Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)

Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
25.04.2024 | Lesezeit: 4 min

Seit 2024 stellt Shopify Händlern in den Datenschutzeinstellungen eine native Cookie-Consent-Lösung bereit, mit welcher Shop-Besucher ihr Cookie-Einwilligungsverhalten rechtswirksam sollen steuern können. Der folgende Beitrag geht der Frage nach, ob die Shopify-Lösung den Anforderungen an einen datenschutzkonformen Cookie-Consent entspricht, und geht in einer Aktualisierung auch auf eine dazu von Shopify selbst veröffentlichte Mitteilung ein.

I. Das Cookie Banner von Shopify

Nachdem Shopify zunächst seit Herbst 2020 eine eigene Cookie-Consent-Lösung im Shopify-Appstore bereitgestellt hatte, mit welcher Shop-Betreiber die höchstrichterliche Rechtsprechung von EuGH und BGH zur Einwilligungspflicht für technisch nicht notwendige Cookies anforderungskonform sollten umsetzen können, stellt der Shopsystem-Anbieter seit 2024 mit dem "Cookie Banner" eine native Cookie-Einwilligungslösung direkt in den Shopify-Einstellungen ("Einstellungen > Datenschutz des Kunden > Cookie Banner") bereit.

Anders als die vorherige Shopify-eigene Lösung muss das neue Cookie Banner nicht aus dem Appstore geladen werden, sondern lässt sich mit wenigen Klicks direkt in den Shop-Einstellungen kalibrieren und sodann als Pop-Up der Shop-Ansicht hinzufügen.

Nach Shopifys Ansicht ermöglicht das hauseigene Cookie-Banner einen datenschutzkonformen Cookie-Consent für alle vom Shop-Betreiber eingesetzten cookie-basierten Dienste und soll insbesondere den Rückgriff auf (ggf. kostenpflichtige) Drittanbieter-Tools hinfällig werden lassen.

Kostenfreies Bewertungssystem SHOPVOTE

II. Datenschutzrechtliche Würdigung der Lösung

Wie rechtlich gefordert, stellt das hauseigene Cookie-Consent-Tool von Shopify zwar sicher, dass bei Seitenaufruf alle technisch nicht notwendigen Cookies so lange blockiert werden, bis der Nutzer seine Cookie-Einwilligung erteilt.
Die Einwilligungsfunktion an sich ist rechtlich aber noch ausbaubedürftig.

Auch ermöglicht die Consent-Lösung rechtskonform die Steuerung des Einwilligungsverhaltens über drei zentrale, gleich große und identisch akzentuierte Buttons, mit denen jeweils

  • alle Cookies akzeptiert werden können
  • alle Cookies außer die technisch erforderlichen abgelehnt werden können
  • individuelle Cookie-Einstellungen aufgerufen werden können.

Problematisch ist allerdings, dass das Shopify-Tool in den individuellen Cookie-Einstellungen nur eine Einwilligung in Cookie-Kategorien zulässt:

Shopify CCT

In rechtlicher Hinsicht sind derartige kategoriebezogene Generaleinwilligungen aber nicht ausreichend, weil sie die datenschutzrechtlich geforderte „Freiwilligkeit“ bei der Einwilligungserteilung beeinträchtigen. Die Freiwilligkeit ist ein maßgebliches Kriterium für die Wirksamkeit einer datenschutzrechtlichen Einwilligung, s. Art. 4 Nr. 11 und Art. 7 Abs. 3 DSGVO. Fehlt sie, ist die zugrundeliegende Einwilligungserklärung unwirksam mit der Folge, dass sich der Erklärungsempfänger (hier: der Shop-Betreiber) so behandeln lassen muss, als hatte er die Einwilligung nie korrekt eingeholt.

Um die Freiwilligkeit zu wahren, wäre erforderlich, dass Shopify Einwilligungsoptionen für jeden einzelnen cookie-basierten Dienst in das Tool integriert, also in den Kategorien Unterauswahl-Schaltflächen für alle cookie-basierten Dienste pro Kategorie bereitstellt. Nur dann könnte ein Nutzer zum einen hinreichend erkennen, welche Dienste im jeweiligen Shopify-Shop überhaupt zum Einsatz kommen könnten, und sich zum anderen für oder gegen ihr Setzen von Cookies entscheiden.

Wie diese individuelle Einstellungsmöglichkeit im Tool graphisch oder optisch dargestellt wird, ist dahingegen nicht relevant. Entscheidend ist nur, dass sie vorhanden ist. Daneben kann es freilich eine „Alle akzeptieren“-Schaltfläche geben.

Update vom 25.04.2024:

Shopify ist der o.g. Auffassung in einem Thread des Shopify-Forums explizit entgegengetreten und vertritt den Standpunkt, auch bloße Einwilligungen in Cookie-Kategorien ohne Benennung der einzelnen darin gebündelten cookie-basierten Dienste und ohne Bereitstellung von Unterauswahloptionen für eben diese seien ausreichend.

