Was ist Cookie Consent und warum braucht dein Shopware-Shop das
Cookie Consent ist die rechtlich vorgeschriebene Einwilligung deiner Shop-Besucher zur Verwendung von Cookies. Seit der DSGVO und dem TDDDG (ehemals TTDSG) müssen alle Shopware-Shops ein Cookie-Banner zeigen, das Besuchern die aktive Wahl lässt, welche Cookies sie akzeptieren. Ohne diese Einwilligung drohen Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
Die Regelung klingt simpel, hat aber Konsequenzen für den Alltag. Technisch notwendige Cookies für Warenkorb, Login oder CSRF-Schutz brauchen keine Einwilligung. Alles andere schon: Google Analytics, Meta Pixel, Hotjar, Affiliate-Tracking. Der entscheidende Unterschied liegt zwischen Opt-in und Opt-out. Opt-in bedeutet: Kein Cookie wird gesetzt, bevor der Nutzer aktiv zustimmt. Opt-out, also vorausgewählte Checkboxen, ist seit dem EuGH-Urteil Planet49 (2019) in der EU nicht mehr zulässig.
Shopware setzt standardmäßig sechs technisch notwendige Cookies: `session-` (Warenkorb/Login), `timezone`, `cookie-preference` (30 Tage), `_csrf_token`, `sw-states` und `slt` (Stay Logged In). Alle weiteren Cookies kommen durch Plugins oder eingebundene Drittanbieter-Scripts. Sobald personenbezogene Daten verarbeitet werden, greift die Einwilligungspflicht.
2025 meldeten deutsche Aufsichtsbehörden laut dem DSGVO-Portal insgesamt 249 Bußgelder mit einer Gesamthöhe von 46,9 Millionen Euro. Cookie-Verstöße gehören zu den häufigsten Abmahngründen bei Onlineshops. Die französische CNIL belegte allein Shein mit einer Strafe wegen Cookies, die ohne Einwilligung gesetzt wurden. Deutsche Behörden ziehen nach.
Shopware 6 nativer Cookie Consent Manager
Shopware 6 bringt einen integrierten Cookie Consent Manager mit, der über Einstellungen > Shop > Stammdaten > Sicherheit und Datenschutz konfiguriert wird. Er unterscheidet zwischen technisch notwendigen und optionalen Cookies und zeigt Besuchern ein anpassbares Banner am unteren Bildschirmrand. Kostenlos, kein Plugin nötig, sofort einsatzbereit.
Der Manager arbeitet mit vier Cookie-Gruppen: Technisch notwendig, Komfortfunktionen, Statistik und Marketing. Seit Version 6.6.0.0 (April 2024) ist die Marketing-Cookie-Gruppe für Google Consent Mode V2 vorbereitet. Plugins und Apps registrieren ihre Cookies automatisch in den passenden Gruppen, sobald sie installiert sind.
Die Shopware Developer Documentation beschreibt das System im Detail. Der Banner blockiert alle nicht-notwendigen Scripts, bis der Nutzer eine Auswahl trifft. Texte lassen sich über Einstellungen > Shop > Textbausteine anpassen, das Design nur über CSS im Theme. Einen visuellen Editor gibt es nicht.
Wo liegen die Grenzen? Kein automatisches Cookie-Scanning. Jedes neue Plugin-Cookie musst du manuell prüfen und zuordnen. Keine Consent-Logs, also keine dokumentierte Nachweisführung bei Behördenanfragen. Kein TCF 2.2/2.3-Support. Und der Consent Mode V2 funktioniert in der Basic-Variante, nicht Advanced. Wer Google Ads mit Conversion-Modellierung im Advanced-Mode betreibt, braucht ein externes Tool. Für eine Shopware 6 Demo reicht der native Manager zum Testen aber völlig.
