Cookie-Consent-Tools für Shopsysteme im Test: welche Tools genügen den rechtlichen Anforderungen?
Tipp: Weiterführende Informationen finden Sie hier: "Mandantenvergünstigungen für Cookie-Consent-Tools im Überblick"
Die IT-Recht Kanzlei hat eine Vielzahl von Consent-Tools für bestimmte Hosting-Umgebungen getestet und einer rechtlichen Bewertung unterzogen. Einige Tools fallen aktuell noch durch...
Inhaltsverzeichnis
- I. Rechtlich notwendige technische Ausgestaltung von Cookie-Consent-Tools
- 1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies
- 2.) Kein Cookie-Einsatz vor Einwilligung
- 3.) Protokollierung und Speicherung von Einwilligungen
- 4.) Widerruflichkeit
- II. Bewertung einzelner Cookie-Consent-Tools
- 1.) Gambio
- 2.) Jimdo
- 3.) Joomla
- 4.) JTL
- 5.) Shopify
- 6.) Shopware
- 7.) VersaCommerce
- 8.) WordPress
I. Rechtlich notwendige technische Ausgestaltung von Cookie-Consent-Tools
Für das Einholen der notwendigen Einwilligungen für cookie-basierte Verarbeitungen, die technisch nicht notwendig sind, haben sich vor allem „Cookie-Consent-Tools“ durchgesetzt. Damit hiermit wirksame Einwilligungen eingeholt werden können, sind aber technische und gestalterische Maßnahmen zu beachten:
1.) Informationen und Auswahlmöglichkeiten für alle eingesetzten Cookies
Wird ein Banner oder Tool beim erstmaligen Aufruf einer Website angezeigt, muss in diesem Banner für jedes eingesetzte Cookie eine sprachlich einfach gefasste Information darüber ergehen,
- welche Verarbeitungsvorgänge mit dem Cookie vorgenommen werden,
- welche Akteure an den Verarbeitungsvorgängen des Cookies beteiligt sind und
- welche Funktionen diese Akteure erfüllen
Es ist zulässig, für die Bereitstellungen dieser Informationen auf die Datenschutzerklärung zu verweisen. Voraussetzung ist freilich, dass in dieser dann die Funktionsweise jedes einwilligungspflichtigen Cookies auch abschließend beschrieben wird.
Jedes Banner oder Tool muss über ein Auswahlmenü verfügen, bei dem jedes eingesetzte Cookie einen eigenen aktivierbaren Menüpunkt darstellt. Keine Auswahlmöglichkeit darf voraktiviert bzw. „angetickt“ sein.
Nicht ausreichend sind die häufig beobachteten Cookie-Banner, die sich über einen „OK“-Button wegklicken lassen. In diesen Fällen fehlt es an der Freiwilligkeit, weil Betroffene keine Möglichkeit haben, das Setzen von Cookies abzulehnen.
2.) Kein Cookie-Einsatz vor Einwilligung
Beim erstmaligen Aufruf einer Website dürfen keinerlei technisch nicht notwendige Cookies voraktiviert sein und im Hintergrund laufen. Alle eingesetzten Skripte solcher Cookies müssen solange blockiert werden, bis der Betroffene über das Banner oder Tool in deren Einsatz eingewilligt hat. Werden nur für einzelne Cookies Einwilligungen erteilt, muss der Einsatz der anderen unterbunden werden.
Erst, wenn der Nutzer seine Einwilligung durch die Auswahl von Cookies erteilt hat, dürfen die hiermit verbundenen Datenverarbeitungen aktiviert werden.
3.) Protokollierung und Speicherung von Einwilligungen
Weil für die Erfüllung der einwilligungsbezogenen Nachweispflichten eine sog. „indirekte Nutzeridentifizierung“ genügt, sollte die Entscheidung eines Betroffenen für oder gegen alle individuellen Cookie-Einwilligungen auf dessen Endgerät gespeichert werden. Die Verwendung einer User-ID oder einer sonstigen eindeutigen Identifizierung ist hierfür nicht erforderlich.
Die Speicherung der Einwilligungseinstellungen auf dem jeweiligen Endgerät genügt als Nachweis für vorliegende Einwilligungen und hat zudem den Vorteil, dass dem Betroffenen bei einem erneuten Seitenaufruf das Banner oder Tool nicht erneut angezeigt wird.
