Cookie-Einwilligung für PrestaShop: Was das Gesetz tatsächlich verlangt
Recht & Compliance

Cookie-Einwilligung für PrestaShop: Was das Gesetz tatsächlich verlangt

David Miller Veröffentlicht: 15.06.2026 Erstellt: 28.02.2026 Aktualisiert: 28.05.2026 Recht & Compliance
44 Aufrufe 6 Min. Lesezeit

Cookie-Einwilligungsbanner sind überall, und die meisten sind falsch. Entweder blockieren sie Cookies nicht tatsächlich vor der Einwilligung (was sie rechtlich nutzlos macht), oder sie machen es nahezu unmöglich, abzulehnen (Dark Patterns, die Aufsichtsbehörden zunehmend mit Bußgeldern belegen). Hier erfahren Sie, was Sie wirklich tun müssen — nicht mehr und nicht weniger.

Was das Gesetz sagt (verständlich erklärt)

Zwei EU-Regelungen betreffen Cookies:

DSGVO (Datenschutz-Grundverordnung)

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Cookies, die Personen identifizieren oder verfolgen, fallen unter die DSGVO. Sie benötigen eine Rechtsgrundlage für die Verarbeitung dieser Daten — bei Marketing-Cookies ist diese Grundlage die Einwilligung.

Die ePrivacy-Richtlinie befasst sich speziell mit Cookies und ähnlichen Tracking-Technologien. Ihre Regel ist einfach: Sie müssen die Einwilligung einholen, bevor Sie Cookies setzen, die nicht unbedingt für den vom Nutzer angeforderten Dienst erforderlich sind.

Die kombinierte Wirkung

Sie benötigen eine ausdrückliche, informierte Einwilligung, bevor Sie nicht-essenzielle Cookies setzen. Dazu gehören:

Was Sie ohne Einwilligung tun können

Unbedingt erforderliche Cookies — solche, die für die grundlegende Funktion Ihres Shops notwendig sind — benötigen keine Einwilligung:

  • Session-Cookies — den Warenkorb am Laufen halten
  • Authentifizierungs-Cookies — speichern, dass der Nutzer angemeldet ist
  • Sicherheits-Cookies — CSRF-Token, Betrugsprävention
  • Cookie-Einwilligungs-Cookie — die Einwilligungsentscheidung des Nutzers speichern
  • Load Balancing — Weiterleitung an den richtigen Server

Für alles andere ist eine vorherige Einwilligung erforderlich.

Wie eine gültige Einwilligung aussehen muss

Eine gültige Einwilligung nach der DSGVO muss:

  • Freiwillig sein — der Nutzer muss eine echte Wahl haben. Vorangekreuzte Kästchen sind keine gültige Einwilligung. „Alle akzeptieren" als einziger auffälliger Button mit „Einstellungen verwalten" in Kleinschrift wird zunehmend als Dark Pattern eingestuft.
  • Spezifisch sein — die Einwilligung für Analysen ist getrennt von der Einwilligung für Marketing. Alles in einen „Cookies akzeptieren"-Button zu bündeln, ist nicht spezifisch genug (obwohl viele Aufsichtsbehörden eine Einwilligung auf Kategorieebene tolerieren).
  • Informiert sein — der Nutzer muss verstehen, wozu er einwilligt. Das bedeutet nicht eine 10.000-Wörter-Cookie-Richtlinie im Banner — eine klare Zusammenfassung mit Link zu den Details reicht aus.
  • Eindeutig sein — die Einwilligung erfordert eine aktive Handlung (Klick auf „Akzeptieren"). Weitersurfen ist keine Einwilligung. Scrollen ist keine Einwilligung. Stillschweigende Einwilligung ist nicht gültig.
  • Widerrufbar sein — der Nutzer muss seine Meinung jederzeit ändern und die Einwilligung genauso einfach widerrufen können, wie er sie erteilt hat.

