Shopify ist die dominierende E-Commerce-Plattform in Singapur. Der Personal Data Protection Act (PDPA) ist das zentrale Datenschutzgesetz Singapurs – durchgesetzt von der Personal Data Protection Commission (PDPC). Aus diesen beiden Tatsachen ergibt sich eine konkrete Compliance-Pflicht, die die meisten Shopify-Händler noch nicht vollständig umgesetzt haben.
Dieser Leitfaden erklärt, was der PDPA von singapurischen Shopify-Shops verlangt, wo die meisten Shops scheitern und mit welchen konkreten Schritten Sie das beheben.
⚠️ Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die Anforderungen des PDPA werden von der PDPC ausgelegt und durchgesetzt. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Rechtsanwältin oder einen qualifizierten Rechtsanwalt.
Der PDPA gilt für jede Organisation, die personenbezogene Daten in Singapur erhebt, verwendet oder offenlegt – unabhängig davon, wo die Organisation ihren Sitz hat. Wenn Sie:
... gelten die PDPA-Pflichten für Sie.
Personenbezogene Daten im Sinne des PDPA umfassen alles, was eine Person identifiziert: Name, E-Mail-Adresse, Telefonnummer, Lieferadresse, Kaufhistorie, IP-Adresse, Geräte-Identifikatoren und das Surfverhalten in Ihrem Shop.
Shopify erhebt all dies standardmäßig.
Prüfen Sie Ihre PDPA-Compliance vor Ihrer nächsten Kampagne. Führen Sie einen kostenlosen PDPA-Scan für Ihren Shopify-Shop durch → – sehen Sie genau, welches Tracking vor der Einwilligung ausgelöst wird.
Die PDPA verlangt eine Einwilligung, bevor Sie personenbezogene Daten erheben, verwenden oder offenlegen – es sei denn, es greift eine Ausnahme (z. B. wenn die Daten öffentlich verfügbar sind oder die Erhebung gesetzlich vorgeschrieben ist).
Für einen Shopify-Shop bedeutet das:
Kritische Shopify-Standardeinstellung: Shopify installiert Tracking-Pixel und Analysefunktionen standardmäßig. Sofern Sie diese nicht deaktiviert oder hinter eine Einwilligung gestellt haben, werden sie bei jeder Besucherin und jedem Besucher aus Singapur wahrscheinlich ausgelöst, bevor eine Einwilligung vorliegt.
Sie dürfen personenbezogene Daten nur für den Zweck verwenden, für den sie erhoben wurden. Wenn eine Kundin oder ein Kunde Ihnen die E-Mail-Adresse zur Abwicklung einer Bestellung gibt, dürfen Sie diese Adresse nicht für den Versand von Marketingnachrichten nutzen, sofern keine gesonderte Einwilligung in das Marketing vorliegt.
Häufiger Fehler: das Importieren von Bestell-Kontakt-E-Mails in eine Marketingliste und der Versand von Werbung ohne ein gesondertes Marketing-Opt-in.
Die PDPA verpflichtet Sie, Kundinnen und Kunden zum Zeitpunkt der Erhebung darüber zu informieren, welche Daten Sie erheben und warum. In der Praxis bedeutet das, dass Ihr Shopify-Shop eine Datenschutzerklärung benötigt, die:
Kundinnen und Kunden haben das Recht, auf die über sie gespeicherten personenbezogenen Daten zuzugreifen und Berichtigungen zu verlangen. Ihre Datenschutzerklärung muss erläutern, wie dieses Recht ausgeübt wird, und die PDPA erwartet, dass Sie auf entsprechende Anfragen reagieren können.
Nach den im Februar 2021 in Kraft getretenen PDPA-Änderungen gilt eine Pflicht zur Meldung von Datenschutzverletzungen. Wenn bei Ihnen eine Verletzung von erheblichem Umfang oder erheblicher Sensibilität auftritt, müssen Sie die PDPC innerhalb von 3 Kalendertagen benachrichtigen. Außerdem müssen Sie die betroffenen Personen benachrichtigen, wenn die Verletzung wahrscheinlich einen erheblichen Schaden verursacht.
Hier scheitern die meisten Shopify-Shops am PDPA-Test.
