cookiesrechtssicherheit

Shopify und Cookies

Shopify und Cookies
Foto von Matt Botsford auf Unsplash
Das Ende von Tracking-Cookies wurde schon vor Längerem eingeläutet, nun hat der BGH mit seinem Urteil den letzten Nagel in den Sarg gehauen. Was bedeutet das nun für Website-Betreiber im Allgemeinen und Shopify-Händler im Besonderen?

Achtung: Bitte beachten Sie die Updates am Ende des Artikels.

Mit seinem Urteil von Anfang Juni hat der BGH das Urteil des EuGH vom Oktober 2019 zu Cookies bestätigt: Für alle technisch nicht zwingend notwendigen Cookies muss die explizite Einwilligung des Website-Besuchers eingeholt werden und bevor der Besucher seine Zustimmung gegeben hat, dürfen keine Cookies gesetzt werden. Dabei darf die Zustimmung des Besuchers nicht einfach als gegeben angenommen werden, d. h. vorangekreuzte Checkboxen in einem Cookie-Banner, den der Besucher nur noch mit einem Klick auf "OK" bestätigt, reichen nicht aus.

Als technisch nicht notwendig gelten vor allem Cookies für die Analyse und das Tracking von Besuchern und ihrem Verhalten. Dazu gehören z. B. Google Analytics und andere Analysetools, Affiliate-Cookies, Cookies von Werbenetzwerken, Facebook, etc. Für das Setzen all dieser Cookies muss der Besucher seine explizite Einwilligung geben.

Cookie-Banner 2.0

Damit gehören die Cookie-Banner, mit denen Besucher mit einem Klick auf "OK" lediglich ihre Kenntnisnahme der Verwendung von Cookies zustimmen konnten, der Vergangenheit an. Denn zum einen ist ein einfacher Klick auf einen Button keine explizite Zustimmung, zum anderen wurden bei den meisten dieser Lösungen bereits vor dem Klick auf "OK" Cookies gesetzt; der Banner hat die Besucher nur noch über diesen Umstand informiert. Rein rechtlich war das in Deutschland bislang auch in Ordnung, aber nun ist mit diesen Bannern Schluss.

Beeclever Cookie Banner

Einige Anbieter von Cookie-Banner haben ihre Lösungen bereits kurz nach dem EuGH-Urteil im Oktober 2019 umgestellt. Allerdings versuchen viele dieser neuen Banner, den Besuchern durch eine trickreiche Gestaltung die Zustimmung zu Cookies quasi "unterzujubeln". Dabei wird der Button, mit dem der Besucher alle Cookies akzeptiert, in grün hervorgehoben und der Button, mit dem der Besucher nur die technisch notwendigen Cookies akzeptiert – also die Option, die 99,9 % aller Besucher eigentlich anklicken wollen – wird gegraut und weniger prominent dargestellt.

Eine solche Vorgehensweise ist zum einen natürlich leicht unseriös, denn Besucher werden hier ganz klar ausgetrixt: Die Designer solcher Lösungen wissen natürlich, dass der Großteil der Besucher einer Website blind auf den Standard-Button klicken, um den nervigen Banner loszuwerden. Daher designt man den Button, den der Besucher klicken soll eben schön prominent und grün. Für diese Vorgehensweise hat sich mittlerweile der treffende Begriff "Nudging" durchgesetzt, also das mehr oder weniger sanfte "Schubsen" des Nutzers hin zur (vom Betreiber) gewünschten Aktion.

Darüber hinaus dürfte es äußerst fraglich sein, ob eine so eingeholte Zustimmung überhaupt rechtlich Bestand haben kann, also ob mit dem Klick auf solch einen Button, der pauschal allen Cookies zustimmt, das Erfordernis der expliziten Einwilligung erfüllt ist. Das LG Rostock urteilte dazu im September 2020 jedenfalls eindeutig: Bei Verwendung derart gestalteter Cookie-Banner kann man nicht von einer freiwilligen und informierten Einwilligung des Nutzers ausgehen.