Begründet wird dies mit einem weit verbreiteten Usus in Consent-Tools anderer Anbieter und mit technischen Aufwand.

Shopify übersieht mit seiner Stellungnahme damit aber die Auffassung der führenden Datenschutzbehörden der EU-Mitgliedsstaaten, die als wesentliches Erfordernis einer wirksamen Cookie-Einwilligung gerade deren Granularität definieren.

Dieses Granularitätserfordernis gebietet spezifisch, dass nicht nur Kategorie-Einwilligungen, sondern Einwilligungen für jeden cookie-basierten Dienst individuell abgefragt werden und der Nutzer sein Einwilligungsverhalten insofern im Detail steuern kann.

Vertreten wird dies unter anderem von

  • der deutschen Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hier (S. 16, Randziffer 50)
  • der obersten Datenschutzbehörde Österreichs hier (Bescheid vom 29. März 2023, GZ: 2023-0.174.027)

Ein technischer Programmieraufwand des Consent-Tool-Entwicklers muss bei der Implementierung der Granularität zwangsweise unberücksichtigt bleiben, da das Recht des Nutzers auf informationelle Selbstbestimmung in der Interessenabwägung immer überwiegen muss.

III. Fazit

Das hauseigene "Cookie Banner" von Shopify als natives, in den Shop-Einstellungen konfigurierbares Cookie-Consent-Tool hat aufgrund seines schlichten und unaufdringlichen Designs eindeutig Potenzial. Darüber hinaus blockt es effektiv alle technisch nicht notwendigen Cookies ab.

Rechtlich erforderlich wäre aber ein Nachrüsten dahingehend, dass die "individuellen Einstellungen" nicht nur die Einwilligungserteilung für ganze Cookie-Kategorien, sondern vielmehr ein feinjustierteres Einwilligungsmanagement für jeden einzelnen cookie-basierten Dienst innerhalb einer jeden Kategorie zuließen.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

6 Kommentare

G
Gabriel Bourke 24.04.2024, 21:14 Uhr
Herr
Sieht meine Antwort zu diesem Artikel in unserer Shopify Community

https://community.shopify.com/c/technische-fragen-antworten/shopify-cookie-banner-nicht-dsgvo-konform/m-p/2545191
S
SHOPIFY USER 2 18.03.2024, 18:37 Uhr
Aktuelle Banner-Lösung von Shopify
Sehr geehrte Damen und Herren,

können Sie eventuell eine aktualisierte Einschätzung der aktuellen direkt von Shopify bereitgestellten Banner-Lösung im Bereich "Datenschutz des Kunden" geben? Das wäre wahrscheinlich für viele Kunden sehr interessant.

Beste Grüße und vielen Dank :)
S
Shopify User 02.01.2022, 08:12 Uhr
Cookie Consent Tool empfehlung für Deutschland/DACH
Welche Lösung empfehlen Sie?
I
IT-Recht Kanzlei 04.02.2021, 11:56 Uhr
Cookie-Banner von Shopify
Guten Tag,

danke für Ihre Kommentare.

Da das Tool von Shopify derzeit noch nicht alle Anforderungen an einen rechtskonformen Cookie-Consent umsetzt, empfehlen wir, stattdessen eine andere Lösung zu verwenden, welche die im Beitrag angesprochenen Einstellungsmöglichkeiten bietet.

Mit freundlichen Grüßen,
Ihre IT-Recht Kanzlei
B
Benster 04.02.2021, 11:19 Uhr
Handlungsempfehlung Cookie Banner Shopify
Ich schließe mich der Frage von VFX Johow an:
Kann man den Cookie Banner von Shopify aktuell verwenden? Oder geht man damit ein gesteigertes Risiko ein?
V
VFX Johow 01.02.2021, 17:30 Uhr
Verwenden oder nicht?
Bedeutet das Fazit also dass man diese Lösung besser noch nicht verwenden sollte solange bis die Auswahlmöglichkeiten ausgeweitet wurden?

Weitere News

Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
(21.10.2024, 08:53 Uhr)
Aufgepasst: Cookie-Tool darf Impressum und Datenschutzhinweise nicht verdecken
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
(08.08.2024, 15:30 Uhr)
Keks oder Krümelmonster: Software-Unternehmen haftet für Cookies
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
(15.02.2024, 07:46 Uhr)
OLG Köln: Cookie-Banner mit fehlender Ablehnoption auf erster Ebene wettbewerbswidrig
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
(27.06.2023, 14:48 Uhr)
Google Universal Analytics wird zum 1. Juli 2023 eingestellt - Wechsel zu Google Analytics 4 notwendig
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
(24.05.2023, 22:35 Uhr)
Dark Patterns bei Cookie-Consent Tools: Sind manipulative Tricks zulässig?
LG München I: Cookie-Banner mit Ablehnungsmöglichkeit erst auf zweiter Ebene unzureichend!
(23.02.2023, 13:47 Uhr)
LG München I: Cookie-Banner mit Ablehnungsmöglichkeit erst auf zweiter Ebene unzureichend!
© 2004-2024 · IT-Recht Kanzlei