Mit * gekennzeichnete Links sind Affiliate-Links. Das bedeutet: Ich bekomme eine kleine Provision, wenn du über meinen Link kaufst , für dich ändert sich am Preis natürlich nichts. Ich empfehle ausschließlich Tools, die ich selbst nutze und von denen ich überzeugt bin.
Du hast von ThriveCart gehört.
Klingt erstmal gut:
Einmalzahlung, keine zusätzlichen Verkaufsprovisionen, Kursplattform und Zahlungsdienstleister in einem.
Aber dann kommt dieser Gedanke: Moment mal. ThriveCart sitzt doch nicht in Deutschland. Ist das überhaupt DSGVO-konform?
Jetzt bist du doch wieder verunsichert.
Ich kenn das Gefühl. Ich hab mir damals genau die gleichen Fragen gestellt.
Ich hab das damals genauso gemacht. Ein bisschen recherchiert, ein paar Einstellungen vorgenommen, Datenschutzerklärung angepasst. Fertig. Seither nutze ich ThriveCart ohne schlechtes Gewissen.
In diesem Artikel zeige ich dir genau, worauf du achten musst, was du einstellen solltest, und was in deine Datenschutzerklärung muss. Am Ende gibt’s die Checkliste zum Abhaken.
Wichtiger Hinweis
Ich bin keine Juristin und dieser Artikel ist keine Rechtsberatung. Bei konkreten Rechtsfragen rund um DSGVO und Datenschutz hol dir immer eine professionelle Einschätzung. Was ich dir hier gebe: meine praktische Erfahrung als ThriveCart-Nutzerin im deutschen Online-Business.
Ist ThriveCart DSGVO konform: Das Wichtigste in Kürze
Du kannst ThriveCart verantwortungsvoll einsetzen , aber es erfordert ein paar aktive Schritte von dir.
Wichtig zu wissen: ThriveCart stellt keinen offiziellen AVV aus. Du stützt dich stattdessen auf das EU-US Data Privacy Framework (für die AWS-Server) sowie EU-Standardvertragsklauseln in deiner Datenschutzerklärung.
Die wichtigsten Schritte: Datenschutzerklärung anpassen, beim ThriveCart Support nachfragen und die Anfrage dokumentieren, minimale Kundendaten abfragen.
1. Was ist eigentlich das DSGVO-Problem bei ThriveCart?
Lass mich kurz erklären, warum überhaupt jemand das Thema googelt.
ThriveCart ist ein Produkt der Firma WebActix Ltd. mit Sitz in Neuseeland. Die Server, auf denen Daten verarbeitet werden, liegen in den USA (Amazon AWS-Infrastruktur).
Genau da liegt der Punkt, der viele nervös macht: Datentransfer in die USA. Seit Juli 2023 gibt es das neue EU-US Data Privacy Framework (DPF) als Angemessenheitsbeschluss für zertifizierte US-Unternehmen , und Amazon AWS ist DPF-zertifiziert. Ob und wie ThriveCart als Vertragspartner davon vollständig profitiert, ist allerdings nicht offiziell dokumentiert. Es bleibt eine Grauzone.
Das unterschätzte Neuseeland-Argument
ThriveCart hat seinen rechtlichen Sitz in Neuseeland , und Neuseeland hat einen offiziellen EU-Angemessenheitsbeschluss, zuletzt im Januar 2024 von der EU-Kommission bestätigt. Das bedeutet: Neuseeland wird datenschutzrechtlich ähnlich behandelt wie ein EU-Land. DSGVO-perfekt? Nein. Aber deutlich entspannter als bei den meisten amerikanischen Anbietern.
Kurz mal innehalten
Verwendest du WhatsApp? Meta Ads? ActiveCampaign oder Mailchimp? All das sind US-Tools, die Daten außerhalb der EU verarbeiten. ThriveCart ist hier kein Sonderfall , es ist eine von vielen Plattformen, bei denen du dir aktiv Gedanken machen musst. Der Unterschied: Nach diesem Artikel weißt du genau, was zu tun ist.
Trotzdem gibt es Schritte, die du aktiv unternehmen musst. Denn die Verantwortung hängt nicht nur vom Tool ab, sondern auch von dir als Nutzerin.
2. Schritt 1 , Datenschutzerklärung anpassen
Ich weiß, Datenschutzerklärung klingt nach Zahnarztstuhl. Aber dieser eine Abschnitt ist das Einzige, was dich wirklich absichert.
Du musst ThriveCart als Drittanbieter in deiner Datenschutzerklärung erwähnen. Als Rechtsgrundlage für den Datentransfer in die USA kannst du das EU-US Data Privacy Framework benennen (da Amazon AWS als Server-Infrastruktur DPF-zertifiziert ist) , und ergänzend die EU-Standardvertragsklauseln als Absicherung. Im Zweifel sprich das mit einem Datenschutzanwalt kurz ab.
