Zurück zur Übersicht
OnlineshopShopifyWooCommerce

Cookie-Banner für Onlineshops in der Schweiz: Shopify, WooCommerce & Co. richtig einrichten

Onlineshops tracken mehr als jede Broschüren-Webseite: Werbe-Conversions, Retargeting, Zahlungsdienstleister, Bewertungswidgets. Warum fast jeder Schweizer Shop auch die DSGVO beachten muss, welche Cookies typisch sind — und wie Sie das Cookie-Banner in Shopify, WooCommerce und anderen Shopsystemen konkret einrichten.

Aiara Team··9 Min. Lesezeit
Cookie-Banner für Onlineshops in der Schweiz: Shopify, WooCommerce & Co. richtig einrichten

Eine Firmen-Webseite mit Kontaktformular kommt oft mit einer Handvoll Cookies aus. Ein Onlineshop nicht: Werbe-Pixel messen Conversions, Retargeting-Dienste folgen Warenkorbabbrechern quer durchs Netz, Zahlungsdienstleister setzen Sicherheits-Cookies, Bewertungswidgets laden Skripte von Drittservern. Und wer in die EU verkauft, muss neben dem Schweizer Datenschutzgesetz fast immer auch die europäische Datenschutz-Grundverordnung einhalten. Dieser Beitrag zeigt, warum für Onlineshops strengere Massstäbe gelten, welche Cookies und Dienste typisch sind — und wie Sie das Cookie-Banner in Shopify, WooCommerce und anderen Shopsystemen konkret einrichten.

Warum Onlineshops mehr Pflichten haben als Broschüren-Webseiten

Der Unterschied liegt nicht im Gesetz — es gelten dieselben Regeln wie für jede andere Webseite. Der Unterschied liegt darin, was ein Shop technisch tut. Drei Punkte machen den Abstand aus:

Erstens: Shops tracken deutlich mehr. Ein durchschnittlicher Schweizer Onlineshop setzt gut 40 Cookies — eine Visitenkarten-Webseite kommt auf 8 bis 10. Der Grund ist der Marketing-Stack: Conversion-Tracking für Google Ads und Meta, Retargeting-Pixel für Warenkorbabbrecher, E-Mail-Marketing-Tools mit eigenem Besucher-Tracking, Bewertungswidgets, Live-Chat. Jeder dieser Dienste bringt eigene Cookies mit — und die meisten davon sind zustimmungspflichtig, dürfen also erst nach einem Klick auf «Akzeptieren» laden.

Zweitens: Fast jeder Shop ist DSGVO-relevant. Hier greift das sogenannte Marktortprinzip: Die Datenschutz-Grundverordnung gilt für jedes Unternehmen, das erkennbar Kundschaft in der EU anspricht — unabhängig vom Firmensitz. Wer nach Deutschland oder Österreich liefert, Preise in Euro anzeigt oder eine .de-Domain betreibt, erfüllt dieses Kriterium in aller Regel. Für Schweizer Shops heisst das: Es gilt nicht nur das mildere Schweizer Recht, sondern zusätzlich die strengere europäische Verordnung — mit aktiver Einwilligungspflicht, bevor Marketing-Skripte überhaupt laden. Was das im Detail bedeutet, erklärt unser DSGVO-Ratgeber.

Drittens: Die Datenschutzerklärung braucht E-Commerce-Angaben. Ein Shop gibt Personendaten an deutlich mehr Empfänger weiter als eine Broschüren-Webseite: an den Zahlungsdienstleister (Stripe, PostFinance, Twint), an Versandpartner wie die Post oder DHL, bei Kauf auf Rechnung oft an einen Anbieter für die Bonitätsprüfung, dazu Newsletter-Dienst und Shop-Hosting. All diese Datenflüsse gehören in die Datenschutzerklärung — inklusive Angabe, in welches Land die Daten fliessen. Wie Sie eine vollständige Datenschutzerklärung aufbauen, zeigt unsere Schritt-für-Schritt-Anleitung.