4.) Widerruflichkeit
Weil jede Einwilligung widerruflich sein und der Widerruf so einfach wie die Einwilligungserteilung sein muss, muss zwingend eine „One-Klick“-Widerrufsmöglichkeit für jedes Cookie im Consent Tool implementiert sein.
Die getroffenen Cookie-Einstellungen müssen also jederzeit wieder aufrufbar sein, damit die Einwilligungsauswahl vom Nutzer geändert oder rückgängig gemacht werden kann (etwa über das Entfernen eines für die Einwilligung gesetzten Häkchens).
II. Bewertung einzelner Cookie-Consent-Tools
Im Folgenden sollen verschiedene Cookie-Consent-Lösungen vorgestellt werden, die vor allem in den Plugin-Stores verschiedener Shophosting-Systeme angeboten und dort von den Anbietern als „rechtskonform“ angepriesen werden.
Wichtiger Hinweis vorweg: die nachstehende Vorstellung einzelner Consent-Tools ist nicht abschließend und erhebt keinen Anspruch auf Vollständigkeit. Sollten Sie Informationen zu einem bestimmten Tool vermissen, nehmen Sie gerne Kontakt mit uns auf. Wir werden Ihre Anfrage daraufhin überprüfen und diesen Beitrag gegebenenfalls erweitern.
1.) Gambio
a) Cookie-Consent-Tool von Gambio
Mit einem hauseigenen Cookie-Consent-Tool stellt der Shopsoftware-Anbieter Gambio eine rechtlich einwandfreie Lösung für das Cookie-Einwilligungsmanagement bereit.
Bei Einbindung des Tools wird sichergestellt, dass
- alle einwilligungspflichtigen Cookies bei Seitenaufruf geblockt und erst dann gesetzt werden, wenn der Nutzer diese individuell aktiviert und damit seine Einwilligung erteilt
- Einwilligungen hinreichend protokolliert werden
- Einwilligungen für jeden cookie-basierten Dienst individuell abgefragt werden.
2.) Jimdo
a) „Cookie-Richtlinie“ von Jimdo
Der Shophoster Jimdo möchte Händlern einen Mehrwert bieten und hat ein vermeintlich rechtskonformes Cookie-Consent-Tool mit einer korrelierenden „Cookie-Richtlinie“ in gehostete Shops automatisch integriert.
Bislang war es mit dem Jimdo-Tool nicht möglich, Einwilligungen für individuelle cookie-basierte Dienste einzuholen. Bereitgestellt wurden nur (unzureichende) Einwilligungsfelder für ganze Cookie-Kategorien.
Nun hat Jimdo aber nachgebessert und erlaubt individuelle Cookie-Einwilligungen so, dass das Tool den geltenden Datenschutzstandards entspricht:
Mithin ist mit dem Tool „Cookie Richtlinie“ von Jimdo ein anforderungskonformes Cookie-Einwilligungsmanagement nun möglich.
3.) Joomla
a) "GDPR Cookie Plugin" von Joomla
Joomla selbst bietet Seiteninhabern mit dem Tool "GDPR Cookie Plugin" eine vermeintlich datenschutzkonforme Cookie-Consent-Lösung an.
Mit dieser lassen sich Cookie-Einwilligungen zwar einholen, protokollieren und widerrufen. Allerdings werden Cookie-Einwilligungen für bestimmte Cookie-Kategorien vorkategorisiert.
Der Nutzer kann sich zwar durch Klick auf die Kategoriebezeichnung zu einer Einzelauswahl für alle kategorisierten cookie-basierten Dienste weiterleiten lassen. Diese Funktion ist aber so versteckt und wenig transparent, dass der Nutzer hier wohl über seine Cookie-Einstellungsmöglichkeiten getäuscht bzw. (bewusst) im Unklaren gelassen wird.
Daher gelingt mit dem "GDPR Cookie Plugin" von Joomla ein hinreichendes Cookie-Einwilligungsmanagement derzeit noch nicht.
b) "GDRP"-Plugin von Richey.Web
Auch der Anbieter "Richey.Web" bietet ein Cookie-Consent-Tool für Joomla an.
Durch das Tool kann zwar sichergestellt werden, dass technisch nicht notwendige Cookies erst bei entsprechender Aktivierung durch den Nutzer gesetzt werden.
Durch einen jederzeit möglichen Rückgriff auf die getroffenen Cookie-Einstellungen und deren Abänderbarkeit ist auch für eine hinreichende Widerrufsmöglichkeit für Einwilligungen gesorgt.
