DSGVO- und Cookie-Compliance für PrestaShop: Was Sie wirklich brauchen

Cookie-Compliance 2026: Die Bußgelder sind real, die Regeln streng, und die meisten PrestaShop-Shops machen es falsch

Im September 2025 verhängte die französische CNIL eine Geldstrafe von 325 Millionen Euro gegen Google, weil Werbe-Cookies in Gmail ohne Einwilligung gesetzt wurden. Im selben Monat erhielt SHEIN ein Bußgeld von 150 Millionen Euro — Cookies landeten auf den Geräten der Besucher, sobald sie shein.com öffneten, noch bevor jemand das Consent-Banner berührt hatte. Im November wurde American Express mit 1,5 Millionen Euro bestraft, weil Cookies nach Widerruf der Einwilligung weiter ausgelesen wurden.

Das sind keine theoretischen Risiken. Das sind durchgesetzte Strafen gegen Großkonzerne, und wenn Sie glauben, dass Datenschutzbehörden nur die großen Unternehmen ins Visier nehmen, irren Sie sich. Die CNIL verhängte allein 2025 insgesamt 83 Sanktionen mit einem Gesamtvolumen von rund 486,8 Millionen Euro, und automatisierte Scan-Tools machen es für Regulierungsbehörden zum Kinderspiel, nicht konforme Cookie-Banner bei Shops jeder Größe zu erkennen.

Ich habe Cookie-Implementierungen bei Dutzenden von PrestaShop-Shops überprüft. Die Mehrheit verstößt gegen mindestens zwei Compliance-Anforderungen — in der Regel ohne dass der Shop-Betreiber davon weiß. Dieser Artikel behandelt, was Sie tatsächlich umsetzen müssen, mit spezifischen technischen Details für PrestaShop, Google Tag Manager und Google Consent Mode v2.

Die rechtliche Grundlage: Was „Cookie-Einwilligung" tatsächlich verlangt

Bevor wir in die Umsetzung einsteigen, sollten wir präzise klären, was das Gesetz fordert. Die ePrivacy-Richtlinie (nicht die DSGVO — das ist eine separate Verordnung) regelt Cookies speziell. Die DSGVO regelt, was Sie mit den Daten tun, die diese Cookies sammeln. Zusammen ergeben sich folgende Anforderungen:

1. Vorherige Einwilligung für nicht-essentielle Cookies — Keine Analytics-, Marketing- oder Drittanbieter-Cookies dürfen gesetzt werden, bevor der Nutzer aktiv zugestimmt hat. „Essentielle" Cookies (Session, Warenkorb, Sprachpräferenz) sind davon ausgenommen.
2. Freiwillig erteilt — Sie dürfen den Zugang zur Website nicht an die Annahme von Cookies knüpfen. Cookie-Walls („alles akzeptieren oder gehen") sind in den meisten EU-Rechtsordnungen illegal.
3. Spezifisch und granular — Nutzer müssen Cookie-Kategorien unabhängig voneinander akzeptieren oder ablehnen können. „Alle akzeptieren" als einzige Option verstößt gegen die Verordnung.
4. Informiert — Klare Erläuterung, was jede Cookie-Kategorie bewirkt, wer die Daten erhält und welche Speicherfristen gelten.
5. Unmissverständliche Handlung — Scrollen oder Weiterbrowsen ist keine Einwilligung. Ein bewusster Klick auf einen bestimmten Button ist erforderlich.
6. Einfacher Widerruf — Das Ändern oder Widerrufen der Einwilligung muss genauso einfach sein wie das Erteilen. Ein Link im Footer ist das Minimum.
7. Keine Dark Patterns — Ablehnen- und Akzeptieren-Buttons müssen optisch gleichwertig sein. Die Ablehnoption in einem sekundären Menü zu verstecken oder eine andere Farbe/Größe zu verwenden, verstößt gegen die Anforderungen.

