer eingewilligt hat oder der Zugriff technisch unbedingt erforderlich ist. Das gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden. Ein Cookie, das keine personenbezogenen Daten enthält, kann trotzdem einwilligungspflichtig sein, wenn er nicht zwingend notwendig ist.

Für Online-Shops bedeutet das: DSGVO und TDDDG greifen ineinander. Beide müssen eingehalten werden. Zuständige Aufsichtsbehörde auf Bundesebene ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, auf Landesebene die jeweiligen Landesdatenschutzbehörden. Den vollständigen Gesetzestext des TDDDG findest du bei Gesetze im Internet.

Was im Online-Shop einwilligungspflichtig ist

Die folgende Liste enthält Tools, die in vielen Shops eingesetzt werden — und die ohne gültige Einwilligung ein rechtliches Risiko darstellen:

Google Analytics 4 erfasst Nutzerverhalten, Seitenpfade und Conversions. Es handelt sich um ein Analyse-Tool, das nicht technisch notwendig ist. Ohne Einwilligung ist der Einsatz unzulässig. Hinzu kommt: GA4 überträgt Daten an US-amerikanische Server — ein zusätzliches Problem, das in der Datenschutzerklärung transparent gemacht werden muss.

Facebook Pixel / Meta Pixel erstellt Nutzerprofile über Seitengrenzen hinweg und ermöglicht Remarketing-Kampagnen. Er ist immer einwilligungspflichtig, ohne Ausnahme.

Google Ads Remarketing funktioniert ähnlich: Conversion-Tracking und Zielgruppen-Listen werden über Cookies aufgebaut. Kein Nutzer darf ohne Einwilligung in eine Remarketing-Liste aufgenommen werden.

Hotjar und ähnliche Session-Recording-Tools zeichnen Klicks, Scrolltiefe und Mausbewegungen auf. Sie sind nicht technisch notwendig und stellen einen erheblichen Eingriff in die Privatsphäre dar — Einwilligung ist zwingend erforderlich.

Klaviyo- und Mailchimp-Tracking in E-Mails (Öffnungsraten, Klicks) erfordert ebenfalls eine Rechtsgrundlage. Im E-Mail-Marketing ist die explizite Einwilligung über Double-Opt-In ohnehin Pflicht — aber auch das Tracking-Pixel in der E-Mail selbst muss datenschutzkonform eingebunden sein.

Was NICHT einwilligungspflichtig ist

Nicht alles im Shop ist problematisch. Technisch notwendige Funktionen dürfen ohne Einwilligung arbeiten:

  • Session-Cookies für eingeloggte Nutzerkonten
  • Warenkorb-Cookies, die den Inhalt über die Sitzung hinweg speichern
  • Login-Tokens und CSRF-Schutz-Cookies
  • Cookies für die Sprachauswahl oder Währungseinstellung
  • Sicherheitsbezogene Cookies (z.B. für Fraud-Detection beim Checkout)

Die Abgrenzung ist manchmal nicht trivial. Die Faustregel: Wenn der Shop ohne diesen Cookie nicht korrekt funktionieren würde — dann ist er technisch notwendig. Wenn er nur die Arbeit des Betreibers erleichtert oder Marketingzwecke verfolgt, ist er es nicht.

Pflichtseiten im Online-Shop: Was rein muss

Jeder Online-Shop braucht vier rechtliche Pflichtseiten. Fehlen sie oder sind sie unvollständig, riskiert der Betreiber Abmahnungen — unabhängig vom Datenschutz.

Impressum: Name, Anschrift, Kontaktmöglichkeit, bei Einzelkaufleuten und GmbHs zusätzlich Handelsregisternummer und Geschäftsführer. Das Impressum muss von jeder Seite des Shops aus mit maximal zwei Klicks erreichbar sein.

Datenschutzerklärung: Vollständige Auflistung aller verarbeiteten Daten, Zwecke, Rechtsgrundlagen und Empfänger. Dazu gehören: Kundenkonto-Daten, Bestelldaten, Zahlungsdaten, eingesetzte Analyse- und Marketing-Tools, Newsletter-Dienste, Zahlungsanbieter und ggf. externe Fulfillment-Dienstleister. Die Erklärung muss aktuell sein — bei jeder Änderung im Tech-Stack sofort anpassen.

AGB: Allgemeine Geschäftsbedingungen regeln Vertragsschluss, Preise, Lieferung, Rücktritt und Haftung. Generatortexte sind ein Ausgangspunkt, aber juristisch nicht immer ausreichend — gerade bei digitalen Produkten, B2B-Geschäften oder speziellen Branchen ist eine anwaltliche Prüfung sinnvoll.

Widerrufsbelehrung: Für Verbraucher im B2C-Handel ist die gesetzliche Widerrufsfrist von 14 Tagen Pflicht. Die Belehrung muss vor Vertragsschluss deutlich sichtbar sein, nicht erst in der Bestellbestätigung.