Grundsätzlich sind zudem individuelle Cookie-Einwilligungen durch den Nutzer möglich. Allerdings werden dennoch teilweise verschiedene Cookies in einer Kategorie so zusammengefasst, dass nur eine nicht ausreichende Generaleinwilligung erteilt werden kann. Im Beispiel unten werden zum Beispiel Social-Media-Cookies kategorisch unter nur eine Einwilligungsoption gebündelt.
Aufgrund der teilweisen Bündelung von Cookies unter nur eine Einwilligungsoption ist mit dem "GDRP"-Plugin von Richey.Web ein hinreichend konformes Einwilligungsmanagement für Cookies derzeit noch nicht möglich. Bei der Prüfung konnte im Übrigen bislang nicht nachvollzogen werden, ob erteilte Einwilligungen zu Nachweiszwecken auch protokolliert werden. Dies wäre ebenfalls erforderlich.
4.) JTL
a) „EU-Cookie-Plugin“ von CMO
Speziell für JTL-Shops bietet CMO ein scheinbar rechtskonformes Cookie-Consent-Plugin an.
Allerdings handelt es sich bei diesem nicht um ein Consent Tool im eigentlichen Sinne, sondern um ein bloßes Cookie-Banner, das sich über eine Schaltlfäche wegklicken lässt und welches das Einholen cookie-spezifischer Einwilligungen gerade nicht ermöglicht.
Mit dem „EU-Cookie-Plugin“ von CMO ist ein rechtskonformes Cookie-Einwilligungsmanagement daher aktuell nicht möglich.
b) „CiN Cookie Manager“ von CiN GmbH com-ins-netz.de
Eine vollständig rechtskonforme ConsentLösung für Cookies wird mit dem „CiN Cookie Manager“ von der CiN GmbH angeboten.
Mit dem Plugin für JTL-Shops lassen sich individuelle Einwilligungen für alle Cookies auf Basis einer Kategorisierung einholen, protokollieren und über Rückgriff auf die Einstellungen auch jederzeit widerrufen.
Mit dem „CiN Cookie Manager“ ist daher ein rechtskonformes Einwilligungsmanagement für Cookies möglich.
20€ Rabatt für Mandanten: Mandanten der IT-Recht Kanzlei erhalten einen persönlichen Gutscheincode über einen Rabatt von 20€ auf die Kaufversion. Mit dem Kauf kann das Plugin zeitlich unbegrenzt verwendet werden. Zusätzlich sind kostenloser Support und Updates für 3 Monate ab Kauf enthalten („Subscription“). Nach Ablauf der 3 Monate kann die „Subscription“ für weitere Updates und fortlaufenden Support optional gegen ein vermindertes Entgelt verlängert werden. Wird die Subscription nicht verlängert, kann das Plugin in seiner zuletzt aktualisierten Version in vollem Umfang weitergenutzt werden.
Mandanten können den Gutscheincode hier abrufen.
c) "EU Cookie" der WebStollen GmbH
Der Anbieter WebStollen GmbH bietet speziell für JTL-Shops ein Cookie-Consent-Plugin an, mit welchem sich in rechtlich konformer Weise Cookie-Einwilligungen einholen und protokollieren lassen.
Bei ordnungsgemäßer Einbindung des Plugins werden Cookies solange blockiert, bis der Nutzer per Klick entsprechende Einwilligungen erteilt. Das Plugin räumt dem Nutzer hierbei insbesondere die rechtlich erforderliche Möglichkeit ein, durch Klick auf "Details anzeigen" anwendungsspezifisch Cookies zu aktivieren und zu deaktivieren.
Damit ist mit dem "EU-Cookie"-Plugin der WebStollen GmbH ein rechtssicheres Einwilligungsmanagement für Cookies möglich.
20% Rabatt für Mandanten: Mandanten der IT-Recht Kanzlei erhalten einen persönlichen Gutscheincode über einen Rabatt von 20% auf die Kaufversion. Mit dem Kauf kann das Plugin zeitlich unbegrenzt verwendet werden. Zusätzlich sind kostenloser Support und Updates für die gegenwärtige Shop-Version ab Kauf enthalten.
