Shopify Buy Button und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber den Shopify Buy Button auf seiner Webseite ein, verarbeitet Shopify beim Aufruf einer Seite mit eingebundenem Buy-Button-Widget regelmäßig Webserver-Protokolldaten und – im weiteren Bestellprozess – Bestell- und Zahlungsdaten der Nutzer, um Produkte direkt aus einer fremden Webseite heraus über einen Shopify-Shop verkaufen zu können. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten Shopify nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet und welche Pflichtangaben in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise des Shopify Buy Button

Der Shopify Buy Button ist ein in fremde Webseiten einbettbares JavaScript-Widget, mit dem Webseitenbetreiber – auch ohne eigenen Shopify-Shop als Hauptverkaufskanal – Produkte aus einem Shopify-Backend in andere Webseiten (z. B. eine Wordpress-Seite, ein eigenes CMS, einen Blog) integrieren können. Beim Klick auf den Buy Button öffnet sich ein Warenkorb- und Checkout-Overlay, das von Shopify gehostet und ausgeliefert wird. Der eigentliche Kaufprozess (Warenkorb, Bezahlung, Bestellabschluss) findet damit innerhalb der Shopify-Infrastruktur statt.

Diese Seite konzentriert sich auf die Integrations-Funktion Buy Button-Widget. Andere Shopify-Funktionen (vollständiger Shopify-Shop, Shopify-POS, Shopify-Apps) sind nicht Gegenstand dieser Darstellung. Sobald ein Endgerät eine Seite mit eingebundenem Buy Button lädt, ruft der Browser des Nutzers das Widget direkt von Shopify-Servern ab.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz des Shopify Buy Button

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz des Shopify Buy Button sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, den Shopify Buy Button mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Drittanbieter-Inhalte, Verkauf/Zahlung …) beschreibt und Shopify lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter des Shopify Buy Button

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Shopify International Limited, mit Sitz in 2nd Floor Victoria Buildings, 1–2 Haddington Road, Dublin 4, D04 XN32, Irland. Konzernmuttergesellschaft ist die Shopify Inc., mit Sitz in 151 O'Connor Street, Ground floor, Ottawa, ON, K2P 2L8, Kanada.

Kanada ist nach dem Angemessenheitsbeschluss der EU-Kommission ein sicheres Drittland. Soweit Shopify Konzern- oder Subprozessoren in den USA einsetzt, wird die Übermittlung nach den öffentlich zugänglichen Angaben über EU-Standardvertragsklauseln und – im Hinblick auf US-zertifizierte Subprozessoren – über das EU-US Data Privacy Framework abgesichert.

Die Datenschutzhinweise von Shopify sind abrufbar unter https://www.shopify.com/legal/privacy. Der Auftragsverarbeitungsvertrag (Data Processing Addendum) wird über das Shopify Trust Center bereitgestellt.

D. Datenverarbeitung durch den Shopify Buy Button – Ablauf in Schritten

E. Erhobene Daten beim Einsatz des Shopify Buy Button

Im Zusammenhang mit dem Shopify Buy Button werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, User-Agent, Endgerät- und Browser-Informationen, Conversion-Ereignisse (Anzeige des Widgets, Klick, Bestellabschluss) sowie – im Bestellprozess – Name, Anschrift, E-Mail-Adresse, Telefonnummer, Bestellpositionen und Zahlungsdaten verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort.
• Endgeräte-Daten: Gerätetyp und Betriebssystem.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Conversion-Ereignisse: Anzeige des Widgets, Klick, Bestellabschluss.
• Nutzer-Inhalte: in Formularfelder im Checkout eingegebene Daten (z. B. Bestellnotizen).

Im Bestellprozess werden zudem typische Kauf- und Zahlungsdaten verarbeitet (Name, Anschrift, E-Mail, Bestellpositionen, Zahlungsinformationen).

