ecommercecookie bannerConsent Mode v2deshopify

Shopify Cookie-Banner: Consent Mode v2 für Onlineshops

Marcin
17. Juli 2026
8 Min. Lesezeit
Shopify Cookie-Banner: Consent Mode v2 für Onlineshops

Bei Cookies, Pixeln und Einwilligungen wird ein Shopify-Shop schnell komplex. Deutsche Shops mit Analyse, Werbung, Apps und eigenen Skripten sind betroffen. Ein Banner allein reicht nicht: Die Auswahl des Besuchers muss die tatsächlichen Datenflüsse steuern.

Diese Anleitung zeigt, wie sich eine belastbare Einwilligungsarchitektur für Shopify aufbauen und mit Google Consent Mode v2 verbinden lässt. Sie ersetzt keine Rechtsberatung. Welche Lösung passt, hängt von den eingesetzten Diensten, den Zielmärkten und der konkreten Datenverarbeitung ab.

Ein Banner kann eine Entscheidung abfragen. Wirksam wird diese Entscheidung erst, wenn Theme, Apps, Pixel, Google Tag Manager und weitere Skripte denselben Status verwenden. Andernfalls erscheint zwar eine Schaltfläche "Ablehnen", während im Hintergrund bereits Analyse- oder Werbeanfragen gesendet werden.

Zuerst sollte der Shop alle Technologien nach ihrem tatsächlichen Zweck ordnen. Nicht alles, was dem Verkauf dient, ist technisch notwendig.

BereichTypischer ZweckVorsichtige Einordnung
Warenkorb und SitzungArtikel merken, Anmeldung erhaltenKann für den angeforderten Dienst notwendig sein
Sicherheit und ZahlungMissbrauch verhindern, Kauf abwickelnNotwendigkeit und Speicherdauer dokumentieren
ReichweitenanalyseSeitenaufrufe und Kaufpfade messenIn der Regel erst nach passender Einwilligung aktivieren
Werbung und RemarketingKampagnen zuordnen, Zielgruppen bildenKlare Marketing-Auswahl und technische Sperre vorsehen
PersonalisierungInhalte oder Empfehlungen anpassenZweck erklären und separat bewerten

Der Warenkorb und der Checkout sollten auch dann funktionieren, wenn ein Kunde freiwillige Analyse und Werbung ablehnt. Umgekehrt wird ein Analyse-Cookie nicht notwendig, nur weil seine Zahlen für das Unternehmen wichtig sind. Maßgeblich sind Zweck, technische Funktion und rechtliche Bewertung.

Customer Privacy API und Web Pixels API richtig einordnen

Die Shopify Customer Privacy API stellt Funktionen bereit, mit denen sich Datenschutzpräferenzen im Shopify-Umfeld abfragen und aktualisieren lassen. Eine CMP kann die Auswahl des Besuchers damit synchronisieren, sofern Kategorien und Zustände korrekt zugeordnet werden. Dabei müssen sowohl die erste Entscheidung als auch spätere Änderungen berücksichtigt werden.

Die Shopify Web Pixels API bietet ein kontrolliertes Modell für Pixel und Kundenereignisse. Das bedeutet aber nicht, dass jeder Pixel automatisch im richtigen Moment startet. Prüfen Sie für jeden Pixel, welche Ereignisse er empfängt, welche Daten er verarbeitet und von welchem Einwilligungsstatus seine Ausführung abhängt.

Shopify entwickelt die Plattform weiter. Prüfen Sie deshalb vor dem Start die aktuelle Dokumentation und das Verhalten im veröffentlichten Shop.

Der Google Consent Mode übermittelt unterstützten Google-Tags technische Einwilligungssignale. In Version 2 sind vier Werte besonders relevant:

  • analytics_storage steuert die Speicherung für Analysezwecke.
  • ad_storage steuert werbebezogene Speicherung.
  • ad_user_data signalisiert, ob Nutzerdaten für Werbezwecke an Google übermittelt oder dafür verwendet werden dürfen.
  • ad_personalization signalisiert, ob personalisierte Werbung und Remarketing zulässig sind.

Diese Signale sollten mit einem vorsichtigen Standardwert gesetzt werden, bevor abhängige Tags Daten senden können. Nach der Auswahl folgt ein update, das die konkrete Entscheidung abbildet. Bei einer Option "Nur Statistik" könnte beispielsweise analytics_storage auf granted wechseln, während die drei Werbesignale auf denied bleiben.

Die Reihenfolge ist entscheidend. Eine spätere Ablehnung kann eine bereits erfolgte Übertragung nicht rückgängig machen. Ein Timer ist dafür keine zuverlässige Lösung.

