Willkommen beim Original und Testsieger.
Online seit 2004, mit über 140.000 Fragen & Antworten. 
Mehr Info
00.000
Bewertungen
0,0/5,0
Günstige Rechtsberatung für alle.
Anwalt? Mitmachen
Schon ab 30€ in 1 Stunde Hilfe vom Anwalt. Und den Preis bestimmst Du selbst.
4,9
(452) bei Google
4,6
(292) bei Trustpilot
4,8
(119006) bei Frag-einen-Anwalt.de
Jetzt Frage stellen

Spreadshop-Integration mit JS-Snippet: Impressum/Datenschutz/ Consent-Gate

| 10. September 2025 15:36 |
Preis: 48,00 € |

Datenschutzrecht


Beantwortet von


in unter 2 Stunden
LesenswertGefällt 0

Ich beschäftige mich aktuell mit der Frage, wie ich meinen Spreadshop rechtssicher auf einer eigenen Domain einbinden kann. Spreadshop bietet dafür ein Standard-JavaScript-Snippet an, mit dem der komplette Shop in eine eigene Website integriert werden kann. Um die rechtliche Einordnung zu erleichtern, möchte ich zunächst den technischen Ablauf schildern:

Wenn man den Spreadshop per Standard-JavaScript einbindet, beginnt es mit einer leeren HTML-Seite auf der eigenen Domain. Dort legt man ein <div>-Element an, das als Platzhalter für den Shop dient. Anschließend fügt man den JavaScript-Schnipsel von Spreadshop ein, der genau auf dieses <div> verweist.

Ruft ein Besucher die Domain auf, wird zunächst die Seite geladen. Das Script holt dann den gesamten Spreadshop-Inhalt – also Header, Produkte, Warenkorb, Checkout und Footer – von einer Spreadshirt-Subdomain und setzt ihn in den Platzhalter ein. Der komplette Shop wird damit in die Seite „hineingerendert".

Das Ziel ist eine Onepager-Seite, auf der im Wesentlichen nur der eingebundene Shop angezeigt wird, ergänzt um einen eigenen Footer mit Impressum und Datenschutzerklärung. Somit würden zwei Footer nebeneinander existieren: der vom Shop gerenderte Footer und mein eigener.

Rechtlich relevant ist, dass jeder Spreadshop technisch auf einer Subdomain von Spreadshirt betrieben wird. Dort liegen auch das Impressum (mit meinen Daten als Shop-Betreiber), die Datenschutzerklärung und das Cookie-Banner, die Spreadshirt für den Shop bereitstellt. Wird der Shop über das JavaScript-Snippet eingebunden, erscheint dieses Cookie-Banner ebenfalls auf meiner Seite, um die Funktionen und das Tracking des Shops abzudecken.

Link zur Shop-Datenschutzerklärung: https://service.spreadshirt.com/hc/de/articles/115000978409-Datenschutz

Daraus ergeben sich für mich folgende Fragen:

Darstellung in der Datenschutzerklärung (des Onepagers)
Wie muss ich die Einbindung des Shops per JS in meiner Datenschutzerklärung beschreiben?
Reicht ein Hinweis „Shop wird von Spreadshirt eingebunden, Verantwortlicher: Spreadshirt, Datenschutzhinweise siehe [Link]"?
Liegt hier eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) zwischen mir (Seitenbetreiber) und Spreadshirt vor?
Falls ja: Wie muss ich das in meiner Datenschutzerklärung abbilden (z. B. Hinweis auf gemeinsame Verantwortlichkeit, Ausübung von Betroffenenrechten bei beiden Parteien)?

Einwilligung / Consent-Gate
Darf das JS-Snippet direkt ausgeführt werden (Shop wird sofort geladen) mit Berufung auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)?
Oder muss ich ein Consent-Gate einbauen (Shop wird erst nach Klick/Zustimmung geladen), auch wenn der OnePager ansonsten praktisch leer wäre?

Vielen Dank für Ihre Einschätzung und freundliche Grüße

10. September 2025 | 16:15

Antwort

von

(879)
Gräfelfinger Str. 97a
81375 München
Tel: +4917664624234
Web: https://www.kanzlei-richter-muenchen.de
E-Mail:

Sehr geehrter Fragesteller,

Ihre Anfrage möchte ich Ihnen auf Grundlage der angegebenen Informationen verbindlich wie folgt beantworten:

1. Darstellung in der Datenschutzerklärung (des Onepagers)

Sie müssen in Ihrer eigenen Datenschutzerklärung transparent und verständlich darüber informieren, dass Sie den Spreadshop per JavaScript-Snippet einbinden und dass dabei personenbezogene Daten der Nutzer verarbeitet werden können. Es reicht nicht aus, lediglich auf die Datenschutzerklärung von Spreadshirt zu verlinken. Vielmehr ist eine eigenständige Information über die Art und Weise der Einbindung, die Art der verarbeiteten Daten, die Zwecke der Verarbeitung sowie die Rechtsgrundlage erforderlich.