Google Consent Mode v2: Die technische Brücke zwischen Einwilligung und Analytics

Seit März 2024 verlangt Google den Consent Mode v2 für jede Website, die Google-Dienste (Analytics, Ads, Tag Manager) mit europäischen Nutzern verwendet. Ohne ihn verlieren Sie Conversion-Modellierung, Remarketing-Zielgruppen und letztlich die gesamten Messdaten.

Funktionsweise

Der Consent Mode ist eine JavaScript-API, die die Einwilligungsentscheidungen Ihrer Besucher an Google-Tags kommuniziert. Er verwendet vier Consent-Signale:

Implementierung über Google Tag Manager

Die korrekte Implementierung besteht aus drei Teilen:

Teil 1: Standard-Consent-Status setzen (wird vor allen Google-Tags ausgelöst)

<script>
// This MUST load before GTM
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}

gtag('consent', 'default', {
    'ad_storage': 'denied',
    'analytics_storage': 'denied',
    'ad_user_data': 'denied',
    'ad_personalization': 'denied',
    'wait_for_update': 500  // Wait up to 500ms for CMP to load
});

// Enable URL passthrough for conversion modeling even without cookies
gtag('set', 'url_passthrough', true);

// Redact ad click IDs when ad_storage is denied
gtag('set', 'ads_data_redaction', true);
</script>

Teil 2: GTM-Container laden (nachdem der Standard-Consent gesetzt wurde)

<script>
(function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;
j.src='https://www.googletagmanager.com/gtm.js?id='+i+dl;
f.parentNode.insertBefore(j,f);
})(window,document,'script','dataLayer','GTM-XXXXXXX');
</script>

Teil 3: Einwilligung aktualisieren, wenn der Nutzer eine Auswahl trifft

<script>
// Called by your consent banner when user accepts specific categories
function updateConsent(preferences) {
    gtag('consent', 'update', {
        'ad_storage': preferences.marketing ? 'granted' : 'denied',
        'analytics_storage': preferences.analytics ? 'granted' : 'denied',
        'ad_user_data': preferences.marketing ? 'granted' : 'denied',
        'ad_personalization': preferences.marketing ? 'granted' : 'denied',
    });
}
</script>

Was passiert, wenn die Einwilligung verweigert wird

Im „Advanced"-Modus des Consent Mode (empfohlen) werden Google-Tags weiterhin geladen, verhalten sich jedoch anders:

• GA4 sendet cookielose Pings — keine Nutzerkennungen, keine Cookies. Google verwendet Machine Learning, um Conversions aus diesen aggregierten Daten zu modellieren, und beansprucht eine Genauigkeit von 70–90 %.
• Google Ads verliert Remarketing-Listen und die direkte Conversion-Attribution, aber das Conversion-Modelling gleicht dies teilweise aus.
• Ohne Consent Mode überhaupt erhalten Google-Dienste null Daten von nicht einwilligenden Nutzern — Sie verlieren sowohl Messung als auch Modellierung.

Im „Basic"-Modus (einfacher, aber weniger leistungsfähig) werden Google-Tags erst gar nicht ausgelöst, bis die Einwilligung erteilt wird. Sie erhalten genaue Daten für einwilligende Nutzer und nichts für alle anderen.

IAB Transparency and Consent Framework: TCF v2.2 und die v2.3-Frist

Wenn Ihr PrestaShop-Shop programmatische Werbung schaltet (Google AdSense, Header Bidding, jedes Werbenetzwerk), benötigen Sie IAB-TCF-Compliance. Das Framework standardisiert, wie die Einwilligung an Ad-Tech-Anbieter kommuniziert wird.

TCF v2.2 (aktueller Standard)

• Erfordert eine bei IAB Europe registrierte Consent Management Platform (CMP)
• Generiert TC-Strings (Transparency & Consent), die Nutzerentscheidungen kodieren
• Integriert sich in die Global Vendor List (GVL) — über 1.000 registrierte Anbieter
• Muss auf Anfrage Informationen auf Anbieterebene für Nutzer bereitstellen

TCF v2.3 (verpflichtend ab 28. Februar 2026)

Das Upgrade auf v2.3 fügt ein verpflichtendes „Disclosed Vendors"-Segment zum TC-String hinzu, schließt Schlupflöcher bei Ansprüchen auf berechtigtes Interesse und erfordert eine strengere Anbieterfilterung. Wenn Ihre CMP bis zum Stichtag nicht auf v2.3 aktualisiert wurde, werden Ad Exchanges Ihre Bid Requests ablehnen, was sofortige Umsatzeinbußen zur Folge hat — nicht in ein paar Monaten, sofort.