Consent Mode ist eine technische Signalschicht. Er ersetzt weder eine wirksame Einwilligung noch verständliche Informationen, einen passenden Banner oder Rechtsberatung. Auch korrekt gesetzte Google-Signale beweisen nicht, dass andere Apps sie beachten. Vertiefende Hinweise finden Sie in unseren Beiträgen zu Google Consent Mode v2 und zur Umsetzung mit Google Tag Manager.

Drei praktische Wege für die Umsetzung

1. Shopify-Datenschutzeinstellungen und native Mechanismen

Für einen überschaubaren Shop können die Shopify-Einstellungen ein sinnvoller Ausgangspunkt sein. Prüfen Sie die konfigurierten Märkte, Regionen und Datenschutzoptionen sowie das Zusammenspiel mit Customer Privacy API und Web Pixels. Der Vorteil ist eine geringere Zahl eigener Komponenten. Das Risiko besteht darin, externe Apps oder direkt im Theme eingebundene Skripte fälschlich als automatisch kontrolliert anzusehen.

2. Eine CMP als skriptbasierte Lösung

Eine Consent Management Platform kann Banner, Kategorien, gespeicherte Auswahl und technische Updates zusammenführen. CookiePilot kann für einen Shopify-Shop als praktische CMP- oder skriptbasierte Option geprüft werden. Damit ist keine bereits ausgelieferte native CookiePilot-Shopify-App und keine universelle Ein-Klick-Installation gemeint. Einbindung, Kategorien und Pixelsteuerung müssen an den konkreten Shop angepasst und dort getestet werden.

Einen Überblick bieten die CookiePilot-Funktionen, die Tarife und der Vergleich CookiePilot oder Cookiebot.

3. Google Tag Manager und eigene Skripte

GTM ermöglicht eine genaue Steuerung von Triggern und Einwilligungsanforderungen. Dafür muss der Standardstatus vor den abhängigen Tags verfügbar sein. Ein normaler Seitenaufruf-Trigger ist keine Einwilligungskontrolle. Außerdem kann Code, den eine App oder das Theme außerhalb des Containers lädt, sämtliche GTM-Regeln umgehen.

Legen Sie eine zentrale Quelle für den Einwilligungsstatus fest. Der Ablauf sollte eindeutig sein: Standardstatus setzen, Auswahl lesen, Status aktualisieren und nur erlaubte Tags auslösen. Grundlagen bietet der Beitrag über den GDPR-Cookie-Banner.

Testmatrix für den Shopify-Shop

Starten Sie jedes Hauptszenario in einem sauberen Browserprofil ohne vorhandene Cookies und Local Storage. Inkognito-Fenster sind hilfreich, sollten aber zwischen den Szenarien vollständig geschlossen werden. Testen Sie anschließend auch einen wiederkehrenden Besucher mit gespeicherter Auswahl.

SzenarioWas konkret geprüft werden sollte
Erster AufrufBanner sichtbar, Standardwerte vor Analyse und Werbung gesetzt
Alles ablehnenKeine unzulässige optionale Speicherung, Warenkorb bleibt nutzbar
Nur Analyse, falls angebotenAnalyse aktiv, Werbespeicherung und Personalisierung weiter abgelehnt
Alles akzeptierenErlaubte Tags starten, vier Signale werden korrekt aktualisiert
Auswahl ändern oder widerrufenNeue Entscheidung gilt sofort und beim nächsten Seitenaufruf
Produkt, Warenkorb und CheckoutKaufweg funktioniert ohne unbeabsichtigte Marketing-Aktivierung
Rückkehr vom ZahlungsanbieterStatus bleibt konsistent, Conversion wird nicht doppelt gesendet
Web PixelsJeder Pixel erhält nur die vorgesehenen Ereignisse und Daten
MobilgerätBanner und Einstellungen sind bedienbar und verdecken den Checkout nicht

Kontrollieren Sie in den Browser-Entwicklertools Cookies, Local Storage, Session Storage und den Netzwerkverkehr. Filtern Sie nach Anbieterdomains. Auch Requests ohne Cookie können Daten übertragen. Vergleichen Sie GTM Preview oder Tag Assistant mit den realen Netzwerkanfragen. Testen Sie Desktop, Mobilgerät und mindestens zwei Browser.