Mandanten können den Gutscheincode hier abrufen.
d) DSGVO Cookie Management Pro 2020 von SecoSeal
Der Entwickler SecoSeal bietet mit dem Consent-Plugin "DSGVO Cookie Management Pro 2020" ein vermeintlich rechtskonformes Cookie-Consent-Tool für JTL an.
In der Tat lassen sich über das Tool zwar Cookie-Einwilligungen wirksam einholen und protokollieren. Dabei wird insbesondere sichergestellt, dass für Einwilligungen separat für jeden einzelnen Cookie-basierten Dienst erteilt werden können.
Problematisch und rechtlich nicht ordnungsgemäß gelöst ist allerdings, dass beim Einsatz des Tools cookie-basierte Anwendungen erst dann deaktiviert werden, wenn die entsprechende Einwilligung nicht erteilt wird. Bei Aufruf der Seite nehmen alle Anwendungen trotz Einbindung des Tools aber ihren Dienst auf und lösen den Einsatz von Cookies aus, bis der Nutzer die Einwilligung verweigert. Faktisch wird also keine Einwilligungs-, sondern vielmehr eine Widerspruchslösung implementiert.
Richtigerweise wäre durch eine entsprechende technische Ausarbeitung aber im Gegenteil zu gewährleisten, dass bei Einbindung des Tools alle Cookie-basierten Anwendungen so lange blockiert werden, bis der Nutzer seine entsprechende Einwilligung erteilt.
Bis auf weiteres ist mit dem Tool von SecoSeal ein rechtskonformes Cookie-Einwilligungsmanagement daher nicht möglich.
5.) Shopify
a) „EU Cookie Bar“ von Booster Apps
Speziell für Shopify hat der Anbieter „Booster Apps“ ein kostenloses und nach eigener Angabe datenschutzrechtskonformes „Cookie Bar“-Addon entwickelt, welches Shopify-Händler problemlos auf ihren Seiten sollen implementieren können. Nach Aussage des Anbieters lassen sich über das Tool rechtskonforme Cookie-Einwilligungen einholen.
Die Realität sieht allerdings anders aus.
Insofern entbehrt das Tool einer Einwilligungsoption gänzlich. Weder können für alle verwendeten Cookies einzeln Einwilligungen eingeholt werden, noch werden Cookies ohne Interaktion mit dem Tool generell blockiert.
Bei näherer Betrachtung handelt es sich bei der „Cookie Bar“ von Booster Apps um einen bloßen Cookie-Banner, der allgemein über den Einsatz von Cookies belehrt und sich über eine zentrale Schaltfläche („Got it“) einfach wegklicken lässt.
Derartige Cookie-Banner genügen den Voraussetzungen für wirksame Cookie-Einwilligungen aber nicht.
Ein rechtskonformes Einwilligungsmanagement für betroffene Cookies kann mit der „Cookie Bar“ von Booster Apps auf Shopify daher nicht implementiert werden.
b) “Pandectes GDPR Compliance"
Auch der Anbieter “Pandectes” bietet im Shopify App-Store eine vermeintlich rechtskonforme Consent-Lösung an.
Allerdings sind innerhalb der Präferenzen sodann nur Einwilligungen für zusammengefasste Cookie-Kategorien, nicht aber wie (wie erforderlich) auch für einzelne Cookies innerhalb der Kategorien einholbar.
Ein rechtskonformes Cookie-Einwilligungsmanagement ist daher derzeit über das Tool “Pandectes GDPR Compliance" nicht möglich.
c) „Responsive Cookie Consent“ von Appify Commerce
Ein weiteres Angebot für den Cookie-Consent auf Shopify kommt von „Appify Commerce“, wobei nach Angaben des Anbieters eine Konformität mit der EU-Rechtslage gewährleistet wird.
Tatsächlich handelt es sich bei der vermeintlichen „Consent Lösung“ aber wiederum nur um ein Cookie-Banner, das keine cookie-spezifischen Einwilligungseinstellungen ermöglicht und daher unzureichend ist.
Im Vergleich zu den beiden zuvor benannten Anbietern unterscheidet sich vorliegend nur die Bezeichnung der Bestätigungsschaltfläche, die durch das englische Wort „Accept“ die wirksame Einwilligungserteilung nahelegt. Das Einholen einer Generaleinwilligung für alle Cookies einer Seite über ein differenzierungsloses Banner ist aber nicht zulässig.
d) "Free GDPR + Cookie Mangement" von iSenseLabs
Auch der Anbieter iSenseLabs" stellt für Shopify ein vermeintlich rechtskonformes Cookie-Consent-Tool bereit.
Dessen Funktionalität geht zwar über diejenige eines bloßen Consent-Banners dadurch hinaus, dass über einen Klick auf "Preferences" tatsächlich weitere Cookie-Einstellungen möglich sind.
Allerdings sind innerhalb der Präferenzen sodann nur Einwilligungen für zusammengefasste Cookie-Kategorien, nicht aber wie (wie erforderlich) auch für einzelne Cookies innerhalb der Kategorien einholbar.
Auch fehlt augenscheinlich eine Möglichkeit, erteilte Einwilligungen zu Nachweiszwecken zu protokollieren.
Ein rechtskonformes Cookie-Einwilligungsmanagement ist daher derzeit über das Tool Free GDPR + Cookie Mangement" von iSenseLabs nicht möglich.
e) EU GDPR Cookies Notification von Omega
Auch der Anbieter "Omega" versucht sich an einem hinreichenden Cookie-Consent-Tool für Shopify und deklariert dieses als "DSGVO-konform".
Beim angebotenen Tool handelt es sich allerdings um eine Lösung, bei der Einwilligungen nur für zusammengefasste Cookie-Kategorien, nicht aber (wie erforderlich) auch für cookie-basierte Dienste innerhalb der Kategorien einholbar sind:
Auch haben Tests gezeigt, dass bei dem Dienst von Omega einwilligungspflichtige Cookies nicht anfänglich blockiert, sondern unabhängig von einer Einwilligung gesetzt werden.
Dies entspricht aber gerade nicht der gesetzgeberischen Vorgabe. Ein Cookie-Consent-Tool muss alle einwilligungspflichtigen Cookies solange blockieren, wie der Nutzer nicht individuell in ihre Setzung einwilligt.
Damit stellt Omega mit seinem Tool derzeit eine rechtlich ungenügende Lösung bereit, die ein rechtskonformes Cookie-Einwilligungsmanagement gerade nicht ermöglicht.
f) "GDRP Legal Cookie" von beeclever
Der Anbieter beeclever bietet speziell für Shopify-Shops ein Consent-Plugin an, mit welchem die ordnungsgemäße Einholung von Einwilligungen gelingt. Das Plugin stellt sicher, dass Cookies erst bei entsprechender Nutzereinwilligung im Interface auf der Webseite gesetzt werden. Das Ändern der Cookie-Einstellungen und damit auch der Widerruf von Einwilligungen sind jederzeit möglich.
Gewährleistet ist insbesondere auch, dass Nutzer ihre Einwilligungen individuell für jeden einzelnen Cookie-Dienst erteilen können:
Damit stellt beeclever für Shopify eine rechtlich hinreichende Consent-Lösung bereit.
6.) Shopware
a) „EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ ACRIS E-Commerce GmbH
Eine über ein bloßes Consent-Banner hinausgehende, deutlich ausgereiftere Einwilligungslösung kann auf Shopware mit dem Tool „EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ vom Anbieter ACRIS E-Commerce GmbH bezogen werden.
Mit dem Tool lassen sich Cookie-Einwilligungen einholen, protokollieren und widerrufen.
Problematisch war ursprünglich allerdings, dass Einwilligungen nur generell für bestimmte Cookie-Kategorien (Marketing, Tracking etc.) und mithin für alle diesen Kategorien zugeordneten Cookies eingeholt werden können. Eine gesonderte Einwilligung für jedes Cookie innerhalb einer Kategorie ließ sich aber nicht abfragen. Dies ist nach dem bisherigen rechtlichen Stand aber erforderlich.
Nach Anklicken der „Roll-Out-Option“ in jeder Kategorie wurden ursprünglich zwar die einzelnen Cookies aufgelistet, aber nicht mit einer individuellen Einwilligungsoption versehen.
Nach Veröffentlichung dieses Beitrags wurde die IT-Recht Kanzlei vom Anbieter ACRIS allerdings kontaktiert und auf eine am 04.12.2019 veröffentlichte, neue Version (2.0.0) des Tools hingewiesen, in der sich nun die in einzelnen Kategorien klassifizierten Cookies einzeln aktivieren und (im Sinne eines Widerrufs) auch wieder deaktivieren lassen.