Mustertext für deine Datenschutzerklärung:
„Für die Abwicklung von Bestellungen und Zahlungen nutzen wir den Dienstleister ThriveCart, betrieben von WebActix Ltd., mit Sitz in Neuseeland. ThriveCart verarbeitet personenbezogene Daten (Name, E-Mail-Adresse, Zahlungsdaten) auf Servern in den USA (Amazon AWS). Die Übertragung dieser Daten in die USA erfolgt auf Basis des EU-US Data Privacy Framework sowie ergänzend auf Basis von EU-Standardvertragsklauseln, um ein angemessenes Datenschutzniveau zu gewährleisten. Weitere Informationen zur Datenverarbeitung durch ThriveCart finden Sie in deren Datenschutzerklärung: https://legal.thrivecart.com“
Außerdem solltest du aufführen: welche Daten ThriveCart verarbeitet, dass die Zahlung über Stripe oder PayPal läuft (diese separat erwähnen), und dass Kunden jederzeit eine Löschung ihrer Daten beantragen können.
3. Schritt 2 , ThriveCart-Support kontaktieren
ThriveCart stellt keinen offiziellen AVV (Auftragsverarbeitungsvertrag) zur Verfügung. Das ist ein echter Schwachpunkt im Vergleich zu deutschen Anbietern wie Ablefy oder Digistore24.
Was du trotzdem tun kannst:
Den ThriveCart Support kontaktieren
Wende dich an den ThriveCart-Support und frage explizit, ob aktuelle Datenschutzdokumente zur Verfügung stehen.
Anfrage dokumentieren
Speichere die E-Mail-Korrespondenz für deine Unterlagen. Falls du jemals eine Datenschutzprüfung hast, brauchst du den Nachweis, dass du die Frage aktiv gestellt hast. Grundlage dafür ist die DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), die verlangt, dass du die Einhaltung der DSGVO nicht nur umsetzt, sondern auch nachweisen kannst.
Rechtsgrundlage in der Datenschutzerklärung benennen
Benenne das EU-US Data Privacy Framework und EU-Standardvertragsklauseln in deiner Datenschutzerklärung als Grundlage für den Datentransfer in die USA, wie in Schritt 1 beschrieben.
Tipp: AVV mit Stripe und PayPal
Stripe und PayPal bieten einen offiziellen AV-Vertrag an. Den kannst du direkt in deinen jeweiligen Konten unter den Einstellungen abschließen. Das solltest du auf jeden Fall tun.
4. Schritt 3 , Datenschutzerklärung im Checkout sichtbar verlinken
Oft gelesen, selten richtig verstanden: Eine Datenschutz-Checkbox im Checkout ist in Deutschland keine gesetzliche Pflicht. Es reicht, wenn deine Kunden die Datenschutzerklärung in zumutbarer Weise zur Kenntnis nehmen können , zum Beispiel über einen gut sichtbaren Link im Footer oder direkt beim Checkout.
Was du also mindestens tun musst:
Datenschutzerklärung gut sichtbar verlinken
Im Footer deiner Website und idealerweise auch direkt beim Checkout sichtbar. Kein versteckter Link, kein kleiner Grautext , gut sichtbar und eindeutig beschriftet.
AGB gut sichtbar verlinken
Ein gut sichtbarer Link auf deine AGB direkt im Bestellprozess , unmittelbar vor dem Kaufen-Button , reicht aus. Durch das Absenden der Bestellung erklärt der Kunde sein Einverständnis automatisch. Eine eigene AGB-Checkbox ist empfehlenswert (sie erspart im Streitfall Diskussionen), aber gesetzlich nicht verpflichtend.
Freiwillige Datenschutz-Checkbox (optional, aber empfehlenswert)
Du kannst zusätzlich eine freiwillige Checkbox einbauen mit dem Text: „Ich habe die Datenschutzerklärung zur Kenntnis genommen.“ Achtung: Formuliere sie als Kenntnisnahme, nicht als Zustimmung , sonst könnte es als ungewollte Newsletter-Einwilligung ausgelegt werden. In ThriveCart geht das unter „Checkout“ → „Custom Fields“ → Typ „Checkbox“.
5. Schritt 4 , Nur minimale Daten im Checkout abfragen
Das Datenschutzprinzip der Datensparsamkeit gilt auch für deinen ThriveCart-Checkout. Du bist selbst mitverantwortlich dafür, welche Daten du von deinen Kunden sammelst.