Checkliste vor der Freigabe

  1. Alle Apps, Theme-Skripte, Google-Tags, GTM-Tags und Web Pixels inventarisieren.
  2. Für jeden Eintrag Anbieter, Zweck, Daten, Speicherdauer und Kategorie dokumentieren.
  3. Notwendige Shop-, Sicherheits- und Zahlungsfunktionen von Analyse und Marketing trennen.
  4. Doppelte Banner entfernen und eine zentrale Quelle für den Status bestimmen.
  5. Consent-Mode-Standardwerte vor den Google-Tags setzen.
  6. Alle vier Signale getrennt auf die angebotenen Auswahlmöglichkeiten abbilden.
  7. Customer Privacy API und Web Pixels im aktuellen Shop-Verhalten prüfen.
  8. Ablehnung, Teilzustimmung, volle Zustimmung und Widerruf testen.
  9. Produktseite, Warenkorb, Checkout, Zahlung und Rückkehrseite durchlaufen.
  10. Screenshots, Signalwerte, Speicherstände und Netzwerkanfragen als Testnachweis sichern.
  11. Nach Änderungen an Theme, Apps, GTM oder Shopify-Einstellungen erneut testen.

Rechtlicher Kontext in Deutschland

Für deutsche Shops sind neben der Datenschutz-Grundverordnung insbesondere die deutschen Vorschriften zum Zugriff auf Informationen in Endgeräten relevant. Die genaue Einordnung hängt von der eingesetzten Technik und ihrem Zweck ab. Pauschale Aussagen wie "Dieses Cookie ist immer notwendig" reichen nicht aus.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit veröffentlicht Informationen zum Datenschutz. Die Bundesnetzagentur stellt Informationen zu ihrem Zuständigkeitsbereich rund um Telekommunikation und digitale Dienste bereit. Je nach Verantwortlichem und Fall können außerdem die Datenschutzaufsichtsbehörden der Länder relevant sein.

Deutschland, Österreich und die Schweiz sind kein einheitlicher Rechtsraum. Wer in mehreren Ländern verkauft, sollte Hinweise und Konfiguration für jeden Markt prüfen lassen.

Häufige Fragen

Das hängt von den eingesetzten Technologien ab. Ein Shop, der ausschließlich technisch notwendige Funktionen nutzt, ist anders zu bewerten als ein Shop mit Analytics, Werbepixeln, Remarketing und Personalisierung. Entscheidend ist eine vollständige Bestandsaufnahme.

Reichen die Datenschutzfunktionen von Shopify aus?

Sie können eine gute Grundlage bilden. Trotzdem müssen Apps, Theme-Skripte, GTM und Web Pixels einzeln überprüft werden. Eine aktivierte Einstellung im Admin-Bereich ist noch kein Nachweis für das Verhalten des gesamten Shops.

Nein. Consent Mode übermittelt technische Signale an unterstützte Google-Tags. Information, Auswahloberfläche, rechtliche Grundlage, tatsächliche Tag-Steuerung und Dokumentation bleiben separate Aufgaben.

Darf der Checkout nach einer Ablehnung weiter funktionieren?

Er sollte nicht von freiwilligem Marketing abhängig gemacht werden. Technisch notwendige Warenkorb-, Sicherheits- und Zahlungsfunktionen müssen deshalb sauber von Analyse und Werbung getrennt sein.

Was ist bei "Nur Analyse" zu beachten?

analytics_storage kann entsprechend der Auswahl aktualisiert werden, während ad_storage, ad_user_data und ad_personalization abgelehnt bleiben. Die Bezeichnungen im Banner und das tatsächliche Tag-Verhalten müssen zusammenpassen.

Muss auch die Rückkehr vom Zahlungsanbieter getestet werden?

Ja. Dabei können Domainwechsel, neue Sitzungen oder zusätzliche Skripte auftreten. Prüfen Sie, ob die Auswahl erhalten bleibt und ob Kaufereignisse nicht ohne Erlaubnis oder doppelt übertragen werden.

Wie oft sollte die Konfiguration erneut geprüft werden?

Nach jeder relevanten Änderung an Theme, Apps, Pixeln, GTM, Checkout oder Datenschutzeinstellungen sowie regelmäßig im laufenden Betrieb. Auch Plattformen und Drittanbieter ändern ihr Verhalten.

Nächster Schritt

Wenn Sie Banner, Kategorien und technische Signale in einem nachvollziehbaren Prozess verwalten möchten, können Sie CookiePilot als CMP- oder skriptbasierte Option für Ihre Shopify-Architektur bewerten. Beginnen Sie mit dem Technologie-Inventar und testen Sie zuerst die Ablehnung. Bei einem komplexen Setup können Sie CookiePilot kontaktieren, um die praktische Einbindung zu besprechen. Eine sorgfältige Konfiguration und reale Tests bleiben in jedem Fall erforderlich.

Geschrieben von

Marcin

Zespół CookiePilot dzieli się wiedzą o RODO, PKE i zarządzaniu cookies.

Diesen Artikel teilen: