So funktioniert's Was wir prüfen Preise Artikel Über uns Kostenloser Scan →
Shopify PDPA-Compliance in Singapur
← Alle Artikel Singapur · PDPA ⏱ 8 Min. Lesezeit Aktualisiert am 27. Juni 2026

Shopify PDPA-Compliance in Singapur: Eine Schritt-für-Schritt-Anleitung für Händler

Shopify ist die dominierende E-Commerce-Plattform in Singapur. Der Personal Data Protection Act (PDPA) ist das zentrale Datenschutzgesetz Singapurs – durchgesetzt von der Personal Data Protection Commission (PDPC). Aus diesen beiden Tatsachen ergibt sich eine konkrete Compliance-Pflicht, die die meisten Shopify-Händler noch nicht vollständig umgesetzt haben.

Dieser Leitfaden erklärt, was der PDPA von singapurischen Shopify-Shops verlangt, wo die meisten Shops scheitern und mit welchen konkreten Schritten Sie das beheben.

⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die Anforderungen des PDPA werden von der PDPC ausgelegt und durchgesetzt. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt.


Warum der PDPA für Ihren Shopify-Shop gilt

Der PDPA gilt für jede Organisation, die personenbezogene Daten in Singapur erhebt, verwendet oder offenlegt – unabhängig davon, wo die Organisation ihren Sitz hat. Wenn Sie:

... gelten die PDPA-Pflichten für Sie.

Personenbezogene Daten im Sinne des PDPA umfassen alles, was eine Person identifiziert: Name, E-Mail-Adresse, Telefonnummer, Lieferadresse, Kaufhistorie, IP-Adresse, Geräte-Identifikatoren und das Surfverhalten in Ihrem Shop.

Shopify erhebt all dies standardmäßig.

Prüfen Sie Ihre PDPA-Compliance vor Ihrer nächsten Kampagne. Führen Sie einen kostenlosen PDPA-Scan für Ihren Shopify-Shop durch → – sehen Sie genau, welches Tracking vor der Einwilligung ausgelöst wird.


Die 5 PDPA-Pflichten, die jeder Shopify-Händler erfüllen muss

1. Einwilligungspflicht

Die PDPA verlangt eine Einwilligung, bevor Sie personenbezogene Daten erheben, verwenden oder offenlegen – es sei denn, es greift eine Ausnahme (z. B. wenn die Daten öffentlich verfügbar sind oder die Erhebung gesetzlich vorgeschrieben ist).

Für einen Shopify-Shop bedeutet das:

Kritische Shopify-Standardeinstellung: Shopify installiert Tracking-Pixel und Analysefunktionen standardmäßig. Sofern Sie diese nicht deaktiviert oder hinter eine Einwilligung gestellt haben, werden sie bei jeder Besucherin und jedem Besucher aus Singapur wahrscheinlich ausgelöst, bevor eine Einwilligung vorliegt.

2. Zweckbindungspflicht

Sie dürfen personenbezogene Daten nur für den Zweck verwenden, für den sie erhoben wurden. Wenn eine Kundin oder ein Kunde Ihnen die E-Mail-Adresse zur Abwicklung einer Bestellung gibt, dürfen Sie diese Adresse nicht für den Versand von Marketingnachrichten nutzen, sofern keine gesonderte Einwilligung in das Marketing vorliegt.

Häufiger Fehler: das Importieren von Bestell-Kontakt-E-Mails in eine Marketingliste und der Versand von Werbung ohne ein gesondertes Marketing-Opt-in.

3. Benachrichtigungspflicht

Die PDPA verpflichtet Sie, Kundinnen und Kunden zum Zeitpunkt der Erhebung darüber zu informieren, welche Daten Sie erheben und warum. In der Praxis bedeutet das, dass Ihr Shopify-Shop eine Datenschutzerklärung benötigt, die:

4. Auskunfts- und Berichtigungspflicht

Kundinnen und Kunden haben das Recht, auf die über sie gespeicherten personenbezogenen Daten zuzugreifen und Berichtigungen zu verlangen. Ihre Datenschutzerklärung muss erläutern, wie dieses Recht ausgeübt wird, und die PDPA erwartet, dass Sie auf entsprechende Anfragen reagieren können.

5. Meldung von Datenschutzverletzungen

Nach den im Februar 2021 in Kraft getretenen PDPA-Änderungen gilt eine Pflicht zur Meldung von Datenschutzverletzungen. Wenn bei Ihnen eine Verletzung von erheblichem Umfang oder erheblicher Sensibilität auftritt, müssen Sie die PDPC innerhalb von 3 Kalendertagen benachrichtigen. Außerdem müssen Sie die betroffenen Personen benachrichtigen, wenn die Verletzung wahrscheinlich einen erheblichen Schaden verursacht.


Die Lücke bei Tracking-/Cookie-Einwilligung

Hier scheitern die meisten Shopify-Shops am PDPA-Test.

