Fasse den Artikel im Bullet-Stil zusammen.

ChatGPT öffnen Perplexity öffnen

Inhaltsverzeichnis

Dropshipping & DSGVO: Viele Händler vergessen den AVV – und landen damit direkt hinter Gittern

Dropshipping ist smart, aber fast alle Onlinehändler vergessen, dass die DSGVO nicht bei der eigenen Datenschutzerklärung verendet. Ein Auftragsdaten Verarbeitungsvertrag, kurz AVV vergessen die meisten, nicht nur die Dropshipper.

Und das ist ein folgenschwerer Fehler:

👉 Viele Händler kümmern sich um Preise, Lieferzeiten und Verfügbarkeiten – aber nicht um die DSGVO.
👉 Und ganz konkret nicht um den Auftragsverarbeitungsvertrag (AVV).

Der Knackpunkt ist simpel:
Sobald du Kundendaten an einen Dritten z.B. Großhändler weitergibst, damit dieser die Ware für dich versendet, verarbeitet dieser personenbezogene Daten in deinem Auftrag.
Damit greift Art. 28 DSGVO – und der AVV wird Pflicht.

Aber wichtig:
Das gilt nicht nur für Dropshipping.
Auch Händler, die ein ERP nutzen, einen Fulfillment-Dienstleister einsetzen oder externe Tools einbinden, benötigen zwingend einen AVV mit dem jeweiligen Geschäftspartner.

Kurz:
Wer im E-Commerce Daten weitergibt, braucht einen AVV. Punkt.

Warum Dropshipping AVV-relevant wird

Beim Dropshipping passiert Folgendes:

  1. Der Kunde bestellt bei dir.
  2. Du leitest personenbezogene Daten weiter.
  3. Der Großhändler nutzt diese Daten ausschließlich für deine Bestellung.

Damit liegt eine Datenverarbeitung im Auftrag vor → AVV-Pflicht.

Genau dieses Prinzip greift aber ebenso bei:

  • ERP-Software (z. B. JTL (wenn du fremd hostest), Billbee, plentymarkets)
  • Cloud-Tools (Pickware Cloud, Shopify)
  • Fulfillment-Dienstleistern (z. B. Unicorn Fulfillment, OneFulfillment, Fiege, Amazon MCF)
  • SaaS-CRM-Systemen
  • Newsletter-Tools wie Brevo, Mailchimp, Klaviyo
  • Ticketsystemen (z. B. Zendesk, Gorgias)
  • Hosting & Servern
  • Helpdesk-Auslagerung
  • Zahlungsdienstleistern (teilweise)

Alle diese Anbieter verarbeiten personenbezogene Daten in deinem Auftrag.

Ergebnis:

👉 Wenn du mit ihnen arbeitest, brauchst du einen AVV.

Datenweitergabe an Dritte & Marktplatz-Pflichten

Ist die Datenweitergabe an Dritte in der Datenschutzerklärung abgedeckt?
Grundsätzlich: Ja – aber nur, wenn du konkret und vollständig erklärst, welche Dienstleister deine Kundendaten erhalten (z. B. Großhändler, ERP, Fulfiller, Versanddienstleister, Zahlungsdienste).

  • Die Weitergabe muss transparent und zweckgebunden erklärt sein.
  • Du musst die Rechtsgrundlage (Art. 6 Abs. 1 DSGVO) nennen.
  • Bei Dienstleistern außerhalb der EU brauchst du zusätzliche Hinweise (SCC, TIA etc.).
  • Die Datenschutzerklärung ersetzt den AVV nicht.

Decken eBay oder Amazon diese Weitergabe für mich ab?

  • Nein. Marktplätze decken nicht deine Datenweitergaben an Dritte wie Großhändler oder Fulfillment-Partner ab.
  • eBay & Amazon informieren nur über Ihre eigene Datenverarbeitung – nicht über deine.
  • Du bleibst der Verantwortliche für deine Weitergaben nach DSGVO.
  • Für jede externe Datenverarbeitung brauchst du einen gemäß Art. 28 DSGVO.

Merke: Selbst wenn der Kunde über Amazon oder eBay kauft, bleibst du für die Datenweitergabe verantwortlich.

Was ist ein AVV eigentlich – und wozu brauchst du ihn?

Ein AVV (Auftragsverarbeitungsvertrag) nach Art. 28 DSGVO stellt sicher, dass ein Dienstleister personenbezogene Daten für dich rechtmäßig, sicher und nach deiner Weisung verarbeitet.

Ein AVV ist Pflicht, sobald ein externer Anbieter für dich Daten verarbeitet, darunter:

  • ERP
  • Fulfillment
  • Dropshipping
  • Hosting
  • Newsletter-Tools
  • Analysedienste
  • Cloud-Dienste
  • Ticket- & Supportsysteme
  • Backup-Services

Der AVV regelt unter anderem:

  • Zweck der Verarbeitung
  • technische & organisatorische Maßnahmen
  • Unterauftragsverhältnisse
  • Vertraulichkeit
  • Löschungspflichten
  • Prüfungsrechte

Kurz: Ohne AVV darfst du keine personenbezogenen Daten weitergeben.

