TL;DR — Shopify generiert funktionale Cookies (Warenkorb, Sitzung, Währungseinstellungen), die von der DSGVO-Einwilligungspflicht befreit sind. Sobald jedoch Marketing-Pixel (Meta, Google, TikTok) oder Drittanbieter-Analytics-Apps aktiviert werden, werden Werbe- und Analyse-Cookies gesetzt, die eine ausdrückliche Einwilligung erfordern. Shopify hat 2023 für bestimmte Märkte ein eigenes Cookie-Banner-Tool eingeführt, das jedoch nicht alle europäischen Anforderungen abdeckt. Eine externe CMP bleibt für vollständige Compliance erforderlich.
Shopify ist die E-Commerce-Plattform von mehr als 4 Millionen Händlern weltweit. Die Flexibilität durch Apps und integrierte Marketing-Pixel schafft Cookie-Compliance-Risiken, die häufig unterschätzt werden. Der BfDI hat klargestellt, dass Online-Shops denselben Regeln unterliegen wie andere Websites. Dieser Leitfaden erklärt, welche Cookies Shopify setzt, wie man sie auditiert und wie man eine dauerhafte DSGVO-Konformität herstellt.
Welche Cookies setzt Shopify standardmäßig?
Shopify setzt mehrere funktionale First-Party-Cookies: _session_id (Einkaufssitzung, essenziell), cart (Warenkorbinhalt, essenziell), secure_customer_sig (Kundenauthentifizierung), localization (Sprach-/Währungseinstellungen). Diese Cookies sind für den Betrieb des Shops unbedingt erforderlich und von der Einwilligungspflicht befreit.
Pixel und Apps, die Risiken verursachen
Das eigentliche Risiko entsteht durch Pixel und Apps: Shopify Pixel (auch bekannt als Web Pixels) ermöglicht die native Integration von Meta Pixel, Google Analytics / GA4, TikTok Pixel und anderen Marketing-Tools. Jedes setzt seine eigenen Werbe- oder Analyse-Cookies. Drittanbieter-Apps aus dem Shopify App Store fügen oft zusätzliche Tracking-Skripte hinzu.
Wie auditiert man Cookies in einem Shopify-Shop?
Verwenden Sie den FlowConsent-Scanner (/de/scan) oder Chrome DevTools. Shopify-Shops haben mehrere zu auditierende Seitentypen: Startseite, Kollektionsseiten, Produktseiten, Warenkorbseite und Checkout-Seite. Der Shopify-Checkout wird auf einer Shopify.com-Subdomain gehostet, was die Cookie-Sichtbarkeit manchmal einschränkt.
Shopify Customer Privacy API vs. externe CMP
Seit 2023 bietet Shopify die Customer Privacy API an, die eine native Cookie-Einwilligungsverwaltung für Händler in bestimmten Märkten (einschließlich Europa) ermöglicht. Einschränkungen der nativen Lösung: Sie deckt nur native Shopify-Pixel (Web Pixels) ab, nicht Drittanbieter-Apps. Sie erzeugt keine exportierbaren Einwilligungsprotokolle. Für vollständige Compliance bleibt eine externe CMP der empfohlene Ansatz.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
So integriert man eine CMP auf Shopify
Schritt 1 — CMP-Skript zum Theme hinzufügen
Fügen Sie im Shopify-Theme-Editor das JavaScript-Snippet der CMP zur Datei theme.liquid hinzu, idealerweise im <head> vor allen anderen Drittanbieter-Skripten.
Schritt 2 — Web Pixels auf Einwilligung warten lassen
In Einstellungen > Kundenpixel kann jeder Web Pixel mit einem Datenschutzmodus konfiguriert werden. Aktivieren Sie den 'Eingeschränkten' Modus, damit Pixel nur dann Daten senden, wenn der Besucher der entsprechenden Kategorie zugestimmt hat.
Häufige Fehler bei Shopify-Shops
Fehler 1: Meta Pixel und GA4 aktiv ohne Cookie-Banner. Beide Pixel setzen beim Laden der Seite Werbe- und Analyse-Cookies. Ohne Banner und Skript-Blocking wird jeder Besucher ohne Einwilligung getrackt.
Fehler 2: Nur auf Shopifys native Lösung verlassen. Die Customer Privacy API deckt native Pixel ab, aber nicht Drittanbieter-Apps.
Fehler 3: Shopify-Checkout entzieht sich der Kontrolle. Der Checkout läuft auf einer Shopify-Domain. Sicherstellen, dass Pixel im Checkout ebenfalls die Einwilligung respektieren.
Fehler 4: Keine Einwilligungsprotokolle gespeichert. Bei einer Behördenprüfung müssen Sie nachweisen, dass die Einwilligung eingeholt wurde.
DSGVO-Cookie-Compliance-Checkliste für Shopify
- Alle Shop-Seiten scannen (Startseite, Kollektion, Produkt, Warenkorb, Checkout).
- Alle aktiven Web Pixels in Einstellungen > Kundenpixel auflisten.
- Alle Drittanbieter-Apps auflisten, die möglicherweise Tracking-Skripte einbinden.
- Eine Shopify-kompatible CMP installieren (Snippet in theme.liquid).
- Web Pixels im eingeschränkten Modus in der Shopify-Verwaltung konfigurieren.
- Skript-Blocking für Apps außerhalb der Web Pixels überprüfen.
- Google Consent Mode v2 integrieren, wenn Google Ads oder GA4 verwendet werden.
- Cookie-Richtlinie mit allen aktiven Cookies aktualisieren.
- Einwilligungsprotokollierung aktivieren (zeitgestempelte Logs).
- Link 'Cookies verwalten' in der Theme-Fußzeile hinzufügen.
Shopify vereinfacht den E-Commerce, vereinfacht aber nicht die DSGVO-Konformität. Marketing-Pixel und Drittanbieter-Apps schaffen echte Risiken, die regelmäßige Audits und eine korrekt konfigurierte CMP erfordern. Scannen Sie Ihren Shop unter /de/scan.