← Zurück zum Blog

Cookie-Einwilligung für Shopify: Warum dein Banner wahrscheinlich nicht ausreicht

Ein Cookie-Banner mit dem Text „Wir verwenden Cookies, um Ihre Erfahrung zu verbessern" und einem einzigen „OK"-Button ist nicht DSGVO-konform. War es nie. Dennoch betreiben Tausende Shopify-Shops genau dieses Setup — und allein die französische Datenschutzbehörde CNIL verhängte 2025 Cookie-bezogene Bußgelder in Höhe von über 475 Millionen Euro. Wenn dein Shopify-Shop EU-Besucher empfängt, erfährst du hier, was du wirklich tun musst, warum Shopifys natives Banner nicht genügt und wie Google Consent Mode v2 dein Werbebudget beeinflusst.

Der rechtliche Standard: Vorherige Einwilligung, keine Ausnahmen

Die Cookie-Einwilligung in der EU basiert auf zwei Säulen. Die ePrivacy-Richtlinie (2002/58/EG, geändert durch 2009/136/EG) — in Deutschland umgesetzt durch das TTDSG (§ 25) — regelt das Setzen von Cookies auf dem Endgerät des Nutzers. § 25 Abs. 1 TTDSG ist eindeutig: Für die Speicherung von Informationen oder den Zugriff auf bereits gespeicherte Informationen im Endgerät ist die Einwilligung des Nutzers erforderlich. Ausnahmen gelten nur für technisch zwingend notwendige Cookies.

Die DSGVO regelt dann den Umgang mit den erhobenen personenbezogenen Daten. Artikel 4 Nr. 11 definiert eine gültige Einwilligung als „freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich". Erwägungsgrund 32 stellt klar, dass „Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit" keine Einwilligung darstellen.

Der EuGH hat in der Planet49-Entscheidung (Rechtssache C-673/17, Oktober 2019) jede verbleibende Unklarheit beseitigt: Vorangekreuzte Checkboxen sind ungültig, die DSGVO-Standards für Einwilligungen gelten unabhängig davon, ob die Daten personenbezogen sind, und Nutzer müssen vor ihrer Einwilligung über Cookie-Dauer und Zugriff Dritter informiert werden.

Ein konformes Cookie-Banner muss also: nicht-essentielle Cookies standardmäßig blockieren, eine echte Wahl bieten (nicht nur „Alle akzeptieren") und keine Analytics- oder Marketing-Skripte laden, bevor der Nutzer aktiv eingewilligt hat.

Warum Shopifys eingebautes Cookie-Banner nicht ausreicht

Shopify hat im März 2024 seine bisherigen Privacy-Tools durch neue Datenschutzfunktionen unter Einstellungen > Datenschutz ersetzt. Das native Setup enthält ein Cookie-Banner und grundlegende regionale Consent-Einstellungen. Es sieht nach Compliance aus. Ist es aber nicht.

Das Kernproblem: Shopifys natives Banner blockiert nicht-essentielle Skripte nicht vor der Einwilligung. Tracking-Skripte von Drittanbietern — Meta Pixel, TikTok Ads, Google Analytics, Hotjar — können feuern, bevor der Nutzer mit dem Banner interagiert. Nach EU-Recht ist das ein Verstoß in dem Moment, in dem ein deutscher, französischer oder niederländischer Besucher die Seite lädt.

Die Lücken gehen weiter: Shopifys natives Banner führt kein Einwilligungsprotokoll. Artikel 7 Abs. 1 DSGVO verlangt, dass du nachweisen kannst, dass eine Einwilligung erteilt wurde — ohne Protokolle kein Nachweis. Zudem bietet das native Banner keine granulare Cookie-Aufschlüsselung, eingeschränkte Anpassungsmöglichkeiten für verschiedene EU-Länder und keine native Integration von Google Consent Mode v2.

Google Consent Mode v2: Einwilligung beeinflusst jetzt dein Werbebudget

Seit dem 6. März 2024 verlangt Google Consent Mode v2 für alle Websites, die Google-Werbeprodukte mit EU/EWR-Traffic nutzen. Diese Anforderung ergibt sich aus dem Digital Markets Act, der Google als „Gatekeeper" verpflichtet, ordnungsgemäße Einwilligungen einzuholen.

