DSGVO und digitale Souveränität im E-Commerce

Executive Summary

Ein Online-Shop ist ein Datenverarbeiter. Bestellhistorien, Kundenkonten, Adressen, teils personenbezogene Marketing-Texte - all das liegt in eurem System. Solange diese Daten in eurem Shop bleiben, ist die Lage überschaubar. Sobald aber KI-Funktionen dazukommen - intelligente Suche, Produktempfehlungen, ein Chat-Assistent, automatisch erzeugte Inhalte - stellt sich eine neue Frage: Wohin fließen diese Daten? Dieser Beitrag erklärt, warum digitale Souveränität im E-Commerce kein juristisches Beiwerk ist, sondern ein handfestes Vertrauensargument gegenüber euren eigenen Kunden - und wie wir das bei coding9 lösen.

Was ein Shop eigentlich an Daten verarbeitet

Es lohnt sich, einmal nüchtern aufzulisten, was in einem typischen Shopware-Setup an personenbezogenen Daten zusammenkommt. Kundenkonten mit Namen, Adressen und Kontaktdaten. Bestellhistorien, die Rückschlüsse auf Vorlieben, Lebenssituation und Kaufkraft erlauben. Zahlungsbezogene Informationen. Support-Konversationen. Und im Marketing: Texte, Segmente und Kampagnen, die einzelne Personen oder eng umrissene Gruppen adressieren.

Das ist kein Randthema. Das ist der Kern dessen, was euren Shop wertvoll macht - und genau deshalb der Kern dessen, wofür ihr verantwortlich seid.

Der Punkt, an dem KI die Frage verschärft

Solange diese Daten in eurem Shop bleiben, ist der Datenfluss klar. Interessant wird es, sobald KI ins Spiel kommt. Eine intelligente Suche muss verstehen, wonach jemand sucht. Eine Empfehlung greift auf Bestellverhalten zu. Ein Chat-Assistent sieht im Zweifel den Warenkorb und die Konto-Historie. Ein Content-Generator bekommt Produktdaten und manchmal Kundensegmente als Input.

In all diesen Fällen verlassen Daten potenziell euer System und gehen an einen KI-Dienst. Und die zentrale Frage lautet: Wo steht der Server, der diese Daten verarbeitet?

Greift ihr direkt auf einen US-basierten KI-Dienst zu, ist die ehrliche Antwort oft: Die Daten verlassen potenziell die EU. Das ist nicht pauschal verboten - aber es ist auch nicht etwas, das man nebenbei im Quickstart abhakt. Es braucht eine geprüfte Auftragsverarbeitung mit dem Anbieter, eine dokumentierte Rechtsgrundlage dafür, dass diese Verarbeitung überhaupt stattfinden darf, und idealerweise eine Datenresidenz-Option in Europa. Wir sind keine Rechtsberatung und maßen uns keine juristische Bewertung eures Einzelfalls an - aber wir sehen in der Praxis regelmäßig, dass genau diese drei Punkte beim Einbau von KI schlicht übersprungen werden.

Souveränität ist eine Architekturentscheidung

Digitale Souveränität klingt nach einem politischen Schlagwort. Im E-Commerce-Alltag ist es etwas sehr Konkretes: die Fähigkeit, selbst zu bestimmen, wo eure Daten liegen, wer darauf zugreift und unter welchen Bedingungen. Das ist keine Frage, die man nachträglich per Häkchen löst - es ist eine Architekturentscheidung, die man am besten trifft, bevor die erste KI-Funktion live geht.

Der entscheidende Hebel: KI-Funktionen müssen nicht zwingend über einen direkten, unkontrollierten US-Zugriff laufen. Es gibt den Weg, das Modell über eine Infrastruktur zu nutzen, die ihr kontrolliert und die in Europa beheimatet ist.

Wie wir das bei coding9 lösen

Wir setzen KI im Shop-Kontext nicht über nackte, direkte API-Zugriffe ein, sondern über unsere eigene Plattform BaseGPT - mit Hosting in Deutschland und einem auf DSGVO-Konformität ausgelegten Aufbau. BaseGPT ist nicht das KI-Modell selbst, sondern die Infrastruktur drumherum: der kontrollierte Eingangspunkt, über den Shop-Daten zu einem Modell und zurückfließen.

Damit bleibt steuerbar, welche Daten überhaupt das Haus verlassen und unter welchen Bedingungen das geschieht. Wo es nötig ist - etwa bei besonders sensiblen Daten oder strengen internen Vorgaben - lässt sich das auch on-premise oder in einer Private Cloud betreiben. Der Punkt ist nicht „US-Dienste sind böse". Der Punkt ist Kontrolle: Ihr trefft die Entscheidung über euren Datenfluss bewusst, statt sie an einen Quickstart abzugeben.

Datenschutz als Wettbewerbsvorteil, nicht als Bremse

Viele Händler erleben Datenschutz als Kostenstelle und Bremsklotz. Wir sehen das anders. Eure Endkunden geben euch ihre Daten - und sie achten zunehmend darauf, was damit passiert. Wenn ihr ehrlich sagen könnt, dass eure KI-Funktionen auf einer in Deutschland gehosteten, DSGVO-konformen Infrastruktur laufen, ist das kein Kleingedrucktes. Das ist ein Verkaufsargument.

Souveränität über die eigenen Daten ist Vertrauen, das ihr an eure Kunden weitergebt. Und Vertrauen ist im E-Commerce eine harte Währung.

Was ihr konkret tun könnt

Drei Schritte, die ihr unabhängig von uns angehen könnt:

1. Auditiert eure Datenflüsse. Erstellt eine schlichte Liste: Welcher Dienst - Suche, Empfehlungen, Chat, Content-Tool - arbeitet mit welchen Shop-Daten? Ohne diese Übersicht ist jede weitere Bewertung Raten.

2. Dokumentiert Auftragsverarbeitung und Rechtsgrundlage. Für jeden Dienst, der personenbezogene Daten sieht: Gibt es einen geprüften Auftragsverarbeitungsvertrag? Ist die Rechtsgrundlage festgehalten? Wenn etwas fehlt, ist das ein konkreter, abarbeitbarer Punkt.

3. Fordert europäische Datenresidenz ein. Bei neuen KI-Funktionen sollte die Frage „Wo liegen die Daten?" Teil der Auswahl sein - nicht eine Überraschung nach dem Go-live.

Fazit

Sobald KI in euren Shop einzieht, wird die Frage nach dem Datenfluss unausweichlich. Direkter Zugriff auf US-KI-Dienste ist nicht pauschal verboten, verlangt aber geprüfte Auftragsverarbeitung, eine dokumentierte Rechtsgrundlage und idealerweise europäische Datenresidenz. Wer das bewusst gestaltet - bei uns über BaseGPT mit Hosting in Deutschland - behandelt Datenschutz nicht als Bremse, sondern als das, was er sein kann: ein Vertrauensargument gegenüber den eigenen Kunden.

Teil 9 der Serie „E-Commerce ohne Bullshit".