Hier nochmal etwas zum aktuellen Stand:
Das Urteil betrifft explizit Tracking und Marketing Cookies, wie z.B. „Google Analytics“. Hier ist ein Opt-In zwingend notwendig und dies sollte am besten auch in Form eines Consent-Tools definierbar sein - also konkret welche Marketing Cookies zugelassen werden und welche nicht. Der „default“-Wert sollte immer „nicht zulassen“ sein und der Kunde muss expizit der Verarbeitung zustimmen. Technisch notwendige Cookies wie Session, CSRF-Token usw. können weiterhin gesetzt werden.
Das Thema Paypal ist hier etwas strittiger, aber auch hier verweist der Anwalt darauf, dass das Gerichtsurteil sich explizit nur auf Trackingmaßnahmen bezieht:
Nach einer Durchsicht des Quellcodes der Demoseite, der Auswertung der gesetzten Cookies (soweit uns möglich) und einem Abgleich mit Cookie-Datenbanken im Internet (die nicht rechtsverbindlich sind) scheint es sich tatsächlich aber bei den gesetzten Cookies um technisch erforderliche Cookies zur Einbindung von Paypal zu handeln. Das kann Ihnen letztlich allerdings nur Paypal verbindlich bestätigen. Wenn es sich um technisch erforderliche Cookies handelt, dann halten wir die derzeitige Umsetzung für rechtlich zulässig. Denn es kommt darauf an, ob der Kunde die Erbringung des Dienstes „Webshop“ ausdrücklich wünscht und ob die gesetzten Cookies zur Erbringung dieses Dienstes unbedingt erforderlich sind.
Und auf meine Nachfrage ob es unerheblich ist, ob der Kunde mit Paypa zahlen will:
Nach unserer Auffassung ist es tatsächlich unerheblich, ob der Kunde mit Paypal zahlen möchte oder nicht. Als „Dienst der Informationsgesellschaft“ im Sinne des Art. 5 Abs. 3 der ePrivacy-Richtlinie ist unserer Ansicht nach der Shop als Ganzes zu betrachten. Für einen Webshop gehört es zum erwarteten Funktionsumfang, dass verschiedene Zahlungsweisen bzw. Zahlungsdienstleister angeboten werden. Daher ist auch die Einbindung von Paypal zur Erbringung des Webshops technisch erforderlich. Diese Auslegung ist auch mit den jüngsten Entscheidungen des EuGH vereinbar, da es dort stets um Marketing- und Tracking-Maßnahmen ging, die hier gerade nicht betroffen sind.
Ein Restrisiko, dass ein deutsches Instanzgericht vergleichbare Situationen anders beurteilt und dann eine Anpassung erforderlich würde besteht immer. Diesem Fall kann aber dann durch die von Ihnen oben vorgestellte Lösung begegnet werden wenn es erforderlich wird. Wir halten es jedoch nicht für nötig, auf bloßen Verdacht hin die Usability von Shopware bereits jetzt einzuschränken.
Die konkreten ToDo’s die sich daraus ableiten sind also erstmal ein Consent Tool, mit der man die Cookies entsprechend separat steuern kann. Dies wird den Modus „technisch notwendige Cookies erlauben, restliche nach Erlaubnis setzen“ dann entsprechend erweitern. Das werde ich in die nächste Version mit reinkippen.
Alles weitere ist eher ein Thema was wir dann nochmals mit Paypal klären müssen. Wäre dann aber generell ein Sidetask und losgelöst von diesem Urteil zu sehen.