In der Praxis bedeutet das: Frag im Checkout nur die Daten ab, die du wirklich brauchst , typischerweise Name, E-Mail-Adresse und Zahlungsinformationen. Keine Telefonnummern, keine zusätzlichen Felder, die du am Ende nicht nutzt.
Keine sensiblen Zusatzdaten speichern
Speichere keine zusätzlichen sensiblen Daten in ThriveCart , z.B. keine Gesundheitsdaten, keine persönlichen Notizen zu Kunden. Je weniger du sammelst, desto geringer dein Risiko.
6. Schritt 5 , Cookie-Banner aktivieren und SSL prüfen
ThriveCart-Checkoutseiten setzen Cookies. Geh in deinen Account unter „Settings“ und aktiviere den integrierten Cookie-Banner.
Außerdem: Wenn du eigene Unterseiten für deinen Checkout nutzt oder ThriveCart in deine Website einbettest, brauchst du ein aktives SSL-Zertifikat auf deiner eigenen Domain. Das kleine Schloss in der Browser-Adresszeile sollte immer da sein.
7. Schritt 6 , Double-Opt-In für dein E-Mail-Tool sicherstellen
Wenn du ThriveCart* mit einem E-Mail-Tool (z.B. Active Campaign) verbindest, werden Kundendaten nach dem Kauf automatisch in deine Liste übertragen. Der Kaufprozess allein gilt in Deutschland aber nicht als ausreichende Einwilligung für Marketing-E-Mails.
- Transaktions-E-Mails (Rechnungen, Kurslinks, Kaufbestätigungen): kein separates Opt-In nötig
- Newsletter und Marketing-E-Mails: Double-Opt-In im E-Mail-Tool aktivieren
8. Bonus: Was Kleinunternehmer:innen wissen müssen
Das ist kein direktes DSGVO-Thema, aber ich bekomme die Frage so oft, dass ich sie kurz ansprechen möchte.
Wenn du in Deutschland umsatzsteuerpflichtig bist, brauchst du die ThriveCart Pro+ Lizenz , nur dort kannst du Mehrwertsteuer korrekt berechnen und ausweisen. Unter der Kleinunternehmerregelung reicht die Standard-Lizenz völlig aus.
Mehr zu den Unterschieden findest du in meinem großen ThriveCart* Artikel. Und falls du noch überlegst, ob du überhaupt einen Onlinekurs erstellen möchtest, hab ich auch dafür einen ausführlichen Guide.
9. Die ThriveCart DSGVO-Checkliste
Hier alles auf einen Blick , zum Abhaken:
Datenschutzerklärung
☐ ThriveCart als Drittanbieter aufgeführt (WebActix Ltd., Neuseeland)
☐ EU-US Data Privacy Framework und/oder EU-Standardvertragsklauseln als Rechtsgrundlage für Datentransfer USA benannt
☐ Zahlungsanbieter (Stripe / PayPal) separat erwähnt
☐ Datenschutzerklärung gut sichtbar im Footer und beim Checkout verlinkt
ThriveCart-Support & Verträge
☐ Anfrage nach Datenschutzdokumenten an ThriveCart-Support gestellt
☐ Anfrage für eigene Unterlagen dokumentiert (E-Mail aufbewahren!)
☐ AVV mit Stripe abgeschlossen (in Stripe-Kontoeinstellungen)
☐ AVV mit PayPal abgeschlossen (in PayPal-Kontoeinstellungen)
Einstellungen in ThriveCart
☐ Cookie-Banner aktiviert und auf Datenschutzerklärung verlinkt
☐ Nur minimale Pflichtdaten im Checkout abgefragt
☐ SSL-Zertifikat auf eigener Domain aktiv
E-Mail-Marketing
☐ Double-Opt-In im verbundenen E-Mail-Tool aktiviert
☐ Unterschied Transaktions-E-Mails vs. Marketing-E-Mails berücksichtigt
Wer haftet eigentlich?
Das ist die Frage, die viele nicht stellen , und die du unbedingt kennen solltest.
Als Betreiberin deines Online-Business bist du primär dafür verantwortlich, die DSGVO einzuhalten. ThriveCart ist in diesem Verhältnis nur der Auftragsverarbeiter , also das Tool, das deine Anweisung ausführt.
Was das konkret bedeutet: Wenn ThriveCart Daten falsch verarbeitet, entlastet dich das nicht automatisch. Du musst nachweisen können, dass du alles Zumutbare getan hast , saubere Datenschutzerklärung, minimale Datenerfassung, Support kontaktiert.