Mit der neuen Version erfüllt das Tool "EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“ von ACRIS damit die rechtlichen Vorgaben und gewährleistet nach Ansicht der IT-Recht Kanzlei seither ein rechtlich hinreichendes Cookie-Einwilligungsmanagement.
20% Rabatt für Mandanten: Mandanten der IT-Recht Kanzlei erhalten einen persönlichen Gutscheincode über einen Rabatt von 20% auf die Kaufversion des Plugins "EU Cookie Richtlinie Pro + automatischer Cookie Erkennung“. Mit dem Kauf kann das Plugin zeitlich unbegrenzt verwendet werden. Zusätzlich sind kostenloser First-Level-Support und Updates für 12 Monate ab Kauf enthalten („Shopware-Subscription“). Nach Ablauf der 12 Monate kann die „Subscription“ für weitere Updates und fortlaufenden Support optional gegen ein vermindertes Entgelt verlängert werden. Wird die Subscription nicht verlängert, kann das Plugin in seiner zuletzt aktualisierten Version in vollem Umfang weitergenutzt werden.
Mandanten können den Gutscheincode hier im Mandantenportal abrufen.
b) „Cookie Hinweis mit Opt-In/Opt-Out“ von MND Next
Ein vollständig rechtskonformes, aber funktional eingeschränktes Consent-Tool wird für Shopware mit der Lösung „Cookie Hinweis mit Opt-In/Opt-Out“ von MND Next angeboten.
Mit dem Tool lassen sich wirksame Cookie-Einwilligungen einholen, protokollieren und widerrufen.
In den Voreinstellungen ist das Tool zwar auf den Consent für Google Analytics und Facebook Pixel begrenzt.
Allerdings lassen sich Cookies von anderen Anbietern manuell definieren, in das Tool einbinden und so zuverlässig von der Einwilligungserteilung abhängig machen.
Dank dieser Konfigurationsmöglichkeit gelingt mit dem Tool " Cookie Hinweis mit Opt-In/Opt-Out“ von MND für Shopware ein rechtskonformes Einwilligungsmanagement unabhängig von der Urheberschaft der jeweiligen Drittanwendung.
20% Rabatt für Mandanten: Mandanten der IT-Recht Kanzlei erhalten einen persönlichen Gutscheincode über einen Rabatt von 20% auf die Kaufversion des Plugins „Cookie Hinweis mit Opt-In/Opt-Out“. Mit dem Kauf kann das Plugin zeitlich unbegrenzt verwendet werden. Zusätzlich sind kostenloser First-Level-Support und Updates für 12 Monate ab Kauf enthalten („Shopware-Subscription“). Nach Ablauf der 12 Monate kann die „Subscription“ für weitere Updates und fortlaufenden Support optional gegen ein vermindertes Entgelt verlängert werden. Wird die Subscription nicht verlängert, kann das Plugin in seiner zuletzt aktualisierten Version in vollem Umfang weitergenutzt werden.
Mandanten können den Gutscheincode hier im Mandantenportal abrufen.
c.) "Cookie Consent Tool" von Shopware
Auch das Shopsystem "Shopware" selbst bietet Nutzern ein Cookie-Consent-Tool an, welches rechtskonform das Setzen von Cookies regulieren soll.
Das Tool von Shopware leistet, dass alle Cookies, die technisch nicht notwendig sind, von Anfang an geblockt werden und über den Konfigurationsbutton erst nach Aktivierung durch den Nutzer gesetzt werden. Missverständlich formuliert ist derzeit noch die Schaltfläche "Ablehnen", welche eher eine (nicht mehr hinreichende) Widerspruchslösung als eine Einwilligungslösung impliziert.
Nach Rücksprache mit den zuständigen Entwicklern aus dem Hause Shopware bewirkt ein Klick auf Ablehnen aber nur das Schließen des Einstellungsfensters und gerade kein Opt-Out von zuvor (einwilligungslos) gesetzten Cookies. Vielmehr werden immer nur technisch notwendige Cookies gesetzt, es sei denn, der Nutzer willigt aktiv auch in die Setzung anderer Cookies ein. Shopware sicherte der IT-Recht Kanzlei gegenüber zu, den Button zur Behebung des Missverständnisses in der nächsten Tool-Version umzubenennen.
Über den Konfigurationsbutton ermöglicht das Tool ferner die Einwilligung und deren Widerruf für einzelne Cookie-Kategorien, stellt bislang aber noch keine Möglichkeit bereit, auch für einzelne cookiebasierte Dienste innerhalb dieser Kategorien Einwilligungen einzuholen.
