Kannst ja gerne ein Ticket zu aufmachen. Wir prüfen solche Dinge ohnehin mit unserem eigenen Rechtsbeistand und oftmals auch TrustedShops. Recht ist auch häufig auslegungssache. Ob das so kommen wird, würde ich daher erstmal in Frage stellen.
Unabhängig davon, kann auch ein Kunde mit “CSRF Token für Post Requests” nicht wirklich etwas anfangen. Technisch Notwendige Cookies musst du eh zusammenfassen - ohne Session und CSRF kannst du dich nicht einloggen, bestellen, etwas in den Warenkorb legen, …