Sie sollten in Ihrer Datenschutzerklärung mindestens folgende Punkte aufführen:

- Beschreibung der Einbindung:
Sie sollten erläutern, dass der Shop-Inhalt per JavaScript von einer Spreadshirt-Subdomain nachgeladen und in Ihre Seite eingebettet wird.

- Hinweis auf die Datenverarbeitung:
Sie müssen darauf hinweisen, dass beim Laden des Shops personenbezogene Daten (z. B. IP-Adresse, Nutzungsdaten, ggf. Cookies/Tracking) an Spreadshirt übermittelt werden.

- Verantwortlichkeit:
Sie müssen klarstellen, wer für die Datenverarbeitung verantwortlich ist. Da Sie als Betreiber der Seite den Shop einbinden und damit die Datenübermittlung initiieren, sind Sie zumindest mitverantwortlich.

- Verweis auf die Datenschutzerklärung von Spreadshirt:
Sie können und sollten auf die Datenschutzerklärung von Spreadshirt verlinken, um die Nutzer über die dortige Datenverarbeitung zu informieren.

Ein Beispiel für einen entsprechenden Passus könnte lauten:

"Auf unserer Website ist ein Online-Shop der Spreadshirt GmbH (Spreadshop) eingebunden. Beim Aufruf der Shop-Seite werden Inhalte und Funktionen direkt von Spreadshirt geladen. Dabei werden personenbezogene Daten (z. B. IP-Adresse, Nutzungsdaten, ggf. Cookies) an Spreadshirt übermittelt. Verantwortlich für die Datenverarbeitung im Rahmen des Shops ist die Spreadshirt GmbH, Gießerstraße 27, 04229 Leipzig. Weitere Informationen zur Datenverarbeitung durch Spreadshirt finden Sie in der Datenschutzerklärung von Spreadshirt: [Link]."


2. Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO

Ob eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO vorliegt, hängt davon ab, ob Sie und Spreadshirt gemeinsam über die Zwecke und Mittel der Verarbeitung entscheiden. Nach der aktuellen Rechtslage und Praxis ist dies bei der Einbindung von Drittanbieterdiensten häufig der Fall, insbesondere wenn Sie als Seitenbetreiber die Einbindung initiieren und Spreadshirt die technische Umsetzung und Verarbeitung übernimmt.

Im Kontext der Einbindung eines Shops, bei dem Sie als Shop-Betreiber auftreten und Spreadshirt die technische Plattform stellt, spricht vieles für eine gemeinsame Verantwortlichkeit. Dies bedeutet, dass Sie und Spreadshirt gemeinsam für die Einhaltung der datenschutzrechtlichen Pflichten verantwortlich sind.

In diesem Fall müssen Sie in Ihrer Datenschutzerklärung auf die gemeinsame Verantwortlichkeit hinweisen und die wesentlichen Inhalte der Vereinbarung nach Art. 26 DSGVO offenlegen. Dazu gehört insbesondere, wie die jeweiligen Verantwortlichkeiten verteilt sind und wie Betroffene ihre Rechte geltend machen können.

Ein entsprechender Hinweis könnte lauten:

"Für die Datenverarbeitung im Rahmen des eingebundenen Online-Shops besteht eine gemeinsame Verantwortlichkeit zwischen uns und der Spreadshirt GmbH gemäß Art. 26 DSGVO. Die wesentlichen Inhalte der Vereinbarung zur gemeinsamen Verantwortlichkeit können Sie hier einsehen: [Link, sofern vorhanden]. Betroffene können ihre Rechte sowohl gegenüber uns als auch gegenüber Spreadshirt geltend machen."

Da Spreadshirt in der Regel eine solche Vereinbarung zur gemeinsamen Verantwortlichkeit bereitstellt, sollten Sie prüfen, ob Spreadshirt Ihnen eine solche Vereinbarung zur Verfügung stellt und ggf. darauf verlinken.


3. Einwilligung / Consent-Gate

Die Frage, ob das JavaScript-Snippet direkt ausgeführt werden darf oder ob ein Consent-Gate erforderlich ist, hängt davon ab, ob beim Laden des Shops personenbezogene Daten (insbesondere durch Cookies oder Tracking-Tools) verarbeitet werden, die nicht unbedingt erforderlich sind.

Nach der aktuellen Rechtslage (siehe auch die Ausführungen zu Google Fonts und Facebook Pixel im Kontext, insbesondere VGH München, Beschluss vom 26.09.2018, Az. 5 CS 18.1157), ist für die Übermittlung personenbezogener Daten an Dritte (wie Spreadshirt) grundsätzlich eine vorherige Einwilligung der Nutzer erforderlich, sofern die Verarbeitung nicht unbedingt erforderlich ist.