Typische Cookies und Dienste in Schweizer Onlineshops

Die folgende Übersicht zeigt, was bei Shop-Scans am häufigsten auftaucht — und wie die Dienste einzuordnen sind:

Dienst Typische Cookies Zweck Kategorie
Meta Pixel _fbp, _fbc Retargeting, Conversion-Messung Marketing
Google Ads _gcl_au, _gcl_aw Conversion-Tracking Marketing
TikTok Pixel _ttp, ttwid Retargeting, Conversion-Messung Marketing
Google Analytics _ga, ga* Shop-Statistik Statistik
Klaviyo __kla_id E-Mail-Marketing, Warenkorbabbrecher Marketing
Mailchimp mailchimp_landing_page Newsletter-Attribution Marketing
Stripe __stripe_mid, __stripe_sid Betrugsprävention bei der Zahlung Notwendig
PostFinance / Twint Session-Cookies Zahlungsabwicklung Notwendig
Trusted Shops Widget-Cookies Bewertungen, Käuferschutz-Badge Funktional
Shopsystem selbst Warenkorb- und Session-Cookies Warenkorb, Login, Checkout Notwendig

Die wichtigste Unterscheidung steckt in der rechten Spalte. Zahlungs-Cookies sind technisch notwendig: Ohne die Sicherheits- und Session-Cookies von Stripe, PostFinance oder Twint kommt keine Zahlung zustande — sie dürfen deshalb ohne Einwilligung gesetzt werden. Dasselbe gilt für Warenkorb- und Login-Cookies des Shopsystems. Werbe-Pixel sind das Gegenteil: Meta Pixel, Google Ads und TikTok Pixel dienen ausschliesslich dem Marketing und dürfen erst laden, wenn die Besucherin aktiv zugestimmt hat. Ein Banner, das diese Skripte schon vor der Einwilligung feuert, ist keine Formalie, sondern der häufigste Compliance-Fehler in Onlineshops überhaupt.

Bewertungswidgets wie Trusted Shops liegen dazwischen: Das Badge selbst ist funktional, je nach Konfiguration fliessen aber Daten an den Anbieter — hier lohnt ein Blick in den Scan-Bericht, welche Cookies das Widget konkret setzt.

Ein Sonderfall sind E-Mail-Marketing-Tools wie Klaviyo oder Mailchimp, weil sie zwei getrennte Einwilligungen brauchen, die in der Praxis oft verwechselt werden: Die Newsletter-Anmeldung mit Bestätigungsmail deckt nur den Versand von E-Mails ab. Das Besucher-Tracking derselben Tools auf der Shop-Webseite — etwa das Wiedererkennen von Warenkorbabbrechern für automatische Erinnerungsmails — ist davon nicht erfasst und braucht die Einwilligung über das Cookie-Banner. Wer das Tracking-Skript von Klaviyo ungefragt lädt, weil «die Kunden ja den Newsletter abonniert haben», verwechselt die beiden Ebenen.

Einrichtung nach Plattform

Shopify

Für Shopify bietet Aiara eine Integration ohne App-Installation: ein Liquid-Snippet, das Sie im Theme-Code-Editor als eigenes Snippet hinterlegen, mit Ihrer Domain-ID versehen und vor dem schliessenden </head> in theme.liquid einbinden. Das Banner erscheint danach automatisch auf allen Seiten des Shops — vom Produktkatalog bis zur Bestellbestätigung. Die Anleitung mit Download finden Sie auf der Shopify-Seite.

Zwei Shopify-Besonderheiten sollten Sie kennen. Erstens bringt Shopify mit der Customer Privacy API eine eigene Schnittstelle für Einwilligungssignale mit, auf die Shopify-eigene Funktionen und ein Teil der Apps aus dem App Store hören — es lohnt sich zu prüfen, welche Ihrer installierten Apps diese Signale respektieren und welche ihre Skripte unabhängig davon laden. Zweitens ist der App Store selbst die grösste Tracking-Quelle: Jede Bewertungs-, Upsell- oder E-Mail-App kann eigene Cookies und Pixel mitbringen. Nach jeder App-Installation gehört deshalb ein neuer Cookie-Scan auf die Checkliste.