Standardmäßig lädt ein Shopify-Shop:
Alle diese Dienste erheben personenbezogene Daten. Nach dem PDPA benötigen Sie eine Einwilligung, bevor diese Datenerhebung beginnt.
Die Lösung: Sie benötigen ein Einwilligungsmanagement-System in Ihrem Shopify-Shop, das:
Die in Shopify integrierte Cookie-Einwilligungsleiste blockiert keine Skripte. Für Tracking-Zwecke ist sie nicht PDPA-konform.
Consentmo (kostenlose Version + kostenpflichtig) – Shopify-natives CMP. Blockiert Skripte nach Kategorie, DSGVO/PDPA-fähig, mit Geo-Targeting, um den Hinweis nur Besucherinnen und Besuchern aus Singapur anzuzeigen. Die praktischste Option für Shopify.
CookieYes für Shopify – Integration über ein Script-Tag, automatische Kategorisierung von Cookies, Blockierung in den kostenpflichtigen Versionen verfügbar.
Funktionen und Preisstufen der Apps mit Stand Juni 2026 – überprüfen Sie die aktuellen Funktionen im jeweiligen Shopify-Eintrag der App.
Eine Standard-Vorlage für die Shopify-Datenschutzerklärung reicht für den PDPA nicht aus. Sie müssen Folgendes ergänzen:
Wenn Ihr Shop sowohl Kundinnen und Kunden in Singapur als auch in der EU bedient, gelten beide Regelwerke – unabhängig voneinander.
| Aspekt | PDPA (Singapur) | DSGVO (EU) |
|---|---|---|
| Durchgesetzt von | PDPC | nationale Datenschutzbehörden (CNIL, BfDI, ICO usw.) |
| Maximales Bußgeld | Erhebliche Bußgelder, abhängig vom Jahresumsatz (seit 1. Okt. 2022) | Erhebliche Bußgelder, abhängig vom weltweiten Jahresumsatz |
| Frist zur Meldung von Datenschutzverletzungen | 3 Kalendertage an die PDPC | 72 Stunden an die nationale Datenschutzbehörde |
| Marketing-Einwilligung | Ausdrückliches Opt-in erforderlich | Ausdrückliches Opt-in erforderlich |
| Tracking-/Cookie-Einwilligung | Vor dem Tracking erforderlich | Erforderlich (ePrivacy-Richtlinie) |
| Extraterritorialer Anwendungsbereich | Ja – Daten von in Singapur ansässigen Personen | Ja – Daten von in der EU ansässigen Personen |
| Recht auf Auskunft über personenbezogene Daten | Ja (PDPA Abschn. 21) | Ja (DSGVO Art. 15) |
Die PDPC veröffentlicht ihre Durchsetzungsentscheidungen unter pdpc.gov.sg. Zentrale Muster aus ihrer Entscheidungsdatenbank:
Wenn Ihr Shopify-Shop sowohl in Singapur ansässige Personen als auch europäische Kundinnen und Kunden bedient, unterliegen Sie gleichzeitig zwei unabhängigen Datenschutzregimen. Sitetals deckt beide ab. Führen Sie den EU-/DSGVO-Scan für Ihr europäisches Risiko durch und den PDPA-Scan für Singapur.
Für weiteren DSGVO-/EU-Kontext: DSGVO-Bußgelder 2026: 13 reale Fälle und was sie gekostet haben. Für einen vollständigen Compliance-Selbsttest: die 12 DSGVO-Prüfpunkte, die die meisten Unternehmen übersehen.
Fügen Sie die URL Ihres Shopify-Shops ein. Erhalten Sie einen kostenlosen Scan, der das Tracking-Verhalten, fehlende Einwilligungsmechanismen und Lücken in der PDPA-Compliance aufzeigt.
Vollständiger PDF-Bericht mit Verweisen auf PDPC-Durchsetzungsentscheidungen und einer Maßnahmen-Checkliste: 49 €.
Quellen: PDPA 2012 (Singapur), in der 2021 geänderten Fassung · PDPC Advisory Guidelines on eCommerce (2021) · PDPC-Durchsetzungsentscheidungen 2020–2025 · PDPC-Anforderungen zur Meldung von Datenschutzverletzungen (Advisory 01/2021)
🩸 – Sitetals Redaktion