Der beste Cookie-Banner ist kein Cookie-Banner

Einige Anbieter und in Deutschland u. a. auch bekannte Rechtsanwaltskanzleien mit Spezialisierung auf E-Commerce bieten sog. Consent-Tools an. Website-Betreiber können diese Tools mit einem Konfigurator auf ihre Website zuschneiden und Besuchern dann einen rechtskonformen Dialog anzeigen, mit dem diese dann – was gibt es Schöneres! – ihre Vorlieben und Abneigungen zu Tracking und Cookies in allen glorreichen Details konfigurieren können.

Man muss sich schon fragen, was dieser ganze Blödsinn eigentlich noch soll. Denn die Rechtslage ist eindeutig:

Ohne Zustimmung dürfen ab sofort nur noch technisch notwendige Cookies gesetzt werden. Für alle nicht notwendigen Cookies muss eine explizite Zustimmung eingeholt werden, wobei ein reiner Klick auf einen OK-Button, der pauschal wie bisher allen Cookies zustimmt, nicht ausreicht (siehe oben).

Man kann wohl davon ausgehen, dass 99,9 % der Website-Besucher auch mit den neuen Cookie-Bannern und Consent-Tools wie bisher umgehen werden: Sie werden blind auf den hervorgehobenen Button klicken, um den Banner loszuwerden. Welcher geistig gesunde Besucher wird schon explizit durch Anklicken von Checkboxen zustimmen, dass Werbenetzwerke, Google Analytics, Facebook und tausende andere Firmen, deren Namen er noch nichtmal gehört hat, ihn auf Schritt und Tritt im Web verfolgen und ggf. die so erfassten Daten sogar verkaufen dürfen, und das separat für jede einzelne besuchte Website?

Update vom 08.07.2020: Der Webdesigner Marko Saric hat mal getestet, wieviele Besucher dem Tracking zustimmen. Ergebnis: ganze 9 %. Dabei muss man noch berücksichtigen, dass der Cookie-Banner, den er verwendet hat, nicht den neuesten Anforderungen genügen dürfte, da hier dem Tracking pauschal mit einem Klick auf "Ja" zugestimmt werden kann. Wäre der Banner wie gesetzlich vorgeschrieben gestaltet, wäre der Anteil der Nutzer, die Tracking zustimmen, vermutlich nochmal deutlich kleiner.

Für die technisch notwendigen Cookies braucht man also keine Zustimmung, und die Zustimmung zu den restlichen Cookies wird man nicht bekommen, da diese Zustimmung nicht vorausgewählt sein darf. Durch das wie bisher blinde Klicken auf "OK" werden Besucher also fortan nur den technisch notwendigen Cookies zustimmen, was aber wie gesagt nicht erforderlich ist. Was sollen diese Banner dann noch?

Eigentlich sollte klar sein, dass ein "Weiter so" nach diesem BGH-Urteil keine Option mehr ist, und es gibt auch keine legalen Tricksereien mehr, mit denen man doch noch irgendwie mit Tracking-Cookies weitermogeln kann. Die Ära der Tracking-Cookies ist vorbei, das zeigt u. a. auch die Tatsache, dass alle großen Browser-Hersteller mittlerweile Drittanbieter-Cookies blockieren, also gerade und vor allem Cookies von Werbetreibenden, die Besucher im ganzen Web mit ihren Anzeigen verfolgen möchten.

Die New York Times hat deshalb kürzlich bekannt gegeben, ab 2021 auf Drittanbieter-Cookies komplett zu verzichten. Wenn ein so großer Player in einer Branche, die dafür bekannt ist, ihre Websites mit Trackern zu überfrachten, eine solche Maßnahme beschließt, sollte klar sein, was die Stunde geschlagen hat.