Dropshipping: Wann ist der Großhändler ein Auftragsverarbeiter?

In der Regel immer.

Der Großhändler:

  • packt deine Bestellung
  • erstellt Versandlabel
  • organisiert den Versand
  • nutzt Trackingdaten
  • wickelt Retouren für dich ab

All das sind Tätigkeiten, die auf Basis deiner Kundendaten durchgeführt werden.

Damit wird der Großhändler automatisch zum Auftragsverarbeiter → AVV-Pflicht.

Und wann braucht man keinen AVV?

Nur in sehr seltenen Sonderfällen:

  • Der Großhändler tritt selbst als Verkäufer auf.
  • Er nutzt Kundendaten für eigene Zwecke.
  • Rückabwicklung erfolgt nicht in deinem Auftrag.

Im klassischen Dropshipping ist das fast nie der Fall.

Muster-AVV gemäß Art. 28 DSGVO

Zwischen
[Name und Anschrift des verantwortlichen Händlers]
– nachfolgend „Verantwortlicher“ –

und
[Name und Anschrift des Auftragsverarbeiters, z. B. Großhändler, Fulfillment-Anbieter, ERP-Dienstleister]
– nachfolgend „Auftragsverarbeiter“ –

wird folgender Vertrag über die Verarbeitung personenbezogener Daten geschlossen:

1. Gegenstand der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen, um folgende Leistungen zu erbringen:

  • Bestellabwicklung
  • Kommissionierung, Verpackung und Versand
  • Lagerhaltung / Logistik
  • ERP-/Shop-System-Betrieb
  • Retourenabwicklung

2. Art der personenbezogenen Daten

  • Name, Anschrift, E-Mail, Telefonnummer
  • Bestell- und Lieferdaten
  • Artikel- und Zahlungsinformationen (ohne Kreditkartendaten)

3. Kategorien betroffener Personen

  • Kunden des Verantwortlichen
  • Interessenten
  • ggf. Mitarbeiter

4. Rechte und Pflichten des Verantwortlichen

  • Der Verantwortliche bleibt Eigentümer der Daten.
  • Er stellt sicher, dass die Datenverarbeitung rechtmäßig erfolgt.
  • Er erteilt Weisungen ausschließlich in Textform.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich insbesondere:

  • Daten ausschließlich nach dokumentierter Weisung zu verarbeiten.
  • Vertraulichkeit der Mitarbeitenden sicherzustellen.
  • Verarbeitung in der EU bzw. nach DSGVO-konformen Standards.
  • Technische und organisatorische Maßnahmen (TOMs) vorzuhalten.
  • Datenpannen unverzüglich (max. 24 h) an den Verantwortlichen zu melden.
  • Subunternehmer nur nach vorheriger Genehmigung einzusetzen.

6. Technische und organisatorische Maßnahmen (TOMs)

Der Auftragsverarbeiter gewährleistet u. a.:

  • Zutritts- und Zugriffskontrollen
  • Transport- und Speicherungssicherheit
  • Backup- & Wiederherstellungsverfahren
  • Protokollierung sicherheitsrelevanter Vorgänge

7. Subunternehmer

Der Einsatz von Unterauftragnehmern ist zulässig, sofern:

  • der Verantwortliche vorher zustimmt,
  • ein gleichwertiger AVV auch mit dem Subunternehmer abgeschlossen wird.

8. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

  • Kunden-Anfragen nach Art. 15 ff. DSGVO
  • Datenschutz-Folgenabschätzungen
  • Meldungen an Behörden

9. Dauer der Verarbeitung

Die Verarbeitung beginnt mit Vertragsstart und endet mit Beendigung des Hauptvertrages.

10. Löschung oder Rückgabe der Daten

Nach Vertragsende werden alle personenbezogenen Daten:

  • an den Verantwortlichen zurückgegeben oder
  • nachweisbar gelöscht.

11. Kontrolle und Nachweis

Der Verantwortliche hat das Recht, angemessene Audits und Prüfungen durchzuführen.

12. Schlussbestimmungen

  • Gerichtsstand ist der Sitz des Verantwortlichen.
  • Änderungen bedürfen Textform.

Ort, Datum

Unterschrift Verantwortlicher

Unterschrift Auftragsverarbeiter

Fulfillment & ERP: Die oft vergessenen AVV-Fallen

Viele Händler denken:

„AVV? Das ist doch nur was für große Firmen.“

Falsch.

Gerade im Tagesgeschäft entstehen die größten Risiken:

1. ERP-Systeme

JTL (Hosting), Billbee, Plentymarkets, Xentral usw.
→ speichern, verarbeiten und verwalten Kundendaten.

AVV zwingend nötig.

2. Fulfillment-Dienstleister

Egal ob FBA, MCF, DHL Fulfillment, Fiege, SendCloud-Fulfillment, OneFulfillment, Orange Connex.

Sie sehen jede einzelne Kundenadresse.

AVV zwingend nötig.

3. Cloud-Tools & Plugins

Fast jedes Plugin in Shopify, WooCommerce oder Shopware verarbeitet Daten.

