Shopifys neue native Cookie-Consent-Lösung: Rechtskonform oder nicht? (Update)
Seit 2024 stellt Shopify Händlern in den Datenschutzeinstellungen eine native Cookie-Consent-Lösung bereit, mit welcher Shop-Besucher ihr Cookie-Einwilligungsverhalten rechtswirksam sollen steuern können. Der folgende Beitrag geht der Frage nach, ob die Shopify-Lösung den Anforderungen an einen datenschutzkonformen Cookie-Consent entspricht, und geht in einer Aktualisierung auch auf eine dazu von Shopify selbst veröffentlichte Mitteilung ein.
I. Das Cookie Banner von Shopify
Nachdem Shopify zunächst seit Herbst 2020 eine eigene Cookie-Consent-Lösung im Shopify-Appstore bereitgestellt hatte, mit welcher Shop-Betreiber die höchstrichterliche Rechtsprechung von EuGH und BGH zur Einwilligungspflicht für technisch nicht notwendige Cookies anforderungskonform sollten umsetzen können, stellt der Shopsystem-Anbieter seit 2024 mit dem "Cookie Banner" eine native Cookie-Einwilligungslösung direkt in den Shopify-Einstellungen ("Einstellungen > Datenschutz des Kunden > Cookie Banner") bereit.
Anders als die vorherige Shopify-eigene Lösung muss das neue Cookie Banner nicht aus dem Appstore geladen werden, sondern lässt sich mit wenigen Klicks direkt in den Shop-Einstellungen kalibrieren und sodann als Pop-Up der Shop-Ansicht hinzufügen.
Nach Shopifys Ansicht ermöglicht das hauseigene Cookie-Banner einen datenschutzkonformen Cookie-Consent für alle vom Shop-Betreiber eingesetzten cookie-basierten Dienste und soll insbesondere den Rückgriff auf (ggf. kostenpflichtige) Drittanbieter-Tools hinfällig werden lassen.
II. Datenschutzrechtliche Würdigung der Lösung
Wie rechtlich gefordert, stellt das hauseigene Cookie-Consent-Tool von Shopify zwar sicher, dass bei Seitenaufruf alle technisch nicht notwendigen Cookies so lange blockiert werden, bis der Nutzer seine Cookie-Einwilligung erteilt.
Die Einwilligungsfunktion an sich ist rechtlich aber noch ausbaubedürftig.
Auch ermöglicht die Consent-Lösung rechtskonform die Steuerung des Einwilligungsverhaltens über drei zentrale, gleich große und identisch akzentuierte Buttons, mit denen jeweils
- alle Cookies akzeptiert werden können
- alle Cookies außer die technisch erforderlichen abgelehnt werden können
- individuelle Cookie-Einstellungen aufgerufen werden können.
Problematisch ist allerdings, dass das Shopify-Tool in den individuellen Cookie-Einstellungen nur eine Einwilligung in Cookie-Kategorien zulässt:
In rechtlicher Hinsicht sind derartige kategoriebezogene Generaleinwilligungen aber nicht ausreichend, weil sie die datenschutzrechtlich geforderte „Freiwilligkeit“ bei der Einwilligungserteilung beeinträchtigen. Die Freiwilligkeit ist ein maßgebliches Kriterium für die Wirksamkeit einer datenschutzrechtlichen Einwilligung, s. Art. 4 Nr. 11 und Art. 7 Abs. 3 DSGVO. Fehlt sie, ist die zugrundeliegende Einwilligungserklärung unwirksam mit der Folge, dass sich der Erklärungsempfänger (hier: der Shop-Betreiber) so behandeln lassen muss, als hatte er die Einwilligung nie korrekt eingeholt.