Die Situation bei Shopify

Jetzt werden sich natürlich Shopify-Händler fragen, was das alles für sie bedeutet. Bislang wurden in Shopify Shops wie auf den meisten Websites die einfachen Zustimmungs-Banner verwendet, die nach der in Deutschland geltenden Rechtslage ausreichend waren.

Vor dem Setzen jeglicher technisch nicht notwendiger Cookies muss zunächst die Zustimmung des Besuchers eingeholt werden. Erst ab dem Zeitpunkt dieser Zustimmung dürfen diese Cookies gesetzt werden. Bei Shopify Shops muss man darüber hinaus auch noch unterscheiden zwischen den Cookies, die Shopify selbst setzt und denen, die von anderen Anbietern wie Google Analytics, Facebook oder von verwendeten Apps gesetzt werden.

Shopifys Cookies

Eine Aufstellung, welche Cookies Shopify selbst setzt, findet man unter https://www.shopify.com/legal/cookies unter der Überschrift Merchant storefronts. Die Cookies in der Kategorie Cookies Necessary for the Functioning of the Store fallen unter die technisch notwendigen Cookies und erfordern daher keine explizite Zustimmung. Die Cookies in der Kategorie Reporting and Analytics sind allerdings technisch nicht notwendig und dürfen daher erst gesetzt werden, wenn der Besucher entsprechend informiert und von ihm die explizite Zustimmung eingeholt wurde.

Aktuell gibt es allerdings keine Möglichkeit, das Setzen dieser Cookies wirksam zu unterbinden. Denn Shopify selbst bietet aktuell keine entsprechende Consent-Lösung (siehe Update vom 11.06.2020 unten) an und Drittanbieter-Lösungen wie diverse Apps im Shopify App Store können das Setzen auch nicht verhindern, sondern maximal nach dem Setzen der Cookies diese dann umgehend wieder löschen. Das entspricht aber nicht den gesetzlichen Anforderungen, die klar sagen, dass relevante Cookies erst nach der expliziten Zustimmung des Besuchers gesetzt werden dürfen. Zudem besteht bei einer solchen Vorgehensweise auch immer das Risiko, dass die verwendete App manche Cookies "übersieht", weil sie nur die Cookies löschen kann, die sie auch explizit kennt.

Daher sind solche "Lösungen" von Drittanbietern bestenfalls Workarounds und es ist an Shopify, schnellstmöglich eine 1st-Party-Lösung anzubieten, mit denen für alle Shops in Deutschland und der EU Rechtssicherheit hergestellt wird. Nach unseren Informationen ist hier auch etwas in Arbeit, wann eine entsprechende Lösung ausgerollt wird, steht aber noch nicht fest.

Cookies anderer Anbieter

Neben den von Shopify selbst gesetzten Cookies gibt es je nach Shop noch eine Reihe weiterer Anbieter, die Cookies setzen. Am häufigsten dürfte das wohl auf Google Analytics und Facebook zutreffen. Wer unter Onlineshop -> Konfigurationen eine Google Analytics ID und/oder das Facebook Pixel konfiguriert hat, tut vermutlich gut daran, diese zu entfernen.

Welche Cookies ein Shop darüber hinaus noch setzt hängt davon ab, welche externen Tools und Shopify Apps eingesetzt werden. Vollständige Klarheit verschafft hier nur ein kompletter Cookie-Audit, also eine komplette Aufstellung aller durch den jeweiligen Shop auf den verschiedenen Seiten (nicht nur auf der Homepage!) gesetzten Cookies.

Anhand einer solchen Aufstellung sollte man dann ermitteln, woher die Cookies stammen (z. B. von welcher App) und in welche Kategorien die gesetzten Cookies fallen. Je nachdem, ob die Cookies als technisch notwendig anzusehen sind oder nicht sollte dann überprüft werden, wie die Cookies, die eine Zustimmung erfordern, deaktiviert werden können. Wenn die Deaktivierung nicht möglich ist, bleibt nur der Umstieg auf eine andere App oder der Verzicht auf die jeweilige Funktionalität.