Im Zweifel: Anwalt fragen
Dieser Artikel gibt dir meine praktische Erfahrung als ThriveCart-Nutzerin , keine Rechtsberatung. Wenn du dir unsicher bist oder besonders sensible Kundendaten verarbeitest, hol dir eine professionelle Einschätzung. Einmal gemacht, hast du dann wirklich Klarheit.
10. Häufige Fragen zu ThriveCart und DSGVO
Ist ThriveCart DSGVO-konform?
ThriveCart hat seinen rechtlichen Sitz in Neuseeland , einem Land mit EU-Angemessenheitsbeschluss, zuletzt im Januar 2024 bestätigt. Die Server laufen auf Amazon AWS in den USA, das seit Juli 2023 unter dem EU-US Data Privacy Framework zertifiziert ist. Da ThriveCart selbst keinen offiziellen AVV stellt, bleibt eine Grauzone. Mit den richtigen Schritten , Datenschutzerklärung anpassen, Support dokumentieren, minimale Daten , kannst du ThriveCart verantwortungsvoll einsetzen.
Gibt es einen AVV mit ThriveCart?
Nein, ThriveCart stellt aktuell keinen offiziellen AV-Vertrag zur Verfügung. Du solltest beim Support anfragen und die Korrespondenz für deine Unterlagen dokumentieren. Als rechtliche Grundlage für den Datentransfer in die USA nutzt du das EU-US Data Privacy Framework und ergänzend EU-Standardvertragsklauseln in deiner Datenschutzerklärung. Mit Stripe und PayPal kannst du dagegen einen vollständigen AVV abschließen.
Was schreibe ich in die Datenschutzerklärung?
Benenne ThriveCart als Drittanbieter, gib den Sitz an (WebActix Ltd., Neuseeland), erkläre dass die Server auf Amazon AWS in den USA liegen und nenne das EU-US Data Privacy Framework und EU-Standardvertragsklauseln als Rechtsgrundlage für den Datentransfer. Im Artikel findest du einen fertigen Mustertext, den du direkt übernehmen kannst.
Kann ich ThriveCart als Kleinunternehmer:in nutzen?
Ja, unbedingt. Für Kleinunternehmer:innen reicht die ThriveCart Standard-Lizenz aus. Du musst dann keine Mehrwertsteuer berechnen , und ThriveCart lässt sich so konfigurieren, dass keine MwSt. auf dem Checkout angezeigt wird.
Brauche ich eine Datenschutz-Checkbox im Checkout?
Nein, das ist gesetzlich nicht vorgeschrieben. Es reicht, wenn deine Datenschutzerklärung gut sichtbar verlinkt ist , zum Beispiel im Footer und beim Checkout. Eine freiwillige Checkbox zur Kenntnisnahme kannst du zusätzlich einbauen, das ist aber keine Pflicht. Was Pflicht ist: die Zustimmung zu deinen AGB beim Kaufabschluss.
Ist ThriveCart sicherer als ein deutsches Tool wie Digistore24?
Aus reiner DSGVO-Sicht ist ein deutsches Tool mit verfügbarem AVV einfacher abzusichern. ThriveCart bietet dafür keine Verkaufsprovisionen, kein Abo-Modell und einen Checkout der wirklich für Conversions gebaut wurde. Was für dich passt, hängt von deinem Business-Modell und deiner Risikobereitschaft ab , ich nutze ThriveCart und hab es noch nicht bereut.
Hol dir ThriveCart & bekomm meinen ThriveCart Campus kostenlos dazu
Buche ThriveCart über meinen Link und erhalte meinen kompletten Videokurs mit Schritt-für-Schritt-Anleitungen, Vorlagen und Canva Templates — gratis.
Zu ThriveCart + Gratis Campus →
* Affiliate-Link. Nach dem Kauf erhältst du automatisch Zugang.
dazu
Fazit: Machbar , aber mit offenen Augen
ThriveCart ist kein deutsches Tool, und wer einen sauberen AVV braucht, wird ihn hier nicht finden.
Trotzdem nutze ich es, weil die Vorteile für mich überwiegen und ich die genannten Schritte konsequent umgesetzt habe. Datenschutzerklärung angepasst, Rechtsgrundlage benannt, Datenschutzerklärung gut verlinkt, minimale Daten.
Wenn du ThriveCart* noch nicht nutzt und neugierig bist, schau dir gerne meinen kompletten ThriveCart-Artikel an , da erkläre ich alle Funktionen, Preise und zeige dir, wie ich es in meinem eigenen Business einsetze.
13+ Jahre Erfahrung im Onlinehandel – vom Millionen-Prozess runtergebrochen aufs Solo-Business
Technik, Zahlen & Struktur im Herzen – Storytelling im Blut
Ich komme immer kurz und knackig auf den Punkt ohne Marketing-BlaBla