Mittlerweile hat Shopware nachgebessert und ermöglicht die (rechtlich notwendige) Einwilligungseinholung für einzelne Dienste (im Beispiel: Google Analytics):
Insofern gelingt mit dem "Cookie Consent Tool" von Shopware nun ein rechtskonformes Cookie-Einwilligungsmanagement.
7.) VersaCommerce
Der Shopsoftware-Hersteller "VersaCommerce" stellt Händlern ein eigens konzipiertes Consent-Tool bereit, mit dem sich rechtkonform Cookie-Einwilligungen einholen lassen.
Mit dem Tool von VersaCommerce ist - wie rechtlich gefordert - der Consent für einzelne Dienste möglich, auch werden die Cookie-Einstellungen des Nutzers hinreichend protokolliert.
8.) WordPress
a) "DSGVO Pixelmate" von lawlikes
Mit der Lösung „DSGVO Pixelmate“ wird von lawlikes ein rechtskonformes, aber funktional eingeschränktes Consent-Tool wird für Wordpress angeboten.
Mit dem Tool lassen sich wirksame Cookie-Einwilligungen einholen, protokollieren und widerrufen. Insbesondere ist der Consent für einzelne Dienste möglich.
Allerdings ist das Tool in seinem Funktionsumfang auf den Consent für Google Analytics, Facebook Pixel, YouTube, Vimeo, Twitter und Google Maps begrenzt.
Ein rechtskonformes Einwilligungsmanagement für andere (technisch nicht notwendige) Cookies ist mit dem Dienst nicht möglich, sodass er dort versagt, wo neben Cookies der abgedeckten Anwendungen weitere Cookies von Drittanbietern gesetzt werden.
b) "Borlabs Cookie" von Borlabs
Der Anbieter Borlabs stellt mit dem Cookie-Consent-Tool "Borlabs Cookie" ein Cookie-Einwilligungsmanagement für WordPress-Seiten bereit, mit welchem sich wirksam Cookie-Einwilligungen einholen, protokollieren und über eine jederzeitige Wiederaufrubarkeit des Tools auch widerrufen lassen.
Zwar erscheint es mit dem Tool zunächst nur möglich, Cookie-Einwilligungen allein für bestimmte Cookie-Kategorien und nicht für einzelne Cookies individuell einzuholen.
Allerdings verschafft Borlabs Nutzern über einen Klick auf "Individuelle Cookie-Einstellungen" von der zentralen Consent-Schaltfläche aus die Möglichkeit, in einzelne Cookies der verschiedenen Kategorien einzeln einzuwilligen.
Damit genügt das Tool "Borlabs Cookie" von Borlabs den rechtlichen Anforderungen an die technische Umsetzung.
Mandanten der IT-Recht Kanzlei erhalten 20%-35% Rabatt auf das Cookie-Consent-Plugin von Borlabs. Der Rabatt kann hier im Mandantenportal über einen speziellen Partner-Link beansprucht werden.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
16 Kommentare
Danke für diese differenzierte und umfassende Überprüfung verschiedener Cookie-Consent-Tools (in welcher allerdings einer der meistgenutzten Dienste fehlt: Cookiebot). Ich stimme Ihnen in den meisten Punkten zu, meiner Rechtsauffassung nach müsste es aber genügen, nicht notwendige Cookies pauschal oder kategorisiert abzulehnen, um der DSGVO zu genügen. Einfacher Grund: es gibt keinen Rechtsanspruch des Seitennutzers darauf, dass bestimmte Cookies gesetzt werden. Daher muss es genügen, wenn der Seitenbetreiber die Ablehnung pauschal nach Kategorien oder sogar insgesamt für alle Drittanbieter-Cookies ermöglicht, um dem Einwilligungsvorbehalt zu genügen. Der Kunde kann die Seite auch bei pauschaler Ablehnung ohne Einschränkungen nutzen, so dass auch das Merkmal der Freiwilligkeit erfüllt ist.
Beste kollegiale Grüße nach München,
Alexander Schupp
Rechtsanwalt
Fachanwalt für Gewerblichen Rechtsschutz
it-recht-deutschland.de
JTL-Shop 4 einsetze und nur die technisch notwendigen Cookies gesetzt werden, dann brauche ich keinen Cookie-Hinweis bzw. kein Cookie-Consent-Tool, habe ich das richtig verstenden?