Für die meisten PrestaShop-Shops, die keine programmatische Werbung schalten, ist TCF weniger relevant — Google Consent Mode v2 hat Priorität. Aber wenn Sie Werbung schalten, überprüfen Sie, ob Ihr CMP-Anbieter TCF v2.3 vor dem Februar-2026-Stichtag unterstützt.

PrestaShop Cookie-Implementierung: Was Ihr Banner leisten muss

Lassen Sie mich konkret beschreiben, wie eine konforme Cookie-Consent-Implementierung bei PrestaShop aussieht. Ich beschreibe die Anforderungen — umsetzen können Sie diese mit einem Modul, einem CMP-Dienst oder eigenem Code.

Anforderung 1: Skripte bis zur Einwilligung blockieren

Der häufigste Verstoß, den ich bei PrestaShop-Shops sehe: Das Consent-Banner wird angezeigt, während GA4, Facebook Pixel und Hotjar bereits laufen. Das passiert, weil Skripte über hookDisplayHeader bedingungslos im <head> geladen werden.

Die Lösung: Jedes nicht-essentielle Skript muss hinter einer Einwilligungsprüfung stehen. Es gibt zwei Ansätze:

Ansatz A: Script-Type-Swapping

<!-- Render scripts as text/plain so the browser ignores them -->
<script type="text/plain" data-cookiecategory="analytics">
    // GA4 initialization code
    gtag('config', 'G-XXXXXXX');
</script>

<script type="text/plain" data-cookiecategory="marketing">
    // Facebook Pixel initialization
    fbq('init', '123456789');
</script>

<!-- Consent banner JS changes type to text/javascript when category is accepted -->

Ansatz B: GTM-Trigger-basiert (empfohlen)

Laden Sie alle Drittanbieter-Skripte über GTM und konfigurieren Sie den Trigger jedes Tags so, dass er nur ausgelöst wird, wenn die entsprechende Consent-Kategorie gewährt wurde. Das ist sauberer, weil:

• Sie alle Skripte an einer Stelle verwalten
• Die Consent-Mode-Integration bei Google-Tags automatisch erfolgt
• Keine Script-Swapping-Logik in Ihrem PrestaShop-Theme nötig ist
• Es einfacher zu prüfen und zu pflegen ist

Anforderung 2: Cookie-Kategorien

Für PrestaShop-Shops benötigen Sie in der Regel vier Kategorien:

Anforderung 3: Visuelle Gleichwertigkeit

Im SHEIN-Bußgeld wurde genau dies beanstandet: Der „Akzeptieren"-Button war prominent gestaltet, während die „Ablehnen"-Option ein dezenter Textlink war. Ihr Banner muss beiden Optionen gleiches visuelles Gewicht geben:

<!-- NON-COMPLIANT: Different button styles -->
<button class="btn btn-primary btn-lg">Accept All</button>
<a href="#" class="text-muted small">Reject</a>

<!-- COMPLIANT: Equal prominence -->
<button class="btn btn-primary">Accept All</button>
<button class="btn btn-outline-primary">Reject All</button>
<button class="btn btn-link">Customize</button>

Anforderung 4: Einwilligungsspeicherung und Nachweisführung

Sie müssen festhalten, wann die Einwilligung erteilt wurde, worin eingewilligt wurde und wie (welche Version Ihres Banners). Dies dient als Ihr Compliance-Nachweis bei einer Prüfung. Speichern Sie diese Daten serverseitig, nicht nur in einem Cookie:

-- Example consent log table for PrestaShop
CREATE TABLE ps_cookie_consent_log (
    id_consent INT UNSIGNED AUTO_INCREMENT PRIMARY KEY,
    id_customer INT UNSIGNED DEFAULT NULL,
    visitor_hash VARCHAR(64) NOT NULL,
    ip_address VARCHAR(45) NOT NULL,
    consent_categories JSON NOT NULL,
    banner_version VARCHAR(20) NOT NULL,
    action ENUM('granted', 'denied', 'partial', 'withdrawn') NOT NULL,
    date_add DATETIME NOT NULL,
    INDEX idx_visitor (visitor_hash, date_add),
    INDEX idx_customer (id_customer)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Häufige Fehler, die ich bei PrestaShop-Shops sehe

Fehler 1: PrestaShops eingebautes DSGVO-Modul ist keine Cookie-Lösung

PrestaShop 1.7.6+ wird mit einem DSGVO-Modul ausgeliefert, das Datenauskunftsanfragen, Datenlöschung und Einwilligungs-Checkboxen für Formulare verarbeitet. Es bietet keine Cookie-Einwilligung. Es blockiert keine Skripte, zeigt kein Cookie-Banner an und integriert sich nicht mit Google Consent Mode. Sie brauchen eine separate Lösung für Cookies.

Fehler 2: Consent-Banner, die tatsächlich nichts blockieren

Ich habe Cookie-Banner bei PrestaShop-Shops getestet, bei denen ein Klick auf „Alle ablehnen" den Banner-Status auf „abgelehnt" ändert, aber jedes Tracking-Skript weiterläuft. Das Banner ist rein kosmetisch — ein Haftungsschild, das keine tatsächliche Compliance bietet. Testen Sie Ihre Implementierung:

1. Öffnen Sie Ihren Shop in einem Inkognito-Fenster
2. Öffnen Sie Chrome DevTools > Application > Cookies
3. Klicken Sie auf „Alle ablehnen" in Ihrem Consent-Banner
4. Prüfen Sie auf _ga, _gid, _fbp, _gcl_au Cookies — wenn sie vorhanden sind, ist Ihr Banner defekt
5. Prüfen Sie den Network-Tab auf Anfragen an google-analytics.com, facebook.com usw.

Fehler 3: Schwere CMP-Skripte laden, die die Performance beeinträchtigen

Manche Drittanbieter-Consent-Management-Plattformen laden 200–500 KB JavaScript. Bei einem PrestaShop-Shop, der bereits 400 KB JS lädt, drückt das Ihre Total Blocking Time über akzeptable Schwellenwerte. Der Consent-Mechanismus, der Nutzer schützen soll, verschlechtert am Ende deren Erlebnis.

Suchen Sie nach leichtgewichtigen Lösungen. Ein konformes Cookie-Banner muss kein 300-KB-SaaS-Widget sein. Die Kernfunktionalität — Banner anzeigen, Entscheidungen speichern, Skripte steuern — lässt sich mit unter 20 KB JavaScript umsetzen.

Fehler 4: Serverseitige Cookies ignorieren

Die meisten Consent-Implementierungen blockieren nur clientseitige JavaScript-Cookies. Aber PrestaShop-Module können auch serverseitig Cookies über PHP setzen. Wenn ein Modul setcookie() oder PrestaShops Cookie-Klasse verwendet, um nicht-essentielle Cookies zu setzen, kann Ihr clientseitiges Consent-Banner das nicht verhindern.

Prüfen Sie Ihre installierten Module auf serverseitiges Cookie-Setzen. Suchen Sie im PrestaShop-Code nach:

# Find modules setting cookies
grep -r "setcookie\|new Cookie\|Context::getContext()->cookie->" modules/ --include="*.php"

Fehler 5: Kein Mechanismus zum Widerruf der Einwilligung

Im American-Express-Bußgeld wurde ausdrücklich kritisiert, dass Cookies nach Widerruf der Einwilligung weiter ausgelesen wurden. Ihr Shop muss eine dauerhafte, leicht zugängliche Möglichkeit bieten, mit der Besucher ihre Cookie-Präferenzen ändern können — typischerweise ein „Cookie-Einstellungen"-Link im Footer, der den Einwilligungsdialog erneut öffnet. Wenn ein Nutzer die Einwilligung widerruft, müssen alle nicht-essentiellen Cookies dieser Kategorie sofort gelöscht werden.