Die besten Cookie Consent Tools für Shopware im Vergleich
Neben dem nativen Shopware-Manager gibt es spezialisierte Consent-Tools wie Cookiebot, Consentmanager, CCM19 und Usercentrics. Jedes löst ein anderes Problem besser als der native Manager: automatisches Cookie-Scanning, TCF-Kompatibilität, detailliertes Reporting oder A/B-Testing der Banner-Designs. Die richtige Wahl hängt von Shop-Größe, Budget und Compliance-Anforderungen ab.
| Kriterium | Shopware nativ | Cookiebot | Consentmanager | CCM19 | Usercentrics |
|---|---|---|---|---|---|
| Preis/Monat | 0 EUR (im Core) | ab 7 EUR | ab 23 EUR | ab 5 EUR | ab 7 EUR |
| Auto-Cookie-Scanning | Nein (manuell) | Ja (monatlich) | Ja | Ja | Ja |
| TCF 2.2/2.3 | Nein | Ja | Ja | Ja | Ja |
| Google Consent Mode V2 | Basic (ab 6.5.8.6) | Basic + Advanced | Basic + Advanced | Basic + Advanced | Basic + Advanced |
| Consent-Logs | Nein | Ja | Ja | Ja | Ja |
| Design-Anpassung | Nur via CSS/Twig | Backend-Editor | Backend-Editor | Backend-Editor | Backend-Editor |
| Shopware-Plugin | Core-Feature | Ja | Ja | Ja | Ja |
| A/B-Testing Banner | Nein | Ja (Premium) | Ja | Nein | Ja |
| Performance-Impact | Keiner (nativ) | Externes Script | Externes Script | Externes Script | Externes Script |
Cookiebot gehört seit der Übernahme durch Usercentrics zum selben Anbieter, bleibt aber als eigenständiges Produkt bestehen. Die Preise richten sich nach Subpage-Anzahl, nicht nach Traffic. Für einen Shop mit 500 Produktseiten reicht oft das Lite-Tier. Consentmanager rechnet dagegen nach Seitenaufrufen ab, was bei Traffic-Schwankungen flexibler ist. CCM19 kommt aus Deutschland und bietet besonders günstige Einstiegspreise ab 5 EUR/Monat. Usercentrics positioniert sich im Enterprise-Bereich und investiert stark in AI Governance.
Laut IAB Europe sind Stand Ende 2025 insgesamt 953 Vendors und 181 CMPs im TCF-Framework registriert. Die Durchsetzung hat sich gegenüber 2024 verdoppelt. Wer Google Ads oder programmatische Werbung nutzt, kommt an TCF kaum vorbei. Der native Shopware-Manager unterstützt TCF nicht.
Ein Punkt, den viele Vergleiche verschweigen: Performance. Der native Shopware-Manager lädt kein externes Script. Null zusätzliche DNS-Anfragen, null Render-Blocking. Jedes externe CMP fügt mindestens ein JavaScript-Bundle hinzu, das den LCP (Largest Contentful Paint) beeinflusst. In unseren Tests mit Shopware-Shops lag der Unterschied bei 50-150ms. Das klingt wenig, aber Google misst Core Web Vitals auf die Millisekunde. Wer bei PageSpeed Insights schon knapp an der 'Good'-Schwelle kratzt, sollte den Performance-Impact eines externen CMP vorher messen.
Schritt-für-Schritt-Anleitung: Cookie Consent in Shopware einrichten
Die Einrichtung des Cookie Consent Managers in Shopware 6 dauert etwa 15 Minuten: Navigiere zu Einstellungen > Shop > Stammdaten > Sicherheit und Datenschutz, aktiviere den Cookie-Banner, konfiguriere die Cookie-Gruppen und passe Texte sowie Design an dein Shopdesign an.
Schritt 1: Banner aktivieren
Öffne Einstellungen > Shop > Stammdaten > Sicherheit und Datenschutz. Aktiviere 'Standard Cookiehinweis verwenden'. Ohne diese Option erscheint kein Banner. Aktiviere zusätzlich den 'Alle Cookies akzeptieren'-Button. Shopware blockiert ab diesem Moment alle nicht-notwendigen Scripts, bis der Nutzer eine Auswahl trifft.