WooCommerce (WordPress)

Für WooCommerce-Shops läuft die Einrichtung über das Aiara-Plugin aus dem offiziellen WordPress-Verzeichnis: Plugin installieren, Domain-ID eintragen, fertig. Das Plugin blockiert zustimmungspflichtige Skripte automatisch, bis die Einwilligung vorliegt — die technisch notwendigen Warenkorb- und Session-Cookies von WooCommerce laufen dabei ungestört weiter, der Checkout funktioniert also auch bei abgelehntem Banner. Details und Download finden Sie auf der WordPress-Seite.

Die typische WooCommerce-Falle ist der Plugin-Zoo: Ein durchschnittlicher WooCommerce-Shop hat 20 bis 30 Plugins installiert, und viele davon — Page Builder, Formular-Plugins, Social-Media-Feeds, Analytics-Erweiterungen — setzen eigene Cookies, von denen der Shopbetreiber nichts weiss. Ein automatischer Scan nach jedem grösseren Plugin-Update deckt auf, was sich eingeschlichen hat.

Andere Shopsysteme

Für alle übrigen Systeme — Magento, PrestaShop, Shopware oder eine individuelle Agentur-Lösung — funktioniert das universelle Snippet: eine einzige Script-Zeile vor dem schliessenden </head> im Template, und das Banner läuft. Da das Snippet reines JavaScript ohne Abhängigkeiten ist, spielt das darunterliegende System keine Rolle. Wichtig ist nur, dass die Zeile auf allen Seiten ausgeliefert wird — auch im Checkout, wo viele Templates ein separates, abgespecktes Layout verwenden.

Ohne Google Consent Mode V2 verlieren Sie Conversion-Daten

Für werbetreibende Shops ist ein Punkt geschäftskritisch: Seit März 2024 verlangt Google für Nutzerinnen und Nutzer aus dem Europäischen Wirtschaftsraum Einwilligungssignale nach dem Standard Google Consent Mode V2. Fehlen diese Signale, verarbeitet Google keine Conversion-Daten mehr — Ihre Google-Ads-Kampagnen laufen dann blind: Das Conversion-Tracking bricht ein, die automatische Gebotssteuerung verliert ihre Datengrundlage, und Remarketing-Listen füllen sich nicht mehr.

Ein korrekt konfiguriertes Banner löst das: Es übermittelt bei jeder Einwilligungsentscheidung die passenden Signale an Google. Stimmt die Besucherin zu, läuft das Tracking normal; lehnt sie ab, gleicht Google einen Teil der fehlenden Daten über modellierte Conversions statistisch aus — Sie behalten also auch bei Ablehnungen eine belastbare Datengrundlage. Wie der Google Consent Mode V2 im Detail funktioniert und was bei der Einrichtung zu beachten ist, erklärt unser Beitrag zum Google Consent Mode V2.

Checkliste: Cookie-Banner zum Shop-Launch

Vor dem Livegang — oder als Audit für den laufenden Shop — sollten diese Punkte abgehakt sein:

  1. Vollständiger Cookie-Scan über alle Seitentypen: Startseite, Produktseiten, Warenkorb und Checkout — gerade im Checkout tauchen die Payment-Cookies auf
  2. Kategorisierung geprüft: Zahlungs- und Warenkorb-Cookies als notwendig, alle Werbe-Pixel als Marketing
  3. Blockierung vor Einwilligung: Marketing-Skripte laden nachweislich erst nach dem Klick auf «Akzeptieren» — im Inkognito-Fenster mit den Browser-Entwicklertools kontrollieren
  4. Google Consent Mode V2 aktiv, falls Google Ads oder Google Analytics im Einsatz sind
  5. Datenschutzerklärung mit E-Commerce-Angaben: Zahlungsdienstleister, Versandpartner, allfällige Bonitätsprüfung, Newsletter-Dienst
  6. Banner in allen Shopsprachen — wer auf Französisch verkauft, braucht das Banner auf Französisch
  7. Ablehnen ist gleich einfach wie Akzeptieren — keine versteckten Links, keine vorangekreuzten Häkchen
  8. Prozess für Änderungen: Nach jeder neuen App, jedem neuen Plugin und jedem neuen Werbekanal wird neu gescannt

Was droht, wenn das Banner fehlt?