Standardmäßig lädt ein Shopify-Shop:

Alle diese Dienste erheben personenbezogene Daten. Nach dem PDPA benötigen Sie eine Einwilligung, bevor diese Datenerhebung beginnt.

Die Lösung: Sie benötigen ein Einwilligungsmanagement-System in Ihrem Shopify-Shop, das:

  1. Besucherinnen und Besuchern aus Singapur einen Cookie-Einwilligungshinweis anzeigt
  2. Tracking-Skripte blockiert, bis eine Einwilligung vorliegt
  3. eine einfache Möglichkeit zur Ablehnung bietet

Die in Shopify integrierte Cookie-Einwilligungsleiste blockiert keine Skripte. Für Tracking-Zwecke ist sie nicht PDPA-konform.

Shopify-Apps für PDPA-konforme Cookie-Einwilligung

Consentmo (kostenlose Version + kostenpflichtig) – Shopify-natives CMP. Blockiert Skripte nach Kategorie, DSGVO/PDPA-fähig, mit Geo-Targeting, um den Hinweis nur Besucherinnen und Besuchern aus Singapur anzuzeigen. Die praktischste Option für Shopify.

CookieYes für Shopify – Integration über ein Script-Tag, automatische Kategorisierung von Cookies, Blockierung in den kostenpflichtigen Versionen verfügbar.

Funktionen und Preisstufen der Apps mit Stand Juni 2026 – überprüfen Sie die aktuellen Funktionen im jeweiligen Shopify-Eintrag der App.


Ihre Shopify-Datenschutzerklärung: Was sie für den PDPA enthalten muss

Eine Standard-Vorlage für die Shopify-Datenschutzerklärung reicht für den PDPA nicht aus. Sie müssen Folgendes ergänzen:


PDPA vs. DSGVO: Wichtige Unterschiede für Shopify-Händler

Wenn Ihr Shop sowohl Kundinnen und Kunden in Singapur als auch in der EU bedient, gelten beide Regelwerke – unabhängig voneinander.

Aspekt PDPA (Singapur) DSGVO (EU)
Durchgesetzt von PDPC nationale Datenschutzbehörden (CNIL, BfDI, ICO usw.)
Maximales Bußgeld Erhebliche Bußgelder, abhängig vom Jahresumsatz (seit 1. Okt. 2022) Erhebliche Bußgelder, abhängig vom weltweiten Jahresumsatz
Frist zur Meldung von Datenschutzverletzungen 3 Kalendertage an die PDPC 72 Stunden an die nationale Datenschutzbehörde
Marketing-Einwilligung Ausdrückliches Opt-in erforderlich Ausdrückliches Opt-in erforderlich
Tracking-/Cookie-Einwilligung Vor dem Tracking erforderlich Erforderlich (ePrivacy-Richtlinie)
Extraterritorialer Anwendungsbereich Ja – Daten von in Singapur ansässigen Personen Ja – Daten von in der EU ansässigen Personen
Recht auf Auskunft über personenbezogene Daten Ja (PDPA Abschn. 21) Ja (DSGVO Art. 15)

PDPC-Durchsetzung: Wie sie aussieht

Die PDPC veröffentlicht ihre Durchsetzungsentscheidungen unter pdpc.gov.sg. Zentrale Muster aus ihrer Entscheidungsdatenbank:


Shopify PDPA-Compliance-Checkliste

Einwilligungs- und Cookie-Management

Datenschutzerklärung

Marketing

Vorbereitung auf Datenschutzverletzungen


Verkaufen Sie sowohl nach Singapur als auch in die EU?

Wenn Ihr Shopify-Shop sowohl in Singapur ansässige Personen als auch europäische Kundinnen und Kunden bedient, unterliegen Sie gleichzeitig zwei unabhängigen Datenschutzregimen. Sitetals deckt beide ab. Führen Sie den EU-/DSGVO-Scan für Ihr europäisches Risiko durch und den PDPA-Scan für Singapur.

Für weiteren DSGVO-/EU-Kontext: DSGVO-Bußgelder 2026: 13 reale Fälle und was sie gekostet haben. Für einen vollständigen Compliance-Selbsttest: die 12 DSGVO-Prüfpunkte, die die meisten Unternehmen übersehen.


Kostenlosen PDPA-Scan durchführen

Fügen Sie die URL Ihres Shopify-Shops ein. Erhalten Sie einen kostenlosen Scan, der das Tracking-Verhalten, fehlende Einwilligungsmechanismen und Lücken in der PDPA-Compliance aufzeigt.

Kostenloser PDPA-Scan unter Sitetals

Vollständiger PDF-Bericht mit Verweisen auf PDPC-Durchsetzungsentscheidungen und einer Maßnahmen-Checkliste: 49 €.


Quellen: PDPA 2012 (Singapur), in der 2021 geänderten Fassung · PDPC Advisory Guidelines on eCommerce (2021) · PDPC-Durchsetzungsentscheidungen 2020–2025 · PDPC-Anforderungen zur Meldung von Datenschutzverletzungen (Advisory 01/2021)

🩸 – Sitetals Redaktion