Überprüft wurde es mit dem Add-On Ghostery im Chrome. Ergebnis: 0
vielen Dank für den Hinweis. Tatsächlich wird das "PRIVE"-Integrationstool für Shopware nicht mehr angeboten.
Wir haben insofern den entsprechenden Absatz aus dem Beitrag entfernt.
des Anbieters "armbrüster-consulting" wurde im Shopware Shop deaktiviert und ist dort nicht mehr verfügbar.
Dem Benutzer muss - und da reicht die Datenschutzerklärung - im Rahmen einer Abwägung der berechtigten Interessen vermittelt werden, warum der Einsatz notwendig / wünschenswert ist. Die Gruppierung solcher Cookies ist m.E. auch akzeptiert. Insofern sehe ich überhaupt keine Notwendigkeit, hier einzelne Cookie-Auswahlen zu unterstützen. Dies führt dann bei komplexen Seiten ja eh nochmals zur Problematik, dass dann evtl. einzelne Services gar nicht gehen, was dann u.U. recht komplex abgefangen werden müsste.
- HTML Site, eigene php Sites oder cgi basierte Websites die eine rechtskonforme Cookie-Lösung benötigen, die in Ihre Sites eingebaut werden können. ( und auch Free-Versionen ) . Anderseits ist es erstaunlich wie hier Gesetzte verabschiedet werden ohne sicher zustellen, dass ein normaler User diese Gesetze auch Ohne Kostenaufwand erfüllen kann.
entspricht das Cookie Consent Plugin von mediameets für Shopware den rechtlichen Anforderungen?
Dieses gibt es hier: https://store.shopware.com/media71794933853/cookie-tracking-marketing-suite.html
Einen Vorteil sehe ich in diesem Plugin: das Plugin hat schon einige Erweiterungen integriert, wie z.B. den Facebook Pixel, Messenger, Analytics, etc. Hierbei wird der Facebook Pixel wirklich erst aktiv, sobald die Auswahl vom Kunden getroffen wird.
Ich fände es super, wenn dieses Plugin in Ihre Liste aufgenommen wird, sofern es natürlich rechtskonform arbeitet.
Viele Grüsse
danke für Ihren Kommentar.
Warum beim shopware-eigenen Cookie-Consent-Tool noch Nachbesserungsbedarf besteht, lesen Sie an dieser Stelle des Beitrags: https://www.it-recht-kanzlei.de/test-cookie-consent-tools-shopsysteme.html#abschnitt_66
auch ich habe die Frage, ob das shopware-eigene Tool den Anforderungen entspricht, und wenn ja, warum kann man es nicht auswählen in der Konfiguration der Datenschutzerklärung?
ist Ihnen bei Ihrer Recherche nicht das Borlabs Cookie 2.1 aufgefallen?
Die vielseitigen Einrichtungsmöglichkeiten geben doch die Bestandteile des EuGH Urteils meiner Meinung nach - perfekt und anwenderfreundlich - wieder.
gerne haben wir eine Bewertung des Cookie Consent Tools von Shopware unter Punkt II. 2) c) mit aufgenommen.
vielen Dank für Ihre Kommentare.
Die Einwilligungspflicht für jeden einzelnen Dienst ergibt sich nicht nur aus dem Wortlaut von Artikel 5 Abs. 3 der Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG) ("[...] dass die Speicherung von Informationen [per Cookie] nur gestattet ist, wenn [...] Einwilligung [...]"), sondern wird auch durch die in Deutschland führende Datenschutzkonferenz der Länder bestätigt: https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf (S. 9)
Im Rahmen der bereits bestehenden Kooperationen kann die IT-Recht Kanzlei die Cookie-Consent-Tools von PRIVE und von consentmanager.net empfehlen.
mit der kürzlich veröffentlichten Shopware-Version 5.6.3 liefert der Hersteller ein integriertes Cookie-Consent-Tool. Genügt dies den gesetzlichen Anforderungen?
Viele Grüße,
Kathi Forster-Bode
vielen Dank für den hilreichen Beitrag.
Die Optik und die freie Gestaltung des Consent Banners spielt offensichtlich auch eine wichtige Rolle im Ecommerce.
Hätten sie dafür eine Empfehlung, bei der möglichst flexibel Anpassungen getroffen werden können?
Vielen Dank im Voraus für eine Info dazu.