Datenschutz-Folgenabschätzung (DSFA): Wann Sie eine brauchen

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn Ihre Cookie-/Tracking-Implementierung Folgendes umfasst:

• Umfangreiches Profiling (Remarketing-Zielgruppen, verhaltensbasiertes Targeting)
• Geräteübergreifendes Tracking
• Verarbeitung besonderer Datenkategorien (Gesundheit, politische Ansichten)
• Systematische Überwachung öffentlich zugänglicher Bereiche

Für einen typischen PrestaShop-Shop mit GA4 und Facebook Pixel ist eine vollständige DSFA wahrscheinlich nicht erforderlich. Aber wenn Sie fortgeschrittenes Remarketing, dynamische Produktanzeigen und mehrere Drittanbieter-Tracking-Tools einsetzen, dokumentieren Sie Ihre Bewertung. Das PIA-Tool der CNIL ist kostenlos und bietet eine strukturierte Vorlage.

Durchsetzungstrends: Was 2025–2026 uns zeigt

Das Muster ist eindeutig. Hier eine Zusammenfassung der jüngsten cookie-spezifischen Durchsetzungsmaßnahmen:

Die CNIL ist bei weitem die aktivste Vollzugsbehörde, aber andere Datenschutzbehörden ziehen nach: Schweden nahm ATG und Warner Music wegen manipulativer Banner ins Visier, und das britische ICO startete systematische Überprüfungen der Top-1.000 britischen Websites auf Cookie-Compliance.

Die Erkenntnis: Automatisiertes Scannen ist der neue Standard. Regulierungsbehörden müssen Ihren Shop nicht manuell besuchen — sie führen Skripte aus, die nicht-konformes Cookie-Verhalten im großen Maßstab erkennen. Ein kleiner PrestaShop-Shop mit 10.000 monatlichen Besuchern ist genauso scannbar wie ein multinationaler Einzelhändler.

Ihre Implementierungs-Checkliste

Hier ist die Prioritätsreihenfolge, die ich für PrestaShop-Shops empfehle:

1. Cookies auditieren — Öffnen Sie die DevTools, listen Sie jedes Cookie auf Ihrer Domain auf, identifizieren Sie, welche essentiell sind und welche nicht.
2. Skript-Blockierung implementieren — Keine nicht-essentiellen Skripte werden ausgelöst, bis die Einwilligung erteilt ist. Testen Sie mit den DevTools.
3. Consent-Banner bereitstellen — Gleichwertige Button-Prominenz, granulare Kategorien, dauerhafter Footer-Link zum Ändern der Präferenzen.
4. Google Consent Mode v2 implementieren — Alle Signale standardmäßig auf denied setzen, bei Einwilligung aktualisieren. Testen Sie mit dem Google Tag Assistant.
5. Einwilligungs-Logging einrichten — Serverseitige Aufzeichnung von Consent-Events für Prüfungszwecke.
6. Alles dokumentieren — Cookie-Richtlinien-Seite mit Auflistung aller Cookies, Zwecke, Speicherdauer und Drittparteien.
7. Vierteljährlich testen — Modul-Updates können neue Cookies einführen. Prüfen Sie jedes Mal erneut, wenn Sie ein Modul hinzufügen oder Ihr Theme aktualisieren.