Bzgl. der Einordnung, ob ein Cookie technisch notwendig ist oder nicht dürfte übrigens nicht entscheidend sein, ob das Cookie für das Funktionieren der jeweiligen App erforderlich ist, sondern ob die jeweilige App für das Funktionieren des Shops erforderlich ist. D. h. dass reine Marketing-Tools, Newsletter-Popups u. ä. ggf. nicht mehr wie bisher eingesetzt werden können.

Möchte man seinen Besuchern einen Banner anzeigen, der um Zustimmung zu technisch nicht notwendigen Cookies bittet, kann man dieses mit Shopifys eigener kostenloser Privacy Banner App tun. Stimmt der Kunde mit einem Klick auf OK zu, dürfen Shopify und Apps munter ihre Cookies setzen, bzw. im Falle von Shopifys eigenen Cookies wird deren Lebensdauer auf ein Datum in der Zukunft gesetzt (die Lebensdauer variiert von Cookie zu Cookie).

Shopify Privacy Banner App

Shopify vertritt also offenbar weiterhin die Ansicht, dass das Herabsetzen der Lebensdauer von Tracking-Cookies rechtssicher ist. Hier müssen wir also abwarten, ob ggf. mal ein größerer auf Shopify betriebener Shop wg. des ungefragten Setzens von Tracking-Cookies abgemahnt wird und wie das dann ausgeht.

Die Privacy Banner App ist sicher nett gemeint, und der Banner ist ggü. den ganzen "Consent Managern" erfreulich übersichtlich und verwendet keine "Dark Patterns", um Besuchern ihre Zustimmung unterzujubeln. Aber die Aussage "The Customer Privacy Banner app gives you all you need to collect tracking consent from online store visitors in the EU in order to comply with regulations such as GDPR" auf der App Store Seite wiegt Nutzer in falscher Sicherheit. Denn die App funktioniert nur mit Shopifys eigenen Cookies (inkl. der von Google und Facebook gesetzten Cookies, wenn man im Shop Admin seine IDs für Google Analytics und den Facebook Pixel hinterlegt) und Apps, die die Customer Privacy API nutzen. Die Mehrzahl der Apps nutzt diese API (noch) nicht und kann daher weiterhin ohne Zustimmung Cookies setzen, was ggf. für Händler ein Risiko darstellt. Darüber hinaus ist fraglich, ob ein einfacher Klick auf OK der gesetzlich geforderten expliziten und informierten Einwilligung entspricht.

Fazit

Die Schonfrist ist definitiv vorbei. Konnte man bisher in Deutschland auf Grund der hier nie umgesetzten ePrivacy-Richtlinien auf Basis des TMG einen einfachen Cookie-Banner verwenden, der Besucher lediglich über die Verwendung von Cookies informierte, so reicht das fortan nicht mehr aus.

Besuchern muss die Wahl gelassen werden, welche technisch nicht notwendigen Cookies eine Website setzen darf. Über Art und Verwendung der jeweiligen Cookies müssen Website-Betreiber zudem umfassend aufklären und nur eine explizite, nicht vorausgewählte Zustimmung durch den Besucher ist als Erlaubnis zum Setzen der Cookies zu werten.

Auf diesem Hintergrund ist die Verwendung von Cookie-Bannern und Consent-Tools kaum noch sinnvoll, da kaum ein Besucher willentlich seine Zustimmung zu Tracking u. ä. geben wird. Stattdessen sollte jeder Website- und Shopbetreiber seine Strategie hinsichtlich Marketing und Besucheranalyse und der damit verbundenen Verwendung von Cookies überdenken.

UPDATE 11.06.2020

Shopify hat nun offenbar eine Lösung für die von der Plattform gesetzten Cookies im Rahmen einer geschlossenen Beta in Betrieb genommen, d. h. die Funktionalität ist derzeit nur für ausgewählte Shops verfügbar.

Was ein wenig irritiert, ist dass nicht-essenzielle (Tracking-)Cookies bei entsprechender Einstellung offenbar nicht blockiert, sondern nur in ihrer Lebensdauer auf die Browser-Sitzung begrenzt werden. D. h. die Cookies werden weiterhin wie bisher auch ohne Zustimmung gesetzt, aber beim Beenden des Browsers gelöscht.

Ob diese Vorgehensweise rechtlich einwandfrei ist, müsste von juristischer Seite geklärt werden. Zweifel sind aber angebracht. Warum sich Shopify für diese Vorgehensweise entschieden hat, ist ebenfalls unklar.

Weiterhin potenziell problematisch ist, dass Shopify nicht-essenzielle Cookies bei entsprechender Einstellung nur für Besucher blockiert bzw. limitiert, die sich in Ländern befinden, in denen eine entsprechende Regelung gilt, derzeit also vor allem die EU, aber ggf. auch USA/Kalifornien wg. der dort geltenden CCPA-Richtlinie. Die Ermittlung des Herkunftslands des Besucher erfolgt dabei vermutlich über die IP-Adresse, was dann aber auch bedeutet, dass Besucher, die ein VPN benutzen, ggf. dem falschen Land zugeordnet werden und das Cookie-Verhalten damit dann ggf. nicht mehr rechtskonform wäre.

Die aktuelle Lösung ist wie gesagt noch in der Betaphase und man wird abwarten müssen, was dann letztlich für alle Shops ausgerollt wird. Wir bleiben am Ball und posten hier ein Update, sobald es Neuigkeiten gibt.

UPDATE 03.08.2020

Lt. der von uns zum Sachverhalt befragten Rechtsanwaltskanzlei Wilder Beuger Solmecke ist die Lebensdauer von Tracking-Cookies für die Einwilligungspflicht nicht maßgeblich. Insofern erscheint Shopifys Ansatz, Tracking-Cookies auch ohne Zustimmung zu setzen und nur ihre Lebensdauer auf die Browser-Sitzung zu begrenzen, rechtlich fragwürdig.

UPDATE 04.10.2020

Shopify hat zwischenzeitlich die oben unter dem Update vom 11.06. beschriebene Lösung für alle Shops bereitgestellt. Unter Onlineshop -> Konfigurationen kann man nun im Abschnitt Datenschutz des Kunden das Tracking für Kunden in der EU einschränken.

Shopify Tracking-Einstellungen

Das Setzen der Checkbox Eingeschränktes Tracking bei Kunden in Europa bewirkt, dass alle Cookies von Shopify, Google Analytics, Facebook und Dritten (z. B. Apps), die die neue Customer Privacy API nutzen, nur nach Zustimmung des Besuchers gesetzt werden. Im Falle von Shopifys eigenen Cookies heißt das davon abweichend, dass alle auf https://www.shopify.com/legal/cookies unter Reporting and Analytics aufgeführten Cookies weiterhin ungefragt gesetzt werden, ihre Lebensdauer aber auf das Sitzungsende beschränkt wird.

UPDATE 27.06.2022

Shopify hat sich offenbar entschlossen, die gesetzlichen Regelungen zum Setzen technisch nicht notwendiger Cookies endlich so umzusetzen, wie sie gedacht sind und wie alle anderen Websites sie seit Bestehen der Regelung umsetzen. Unter Onlineshop > Konfigurationen > Datenschutz des Kunden gibt es nun neue Einstellungsmöglichkeiten:

Neue Cookie-Einstellungen

Das Aktivieren der dritten, im Screenshot rot hervorgehobenen, Option bewirkt, dass ohne explizite Zustimmung des Besuchers nunmehr keine technisch nicht notwendige Cookies mehr gesetzt werden. Damit folgt Shopify nun, nach gerade einmal knapp 2 Jahren, den gesetzlichen Vorschriften.

Weiterlesen

"Indexiert, obwohl durch robots.txt-Datei blockiert" bei Shopify - was tun?
Vorsicht geboten: Cookie Consent Manager in Verbindung mit Popups