Was müssen Sie zu GDPR Legal Cookie von Shopify wissen?
GDPR Legal Cookie ist ein Cookie Consent Management Tool für Shopify. Unternehmen können damit externe Dienste wie Facebook Pixel, Google Analytics, Google AdWords und den Google Tag Manager datenschutzkonform auf ihrer Webseite einbinden. GDPR Legal Cookie wurde unter anderem von einem Mitglied des deutschen Datenschutzausschusses der Bundesrechtsanwaltskammer getestet und zertifiziert. Was müssen Unternehmen datenschutzrechtlich berücksichtigen, wenn sie GDPR Legal Cookie von Shopify verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenDarum ist GDPR Legal Cookie von Shopify datenschutzrechtlich relevant
Besuchen User eine Webseite, die das Plugin GDPR Legal Cookie nutzt, stellt sie eine Verbindung zu den Servern des Anbieters beeclever her. GDPR Legal Cookie erhält auf diese Weise Daten wie beispielsweise den verwendeten Browser der Nutzer und die URL der besuchten Webseite sowie die IP-Adresse. Das Consent Tool speichert einen Cookie im Browser von Usern, um die erteilte Einwilligung für das jeweilige Tool zuordnen zu können.
Die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) schützen diese Daten. Unternehmen, die GDPR Legal Cookie auf ihrer Webseite einsetzen, müssen daher bestimmte datenschutzrechtliche Vorgaben beachten.
GDPR Legal Cookie von Shopify DSGVO-konform nutzen
Für das Shopify-Plugin GDPR Legal Cookie müssen Unternehmen diese Pflichten der DSGVO und des TDDDG (ehemals TTDSG) beachten:
Vertrag zur Auftragsverarbeitung schließen
GDPR Legal Cookie speichert Daten von Webseitenbesuchern. Unternehmen geben so Daten an den Anbieter beeclever und damit an einen Dritten zur weisungsgebundenen Verarbeitung weiter. Dafür benötigen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag). Das gibt Artikel 28 DSGVO vor. Der Vertrag muss festhalten,
- welche Userdaten beeclever sammelt,
- warum beeclever diese Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen geben mit dem Tool GDPR Legal Cookie Userdaten an den dahinterstehenden Anbieter beeclever weiter. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie darauf hinweisen,
- warum sie über GDPR Legal Cookie Nutzerdaten sammeln,
- wie lange sie die Nutzerdaten speichern und
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO).
Rechtsprechung zu GDPR Legal Cookie von Shopify
Für das Plugin GDPR Legal Cookie ist diese Rechtsprechung relevant:
Datenschutzbehörde Hamburg zum AV-Vertrag
Schließen Unternehmen mit dem Anbieter von GDPR Legal Cookie keinen AV-Vertrag, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent ihres weltweiten Jahresumsatzes. Das erlaubt Artikel 83 Abs. 4 lit. DSGVO. Ein deutsches Versandunternehmen musste daher im Dezember 2018 eine Strafe in Höhe von 5.000 Euro zahlen. Das Unternehmen hatte es versäumt, mit einem spanischen Postdienstleister einen AV-Vertrag zu schließen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußballclub VfB Stuttgart gab Daten seiner Vereinsmitglieder an Dienstleister weiter. Diese sollten die Daten weisungsgebunden verarbeiten. Ein AV-Vertrag lag dafür jedoch nicht vor. Das bestrafte die Datenschutzbehörde Baden-Württemberg im März 2021 mit einem Bußgeld von 300.000 Euro.
Alternativen zu GDPR Legal Cookie von Shopify
GDPR Legal Cookie ist nur ein mögliches Plugin, das Unternehmen für den Datenschutz auf ihrer Webseite nutzen können. Alternativen sind zum Beispiel
- Usercentrics,
- Consent Management Provider,
- Cookiebot und
- Onetrust.
In unserem Beitrag „Die 6 gängigsten Cookie Consent Tools“ haben wir alle relevanten Infos zu Alternativen zu GDPR Legal Cookie zusammengetragen.
Aktuelles zu Cookie Consent Tools
Das TDDDG (ehemals TTDSG) macht seit dem 01.12.2021 klare Vorgaben, unter welchen Vorgaben Seitenbetreiber Cookies verwenden können. Das Gesetz gibt dabei vor, dass sie für Cookies und Tracking-Dienste stets die Erlaubnis von Nutzern benötigen. Damit setzt das TDDDG (ehemals TTDSG) die Entscheidung des Bundesgerichtshofs (28.05.2020, Az. I ZR 7/16) um.
Für die Praxis heißt das: Unternehmen müssen ein Cookie Consent Tool wie GDPR Legal Cookie verwenden, um Third-Party-Cookies, Tracking-Cookies und andere Marketing-Cookies datenschutzkonform einzusetzen. Kommen sie dem nicht nach, droht ihnen gemäß des TDDDG (ehemals TTDSG) ein Bußgeld von bis zu 300.000 Euro. Daneben sind auch kostspielige Abmahnungen möglich. Erst kürzlich mahnten Verbraucherzentralen in Deutschland knapp 100 Unternehmen ab. Diese hatten mit ihrem Cookie-Banner rechtswidrig die Zustimmung zum Datensammeln eingeholt.
Welche Voraussetzungen ein Cookie-Banner erfüllen muss, erklären wir in unserem Beitrag „So muss ein Cookie Consent Banner aussehen, um nicht abgemahnt zu werden“.