SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
DSGVOCookie BannerShopifyDatenschutz

Cookie-Banner & Consent-Management für Shopify rechtssicher einrichten

09. Juni 2026 · Max Benz

Wer einen Shopify Shop in Deutschland oder der EU betreibt, kommt an einem rechtssicheren Cookie Banner nicht vorbei. Das Bundesdatenschutzgesetz, die DSGVO und das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verpflichten dich dazu, Besucher nachweisbar um Einwilligung zu bitten, bevor nicht technisch notwendige Cookies gesetzt werden. Fehlt diese Einwilligung oder ist sie mangelhaft, riskierst du Abmahnungen, Bußgelder bis zu 20 Millionen Euro oder 4 Prozent deines weltweiten Jahresumsatzes sowie Klagen durch Datenschutzbehörden.

Die gute Nachricht: Shopify bietet seit 2024 eine native Cookie-Consent-Lösung direkt in den Shop-Einstellungen an. Zusätzlich gibt es spezialisierte Consent Management Plattformen (CMPs) aus dem Shopify App Store, die noch mehr Funktionen und rechtliche Sicherheit bieten.

Dieser Guide zeigt dir, welche rechtlichen Anforderungen für deinen Shopify Shop gelten, wie du den nativen Shopify Cookie Banner Schritt für Schritt einrichtest, wann eine professionelle Consent Management Platform sinnvoll ist, und was die meisten Shopify-Händler beim Cookie Banner falsch machen.

Seit dem 1. Dezember 2021 gilt in Deutschland das TTDSG, das die Cookie-Anforderungen aus der EU-ePrivacy-Richtlinie in deutsches Recht überführt hat. Die Kernregel: Für alle Cookies und ähnliche Tracking-Technologien, die nicht technisch notwendig sind, brauchst du eine freiwillige, informierte und ausdrückliche Einwilligung deiner Shop-Besucher, bevor diese Cookies gesetzt werden dürfen.

Die DSGVO ergänzt diesen Schutz: Sobald Cookies personenbezogene Daten verarbeiten, greift zusätzlich das Einwilligungserfordernis aus Art. 6 DSGVO. Das trifft praktisch jeden Tracking-Dienst, weil IP-Adressen in Deutschland als personenbezogene Daten gelten.

Technisch notwendige Cookies, zum Beispiel der Warenkorb-Cookie, Session-Cookies oder Cookies für die Shop-Funktionalität, darfst du ohne Einwilligung setzen. Für alles andere, also Analyse-Tools wie Google Analytics, Marketing-Pixel wie Meta Pixel oder TikTok Pixel, Remarketing-Cookies und Personalisierungsdienste, ist eine Opt-in-Einwilligung Pflicht.

Welche Cookies in Shopify erfordern eine Einwilligung?

Shopify selbst setzt mehrere eigene Cookies. Der _session_id-Cookie speichert die Warenkorb-Daten und gilt als technisch notwendig. Gleiches gilt für den secure_customer_sig-Cookie für eingeloggte Kunden und den cart-Cookie. Diese brauchst du nicht im Consent Banner aufzuführen.

Einwilligungspflichtig sind dagegen: Google Analytics 4 (der _ga-Cookie), Meta Pixel (_fbp, _fbc), TikTok Pixel, Klaviyo, Hotjar und alle anderen Analyse- oder Marketingdienste, die du als App installiert hast. Prüfe deine installierten Shopify-Apps systematisch darauf, ob sie Cookies oder Tracking-Pixel einbinden.

Konkret bedeutet das für deinen Shopify Shop: Verwendest du Google Analytics 4, Facebook Pixel oder ähnliche Drittanbieter-Dienste, brauchst du zwingend einen funktionierenden Cookie Banner. Nutzt du ausschließlich die Shopify-eigenen technischen Cookies (Warenkorb, Login), genügt ein einfacher Datenschutzhinweis ohne Einwilligungspflicht.

Übersicht der 4 Cookie Banner Typen für Shopify: Informationsbanner, Opt-in, Opt-out und Präferenzbanner

Nicht jeder Cookie Banner entspricht den rechtlichen Anforderungen. Es gibt vier grundlegende Typen, die du kennen solltest.

Das einfache Informationsbanner informiert Besucher nur darüber, dass die Seite Cookies verwendet. Es enthält keinen Opt-in und keine Ablehnungsmöglichkeit. Dieses Format ist seit der TTDSG-Einführung für nicht-technische Cookies in Deutschland nicht mehr ausreichend.

