GPSR Shopify Compliance: Der vollständige Guide 2026

Die General Product Safety Regulation, kurz GPSR, ist seit dem 13. Dezember 2024 in Kraft. Sie ersetzt die alte Produktsicherheits-Richtlinie 2001/95/EG und gilt für jeden Online-Shop, der Konsumprodukte in die Europäische Union verkauft. Anders als die Vorgängerregelung ist die GPSR eine Verordnung, das heißt sie ist direkt anwendbares Recht und braucht keine nationale Umsetzung. Was viele Shopify-Händler unterschätzen: Die Regeln gelten nicht nur für Hersteller, sondern auch für Importeure, Fulfillment-Dienstleister und sogar reine Wiederverkäufer.

Dieser Guide führt dich durch die zehn Schritte zur GPSR-Compliance auf Shopify. Er ist für Shop-Betreiber geschrieben, nicht für Juristen. Am Ende weißt du genau, was du tun musst, welche Tools dir Arbeit abnehmen und wo die teuersten Fallen liegen.

Was ist die GPSR überhaupt?

Die GPSR ist die EU-Verordnung 2023/988. Ihr Ziel ist, dass nur sichere Produkte in den EU-Binnenmarkt gelangen, und dass Verbraucher im Schadensfall den Verantwortlichen schnell identifizieren können. Sie deckt nahezu alle Non-Food-Konsumprodukte ab. Ausgenommen sind nur wenige Sonderkategorien wie Medizinprodukte oder Tierarzneimittel, die eigene Verordnungen haben.

Drei Kern-Pflichten stehen im Mittelpunkt:

1. Jedes Produkt muss vor Inverkehrbringen einer Risikobewertung unterzogen werden.
2. Jedes Produkt muss am Produkt oder in der Produktinformation den Hersteller, eine Kontaktadresse in der EU und eindeutige Produkt-Kennzeichnungen tragen.
3. Bei Sicherheitsproblemen muss der Hersteller oder Importeur unverzüglich die Marktüberwachungsbehörden informieren und gegebenenfalls einen Rückruf einleiten.

Klingt nach klassischer Produkthaftung, ist aber strenger. Die Bußgelder reichen je nach Mitgliedsstaat bis 4 Prozent des Jahresumsatzes und in besonders schweren Fällen sogar zu Vertriebsverboten.

Bin ich als Shopify-Händler betroffen?

Kurze Antwort: Wahrscheinlich ja. Lange Antwort: Es kommt auf deine Rolle in der Lieferkette an.

Hersteller sind direkt verantwortlich. Wer eigene Produkte produzieren lässt, etwa mit Private-Label aus China, gilt rechtlich als Hersteller.

Importeure sind alle, die Produkte aus einem Drittland in die EU einführen. Das gilt auch dann, wenn das Produkt im Drittland produziert wird und der Shopify-Shop nur als Verkaufskanal dient.

Händler sind Wiederverkäufer innerhalb der EU. Sie haben weniger Pflichten, müssen aber sicherstellen, dass die vorgelagerten Akteure ihre Pflichten erfüllt haben. Ein deutscher Shop, der Markenware aus EU-Produktion vertreibt, fällt in diese Kategorie.

Fulfillment-Dienstleister sind eine neue Rolle in der GPSR. Sie haften mit, wenn sie Produkte für Akteure ohne EU-Sitz lagern und versenden. Das trifft viele Amazon-FBA- und Cross-Border-Fulfillment-Anbieter.

Die 10 Schritte zur GPSR-Compliance

Schritt 1: Produktkategorie prüfen

Nicht alle Produkte fallen unter die GPSR. Lebensmittel, Medikamente, Medizinprodukte, Pflanzenschutzmittel und Antiquitäten haben eigene Regelwerke. Alles andere ist GPSR-pflichtig. Eine Klassifizierung pro Produktgruppe ist die erste Aufgabe.

Schritt 2: Verantwortlichen identifizieren

Für jedes Produkt muss eine in der EU ansässige verantwortliche Person benannt werden. Das kann der Hersteller selbst sein (bei EU-Produktion), der Importeur oder ein extern beauftragter EU-Repräsentant. Ohne diese Person darf das Produkt nicht verkauft werden.

Schritt 3: Hersteller-Daten erfassen

Pro Produkt brauchst du den Namen oder die Marke des Herstellers, eine ladungsfähige Postanschrift in der EU, eine E-Mail-Adresse und idealerweise eine Telefonnummer. Diese Daten müssen auf der Produktseite, am physischen Produkt oder in der Produktverpackung erscheinen.

Schritt 4: Risikobewertung dokumentieren

Für jedes Produkt ist eine schriftliche Risikobewertung Pflicht. Sie identifiziert vorhersehbare Gefahren bei normalem und vorhersehbarem Fehlgebrauch, bewertet ihre Wahrscheinlichkeit und das Schadensausmass, und beschreibt die Schutzmassnahmen. Vorlagen gibt es bei den IHKs und bei der Europäischen Kommission.

Schritt 5: Konformitätserklärung erstellen

Für Produkte, die unter eine der harmonisierten EU-Richtlinien fallen (Maschinen, Niederspannung, EMV, RoHS, Funkanlagen, Spielzeug, persönliche Schutzausrüstung und weitere), brauchst du eine EU-Konformitätserklärung. Sie trägt das CE-Zeichen und muss zehn Jahre archiviert werden.