Google Fonts: Das Problem und die einfache Lösung

Google Fonts ist technisch bequem — aber rechtlich heikel, solange die Schriften von Googles Servern geladen werden. Die Lösung ist denkbar einfach: lokales Hosting.

Die gewünschten Schriftarten werden einmalig heruntergeladen (z.B. über google-webfonts-helper) und direkt auf dem eigenen Server oder CDN ausgeliefert. Keine externe Anfrage, keine IP-Übertragung, kein Datenschutzproblem. Die Performance ist dabei sogar besser, weil ein externer DNS-Lookup entfällt.

Wer auf Next.js setzt — wie digitalmann.de — nutzt next/font/google, das Schriften automatisch beim Build lokal einbindet. WordPress-Nutzer können das Plugin "OMGF | Host Google Fonts Locally" verwenden. Beide Ansätze lösen das Problem vollständig.

Aus unserer Praxis: Bei einem WooCommerce-Shop für einen Händler aus Speyer haben wir im Rahmen eines Redesigns festgestellt, dass das Theme Google Fonts, Google Maps und eine eingebettete Instagram-Galerie alle extern lud — drei separate Datenschutzprobleme in einem einzigen Template. Lokales Hosting der Fonts, Two-Click-Lösung für Maps und eine Einwilligungsabfrage vor der Instagram-Einbettung haben das vollständig bereinigt. Der Aufwand war überschaubar; der Schutz vor Abmahnungen erheblich.

Zahlungsanbieter-Datenschutz: Was in die Datenschutzerklärung muss

PayPal, Klarna und Stripe sind in deutschen Online-Shops weit verbreitet. Sie alle verarbeiten Zahlungsdaten — und damit sensible personenbezogene Informationen. Was in die Datenschutzerklärung muss:

PayPal übermittelt Transaktionsdaten an seine eigenen Server und verarbeitet sie nach eigenen Datenschutzrichtlinien. In der Datenschutzerklärung muss PayPal als Datenempfänger genannt sein, inklusive Zweck (Zahlungsabwicklung), Rechtsgrundlage (Vertragserfüllung, Art. 6 Abs. 1 lit. b DSGVO) und Link zur PayPal-Datenschutzerklärung.

Klarna führt beim Kauf auf Rechnung oder Ratenzahlung eine Bonitätsprüfung durch. Das bedeutet: Kundendaten werden an Auskunfteien weitergegeben. Das muss explizit in der Datenschutzerklärung stehen — und der Kunde muss darüber informiert werden, bevor er diese Zahlungsart wählt.

Stripe verarbeitet Karteninhaberdaten und übermittelt sie in die USA. Das Unternehmen ist unter dem EU-US Data Privacy Framework zertifiziert, was eine rechtliche Grundlage für die Übermittlung schafft — aber der Hinweis auf die Drittlandübermittlung muss in der Datenschutzerklärung enthalten sein.

Grundregel: Jeder Dienst, der Kundendaten erhält, muss in der Datenschutzerklärung aufgeführt sein. Bei Zahlungsanbietern gilt das besonders streng, weil die verarbeiteten Daten besonders sensibel sind.

Abmahnrisiko: Wer mahnt ab, was kostet es, wie schützt man sich

Abmahnungen im Datenschutzbereich kommen aus zwei Richtungen:

Qualifizierte Einrichtungen wie Verbraucherzentralen oder der Verband Sozialer Wettbewerb (VSW) sind berechtigt, Datenschutzverstöße abzumahnen, wenn diese gleichzeitig einen Wettbewerbsverstoß darstellen. Nach der UWG-Reform 2021 ist das Abmahnrecht eingeschränkt worden — aber nicht abgeschafft. Gerade systematische Verstöße (z.B. kein Cookie-Banner trotz Tracking) bleiben abmahnbar.

Mitbewerber können ebenfalls abmahnen, wenn ein Datenschutzverstoß einen Wettbewerbsvorteil verschafft. Wer Nutzerdaten ohne Einwilligung für Remarketing nutzt, verschafft sich einen Vorteil gegenüber regelkonformen Konkurrenten — das ist ein klassischer Ansatzpunkt für Mitbewerber-Abmahnungen.

Typische Streitwerte: Einfache Verstöße (fehlendes Impressum, falsch formatierter Cookie-Banner) beginnen bei 1.000 bis 3.000 Euro. Schwerwiegendere Verstöße (Tracking ohne Einwilligung, fehlende Widerrufsbelehrung) liegen bei 5.000 bis 15.000 Euro. Anwaltskosten kommen hinzu.