Das Zustimmungsbanner (Opt-in) holt aktiv die Einwilligung des Besuchers ein, bevor Cookies gesetzt werden. Besucher können zustimmen, ablehnen oder einzelne Kategorien auswählen. Das ist das einzige Format, das den deutschen und EU-rechtlichen Anforderungen für nicht-notwendige Cookies vollständig entspricht.

Das Ablehnungsbanner (Opt-out) setzt Cookies standardmäßig und gibt Besuchern die Möglichkeit, zu widersprechen. Dieses Modell ist nach DSGVO und TTDSG für nicht-notwendige Cookies nicht zulässig, weil die Einwilligung nicht vor dem Setzen der Cookies erteilt wird.

Das Präferenz-Banner kombiniert Opt-in mit Auswahlmöglichkeiten für verschiedene Cookie-Kategorien (Notwendig, Analyse, Marketing). Besucher können differenziert entscheiden. Das ist das empfohlene Format für Shops, die mehrere Tracking-Technologien nutzen.

Damit dein Cookie Banner tatsächlich DSGVO-konform ist, muss er mehrere Anforderungen erfüllen.

Klare Opt-in-Struktur: Besucher müssen aktiv zustimmen. Vorausgewählte Checkboxen, ein “Akzeptieren”-Button ohne “Ablehnen”-Alternative oder das Wegscrollen als Einwilligung sind nicht zulässig.

Kategorisierung der Cookies: Der Banner muss mindestens zwischen notwendigen Cookies und nicht-notwendigen Cookies unterscheiden. Besser ist eine detailliertere Aufschlüsselung nach Funktionalen, Statistik- und Marketing-Cookies.

Informationspflicht: Besucher müssen verstehen, welche Drittanbieter Daten erhalten und zu welchem Zweck. Ein einfaches “Wir verwenden Cookies” ohne weitere Details ist unzureichend.

Widerrufsmöglichkeit: Die Einwilligung muss jederzeit so einfach widerrufen werden können, wie sie erteilt wurde. Ein Link “Cookie-Einstellungen” im Footer, der direkt die Präferenzen öffnet, ist hier die Standardlösung.

Link zur Datenschutzerklärung: Der Banner muss auf deine Datenschutzerklärung verlinken, die ihrerseits die eingesetzten Cookies und Drittanbieter vollständig listet.

Ein häufig übersehener Punkt: Die Einwilligung muss dokumentiert werden. Dein Cookie-Tool sollte Zeitpunkt, Version des Banners und getroffene Entscheidung speichern, damit du im Fall einer Behördenanfrage nachweisen kannst, dass eine gültige Einwilligung vorlag.

6-Schritte-Anleitung: Shopify nativen Cookie Banner im Admin einrichten

Seit 2024 bietet Shopify einen eigenen Cookie Banner direkt in den Shop-Einstellungen an. Die Einrichtung ist einfach und erfordert keinen Code.

Schritt 1: Datenschutz-Einstellungen öffnen

Öffne dein Shopify Admin-Panel und navigiere zu Einstellungen > Datenschutz des Kunden. Dort findest du den Abschnitt “Cookie Banner”.

Aktiviere den Schieberegler “Cookie Banner anzeigen”. Shopify zeigt dir dann eine Vorschau des Banners.

Schritt 3: Banner-Texte anpassen

Du kannst Titel, Beschreibung und Button-Beschriftungen in deutscher Sprache anpassen. Formuliere klar und direkt, zum Beispiel: “Diese Seite verwendet Cookies für Analyse und Marketing. Du kannst zustimmen oder ablehnen.”

Im nativen Shopify Banner kannst du Kategorien wie “Analyse” und “Marketing” aktivieren. Ordne hier deine installierten Apps und Dienste den korrekten Kategorien zu. Google Analytics gehört zu Statistik, Meta Pixel zu Marketing.

Shopify unterstützt Google Consent Mode direkt im Admin. Aktiviere diese Option, damit Google Analytics und Google Ads die Einwilligungsstatus korrekt verarbeiten. Ohne Consent Mode verlierst du ab März 2024 wichtige Conversion-Daten.