Consent Mode v2 führte zwei neue Einwilligungssignale ein: ad_user_data (Einwilligung zur Übermittlung von Nutzerdaten an Google für Werbezwecke) und ad_personalization (Einwilligung für personalisierte Werbung und Remarketing). Zusammen mit analytics_storage und ad_storage steuern diese vier Signale, was Googles Tags auf deiner Website tun dürfen.

Ohne Consent Mode v2 stellt Google Ads die Verarbeitung von Werbedaten für deine EWR-Besucher ein. Du verlierst Remarketing-Zielgruppen, Anzeigenpersonalisierung und Conversion-Messung für EU-Traffic. Berichte aus Mitte 2025 zeigen, dass Google begonnen hat, Kampagnenfunktionen für nicht-konforme Konten aktiv einzuschränken. Für Händler mit signifikantem Google-Ads-Budget ist das nicht nur eine Rechtsfrage — es erodiert direkt deinen Return on Ad Spend.

Die Durchsetzungsrealität: Bußgelder sind hoch und steigend

EU-Regulierungsbehörden haben Cookie-Einwilligung zu einem prioritären Durchsetzungsbereich gemacht, angeführt von Frankreichs CNIL.

Im September 2025 belegte die CNIL Google mit einem Bußgeld von 325 Millionen Euro wegen des Setzens von Werbe-Cookies ohne ordnungsgemäße Einwilligung. Im selben Monat erhielt Shein ein Bußgeld von 150 Millionen Euro, weil beim Aufrufen von shein.com automatisch Werbe-Cookies gesetzt wurden — vor jeder Banner-Interaktion. Im November 2025 verhängte die CNIL 750.000 Euro gegen Condé Nast für Cookies ohne Einwilligung auf vanityfair.fr.

Über 2025 verhängte die CNIL 83 Sanktionen in Höhe von insgesamt 486,8 Millionen Euro — fast das Neunfache der 55,2 Millionen Euro aus 2024. Schwedens IMY erteilte formelle Rügen gegen mehrere Unternehmen wegen Dark Patterns in Cookie-Bannern.

Diese Strafen sind nicht Tech-Giganten vorbehalten. Der rechtliche Standard gilt gleichermaßen für einen Shopify-Shop mit 500 monatlichen EU-Besuchern. In Deutschland kommt das Abmahnwesen hinzu: Selbst ein Wettbewerber kann eine formelle Beschwerde über dein nicht-konformes Cookie-Setup auslösen — mit typischen Kosten von 1.000 bis 5.000 Euro pro Abmahnung.

Was das für Shopify-Händler bedeutet

Für eine rechtskonforme Cookie-Einwilligung auf Shopify brauchst du mehr als das native Banner. Konkret:

Eine Consent Management Platform (CMP), die nicht-essentielle Skripte vor der Einwilligung blockiert, Einwilligungen protokolliert, granulare Cookie-Kategorien unterstützt und Google Consent Mode v2 integriert. Die CMP sollte idealerweise im Google CMP Partner Program zertifiziert sein.

Deine Cookie-Richtlinie muss jedes Cookie auflisten, das deine Website setzt, mit Zweck, Dauer und ob Dritte darauf zugreifen. Das ist eine separate Anforderung neben der Datenschutzerklärung. (Siehe unseren Leitfaden zu den EU-Rechtstexten für Shopify-Shops.)

Teste deine Implementierung: Öffne deinen Shop in einem EU-Browser mit gelöschten Cookies. Bevor du mit dem Banner interagierst, prüfe die Entwicklertools (Application > Cookies). Wenn bereits nicht-essentielle Cookies gesetzt sind, ist dein Setup fehlerhaft.

Fazit: Richtige Einwilligung schützt Umsatz

Cookie-Einwilligung ist nicht nur ein juristisches Häkchen — sie ist das Tor zu deinen EU-Werbedaten. Eine korrekt implementierte Consent-Lösung schützt dich vor sechsstelligen Bußgeldern, bewahrt deine Google-Ads-Messfähigkeiten und baut Vertrauen bei datenschutzbewussten europäischen Käufern auf.

Verwandte Artikel

• EU-Rechtstexte für Shopify-Shops Sechs Pflichtseiten, die EU-Recht für deinen Shopify-Shop verlangt — von der Datenschutzerklärung bis zur Barrierefreiheitserklärung.
• GPSR-Compliance für Shopify-Shops Was die EU-Produktsicherheitsverordnung von Shopify-Händlern verlangt — Artikel 19, Strafen und praktische Umsetzung.