Schritt 2: Cookie-Gruppen konfigurieren
Shopware unterscheidet vier Gruppen. Die korrekte Zuordnung ist entscheidend für die DSGVO-Konformität:
- Technisch notwendig: Warenkorb, Login, CSRF-Schutz, Session. Braucht keine Einwilligung
- Komfortfunktionen: Wunschlisten, zuletzt angesehene Produkte, Spracheinstellungen
- Statistik: Google Analytics 4, Matomo, Hotjar
- Marketing: Facebook Pixel, Google Ads Remarketing, Affiliate-Tracking
Schritt 3: Texte und Design anpassen
Unter Einstellungen > Shop > Textbausteine suchst du nach 'cookie'. Alle Snippet-Schlüssel wie `cookie.groupRequired` oder `cookie.groupMarketing` lassen sich dort je Sprache bearbeiten. Beim Shopware Shop einrichten gehört das zu den ersten Konfigurationsschritten.
Zwei Regeln für die Texte: Kein juristisches Kauderwelsch, sondern klare Sprache. Und: Erkläre den Nutzen jeder Cookie-Gruppe. 'Für personalisierte Produktempfehlungen' wirkt besser als 'Marketing-Cookies'. Die Farbgebung der Buttons änderst du über CSS im Theme. Achte darauf, dass 'Alle akzeptieren' und 'Nur notwendige' visuell gleichwertig sind.
Schritt 4: Testen
Öffne ein Inkognito-Tab, besuche deinen Shop. Rechtsklick > Untersuchen > Network-Tab. Suche nach 'analytics' oder 'gtag'. Vor der Zustimmung darf kein GA4-Request auftauchen. Nach der Zustimmung muss er sichtbar sein. In deinem Shopware Account kannst du zusätzlich den Debug-Modus aktivieren, um die Consent-Signale zu prüfen.
Optional: Seit Shopware 6.7.0.0 lässt sich der Google Tag Manager direkt über das Backend einbinden, alternativ zu Google Analytics 4. Ein Setup mit nativem Cookie-Banner plus GTM ist damit möglich, ohne externes CMP. Der GTM muss dabei vor der Consent-Entscheidung laden, was datenschutzrechtlich relevant ist: Es entsteht eine Verbindung zu Google-Servern, bevor der Nutzer zugestimmt hat. Dokumentiere das in deiner Datenschutzerklärung.
Laut der Shopware-Versionshistorie von 8mylez hat Shopware in Version 6.7.4.0 (November 2025) den Consent Mode V2 überarbeitet: Der `default`-Befehl wird nur noch mit abgelehnten Zuständen aufgerufen, und Google reCAPTCHA lädt nur noch nach Cookie-Zustimmung. Prüfe nach jedem Shopware-Update, ob dein Consent-Setup noch korrekt funktioniert.
DSGVO-Checkliste für Shopware Cookie Consent
Eine DSGVO-konforme Cookie-Einwilligung in Shopware erfordert mindestens: aktives Opt-in ohne Pre-Checking, gleichwertige Ablehnungsoption, vollständige Cookie-Auflistung mit Zweck und Speicherdauer, Widerrufmöglichkeit und Dokumentation der Einwilligungen. Diese 10-Punkte-Checkliste deckt alle Pflichtpunkte ab.
- Aktives Opt-in: Keine vorausgewählten Checkboxen. Der Nutzer muss aktiv zustimmen (Art. 7 DSGVO)
- Gleichwertiger Ablehnen-Button: 'Alle ablehnen' muss genauso prominent sein wie 'Alle akzeptieren'. Gleiche Größe, gleiche Farbe, gleiche Klickanzahl
- Vollständige Cookie-Auflistung: Jeder Cookie mit Name, Anbieter, Zweck und Speicherdauer dokumentiert
- Zweckbindung: Jede Cookie-Gruppe mit verständlicher Beschreibung des Verwendungszwecks
- Granulare Auswahl: Nutzer müssen einzelne Cookie-Kategorien an- und abwählen können, nicht nur 'Alles oder nichts'
- Widerrufmöglichkeit: Ein jederzeit erreichbarer Link (z.B. im Footer via `/cookie/offcanvas`) zum Ändern der Cookie-Einstellungen
- Consent-Dokumentation: Einwilligungen protokollieren (Zeitpunkt, Umfang, Version). Der native Manager kann das nicht, externe CMPs schon
- Kein Cookie-Wall: Der Shop muss auch ohne Zustimmung zu optionalen Cookies nutzbar bleiben
- Impressum und Datenschutzerklärung verlinkt: Beide müssen aus dem Banner heraus erreichbar sein, ohne vorherige Cookie-Zustimmung
- Regelmäßige Prüfung: Mindestens quartalsweise oder nach jeder Plugin-Installation prüfen, ob neue Cookies korrekt zugeordnet sind
Laut einer Studie zu Cookie-Banner-Compliance erfüllen nur 15% aller Banner die DSGVO-Mindestanforderungen vollständig. 38% der als konform geltenden Banner machen den Akzeptieren-Button trotzdem visuell dominanter. Und 20,5% der Websites erschweren den Widerruf stärker als die Zustimmung. Wer als Shopware-Betreiber alle zehn Punkte abhakt, ist deutlich besser aufgestellt als der Durchschnitt.