Schritt 6: Banner in der Vorschau testen

Öffne deinen Shop in einem privaten Browser-Tab (um den Cache zu umgehen) und überprüfe das Erscheinungsbild des Banners. Prüfe: Erscheint der Banner sofort beim ersten Besuch? Lassen sich Cookies einzeln ablehnen? Ist die Schriftgröße auf Mobilgeräten lesbar? Ist der Ablehnen-Button genauso prominent wie der Akzeptieren-Button? Nur wenn der Ablehnen-Button nicht deutlich kleiner oder grauer als der Akzeptieren-Button gestaltet ist, entspricht der Banner dem sogenannten “Symmetrieprinzip”, das Datenschutzbehörden fordern.

Rechtliche Einschränkung des nativen Banners

Datenschutzexperten und die IT-Recht Kanzlei haben darauf hingewiesen, dass der native Shopify Banner eine strukturelle Schwachstelle hat: Er erlaubt nur eine kategoriebasierte Einwilligung (“Marketing-Cookies”), nicht eine servicebasierte Einwilligung pro einzelnem Drittanbieter. Nach strengen DSGVO-Auslegungen, wie sie der EuGH und deutsche Datenschutzbehörden vertreten, sollten Nutzer idealerweise für jeden einzelnen Dienst (Google Analytics, Meta Pixel usw.) separat einwilligen können.

Für kleine Shops mit wenigen Tracking-Diensten ist der native Banner ein solider Einstieg. Für größere Shops mit mehreren Drittdiensten oder bei erhöhter Datenschutz-Sensibilität empfiehlt sich eine spezialisierte Consent Management Platform.

Eine Consent Management Platform, kurz CMP, ist eine spezialisierte Software, die die gesamte Einwilligungsverwaltung übernimmt: automatisches Cookie-Scanning, granulare Einwilligungen pro Dienst, Dokumentation aller Entscheidungen und Widerrufsmöglichkeiten. Für Shopify gibt es mehrere bewährte Optionen.

Cookiebot by Usercentrics

Cookiebot CMP: Consent-Management für Shopify und EU-Datenschutz-Compliance

Cookiebot ist eine der bekanntesten europäischen CMP-Lösungen, die von Usercentrics betrieben wird. Der Dienst scannt automatisch deinen Shop nach eingesetzten Cookies und Tracking-Skripten und erstellt eine aktuelle, rechtskonforme Cookie-Erklärung. Die Einbindung in Shopify erfolgt über ein Code-Snippet, das du ins Theme.liquid einfügst. Kein Shopify App Store erforderlich, aber etwas mehr technisches Know-how als bei reinen App-Lösungen.

Ein besonderer Vorteil von Cookiebot: Der Scanner läuft monatlich automatisch und erkennt neue Cookies, die durch App-Updates oder neue Shopify-Integrationen entstehen. Das Banner ist in über 40 Sprachen verfügbar und erfüllt die Anforderungen des IAB Transparency and Consent Framework (TCF 2.2), das für programmatische Werbung relevant ist.

Cookiebot unterstützt Google Consent Mode v2 nativ und liefert monatliche Cookie-Scan-Berichte. Die kostenlose Version ist auf Shops mit bis zu 50 Unterseiten begrenzt. Ab 50 Seiten kostet Cookiebot ab etwa 7 Euro pro Domain und Monat.

Consentmo GDPR Compliance

Consentmo ist eine Shopify-App, die direkt aus dem Shopify App Store installiert werden kann, ohne Theme-Anpassungen. Die App ist speziell für Shopify entwickelt und unterstützt DSGVO, CCPA und Google Consent Mode v2. Sie bietet granulare Einwilligungen pro Cookie-Kategorie und Dienst.

Consentmo hat eine kostenlose Basisversion mit eingeschränkten Funktionen. Die bezahlten Pläne beginnen bei rund 5 bis 15 Euro pro Monat, abhängig vom Shopify-Plan.

pandectes

pandectes ist eine neuere Shopify-CMP-App, die schnell an Verbreitung gewonnen hat. Die App bietet einen automatischen Cookie-Scanner, eine intuitive Benutzeroberfläche und integrierte Analyse-Berichte. pandectes prüft automatisch auf Änderungen in deinen eingesetzten Diensten und aktualisiert die Cookie-Kategorien entsprechend.

pandectes gibt es in einer kostenlosen Version für kleine Shops sowie in bezahlten Tarifen für höhere Traffic-Volumina.

CCM19

CCM19 ist eine deutsche CMP-Lösung mit besonderem Fokus auf DSGVO- und TDDDG-Konformität. Die Software wird in Deutschland betrieben und erfüllt damit auch besonders strenge deutsche Datenschutzanforderungen. CCM19 unterstützt neben DSGVO auch CCPA, BDSG und andere internationale Datenschutzgesetze.