Schritt 6: GPSR-Block auf der Produktseite

Auf Shopify heißt das konkret: Ein Block auf jeder Produktseite, der mindestens Hersteller-Name, EU-Kontaktadresse und Sicherheitshinweise anzeigt. Die Sprache muss die des Käufer-Landes sein. Verkaufst du nach Deutschland, Frankreich und Polen, brauchst du drei Sprachvarianten.

Schritt 7: Sicherheitswarnungen und Gebrauchsanleitungen

Für alle Produkte sind klare Warnhinweise und Gebrauchsanleitungen erforderlich. Das gilt auch für scheinbar harmlose Produkte. Eine Tasse braucht den Hinweis, dass sie nicht in der Mikrowelle erhitzt werden soll, ein T-Shirt die Waschanleitung, ein Kabel die maximale Stromstärke.

Schritt 8: Audit-Trail aufbauen

Bei einem Audit muss du nachweisen können, wann welche Änderung an Produktdaten erfolgt ist und wer sie autorisiert hat. Excel-Listen reichen dafür nicht, weil sie unbemerkt bearbeitbar sind. Spezialisierte Compliance-Tools loggen jede Änderung mit Zeitstempel und Hash-Wert. Wichtig: Das Log muss vor Manipulation geschützt sein, sonst hat es vor Gericht keinen Wert.

Schritt 9: Vorfall-Meldungen einrichten

Bei jedem schwerwiegenden Vorfall (Verletzung, Sachschaden, Sicherheitsmangel) musst du innerhalb von zwei Werktagen die zuständige Marktüberwachungsbehörde im Safety Business Gateway informieren. Ein Prozess dafür im Shop und beim Customer Service ist Pflicht.

Schritt 10: Mitarbeiter schulen

Compliance scheitert in der Praxis meist am Customer Service. Wer dort einen Beschwerde-Vorfall nicht erkennt und intern eskaliert, riskiert, dass die Meldefrist verstreicht. Eine schriftliche Schulungsdokumentation gehört daher in den Audit-Ordner.

Tools im Vergleich

Auf dem Markt gibt es drei Kategorien von Lösungen.

Reine Shopify-Apps wie GCM (GPSR Compliance Manager) oder GPSR Pro decken Hersteller-Datenpflege, GPSR-Block und Bulk-Edit ab. Sie sind die schnellste Lösung und kosten 0 bis 99 Euro pro Monat. Unterschiede liegen bei KI-Auto-Fill, Audit-Trail und ergänzenden Bausteinen wie einem kuratierten EU-AR-Anbieter-Verzeichnis.

EU-Repräsentanz-Dienste wie EAS oder Avask fungieren als deine verantwortliche Person, ohne tiefe Shop-Integration. Sie kosten 1.000 bis 1.800 Euro pro Jahr und werden meist von Anwälten betrieben.

Compliance-Berater und Kanzleien übernehmen die individuelle Risikobewertung und Vertragsgestaltung. Stundensätze von 200 bis 350 Euro sind üblich, ein vollständiges Setup kostet leicht 5.000 bis 15.000 Euro.

Für die meisten Shopify-Shops ist die Kombination aus einer App mit AR-Service und gelegentlicher Anwalts-Beratung der beste Mix.

Bußgeld-Beispiele

Die Bußgelder sind kein Schreckgespenst, sondern Realität. Drei Fälle aus dem ersten Halbjahr 2025:

• Ein DACH-Shop für Elektronik-Zubehör wurde mit 14.500 Euro Bußgeld belegt, weil auf der Produktseite nur ein chinesischer Hersteller ohne EU-Kontakt genannt war.
• Eine Modemarke aus Berlin musste 28.000 Euro zahlen, weil bei 1.200 Artikeln die Pflegehinweise fehlten.
• Ein Spielwarenhändler wurde gezwungen, alle Bestände eines Modells zurückzurufen, weil keine Konformitätserklärung vorlag. Direkter Schaden: rund 60.000 Euro, plus Reputationsverlust.

Mehr Details und Quellen findest du im Artikel GPSR-Bußgelder: echte Beispiele.

Was du jetzt tun solltest

Wenn du noch keine GPSR-Lösung im Einsatz hast, sind drei Sofortmassnahmen sinnvoll:

1. Installiere eine GPSR-App im Shopify-App-Store und richte den GPSR-Block auf allen Produktseiten ein.
2. Prüfe pro Produktgruppe, ob du eine EU-verantwortliche Person hast. Falls nicht, beauftrage einen AR-Service.
3. Erstelle eine Risikobewertung pro Produktkategorie und archiviere sie mit Konformitätserklärung.

Die GPSR ist kein einmaliges Projekt, sondern ein laufender Prozess. Behörden prüfen nicht nur das Vorhandensein der Daten, sondern auch ihre Aktualität. Eine technische Lösung mit Audit-Trail spart dir bei der nächsten Prüfung Tage an Recherche.

Fazit

Die GPSR ist die wichtigste Compliance-Pflicht für EU-E-Commerce seit der DSGVO. Wer sie ignoriert, riskiert Bußgelder, Vertriebsverbote und im Schadensfall persönliche Haftung des Geschäftsführers. Wer sie strukturiert angeht, baut innerhalb von einem bis zwei Tagen eine solide Basis auf und kann die Datenpflege danach automatisieren.

Die guten Nachrichten: Die Tooling-Landschaft hat sich in den letzten zwölf Monaten dramatisch verbessert. KI-Auto-Fill und kuratierte Anbieter-Verzeichnisse machen das, was 2024 noch ein Mehrtage-Projekt war, zu einer Sache von Minuten. Wenn du den Schritt jetzt gehst, bist du für Audit, Wachstum und das nächste regulatorische Update vorbereitet.