Häufige Fehler beim Cookie Consent in Shopware
Die drei häufigsten Fehler beim Shopware Cookie Consent sind vorausgewählte Marketing-Cookies, ein fehlender oder versteckter Ablehnen-Button und veraltete Cookie-Listen nach Plugin-Updates. Jeder einzelne kann zu Abmahnungen führen.
Fehler 1: Pre-checked Cookies
Der Klassiker. Marketing- oder Statistik-Cookies sind bei Erstbesuch bereits aktiviert. Das widerspricht direkt Art. 7 DSGVO und dem EuGH-Urteil Planet49. Shopware setzt die Checkboxen standardmäßig korrekt auf deaktiviert. Aber: Manche Plugins überschreiben diese Einstellung. Nach jeder Plugin-Installation prüfen.
Fehler 2: Kein gleichwertiger Ablehnen-Button
Ein großer, farbiger 'Alle akzeptieren'-Button neben einem kleinen, grauen 'Einstellungen'-Link. Das ist ein Dark Pattern und wird von deutschen Datenschutzbehörden seit 2024 aktiv verfolgt. Laut dem Bundesgerichtshof müssen Akzeptieren und Ablehnen gleichwertig dargestellt sein. Im nativen Shopware-Banner lässt sich das über CSS lösen: Gleiche `btn-primary`-Klasse für beide Buttons.
Fehler 3: Veraltete Cookie-Listen
Du installierst ein neues Plugin für Reviews, Wunschlisten oder Live-Chat. Es setzt Cookies. Die Cookie-Liste in deinem Banner weiß davon nichts. Ergebnis: Cookies werden ohne Einwilligung gesetzt. Der native Manager erkennt Plugin-Cookies zwar automatisch, wenn das Plugin korrekt registriert ist. Aber: Nicht jedes Plugin registriert seine Cookies sauber. Externe CMPs mit Auto-Scanning lösen dieses Problem.
Fehler 4: Script-Einbindung ohne Consent-Steuerung
Tracking-Scripts direkt in der `base.html.twig` eingebunden, ohne auf das Consent-Signal von Shopware zu hören. Das Script lädt bei jedem Seitenaufruf, egal ob der Nutzer zugestimmt hat. Lösung: Scripts müssen über den Cookie Manager oder den Google Tag Manager gesteuert werden, nie direkt im Template.
Fehler 5: Cookie-Banner blockiert Scripts nicht wirklich
Der Banner wird angezeigt, aber im Hintergrund laufen bereits Tracking-Requests. Das passiert, wenn Scripts über externe CDNs geladen werden, die nicht vom Shopware Cookie Manager kontrolliert werden. Prüfe im Network-Tab: Vor der Consent-Entscheidung dürfen ausschließlich Requests an deine eigene Domain und technisch notwendige Dienste laufen. Jeder Request an google-analytics.com, facebook.com oder ähnliche Domains ohne vorherige Zustimmung ist ein Verstoß.
Für kleine Shops mit wenigen Tracking-Tools (nur GA4) reicht der native Manager für die DSGVO-Grundanforderungen aus. Allerdings fehlen Consent-Logs zur Nachweisführung und automatisches Cookie-Scanning. Bei einer Behördenanfrage könntest du die dokumentierte Einwilligung nicht lückenlos belegen. Shops mit Google Ads, mehreren Tracking-Pixeln oder über 50.000 monatlichen Besuchern sollten ein externes CMP einsetzen.