Häufige Fehler

Cookie-Wall — den Zugang zur Website blockieren, wenn der Nutzer nicht alle Cookies akzeptiert. Dies ist in den meisten EU-Ländern rechtswidrig, da die Einwilligung nicht freiwillig ist, wenn die Alternative kein Zugang bedeutet.

Vorangekreuzte Kästchen — Einwilligungs-Checkboxen, die bereits angekreuzt sind. Die DSGVO verbietet dies ausdrücklich.

Keine Ablehnungsoption — ein Banner mit nur „Alle akzeptieren" und „Einstellungen" (wobei die Einstellungen schwer zu finden oder verwirrend sind). Die Ablehnungsoption muss genauso einfach sein wie die Akzeptierungsoption.

Cookies vor der Einwilligung setzen — der häufigste technische Fehler. Ihre Analyse- und Marketing-Skripte werden sofort beim Laden der Seite ausgeführt, und das Cookie-Banner ist nur Kosmetik. Das ist dasselbe wie gar kein Einwilligungsmechanismus.

Die Entscheidung nicht respektieren — der Nutzer klickt auf „Alle ablehnen", aber die Analyse-Skripte werden trotzdem ausgeführt. Dies passiert, wenn das Cookie-Banner nicht richtig mit Ihrem Tag-Management integriert ist.

Unser Modul Lightweight Cookie Banner bietet DSGVO-konforme Cookie-Einwilligung mit:

  • Kategoriebasierte Einwilligung — separate Schalter für notwendige, Analyse-, Marketing- und Präferenz-Cookies
  • Skript-Blockierung — Marketing- und Analyse-Skripte werden erst nach Einwilligung des Nutzers in die entsprechende Kategorie geladen
  • Einfaches Ablehnen — „Alle ablehnen" ist genauso prominent wie „Alle akzeptieren"
  • Einwilligungsnachweis — speichert den Nachweis der Einwilligung (wann, was eingewilligt wurde) für den Fall einer behördlichen Anfrage
  • Erneute Einwilligung — wenn Sie neue Cookie-Kategorien hinzufügen oder Ihre Cookie-Richtlinie ändern, wird automatisch erneut um Einwilligung gebeten
  • Ressourcenschonend — fügt Ihrem Shop kein nennenswertes Seitengewicht oder Verzögerung hinzu

Integration mit Tracking-Modulen

Die zentrale technische Herausforderung besteht darin, sicherzustellen, dass Tracking-Skripte (GA4, Facebook Pixel, TikTok usw.) erst nach der Einwilligung ausgeführt werden. Dazu muss Ihr Cookie-Banner mit Ihrem Tag-Management kommunizieren:

  • Standardmäßig blockieren — alle nicht-essenziellen Skripte werden bis zur Einwilligung blockiert
  • Einwilligungssignal — wenn der Nutzer eine Kategorie akzeptiert, löst das Banner die entsprechenden Skripte aus
  • Einwilligungsmodus — Google Consent Mode v2 ermöglicht es GA4 und Google Ads, vor der Einwilligung in einem eingeschränkten, cookielosen Modus zu laufen und nach der Einwilligung zum vollen Tracking zu wechseln. Dies bewahrt einige Analysedaten bei gleichzeitiger Wahrung der Einwilligung.

Länderspezifische Besonderheiten

Deutschland — die Datenschutzkonferenz (DSK) ist streng. Analysen erfordern eine Einwilligung. Das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verstärkt die ePrivacy-Regeln.

Frankreich — die CNIL hat mehrfach Bußgelder für Cookie-Einwilligungsverstöße verhängt. Sie verlangt, dass „Alle ablehnen" auf der ersten Ebene des Banners steht, nicht versteckt in den Einstellungen.

Italien — die Garante verlangt ein Banner beim ersten Besuch mit der Möglichkeit, zu akzeptieren, abzulehnen oder Einstellungen zu verwalten. Sie verlangt außerdem einen Link zur „Cookie-Richtlinie".