Länderspezifische Besonderheiten: Nicht alle EU-Mitgliedstaaten setzen gleich durch

Während die ePrivacy-Richtlinie und die DSGVO EU-weit gelten, variiert die Durchsetzung erheblich je nach Land. Zu verstehen, wo Ihre Kunden sind, ist wichtig für die Konfiguration Ihrer Consent-Lösung:

Frankreich (CNIL)

Die mit Abstand aggressivste Vollzugsbehörde. Die CNIL führt automatisierte Scans durch, verhängt die höchsten Bußgelder und hat ausdrücklich erklärt, dass Cookie-Walls illegal sind. Wenn Sie an französische Kunden verkaufen, ist Ihre Compliance-Latte am höchsten. Die CNIL verlangt außerdem, dass Einwilligungsentscheidungen als Nachweis gespeichert werden und dass Analytics-Cookies (einschließlich GA4) eine ausdrückliche Opt-in-Einwilligung erfordern — kein Argument des berechtigten Interesses.

Deutschland (Landesdatenschutzbehörden)

Deutschland hat 16 Landesdatenschutzbehörden plus den Bundesbeauftragten für den Datenschutz (BfDI). Die Bayerische Datenschutzbehörde war besonders aktiv bei der Cookie-Durchsetzung. Das deutsche Recht erfordert auch eine separate „Impressum"-Seite, und Cookie-Banner müssen für deutschsprachige Shops auf Deutsch sein. Die deutsche Auslegung des „berechtigten Interesses" für Analytics ist strenger als in den meisten anderen Mitgliedstaaten.

Niederlande (AP)

Die niederländische Autoriteit Persoonsgegevens hat sich auf Cookie-Walls und Tracking ohne Einwilligung konzentriert. Sie hat klargestellt, dass A/B-Testing-Cookies eine Einwilligung erfordern, wenn sie individuelles Nutzerverhalten tracken. Für PrestaShop-Shops, die den niederländischen Markt bedienen, ist zu beachten, dass die AP jedes Cookie, das zwischen einzelnen Nutzern unterscheidet, als nicht-essentiell betrachtet — selbst funktionale Cookies wie „zuletzt angesehen", die ein Browsing-Profil erstellen.

Italien (Garante)

Die italienische Datenschutzbehörde Garante hat detaillierte Cookie-Richtlinien veröffentlicht, die einen zweischichtigen Consent-Ansatz erfordern: Ein kurzes Erstschicht-Banner mit den Optionen Akzeptieren/Ablehnen/Anpassen und eine Zweitschicht-Detailseite, die vom Banner aus zugänglich ist. Die Garante hat Unternehmen bestraft, die Scroll-basierte Einwilligung verwenden, und für Cookie-Banner, bei denen auf der ersten Schicht keine sichtbare Ablehnoption vorhanden ist.

Vereinigtes Königreich (ICO)

Nach dem Brexit folgt das Vereinigte Königreich seinem eigenen Datenschutzrahmen (UK GDPR + PECR). Das ICO hat systematische Überprüfungen der Top-1.000 britischen Websites gestartet und Durchsetzungsbescheide an Organisationen erlassen, die Analytics- und Werbe-Cookies ohne gültige Einwilligung setzen. Der Ansatz des ICO ist weniger bußgeldlastig als der der CNIL, aber stärker auf Korrekturanordnungen ausgerichtet.

Was das für länderübergreifende PrestaShop-Shops bedeutet

Wenn Ihr PrestaShop-Shop Kunden in mehreren EU-Ländern bedient (und das tun die meisten — PrestaShops Multistore- und Mehrsprachigkeitsfunktionen machen dies üblich), konfigurieren Sie Ihre Consent-Implementierung nach dem strengsten anwendbaren Standard. In der Praxis heißt das: der französische Standard — vollständige vorherige Einwilligung für alle nicht-essentiellen Cookies, gleichwertige Button-Prominenz, keine Cookie-Walls, serverseitiges Consent-Logging und einfacher Widerruf. Wer die CNIL-Anforderungen erfüllt, ist überall sonst in der EU konform.

Für Shops mit einer Präsenz im Vereinigten Königreich stellen Sie sicher, dass Ihre Cookie-Richtlinie neben der DSGVO auch die PECR (Privacy and Electronic Communications Regulations) erwähnt und das ICO als zuständige Aufsichtsbehörde für britische Kunden aufführt.