Die Preise beginnen bei 5 EUR/Monat (CCM19) bis 7 EUR/Monat (Cookiebot Lite, Usercentrics) für kleine Shops. Für mittelgroße Shops mit 100.000 Seitenaufrufen liegt Consentmanager bei 23 EUR/Monat, Cookiebot je nach Subpage-Anzahl bei 14-40 EUR/Monat. Enterprise-Lösungen starten bei 200+ EUR/Monat.
Ab Shopware 6.5.8.6 ist der Basic-Mode automatisch aktiv, wenn Google Analytics über das Shopware-Backend eingebunden ist. Shopware setzt die Flags `ad_user_data` und `ad_personalization` basierend auf der Nutzerwahl. Für den Advanced-Mode mit Conversion-Modellierung brauchst du ein externes CMP wie Cookiebot oder Consentmanager, das die erweiterten Consent-Signale an Google weitergibt.
Lege unter Inhalt > Kategorien eine neue Kategorie an, setze den Link-Typ auf 'Extern' und trage als Linkziel `/cookie/offcanvas` ein. Ein Klick darauf öffnet die Cookie-Einstellungen als Offcanvas-Menü. Das ist DSGVO-Pflicht: Nutzer müssen ihre Einwilligung jederzeit widerrufen können.
Das Transparency and Consent Framework (TCF) ist ein IAB-Europe-Standard für die Werbebranche mit 953 registrierten Vendors (Stand Ende 2025). Google Consent Mode V2 ist Googles eigenes System zur Consent-Übermittlung an Google-Dienste. Beide Systeme können parallel laufen. TCF brauchst du primär für programmatische Werbung, Consent Mode V2 für Google Ads und Analytics.
Fazit und Empfehlung
Für kleine Shopware-Shops mit bis zu 50.000 monatlichen Besuchern und nur GA4 als Tracking reicht der native Cookie Consent Manager. Er ist kostenlos, performant (kein externes Script) und deckt die DSGVO-Grundanforderungen ab.
Ab 50.000 Besuchern, bei Nutzung von Google Ads, mehreren Tracking-Pixeln oder internationalem Verkauf lohnt sich ein spezialisiertes Tool. Consentmanager bietet das beste Preis-Leistungs-Verhältnis für mittelgroße Shops. Cookiebot hat die ausgereifteste Shopware-Integration. CCM19 ist die günstigste Option mit deutschem Support. Usercentrics ist die Wahl für Enterprise-Setups mit AI-Governance-Anforderungen.
Unabhängig von der Tool-Wahl gilt: Cookie Consent ist kein einmaliges Setup. Wer nach jeder Plugin-Installation, nach jedem Shopware-Update und mindestens quartalsweise prüft, vermeidet die häufigsten Abmahngründe. Noch wichtiger: Wer Shopware kostenlos testen will, sollte den Cookie-Banner von Anfang an korrekt konfigurieren, nicht erst kurz vor dem Livegang.
Und wenn dein Shop-Traffic wächst, wächst auch die Herausforderung: Mehr Besucher, die Cookies ablehnen, bedeuten weniger Tracking-Daten. Unsere Kunden wie Rasendoktor lösen das, indem sie Besucher nicht über Tracking identifizieren, sondern über direkte Interaktion mit einem KI-Kundenservice für Shopware. Ein KI-Mitarbeiter funktioniert ohne Marketing-Cookies und steigert trotzdem den Warenkorbwert, bei Rasendoktor um das 16-fache als Return on Investment.
Ein KI-Mitarbeiter berät deine Kunden in Echtzeit, ohne Marketing-Cookies. Unsere Kunden steigern die Conversion um das 7-fache. Teste es in deinem Shopware-Shop.
Kostenlose Demo buchen
Kevin ist CTO und Mitgründer von Qualimero. Als KI-Architekt mit über 15 Jahren Erfahrung als CTO und CPO in der Tech-Branche entwirft er die KI-Systeme, die bei Qualimeros Kunden täglich zehntausende Kundeninteraktionen automatisieren — zuverlässig, sicher und skalierbar.
