Shopify präsentiert hauseigene Cookie-Lösung. Händler sollen mit wenigen Klicks DSGVO-konform werden. Können die Shopify-Entwickler den hohen Erwartungen der Datenschützer gerecht werden?
Shopify endlich mit eigener Cookie-Lösung
Seit Einführung der DSGVO haben Online-Händler viel Fleißarbeit zu leisten, wenn es um die juristische Absicherung der eigenen Shopify-Präsenz geht. Mit verschiedensten Drittanbieter-Lösungen gelang es dabei oft nur mit viel Know-How, sowohl für das technische Cookie-Management als auch für Consent-Banner eine praktikable Lösung zu integrieren. Nachdem die Shopify-Entwickler schon vor einigen Monaten endlich die Erarbeitung einer First-Party Integration versprachen, erhielt das All-In-One Shop-Tool nun das ersehnte Datenschutz-Update. Händler können damit innerhalb der Shop-Einstellungen die Verfolgung von Kunden im europäischen Raum einschränken. Ergänzt wird diese Funktion durch die Shopify eigene Banner App Customer Privacy Banner, die die Einwilligung zur Verwendung von Analyse- und Werbe-Cookies vom Nutzer einholt.
Tracking für Besucher aus Europa einschränken
Um das Tracking von Kunden aus Europa über die Shopify-Lösung einzuschränken, muss in den Shop-Einstellungen die Checkbox Tracking für Kunden in Europa einschränken aktiviert werden:
- Als Shopify-Admin unter Vertriebskanäle > Onlineshop
- Auswahl Konfigurationen > Datenschutz des Kunden
- Aktvieren Tracking für Kunden in Europa beschränken
Shopify schränkt in der Folge das Tracking für Shop-Kunden aus Europa ein – lediglich eine Einwilligung über das Consent-Banner gibt die Nachverfolgung wieder frei. Dies gilt in direkter Form für Shopifys eigene Cookies als auch in indirekter Form für die von Drittanbietern. Da Shopify Drittanbieter-Apps und deren Tracking nicht selbst steuern kann, stellt Shopify hierzu eine API zur Verfügung, die von den Entwicklern von Drittanbieter-Apps integriert werden muss. Über diese wird den Apps die gegebene Einwilligung zum Tracking mitgeteilt und die Cookies können gesetzt werden.
Achtung: Um in Bezug auf die Drittanbieter Cookies die Datenschutz-Funktion zu gewährleisten, müssen diese auch die API eingebaut haben und nutzen. Dies ist noch nicht immer der Fall! Shopify empfiehlt hier zudem zunächst zu prüfen, ob genutzte Apps diese Kundeneinwilligungen auch respektieren!
Keine Rechtssicherheit bei Shopify-Cookies
Eine Ausnahme in diesem System – und uns Sorgenfalten – macht der Consent-Manager für seine Shopify-eigenen Browser-Cookies. So verhindert das Tool hier nicht etwa das Setzen der nicht-essenziellen Shopify-Cookies bis zur Einwilligung durch den Nutzer. Und auch werden die Cookies bei Ablehnung durch den Nutzer nicht gelöscht. Sondern sie werden in jedem Fall gesetzt – und bei fehlendem Einverständnis lediglich in Sitzungs-Cookies herunterstuft. Während die Einwilligung durch den Nutzer die Umwandlung der Cookies in dauerhafte Tracking-Parameter veranlasst.
Zustimmung muss vor dem Setzen gegeben sein
Shopify rechtfertigt diese Praxis dadurch, dass Sitzungs-Cookies im Normalfall automatisch gelöscht werden, wenn der Nutzer seinen Browser schließt. Ob dieses Vorgehen tatsächlich rechtssicher ist, wird von Juristen allerdings in Frage gestellt. Ausgehend von den Anforderungen der DSGVO muss von Besuchern auf Webseiten sowie Online-Shops die Einwilligung für eine Verfolgung noch vor dem Setzen von nicht-notwendigen Cookies eingeholt werden.
Datenschutz für Europa und Kanada – mit Vorsicht
Gedacht ist die Lösung dazu, den restriktiveren Datenschutz-Auflagen in primär der EU (DSGVO) als auch bspw. Kanada (CCPA) Rechnung zu tragen. Nur für diese beiden Regionen und deren Regelungen gibt es Checkbox-Optionen. Wird der Nutzer außerhalb dieser beiden lokalisiert, finden die Mechanismen keine Anwendung. Die Cookie-Lösung bezieht sein Wissen um den Standort des Nutzers dabei wohl aus der IP-Adresse. Die offenkundige Schwäche des Systems wäre u.a. eine denkbare Fehlzuordnung von Nutzern, deren tatsächlicher Aufenthalt durch einen VPN geschützt wird. Schnell wäre das Cookie-Management von Shopify hier nicht mehr rechtskonform.
Meinung: Ein kleiner Schritt in die richtige Richtung
Shopify hat uns mit diesem Update nicht enttäuscht – wenngleich auch stellenweise für Irritation gesorgt. In Bezug auf Komfort hat Shopify den richtigen Schwerpunkt gesetzt. Mit wenigen Klicks und Wissen kann die Lösung von Händlern umgesetzt werden. Leider wurde aber auch eine Chance vertan, den gordischen Knoten beim Thema Datenschutz für alle Beteiligten endlich zufriedenstellend zu lösen. Der Umgang mit Shopifys eigenen Cookies bei diesem Thema hat bereits zu Beginn Datenschützer auf den Plan gerufen. Und so wird wohl erst eine juristische Entscheidung endgültige Klarheit bringen. Wir hoffen, dass diese nicht erst folgt, wenn ein größerer Shop bei diesem Thema mit den Datenschützern in Konflikt kam.