Die Einbindung in Shopify erfolgt über ein einzeiliges Code-Snippet im Theme. CCM19 hat eine kostenlose Variante für kleine Shops und gestaffelte Preise für größere Seiten.

Vergleich der wichtigsten Optionen

CMPShopify-AppGranulare EinwilligungConsent Mode v2KostenlosPreis ab
Shopify nativJaNein (Kategorien)JaJa0 Euro
CookiebotNein (Code)JaJaBis 50 Seiten~7 Euro/Monat
ConsentmoJaJaJaJa (begrenzt)~5 Euro/Monat
pandectesJaJaJaJa (begrenzt)~5 Euro/Monat
CCM19Nein (Code)JaJaJa (begrenzt)~8 Euro/Monat

Seit März 2024 verlangt Google für alle Werbetreibenden in der EU, die Google Ads oder Google Analytics nutzen, die Implementierung des Google Consent Mode v2. Ohne korrekte Einbindung werden Conversion-Daten nicht mehr vollständig gemessen, was Werbekampagnen schwerer auswertbar macht.

Google Consent Mode v2 ist eine technische Schnittstelle, über die dein Cookie Banner den Zustimmungsstatus eines Nutzers an Google-Dienste übermittelt. Es gibt vier relevante Signale: analytics_storage, ad_storage, ad_user_data und ad_personalization. Wenn ein Nutzer Marketing-Cookies ablehnt, übermittelt die CMP diese Ablehnung an Google Analytics und Google Ads. Google nutzt dann sogenannte Modellierung, um fehlende Conversion-Daten zu schätzen.

Ohne Consent Mode v2 werden Nutzer, die Cookies abgelehnt haben, in Google Analytics und Google Ads komplett nicht erfasst, was die Datenlage verzerrt.

Der native Shopify Cookie Banner unterstützt Consent Mode v2, wenn du die Option “Google-Einwilligungsmodus” in den Datenschutz-Einstellungen aktivierst. Bei professionellen CMPs wie Consentmo, pandectes oder Cookiebot ist Google Consent Mode v2 standardmäßig integriert und wird automatisch bei der App-Installation konfiguriert.

Prüfe nach der Einrichtung in Google Analytics 4 unter “Admin > Datenschutz > Consent-Übersicht”, ob Consent Mode korrekt signalisiert wird. Google zeigt dir dort den Anteil einwilligungsbasierter und modellierter Conversions.

Alle oben genannten CMPs (Consentmo, pandectes, Cookiebot, CCM19) unterstützen Google Consent Mode v2. Auch der native Shopify Cookie Banner hat diese Funktion, allerdings nur auf Kategorieebene. Wenn du Google Ads schaltest und präzise Conversion-Daten brauchst, ist eine professionelle CMP mit echtem Consent Mode v2 die zuverlässigere Wahl.

Checkliste: 5 häufige Fehler beim Cookie Banner für Shopify Shops und DSGVO-Compliance

Viele Shopify-Händler machen ähnliche Fehler, die den Cookie Banner rechtlich wertlos oder sogar abmahnfähig machen.

Opt-out statt Opt-in: Der Banner setzt Cookies automatisch beim Laden der Seite und gibt Nutzern nur die Option, zu widersprechen. Das ist nicht DSGVO-konform.

Vorausgewählte Kategorien: Marketing- oder Analyse-Kategorien sind im Banner standardmäßig aktiviert. Das gilt rechtlich nicht als freiwillige Einwilligung, weil die Zustimmung nicht aktiv gegeben wurde.

Kein Ablehnen-Button: Der Banner bietet nur “Alle akzeptieren” ohne gleichwertige Ablehnungsmöglichkeit. Besucher müssen ablehnen können, ohne sich durch komplizierte Einstellungen klicken zu müssen.

Kein Widerruf nach Einwilligung: Nach dem Schließen des Banners gibt es keine Möglichkeit mehr, die Einwilligung zu ändern. Ein dauerhaft zugänglicher Cookie-Einstellungen-Link im Footer ist Pflicht.

Banner und Datenschutzerklärung stimmen nicht überein: Der Banner nennt Cookie-Kategorien, die in der Datenschutzerklärung nicht dokumentiert sind, oder umgekehrt. Beide Dokumente müssen konsistent sein. Eine vollständige Datenschutzerklärung ist dabei die Basis, die du regelmäßig aktualisierst, wenn du neue Apps installierst.

Wer alle rechtlichen Pflichten seines Shopify Shops im Überblick behalten möchte, findet im Ratgeber zu den Rechtstexten für Online-Shops eine vollständige Übersicht über alle Pflichtdokumente von Impressum bis GPSR.

Ein weiterer häufiger Fehler: Cookie Banner werden nach der Ersteinrichtung nie wieder aktualisiert. Jedes Mal, wenn du eine neue App in deinem Shopify Store installierst, die Cookies oder Tracking-Pixel setzt, muss dein Cookie Banner und deine Datenschutzerklärung entsprechend ergänzt werden. CMPs mit automatischem Cookie-Scanner erledigen das eigenständig. Beim nativen Shopify Banner musst du neue Dienste manuell einpflegen.

Fazit: Welche Lösung passt zu deinem Shopify Shop?

Für Shopify-Händler, die ausschließlich technisch notwendige Cookies und Shopify Payments nutzen, ohne Google Analytics oder Meta Pixel, genügt ein einfacher Datenschutzhinweis mit dem nativen Shopify Banner.

Sobald du Marketing- oder Analyse-Tools einsetzt, brauchst du einen Opt-in-Banner mit Ablehnungsmöglichkeit. Der native Shopify Banner ist ein guter Einstieg, hat aber Grenzen bei der Granularität. Für rechtssichere Compliance mit Google Consent Mode v2 und detaillierter Einwilligungsdokumentation empfiehlt sich eine spezialisierte CMP wie Consentmo, pandectes oder Cookiebot.

Der Cookie Banner ist nicht das einzige Dokument, das du für einen DSGVO-konformen Shopify Shop brauchst. Er muss mit einer vollständigen Datenschutzerklärung zusammenspielen, und dein Shop braucht außerdem Impressum, AGB und Widerrufserklärung. Den kompletten Überblick über alle Pflichtdokumente findest du im Rechtstexte-Guide für Online-Shops. Tools wie shopcompliance.net helfen dabei, alle Compliance-Bausteine deines Shopify Shops im Blick zu behalten und automatisch auf Änderungen der Rechtslage zu reagieren.

Der native Shopify Cookie Banner erfüllt grundlegende DSGVO-Anforderungen, hat aber eine wichtige Einschränkung: Er bietet nur kategoriebasierte, keine servicebasierte Einwilligung pro Drittanbieter. Für kleine Shops mit wenigen Tools ist er ein akzeptabler Einstieg. Für Shops mit mehreren Tracking-Diensten empfehlen Datenschutzexperten eine professionelle CMP mit granularer Einwilligungsstruktur.

Die Kosten variieren stark. Der native Shopify Banner ist kostenlos. Professionelle CMP-Apps wie Consentmo oder pandectes haben kostenlose Basisversionen und kosten in den Vollversionen zwischen 5 und 20 Euro pro Monat, abhängig von Traffic-Volumen und Funktionsumfang. Cookiebot beginnt bei etwa 7 Euro pro Domain und Monat für Shops mit mehr als 50 Unterseiten.

Welche Cookies muss ich in meinem Shopify Shop angeben?

Du musst alle Cookies angeben, die dein Shop setzt: Shopify-eigene Cookies, installierte App-Cookies und Drittanbieter-Cookies von Diensten wie Google Analytics, Meta Pixel, Pinterest oder TikTok. Eine professionelle CMP mit automatischem Cookie-Scanner erkennt diese Cookies selbst und hält die Liste aktuell.

Selbst ein Basis-Shopify-Shop ohne zusätzliche Apps setzt technisch notwendige Session- und Warenkorb-Cookies. Für diese brauchst du keinen Opt-in-Banner. Sobald du jedoch Drittanbieter-Dienste wie Google Analytics oder Social-Media-Pixel hinzufügst, ist ein Opt-in-Banner Pflicht.

Datenschutzbehörden können bei DSGVO-Verstößen Bußgelder verhängen. Für kleine und mittlere Händler sind Bußgelder von einigen Tausend bis zu mehreren Zehntausend Euro für schwerwiegende Verstöße realistisch. Häufiger als Behördenbußgelder sind jedoch Abmahnungen durch Wettbewerber oder Abmahnvereine, die Kosten von 800 bis 2.500 Euro verursachen können.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.