Um die Freiwilligkeit zu wahren, wäre erforderlich, dass Shopify Einwilligungsoptionen für jeden einzelnen cookie-basierten Dienst in das Tool integriert, also in den Kategorien Unterauswahl-Schaltflächen für alle cookie-basierten Dienste pro Kategorie bereitstellt. Nur dann könnte ein Nutzer zum einen hinreichend erkennen, welche Dienste im jeweiligen Shopify-Shop überhaupt zum Einsatz kommen könnten, und sich zum anderen für oder gegen ihr Setzen von Cookies entscheiden.
Wie diese individuelle Einstellungsmöglichkeit im Tool graphisch oder optisch dargestellt wird, ist dahingegen nicht relevant. Entscheidend ist nur, dass sie vorhanden ist. Daneben kann es freilich eine „Alle akzeptieren“-Schaltfläche geben.
Update vom 25.04.2024:
Shopify ist der o.g. Auffassung in einem Thread des Shopify-Forums explizit entgegengetreten und vertritt den Standpunkt, auch bloße Einwilligungen in Cookie-Kategorien ohne Benennung der einzelnen darin gebündelten cookie-basierten Dienste und ohne Bereitstellung von Unterauswahloptionen für eben diese seien ausreichend.
Begründet wird dies mit einem weit verbreiteten Usus in Consent-Tools anderer Anbieter und mit technischen Aufwand.
Shopify übersieht mit seiner Stellungnahme damit aber die Auffassung der führenden Datenschutzbehörden der EU-Mitgliedsstaaten, die als wesentliches Erfordernis einer wirksamen Cookie-Einwilligung gerade deren Granularität definieren.
Dieses Granularitätserfordernis gebietet spezifisch, dass nicht nur Kategorie-Einwilligungen, sondern Einwilligungen für jeden cookie-basierten Dienst individuell abgefragt werden und der Nutzer sein Einwilligungsverhalten insofern im Detail steuern kann.
Vertreten wird dies unter anderem von
- der deutschen Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hier (S. 16, Randziffer 50)
- der obersten Datenschutzbehörde Österreichs hier (Bescheid vom 29. März 2023, GZ: 2023-0.174.027)
Ein technischer Programmieraufwand des Consent-Tool-Entwicklers muss bei der Implementierung der Granularität zwangsweise unberücksichtigt bleiben, da das Recht des Nutzers auf informationelle Selbstbestimmung in der Interessenabwägung immer überwiegen muss.
III. Fazit
Das hauseigene "Cookie Banner" von Shopify als natives, in den Shop-Einstellungen konfigurierbares Cookie-Consent-Tool hat aufgrund seines schlichten und unaufdringlichen Designs eindeutig Potenzial. Darüber hinaus blockt es effektiv alle technisch nicht notwendigen Cookies ab.
Rechtlich erforderlich wäre aber ein Nachrüsten dahingehend, dass die "individuellen Einstellungen" nicht nur die Einwilligungserteilung für ganze Cookie-Kategorien, sondern vielmehr ein feinjustierteres Einwilligungsmanagement für jeden einzelnen cookie-basierten Dienst innerhalb einer jeden Kategorie zuließen.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
6 Kommentare
https://community.shopify.com/c/technische-fragen-antworten/shopify-cookie-banner-nicht-dsgvo-konform/m-p/2545191
können Sie eventuell eine aktualisierte Einschätzung der aktuellen direkt von Shopify bereitgestellten Banner-Lösung im Bereich "Datenschutz des Kunden" geben? Das wäre wahrscheinlich für viele Kunden sehr interessant.
Beste Grüße und vielen Dank :)
danke für Ihre Kommentare.
Da das Tool von Shopify derzeit noch nicht alle Anforderungen an einen rechtskonformen Cookie-Consent umsetzt, empfehlen wir, stattdessen eine andere Lösung zu verwenden, welche die im Beitrag angesprochenen Einstellungsmöglichkeiten bietet.
Mit freundlichen Grüßen,
Ihre IT-Recht Kanzlei
Kann man den Cookie Banner von Shopify aktuell verwenden? Oder geht man damit ein gesteigertes Risiko ein?