Shopify cookie compliance — komplet guide 2026

Sælger du til kunder i EU via Shopify? Så er GDPR ikke noget, du kan ignorere — heller ikke i 2026. Cookie compliance er en af de mest oversete dele af GDPR for e-commerce butikker, og konsekvenserne ved brud kan være alvorlige: bøder op til 4% af den globale omsætning, og i praksis krav om at standse al markedsføring og tracking øjeblikkeligt.

Denne guide gennemgår præcis, hvad du skal vide som Shopify-butiksejer: hvilke cookies Shopify sætter, hvad Customer Privacy API kan og ikke kan, og hvordan du sikrer din butik er compliant i 2026.

Hvilke cookies sætter Shopify?

Inden du kan styre cookie compliance, er du nødt til at vide, hvad der faktisk sættes på dine besøgendes enheder. Shopify sætter en bred vifte af cookies — og mange af dem kræver samtykke under GDPR og ePrivacy-direktivet.

Shopify’s native cookies

Shopify opdeler sine egne cookies i to kategorier: nødvendige og analytiske.

Nødvendige / funktionelle cookies (kræver normalt ikke samtykke):

Reporting og analytics cookies (kræver samtykke):

Bemærk særligt _shopify_y — dette er et persistent analytics-cookie, der kan linkes til en brugers adfærd over tid. Det kræver samtykke fra EU-besøgende.

Shopify Pixel og tracking

Shopify Web Pixel API er Shopifys ramme for at sende hændelsesdata til tredjeparter (Meta Pixel, TikTok Pixel, Google Ads, osv.). Disse pixels integreres typisk via Shopify’s Pixels-sektion i admin og kan sætte egne cookies eller sende data uden brug af traditionelle browser-cookies.

Vigtig pointe: Selv om en pixel ikke sætter en cookie direkte, kan den stadig udgøre behandling af personoplysninger (IP-adresse, adfærdsdata) og kræver dermed samtykke.

Fra marts 2024 kræver Shopify, at alle officialt integrerede pixels respekterer Customer Privacy API’s samtykkesignaler — men det afhænger af, at den konkrete integration er korrekt implementeret.

Tredjeparts Shopify apps der sætter cookies

Her er den store udfordring for de fleste Shopify-butikker. Når du installerer apps fra Shopify App Store, kan de tilføje egne scripts og cookies til din butik. Typiske kategorier inkluderer:

• Live chat og kundesupport (Zendesk, Tidio, Gorgias) — sætter session- og præferencecookies
• Email marketing (Klaviyo, Mailchimp, Omnisend) — sætter tracking- og identifikationscookies
• Produktanmeldelser (Yotpo, Loox, Judge.me) — kan sætte tracking-cookies
• Loyalty og rewards (Smile.io, LoyaltyLion) — sætter brugerpræference-cookies
• Søgning og personalisering (SearchPie, Boost Commerce) — kan sætte adfærdssporingscookies
• Upsell og cross-sell apps — sætter typisk session-cookies
• Analytics og heatmaps (Hotjar, Lucky Orange) — kræver altid samtykke

Som dataansvarlig er du ansvarlig for alle cookies og dataudvekslinger, der sker på din butik — uanset om de er fra Shopify direkte eller fra en tredjeparts app. Du skal have databehandleraftaler (DPA) med alle apps, der behandler personoplysninger.

Shopify’s Customer Privacy API

Hvad er det?

Customer Privacy API (også kaldt Consent Tracking API) er Shopifys indbyggede ramme til at håndtere cookie-samtykke. Den giver mulighed for at:

• Vise et cookie consent-banner til besøgende
• Gemme brugerens samtykkevalg i _tracking_consent-cookie
• Sende samtykkesignaler til Shopify’s egne pixels og integrationer
• Differentiere adfærd baseret på besøgendes geografiske region (GDPR-zoner vs. andre)
• Integrere med Google Consent Mode v2 via godkendte CMPs

API’en er tilgængelig via window.Shopify.customerPrivacy og via Checkout UI Extensions.

Begrænsninger ved Shopify’s Customer Privacy API

Her er den vigtige pointe, som mange Shopify-butikker overser: Customer Privacy API er ikke tilstrækkeligt for fuld GDPR-compliance i langt de fleste tilfælde.

De centrale begrænsninger er:

1. Ingen automatisk scanning af cookies API’en håndterer ikke opdagelse og kategorisering af alle cookies på din butik. Du skal manuelt identificere og kategorisere cookies — inklusiv alle dem, der sættes af tredjeparts apps.

2. Begrænset banner-funktionalitet Det indbyggede cookie-banner, der er tilgængeligt via Shopify’s tema-indstillinger, er minimalistisk. Det mangler ofte:

• Granulær kategori-styring (funktionel / analytisk / marketing)
• Fuld audit log over samtykker (nødvendig ved tilsynsmyndigheds-audit)
• Automatisk blokering af scripts og cookies inden samtykke
• Tilstrækkelig synlig “Afvis alle”-knap

3. Tredjeparts apps respekterer ikke altid API’en Selv om Shopify arbejder på at standardisere dette, er der stadig apps i Shopify App Store, der sætter cookies uden at respektere samtykkesignalerne fra Customer Privacy API.

4. Ingen IAB TCF 2.2-understøttelse Shopify’s native API understøtter ikke IAB Transparency and Consent Framework (TCF) 2.2, som er et krav for visse reklameplatforme og påkrævet i Googles EU User Consent Policy for brug af Google Ads.

5. Ingen samtykkelog til dokumentation GDPR kræver, at du kan dokumentere hvornår og hvordan samtykke er givet. Shopify’s native løsning gemmer ikke en detaljeret samtykkelog.

GDPR krav for Shopify-butikker

GDPR gælder for alle Shopify-butikker, der betjener kunder i EU — uanset om butikken selv er baseret i EU. Som butiksejer er du dataansvarlig (data controller), og Shopify er din databehandler (data processor).

Dine konkrete forpligtelser inkluderer:

Cookie-samtykke:

• Indhent frivilligt, specifikt, informeret og utvetydigt samtykke inden ikke-nødvendige cookies sættes
• Tilbyd en lige så nem mulighed for at afvise som at acceptere
• Lad brugeren trække samtykke tilbage til enhver tid
• Forudbødte afkrydsningsfelter og “samtykke ved fortsat brug” er ikke gyldige

Transparens:

• Publicer en tilgængelig og opdateret cookiepolitik
• Oplys om alle cookies, deres formål og varighed
• Oplys om alle tredjeparts cookies

Dataudvekslinger:

• Indgå databehandleraftale (DPA) med Shopify — dette er Shopify’s standard Data Processing Addendum
• Indgå DPA med alle tredjeparts apps, der behandler personoplysninger
• Dokumenter alle dataoverførsler til tredjelande (fx USA)

Registreredes rettigheder:

• Håndter anmodninger om indsigt, sletning og dataportabilitet
• Reaktionsfristen er normalt 1 måned

Bødeniveauer: Brud på GDPR kan medføre bøder op til det højeste af:

• 20 mio. EUR, eller
• 4% af virksomhedens globale årsomsætning

Løsningsmuligheder

Shopify’s built-in — tilstrækkeligt?

For de mindste butikker med få tredjepartsintegrationer og ingen annoncering kan Shopify’s native cookie-banner give et basalt fundament. Men for langt de fleste EU-vendte Shopify-butikker er det utilstrækkeligt. Specielt fordi:

• Du stadig selv skal scanner og kategorisere alle cookies
• Du ikke får en samtykkelog
• Du ikke kan blokere scripts automatisk
• Du ikke understøtter Google Consent Mode v2 korrekt uden yderligere opsætning

Tredjeparts Shopify cookie apps

Der er flere CMPs (Consent Management Platforms) tilgængelige i Shopify App Store. De mest kendte inkluderer:

• CookieYes — populær CMP med Shopify-integration, GDPR og IAB TCF 2.2
• Pandectes GDPR Compliance — Silver Google-certificeret CMP, native Shopify-integration
• Consentmo — cookie-scanning, banner og samtykkelog

Disse løsninger dækker typisk de basale behov men er generiske produkter — ikke specialbygget til den kompleksitet og det hurtigt skiftende compliance-landskab, som seriøse EU-butikker har brug for.

Privaci.io by bon.do + Shopify integration

Privaci.io er bygget specifikt til at løse de compliance-udfordringer, som generiske CMPs ikke håndterer godt nok.

Automatisk cookie-scanning: Privaci.io scanner løbende din Shopify-butik og opdager nye cookies, når du installerer apps eller ændrer i din tema-kode. Du opdager compliance-huller inden en tilsynsmyndighed gør det.

Shopify Customer Privacy API integration: Privaci.io integrerer direkte med Shopify’s Customer Privacy API og sørger for, at samtykkesignaler korrekt propageres til alle dine integrationer.

Google Consent Mode v2: Fuld understøttelse af Consent Mode v2 i både Basic og Advanced tilstand — med automatisk konfiguration for GA4, Google Ads og Shopify’s Pixel framework.

Samtykkelog og dokumentation: Detaljeret log over alle samtykkehændelser, som du kan fremlægge ved en eventuel audit fra Datatilsynet.

Privaci.io scanner din butik gratis — se præcis hvilke cookies der sættes på dit Shopify-site, og om du er i compliance.

Scan din Shopify-butik gratis med Privaci.io

Google Consent Mode v2 på Shopify

Google Consent Mode v2 er Googles system til at kommunikere brugeres samtykkevalg til Google’s tags (GA4, Google Ads, Floodlight m.fl.). Det har været obligatorisk for EU/EØS-trafik siden marts 2024.

Der er to tilstande:

Basic Consent Mode: Google’s tags loades først, efter brugeren har truffet et samtykkevalg. Ingen cookies sættes og ingen data sendes, før samtykke er givet (eller afvist). Simpelt at implementere, men medfører datatab for brugere, der afviser eller ikke interagerer med banneret.

Advanced Consent Mode: Google’s tags loades med det samme, men sender kun anonyme “cookieless pings” til brugere, der endnu ikke har samtykket. Når samtykke gives, startes fuld dataindsamling. Fordelen er, at GA4 kan bruge behavioral modeling til at estimere konverteringsdata baseret på anonyme signaler — og dermed give et mere komplet billede selv med mange afvisninger.

Krav for at implementere Consent Mode v2 korrekt på Shopify:

1. En CMP, der er certificeret til Google Consent Mode v2 (Privaci.io, Pandectes, CookieYes m.fl.)
2. Korrekt opsætning i Google Tag Manager eller via Shopify Pixels
3. Tags skal loades inden consent-dialog vises (Advanced Mode) — dette kræver nøje timing
4. Samtykkevalg skal opdateres dynamisk når brugeren ændrer præferencer

Vigtigt: Google Consent Mode v2 er ikke et alternativ til GDPR-compliance — det er et supplement. Du skal stadig indhente gyldigt samtykke. Consent Mode handler primært om at bevare datakvalitet og modelleret måling, ikke om at omgå GDPR.

Shopify Plus vs. standard — forskel på compliance-muligheder

Shopify Plus giver merstyring og fleksibilitet, men det betyder ikke automatisk bedre GDPR-compliance. Her er de reelle forskelle:

Den vigtigste forskel for compliance er adgangen til Checkout Extensibility: Shopify Plus-butikker kan implementere cookie consent-bannere og samtykke-logik direkte i checkout-flowet via UI Extensions. Det er relevant, fordi checkout-siden traditionelt er sværere at styre cookies på end resten af butikken.

Shopify Plus giver også adgangen til EU data residency (tilgængeligt i visse planer), så kundedata behandles på EU-servere frem for globale servere. Det reducerer — men eliminerer ikke — risikoen for GDPR-problemer med dataoverførsler.

For standard Shopify-butikker er anbefalingen at bruge en tredjeparts CMP som Privaci.io, der ikke er afhængig af Shopify Plus-features for at levere fuld compliance.

Checkliste: GDPR-compliant Shopify-butik

Brug denne checkliste som udgangspunkt for din compliance-gennemgang:

Cookie consent og banner:

• Cookie consent-banner vises til alle EU-besøgende ved første besøg
• Banneret har tydelig “Afvis alle”-knap med samme fremtræden som “Accepter alle”
• Ingen ikke-nødvendige cookies eller scripts loades inden samtykke gives
• Brugere kan til enhver tid tilgå og ændre deres samtykke (fx via en cookie-indstillingsknap i footeren)
• Samtykke gemmes og kan dokumenteres (samtykkelog)
• Cookie-banneret er optimeret til mobil

Cookie-scanning og kategorisering:

• Du har foretaget en komplet scanning af alle cookies på din butik
• Alle cookies er kategoriseret (nødvendig / funktionel / analytisk / marketing)
• Cookiepolitik er publiceret og opdateret med alle cookies
• Der sættes scanning op til at opdage nye cookies løbende

Tredjeparts apps og integrationer:

• Databehandleraftale er indgået med Shopify (standard DPA)
• DPA er indgået med alle tredjeparts apps, der behandler personoplysninger
• Alle Shopify Pixels respekterer samtykkesignaler
• Marketing pixels (Meta, TikTok, Snapchat) aktiveres kun ved relevant samtykke

Google Consent Mode v2:

• Consent Mode v2 er implementeret korrekt (Basic eller Advanced)
• GA4 og Google Ads modtager korrekte samtykkesignaler
• Implementering er testet med Google’s Tag Assistant

Registreredes rettigheder:

• Proces for håndtering af indsigtsanmodninger (DSAR) er etableret
• Shopify’s customer erasure og shop erasure webhooks er konfigureret
• Responstime på maks. 1 måned er sikret

Dokumentation:

• Privatlivspolitik er opdateret og afspejler al databehandling
• Fortegnelse over behandlingsaktiviteter (ROPA) er vedligeholdt
• Brud på datasikkerheden kan håndteres og rapporteres inden for 72 timer

Konklusion

Shopify er et stærkt platform, og Shopify’s Customer Privacy API er et godt udgangspunkt — men det er ikke nok for fuld GDPR-compliance i 2026. Platformen håndterer ikke automatisk alle de cookies, der sættes af tredjeparts apps, den giver ikke samtykkelog, og den understøtter ikke IAB TCF 2.2.

Den gode nyhed: med de rette værktøjer er fuld Shopify cookie compliance opnåeligt uden at det tager uger eller kræver et dedikeret compliance-team.

Privaci.io by bon.do scanner automatisk din Shopify-butik, identificerer alle cookies og compliance-huller, og giver dig et konkret billede af, hvad du skal gøre for at være compliant. Det er gratis at starte.

Scan din Shopify-butik i dag og se din compliance-status med det samme.

Start gratis scanning med Privaci.io

Denne artikel er senest opdateret marts 2026. Cookie compliance og GDPR-krav er et aktivt foranderligt område — kontroller altid de seneste retningslinjer fra Datatilsynet og EDPB.

FAQ

Sætter Shopify selv cookies, der kræver samtykke?

Ja. Shopify sætter bl.a. _shopify_y (analytics), _shopify_s (session-analyse) og cart (strengt nødvendig). Analytics-cookies kræver samtykke, mens kurv-cookien er undtaget. Shopify’s eget Consent API hjælper med at styre disse.

Kan jeg bruge Cookiebot eller CookieYes på Shopify?

Ja, begge understøtter Shopify og kan integreres via Shopify’s Consent API. Vær opmærksom på, at Shopify’s eget banner fra Shopify Markets og Shopify Markets Pro ikke er komplet GDPR-compliant for EU-markedet uden yderligere konfiguration.

Hvad med Shopify-apps – sætter de cookies der kræver samtykke?

Mange Shopify-apps introducerer egne sporings- og analyticsscripts. E-mail marketing apps, chatwidgets og retargeting-apps er typiske kilder til compliance-problemer. Scan din butik efter installation af nye apps.

Er Facebook Pixel på Shopify et compliance-problem?

Ja, hvis det ikke styres korrekt. Facebook Pixel sætter sporings-cookies der kræver samtykke. Brug Shopify’s Consent API til at betinge indlæsning af Pixlen på givet samtykke, og verificér implementeringen med en aktiv browser-scanner.

Hvad er Shopify’s Customer Privacy API?

Det er Shopify’s indbyggede framework til compliance. Det giver adgang til brugerens samtykkevalg og kan bruges af apps til at betinge datadeling. Fra 2024 understøtter det Global Privacy Control (GPC) signaler.

Hvad koster manglende cookie compliance for en webshop?

Ud over GDPR-bøder risikerer webshops tab af kundernes tillid og mulige retssager fra forbrugerorganisationer. I praksis er det største tab ofte i annonceringseffektivitet, da blockers og browserrestriktioner rammer ukontrolleret tracking hårdere end compliant implementering.