Testen Ihrer Implementierung: Ein Schritt-für-Schritt-Verifizierungsprotokoll

Führen Sie nach der Implementierung Ihrer Cookie-Consent-Lösung dieses Verifizierungsprotokoll durch, bevor Sie live gehen. Ich verwende genau diese Checkliste für jeden PrestaShop-Shop, den ich auditiere:

1. Erstbesuch-Test — Öffnen Sie ein Inkognito-Fenster. Bevor Sie mit dem Banner interagieren, prüfen Sie Application > Cookies in den DevTools. Es sollten nur essentielle Cookies (PrestaShop-Session, CSRF) vorhanden sein. Wenn Sie _ga, _gid, _fbp oder irgendwelche Drittanbieter-Cookies sehen, ist Ihre Blockierung defekt.
2. Alles-ablehnen-Test — Klicken Sie auf „Alle ablehnen". Überprüfen Sie, dass keine Analytics- oder Marketing-Cookies erscheinen. Prüfen Sie den Network-Tab auf Anfragen an google-analytics.com, connect.facebook.net oder eine Ad-Plattform. Es sollten keine vorhanden sein.
3. Selektiver-Consent-Test — Akzeptieren Sie nur Analytics. Überprüfen Sie, dass Analytics-Cookies erscheinen, aber Marketing-Cookies nicht. Akzeptieren Sie dann auch Marketing — überprüfen Sie, dass Marketing-Cookies jetzt erscheinen.
4. Widerrufs-Test — Öffnen Sie die Cookie-Einstellungen über den Footer-Link. Widerrufen Sie die Analytics-Einwilligung. Überprüfen Sie, dass _ga- und _gid-Cookies sofort gelöscht werden (nicht erst beim nächsten Seitenaufruf).
5. Consent-Mode-Test — Im GTM Tag Assistant oder Google Analytics DebugView überprüfen Sie, ob die Consent-Status-Updates mit Ihren Banner-Entscheidungen übereinstimmen. Wenn Analytics verweigert wird, sollte GA4 „consent_denied" für analytics_storage anzeigen.
6. Persistenz-Test — Akzeptieren Sie alle Cookies. Schließen Sie den Browser. Öffnen Sie ihn erneut. Besuchen Sie den Shop. Das Consent-Banner sollte NICHT erneut erscheinen — Ihr Präferenz-Cookie persistiert korrekt.
7. Consent-Logging-Test — Prüfen Sie Ihre serverseitige Consent-Log-Tabelle. Überprüfen Sie, dass Akzeptanz-, Ablehnungs- und Widerrufsereignisse mit Zeitstempeln, Besucherkennungen und Banner-Version aufgezeichnet werden.
8. Mobil-Test — Wiederholen Sie die Tests 1–3 auf einem mobilen Gerät. Viele Consent-Banner-Fehler sind mobilspezifisch (zu kleine Buttons, Banner verdeckt Inhalte, Kategorien nicht scrollbar).

Cookie-Compliance ist keine glamouröse Arbeit. Aber wenn Sie es richtig machen, schützen Sie Ihr Unternehmen vor sechsstelligen Bußgeldern und bauen Vertrauen bei Kunden auf, denen der Umgang mit ihren Daten zunehmend wichtig ist. Unser Cookies Revolution Modul übernimmt die technische Implementierung — Skript-Blockierung, Consent Mode v2 Integration, granulare Kategorien und leichtgewichtiges Banner — damit Sie sich auf den Verkauf konzentrieren können.

Wenn Sie sich über Ihren aktuellen Compliance-Status unsicher sind, führen Sie das obige Verifizierungsprotokoll durch. Wenn Sie Tracking-Cookies vor der Einwilligung sehen, haben Sie ein Problem, das heute behoben werden muss — nicht im nächsten Quartal.

David Miller entwickelt datenschutzorientierte PrestaShop-Tools bei mypresta.rocks. Dieser Artikel spiegelt sein Verständnis der EU-Cookie-Vorschriften zum Stand April 2026 wider und stellt keine Rechtsberatung dar.