F. Nutzungszwecke beim Einsatz des Shopify Buy Button

Webseitenbetreiber nutzen den Shopify Buy Button typischerweise zum Verkauf von Produkten direkt aus einer fremden Webseite heraus, ohne den Nutzer auf einen separaten Shopify-Shop weiterleiten zu müssen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Anzeige des Buy Button und Checkout-Overlays als Drittanbieter-Inhalt sowie Bereitstellung der Bezahl- und Bestellfunktion.
• Vertragsdurchführung: Abwicklung des Kaufvertrags zwischen Webseitenbetreiber und Nutzer, einschließlich Zahlungsabwicklung und Versand.
• Sicherheit und Missbrauchsschutz: Erkennung und Verhinderung von Betrug im Bestellprozess.
• Erfüllung von Aufbewahrungspflichten: Aufbewahrung von Bestelldaten zur Einhaltung steuer- und handelsrechtlicher Vorschriften.
• Kommunikation: Bestellbestätigung und Rückfragen.

G. Rechtsgrundlagen beim Einsatz des Shopify Buy Button

In einem ersten Schritt ist der Shopify Buy Button einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Verkauf/Zahlung, ergänzt um die Kategorie Drittanbieter-Inhalte, da das Widget Inhalte direkt von Shopify-Servern lädt.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für die Einbindung des Widgets als Drittanbieter-Inhalt: regelmäßig Drittanbieter-Inhalte-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Soweit das Widget allein zur Bereitstellung der ausdrücklich gewünschten Bezahl- und Bestellfunktion dient, kann eine Stützung auf die Erforderlichkeitsausnahme des § 25 Abs. 2 TDDDG bzw. Art. 6 Abs. 1 lit. b DSGVO in Betracht kommen; die Bewertung ist im Einzelfall vorzunehmen.
• Für die Verarbeitung von Bestell- und Zahlungsdaten: Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO.
• Für die Aufbewahrung steuer- und handelsrechtlicher Daten: rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO (z. B. § 147 AO, § 257 HGB).
• Für Betrugsabwehr und Sicherheit: berechtigte Interessen an Missbrauchsschutz und Sicherheit nach Art. 6 Abs. 1 lit. f DSGVO.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Einsatzes (Consent-Banner, Konfiguration des Widgets) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zum Shopify Buy Button

• AVV/DPA: Shopify stellt ein Data Processing Addendum bereit; der Abschluss ist beim Einsatz durch deutsche Webseitenbetreiber regelmäßig zwingend.
• Drittanbieter-Inhalt: Der Buy Button lädt JavaScript und Inhalte von Shopify-Servern. Eine vorherige Einwilligung im Consent-Banner kann erforderlich sein, soweit das Widget nicht ausschließlich der Bereitstellung der ausdrücklich gewünschten Bezahlfunktion dient.
• Drittlandtransfer: Shopify International Limited sitzt in Irland; die Konzernmutter Shopify Inc. in Kanada (sicheres Drittland nach Angemessenheitsbeschluss). US-Subprozessoren werden über EU-Standardvertragsklauseln und ggf. das EU-US Data Privacy Framework abgesichert.
• Subprozessoren: Eine Liste ergibt sich aus dem Shopify Trust Center.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist eine bewusste Konfiguration des Buy Button, eine Kopplung an das Consent-Management-System und eine sorgfältige Dokumentation der Bestell- und Zahlungsabwicklung.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zum Shopify Buy Button und Datenschutz

J. Fazit zum Shopify Buy Button

Beim Einsatz des Shopify Buy Button werden personenbezogene Daten der Nutzer direkt an Shopify übermittelt. Vertragspartner ist regelmäßig die Shopify International Limited mit Sitz in Irland; die Konzernmutter Shopify Inc. sitzt in Kanada (sicheres Drittland). Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, eine saubere Einbindung im Consent-Management und die Aufnahme von Shopify im Anhang Empfänger der Datenschutzerklärung.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für den Shopify Buy Button einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Drittanbieter-Inhalte, Verkauf/Zahlung …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Anbieter wie Shopify nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com