Das Schweizer Datenschutzgesetz sieht bei vorsätzlichen Verstössen Bussen bis CHF 250'000 vor — gerichtet nicht gegen das Unternehmen, sondern gegen die verantwortliche Person, typischerweise die Geschäftsführung. Unter der Datenschutz-Grundverordnung liegt der Rahmen bei bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, und die EU-Aufsichtsbehörden können auch gegen Schweizer Shops vorgehen, die EU-Kundschaft bedienen.

Realistischer als die Maximalbusse ist für die meisten Shops allerdings ein anderes Szenario: Abmahnungen aus Deutschland. Wer dorthin liefert, kann von Mitbewerbern oder Verbraucherschutzverbänden kostenpflichtig abgemahnt werden, wenn Tracking ohne Einwilligung läuft — ein etabliertes Geschäftsmodell, das Schweizer Händler regelmässig trifft. Dazu kommt der Reputationsschaden: Kundschaft, die einem Shop ihre Zahlungsdaten anvertraut, reagiert auf Datenschutz-Schlagzeilen empfindlicher als anderswo.

Die gute Nachricht: Der Aufwand für ein sauberes Setup ist überschaubar. Snippet oder Plugin einbinden, Scan laufen lassen, Kategorien prüfen, Google Consent Mode V2 aktivieren — damit ist ein Schweizer Onlineshop in der Regel an einem Nachmittag konform aufgestellt.

Häufige Fragen

Braucht mein Shopify-Shop in der Schweiz ein Cookie-Banner?

Ja, praktisch immer. Sobald zustimmungspflichtige Dienste laufen — Werbe-Pixel, Statistik-Tools, E-Mail-Marketing — braucht es ein Banner. Bei Onlineshops ist das der Normalfall: Schon die Standard-Kombination aus Google Ads, Meta Pixel und einem Newsletter-Tool ist ohne Einwilligung nicht zulässig, sobald Kundschaft aus der EU im Spiel ist. Das Schweizer Datenschutzgesetz verlangt zudem Transparenz über alle eingesetzten Dienste.

Sind Zahlungs-Cookies von Stripe, PostFinance oder Twint zustimmungspflichtig?

Nein. Cookies, die für die sichere Zahlungsabwicklung und die Betrugsprävention erforderlich sind, gelten als technisch notwendig und dürfen ohne Einwilligung gesetzt werden — der Kauf käme sonst gar nicht zustande. Sie gehören aber trotzdem in die Cookie-Liste des Banners und in die Datenschutzerklärung, inklusive Angabe des Zahlungsdienstleisters.

Gilt die DSGVO für meinen Schweizer Onlineshop?

Fast immer. Sobald Sie erkennbar Kundschaft in der EU ansprechen — etwa durch Lieferung nach Deutschland oder Österreich, Preise in Euro oder eine .de-Domain — greift das Marktortprinzip der Datenschutz-Grundverordnung, auch ohne Niederlassung in der EU. Dann gilt: aktive Einwilligung, bevor Marketing-Skripte laden, und keine vorangekreuzten Häkchen.

Wie richte ich ein Cookie-Banner in WooCommerce ein?

Am einfachsten über ein Plugin aus dem offiziellen WordPress-Verzeichnis: Plugin installieren, Domain-ID eintragen, fertig. Das Aiara-Plugin blockiert Marketing-Skripte automatisch, bis die Einwilligung vorliegt — die Warenkorb- und Session-Cookies von WooCommerce selbst laufen als technisch notwendige Cookies weiter.

Funktioniert mein Google-Ads-Conversion-Tracking noch mit Cookie-Banner?

Ja — mit Google Consent Mode V2. Das Banner meldet den Einwilligungsstatus an Google; seit März 2024 verarbeitet Google ohne diese Signale keine Conversion-Daten von Nutzerinnen und Nutzern aus dem Europäischen Wirtschaftsraum mehr. Lehnt jemand ab, gleicht Google einen Teil der fehlenden Daten über modellierte Conversions aus.

Bereit für sauberen Cookie-Consent?

Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.

Aiara entdecken