Spanien — die AEPD folgt im Allgemeinen dem EU-Standard, war aber bei der Durchsetzung weniger aggressiv als Frankreich oder Deutschland.

Vereinigtes Königreich — nach dem Brexit hat das UK die DSGVO als UK GDPR beibehalten. Die Cookie-Regeln sind im Wesentlichen die gleichen wie in der EU und werden vom ICO durchgesetzt.

Auswirkungen auf die Analyse

Hier ist die unbequeme Wahrheit: Eine korrekte Cookie-Einwilligung reduziert Ihre Analysedaten. Wenn 30-40% der Besucher Analyse-Cookies ablehnen (was typisch ist), verlieren Sie die Sichtbarkeit über diesen Teil Ihres Traffics.

Strategien zur Abmilderung:

  • Google Consent Mode v2 — liefert modellierte Konversionen und Verhaltensdaten auch ohne Cookies, mithilfe von maschinellem Lernen zur Überbrückung der Lücken
  • Serverseitige Analyse — einige Datenerfassungen können serverseitig ohne Client-Cookies erfolgen
  • Aggregierte Analyse — Fokus auf Trends und Muster statt auf individuelle Nutzerreisen
  • Die Lücke akzeptieren — Ihre Daten werden unvollständig sein. Das ist der Kompromiss für die Achtung der Privatsphäre der Nutzer.

Das praktische Minimum

Wenn Sie mit minimalem Aufwand rechtskonform sein möchten:

  1. Installieren Sie ein geeignetes Cookie-Einwilligungsmodul (unser Lightweight Cookie Banner)
  2. Konfigurieren Sie es so, dass Analyse- und Marketing-Skripte bis zur Einwilligung blockiert werden
  3. Stellen Sie sicher, dass „Alle ablehnen" genauso sichtbar ist wie „Alle akzeptieren"
  4. Schreiben Sie eine klare Cookie-Richtlinie, die auflistet, welche Cookies Sie verwenden und warum
  5. Testen Sie, dass das Ablehnen von Cookies tatsächlich verhindert, dass die Skripte geladen werden (verwenden Sie die Entwicklertools Ihres Browsers zur Überprüfung)

Dies ist nicht das absolute rechtliche Minimum in jeder Rechtsordnung (einige verlangen detailliertere Offenlegungen), aber es deckt die Grundlagen ab und schützt Sie vor den häufigsten Durchsetzungsmaßnahmen. Für spezifische Rechtsberatung konsultieren Sie einen Anwalt, der mit Ihren Zielmärkten vertraut ist — aber lassen Sie rechtlichen Perfektionismus Sie nicht davon abhalten, überhaupt etwas umzusetzen.

Verwandte Artikel

Tags: DSGVO PrestaShop SEO Sicherheit
Diesen Beitrag teilen:
David Miller

David Miller

Über ein Jahrzehnt praktische PrestaShop-Expertise. David entwickelt leistungsstarke E-Commerce-Module mit Fokus auf SEO, Checkout-Optimierung und Shop-Management. Leidenschaft für sauberen Code und messbare Ergebnisse.

Hat Ihnen dieser Artikel gefallen?

Erhalten Sie unsere neuesten Tipps, Anleitungen und Modul-Updates direkt in Ihr Postfach.

Verwandte Beiträge

Datenpanne: Was tun, wenn Ihr Shop gehackt wird

Datenpanne: Was tun, wenn Ihr Shop gehackt wird

Fernabsatzrecht: Widerrufsrecht und was Sie wissen müssen

Fernabsatzrecht: Widerrufsrecht und was Sie wissen müssen

Barrierefreiheit für Online-Shops: Was der European Accessibility Act für Sie bedeutet

Barrierefreiheit für Online-Shops: Was der European Accessibility Act für Sie bedeutet

Kommentare

Noch keine Kommentare. Seien Sie der Erste!

Stellen Sie als Erster eine Frage oder teilen Sie hilfreiches Feedback.

Nach oben