Insbesondere wenn beim Laden des Shops Tracking-Tools, Marketing-Cookies oder ähnliche Technologien eingesetzt werden, ist eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 TTDSG erforderlich. Ein bloßer Verweis auf ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) reicht in diesen Fällen nicht aus.

Das bedeutet konkret:

- Sie dürfen das JS-Snippet nicht direkt ausführen, wenn dabei Cookies oder Tracking-Mechanismen gesetzt werden, die nicht für den Betrieb des Shops zwingend erforderlich sind.

- Sie müssen ein Consent-Gate (z. B. Cookie-Banner mit Opt-In) vorschalten, das den Shop erst nach ausdrücklicher Zustimmung des Nutzers lädt.

Dies entspricht auch der aktuellen Praxis bei der Einbindung von Drittanbieterdiensten (siehe auch Hinweise im Kontext zu Google Analytics, Facebook Pixel und Tracking-Pixeln).


Fazit

- Sie müssen die Einbindung des Spreadshops in Ihrer Datenschutzerklärung transparent beschreiben und auf die Datenverarbeitung durch Spreadshirt hinweisen.

- Es spricht vieles für eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, die entsprechend in der Datenschutzerklärung zu erläutern ist.

- Ein Consent-Gate ist erforderlich, wenn beim Laden des Shops nicht zwingend erforderliche Cookies oder Tracking-Tools eingesetzt werden. Das JS-Snippet darf dann erst nach Einwilligung des Nutzers ausgeführt werden.


Bitte beachten Sie, dass die konkrete Ausgestaltung im Einzelfall von den tatsächlichen technischen Gegebenheiten und den von Spreadshirt eingesetzten Tools abhängt. Prüfen Sie daher, welche Cookies und Tracking-Mechanismen beim Laden des Shops tatsächlich gesetzt werden.


Ich hoffe, Ihre Frage verständlich beantwortet zu haben und bedanke mich für das entgegengebrachte Vertrauen. Bei Unklarheiten können Sie die kostenlose Nachfragefunktion benutzen.

Mit freundlichen Grüßen
RA Richter


Bewertung des Fragestellers 10. September 2025 | 16:58
Hat Ihnen der Anwalt weitergeholfen?
Wie verständlich war der Anwalt?
Wie ausführlich war die Arbeit?
Wie freundlich war der Anwalt?
Empfehlen Sie diesen Anwalt weiter?
"

Vielen Dank für die detaillierte und ausführliche Antwort. Sie war leicht verständlich und hat alle offenen Fragen geklärt.

"
Mehr Bewertungen von Rechtsanwalt Matthias Richter »
Jetzt eine Frage stellen
Jetzt eine Frage stellen
BEWERTUNG VOM FRAGESTELLER 10. September 2025
5/5,0

Vielen Dank für die detaillierte und ausführliche Antwort. Sie war leicht verständlich und hat alle offenen Fragen geklärt.

ANTWORT VON

(879)
Gräfelfinger Str. 97a
81375 München
Tel: +4917664624234
Web: https://www.kanzlei-richter-muenchen.de
E-Mail:
RECHTSGEBIETE
Schadensersatzrecht, Strafrecht, Kaufrecht, Vertragsrecht, Medizinrecht, Arbeitsrecht, Medienrecht, Erbrecht, Verwaltungsrecht, Urheberrecht, Wirtschaftsrecht, Wettbewerbsrecht
So können Sie zahlen:
PayPal
Google Pay
Apple Pay
MasterCard
Visa
American Express
Lastschrift via PayPal
Vorkasse
Testsieger
einer unabhängigen Verbraucherstiftung
Im Test: 8 Anbieter von Online Rechtsberatung Ausgabe 02/2008

Aktuelle Auszeichnungen

DtGV.de
25.06.2025
"Frag-einen-Anwalt.de: Top Preisfairness"
diind.de
04.12.2024
"QNC GmbH ist KI-Innovator 2025"
datev-magazin.de
28.11.2024
"Erste KI-Schnittstelle im Anwaltsbereich"
Focus Money 30/24
15.8.2024
"Topnote für Frag-einen-Anwalt.de"
test.de
17.6.2024
"Frag-einen-Anwalt.de: Nutzerfreundlich und informativ"
DUP und diind
30.1.2024
"QNC mit Fairness First Award ausgezeichnet"
DtGV
11.12.2023
"Deutscher Kunden-Award 2023/24"
Focus Money
20.10.2023
"Top Kundenhotline"
Bild
18.7.2023
"Hoher Kundennutzen"
WiWo
22.05.2023
"Sehr hohe Empfehlung"
Bild
02.02.2023
"Hohe Empfehlung"
Focus
Nr.22/2022
"Höchste Kompetenz"
Bild
August 2022
"Deutschlands Beratungskönige"
DtGV
Dez 2022
Deutscher Kunden-Award 2022/23
CHIP
22/09
"Hohe Kundenorientierung"
ntv
Mai 2022
Deutschlands Beste Online-Portale 2022