AVV zwingend nötig.

4. Webhosting

Sobald Kundendaten gespeichert werden (z. B. Bestellhistorie):

AVV zwingend nötig.

Viele Händler haben hier alte Verträge, fehlerhafte Vorlagen oder gar keinen AVV – und das ist ein echtes Bußgeldrisiko.

Risiko ohne AVV: Womit müssen Händler rechnen?

Ein fehlender AVV kann als Verstoß gegen Art. 28 DSGVO geahndet werden.

Mögliche Folgen:

  • Bußgelder
  • Abmahnungen
  • Beschwerden von Kunden
  • untersagte Verarbeitung
  • Marktplatzprobleme (z. B. wegen DSA-Compliance)
  • Haftungsrisiken bei Datenleaks

Und das Bittere:

Ein fehlender AVV ist einer der leicht vermeidbaren DSGVO-Verstöße.

Dropshipping ins Ausland: Die Königsklasse der Risiken

Großhändler außerhalb der EU?
Dann kommen zusätzliche Pflichten:

  • Standardvertragsklauseln (SCC)
  • Transfer Impact Assessment (TIA)
  • technische Schutzmaßnahmen
  • Ausschluss besonders riskanter Anbieter

Vor allem Dropshipping aus China ist datenschutzrechtlich extrem heikel.

AVV-Pflichten & Risiken für Händler

Wer kann dich wegen fehlendem AVV melden?

  • Kunden, die Datenschutzverstöße bemerken oder nachfragen.
  • Mitarbeiter (z. B. nach Konflikten oder Kündigungen).
  • IT-Dienstleister oder ERP/Shop-Partner, die Unregelmäßigkeiten sehen.
  • Mitbewerber, wenn sie DSGVO-Verstöße erkennen.
  • Marktplätze (Amazon, eBay) – im Rahmen ihrer Compliance-Prüfungen.

Wer darf dich abmahnen?

  • Wettbewerber – wenn der fehlende AVV zu einem unlauteren Wettbewerbsvorteil führt (z. B. billiger, schneller, unsauber verarbeitet).
  • Verbände wie die Wettbewerbszentrale oder Verbraucherschutzverbände.
  • In Einzelfällen Kanzleien über klassische Abmahnverfahren.

Muss ich meinen Kunden im Rahmen der DSGVO Auskunft geben?

  • Ja. Jeder Kunde hat ein Recht auf umfassende Datenauskunft nach Art. 15 DSGVO.
  • Dazu gehört auch: An welche Dritten wurden seine Daten weitergegeben? (z. B. Großhändler, ERP, Fulfillment, Newsletter-Tools).

Welche Behörde ist für dich zuständig?

  • Immer die Landesdatenschutzbehörde, in deren Bundesland dein Unternehmen sitzt.
  • Beispiele:
    • NRW: LDI NRW
    • Bayern: BayLDA
    • Berlin: BlnBDI
    • BaWü: LfDI BaWü
  • Dort kann jeder (auch anonym) Datenschutzverstöße melden.

Wie kann ich herausfinden, ob Wettbewerber DSGVO/AVV einhalten?

  • Eigentlich gar nicht zuverlässig – AVVs sind nicht öffentlich.
  • Indizien:
    • Fehlerhafte oder unvollständige Datenschutzerklärung.
    • Keine Nennung von Fulfillern, Dropshippern oder Dritt-Tools.
    • Viele Beschwerden über Datenverarbeitung.
  • Rechtssicher prüfen kannst du es aber nicht – nur Behörden können das.

Welche Strafen drohen bei fehlendem AVV?

  • Behördliche Bußgelder: bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes.
  • Abmahnungen von Wettbewerbern / Wettbewerbszentrale.
  • Unterlassungsklagen.
  • Schadensersatzforderungen von Kunden (Art. 82 DSGVO).
  • Marktplatz-Sanktionen (Sperrungen, Händlerprüfungen, Rückfragen).

Merke: Der fehlende AVV ist einer der am häufigsten festgestellten DSGVO-Verstöße bei kleinen und mittleren Händlern – und extrem leicht festzustellen, sobald ein Kunde Auskunft verlangt.

Fazit: DSGVO ist kein „Kleingedrucktes“ – sondern Pflichtteil jedes Dropshipping-Modells

Viele Händler haben Dropshipping perfekt optimiert:

✔ Preise passen
✔ Lieferzeiten sind stabil
✔ Retouren laufen
✔ Margen stimmen

Aber ein Punkt wird immer wieder vergessen:

👉 Du kannst das Modell nur legal betreiben, wenn du AVVs hast.
👉 Und das betrifft nicht nur den Großhändler, sondern dein ganzes Ökosystem.

Dropshipping, ERP, Fulfiller, Tools – alles muss datenschutzrechtlich sauber sein.

Der gute Teil:

Ein AVV kostet nichts.
Ein fehlender AVV kann sehr teuer werden.

QR Code für die Wortfilter Händler Facebook-Gruppe
Komm in die Wortfilter Community auf Facebook und diskutiere mit

➡️Melde dich zum wöchentlichen Newsletter an!⬅️