Schutz: Der beste Schutz ist ein regelkonformer Shop. Darüber hinaus empfehlen viele Anwälte eine Schutzrechtsabmahnung-Versicherung als Absicherung. Wer Mitglied bei Trusted Shops ist, profitiert zudem von deren Rechtsschutz-Paketen und einer regelmäßig aktualisierten Rechtstexte-Bibliothek.

Checkliste: 10 Punkte für den TDDDG/DSGVO-konformen Online-Shop

  1. Google Fonts und andere externe Ressourcen werden lokal gehostet, nicht von externen Servern geladen
  2. Ein Cookie-Consent-Banner erscheint beim ersten Seitenaufruf, bevor Analyse- oder Marketing-Skripte geladen werden
  3. "Alle ablehnen" ist gleichwertig und auf gleicher Ebene wie "Alle akzeptieren" platziert
  4. Keine nicht notwendigen Cookies werden vor Einwilligung gesetzt — auch keine durch eingebettete Drittdienste
  5. Datenschutzerklärung listet alle Dienste: Analytics, Marketing, Zahlungsanbieter, Newsletter, Fulfillment
  6. Drittlandübermittlungen (USA) sind dokumentiert und rechtlich abgesichert (z.B. Adequacy Decision, SCCs)
  7. Impressum, AGB und Widerrufsbelehrung sind vollständig und von jeder Seite aus erreichbar
  8. Zahlungsanbieter wie Klarna mit Bonitätsprüfung sind in der Datenschutzerklärung mit konkretem Hinweis auf Auskunfteien aufgeführt
  9. E-Mail-Marketing läuft ausschließlich über Double-Opt-In, Einwilligungen werden dokumentiert
  10. Datenschutzerklärung wird bei jeder Änderung am Tech-Stack sofort aktualisiert

Wann ein Anwalt sinnvoll ist — und wann Tools wie Trusted Shops reichen

Für viele KMU-Shops ist Trusted Shops eine pragmatische Lösung: Die Plattform bietet regelmäßig aktualisierte Rechtstexte (Datenschutzerklärung, AGB, Widerrufsbelehrung), ein integriertes Bewertungssystem und Abmahnschutz. Das spart Kosten und sorgt dafür, dass die Texte aktuell bleiben, ohne dass bei jeder Gesetzesänderung ein Anwalt beauftragt werden muss.

Ein Anwalt ist dennoch sinnvoll in folgenden Situationen:

  • Der Shop betreibt B2B- und B2C-Geschäft parallel — die rechtlichen Anforderungen unterscheiden sich erheblich
  • Es werden digitale Produkte oder Abonnements verkauft, die besondere Regelungen für das Widerrufsrecht erfordern
  • Klarna oder andere Anbieter mit Bonitätsprüfung sind eingebunden — hier empfiehlt sich eine individuelle Prüfung der Datenschutzklauseln
  • Ein Abmahnschreiben ist bereits eingegangen — in diesem Fall nie ohne Anwalt reagieren

Für Shops, die gerade neu aufgesetzt werden oder nach längerer Zeit überprüft werden sollen, ist ein Datenschutz-Audit sinnvoll — entweder durch einen Spezialanwalt oder durch eine Agentur, die technische und rechtliche Aspekte gemeinsam betrachten kann.

Wir bauen datenschutzkonforme Online-Shops für Händler in der Metropolregion Rhein-Neckar und deutschlandweit — technisch sauber, rechtlich abgesichert. Wenn du unsicher bist, wo dein Shop aktuell steht, meld dich einfach. Beim kostenlosen Erstgespräch prüfen wir gemeinsam, wo Handlungsbedarf besteht — konkret und ohne Verkaufsdruck. Jetzt Erstgespräch anfragen oder mehr über unsere Leistungen im E-Commerce-Bereich erfahren.

Weitere Hintergründe zu Cookie-Bannern und Consent-Pflichten findest du in unserem Artikel Datenschutz & Cookie-Banner 2026. Wer seinen Shop zusätzlich auf die richtige Plattform stellen möchte, findet in unserem Vergleich JTL-Shop vs. Shopify vs. WooCommerce eine fundierte Entscheidungsgrundlage.

MA

Mehmet

digitalmann — Erfahrung, die man nicht googeln kann.

Mehmet (alias digitalmann) digitalisiert seit über 20 Jahren Unternehmen — KMU, Handwerksbetriebe, Kanzleien, Online-Händler. Was hier steht, kommt aus hunderten Projekten: Websites, Shops, CRM- und ERP-Systeme. KI-Werkzeuge helfen bei der Aufbereitung. Das Urteil bleibt seines.

Aktualisiert: 14. April 2026

Kostenloses Erstgespräch

Bereit loszulegen?

Wir melden uns innerhalb von 24 Stunden mit einem unverbindlichen Angebot.

Jetzt anfragen
Keine versteckten KostenAntwort in 24hPersönliche Betreuung