Du bist Betreiber eines Online-Shops? Dann sind dir die rechtlichen Hürden – insbesondere in puncto Cookies – mit Sicherheit bereits bekannt. Den eigenen Online-Shop ohne großen Aufwand rechtssicher machen und somit Abmahnung von Wettbewerben und hohe Bußgelder vermeiden – das ist bestimmt auch dein Traum.
Aber leider ist das Ganze nicht so easy in der Realität umsetzbar, denn auch von Online-Shops und WooCommerce macht die Datenschutz-Grundverordnung (DSGVO) nicht Halt – im Gegenteil. Und vielleicht ist auch genau das der Grund dafür, dass du hier bei uns gelandet bist 😉
In diesem Artikel bringen wir dich deinem Ziel ein Stück weit näher, indem wir dir erklären, welche Cookies WooCommerce verwendet und wie du diese gemäß der DSGVO verwalten kannst.
WooCommerce – was ist das?
WooCommerce ist ein eigens für WordPress entwickeltes Plugin, dass die Erstellung von Online-Shops erlaubt. Für viele Shop-Betreiber ist es ein wahrer Segen, denn Programmierkenntnisse sind hierbei nur optional und nicht primär erforderlich.
Das Shop-Plugin ist mit mehreren Millionen aktiven Installationen definitiv das beliebteste auf seinem Gebiet. Das E-Commerce-Plugin ist hervorragend veränderbar und anpassbar. Produkte können in Hülle und Fülle erstellt und verwaltet werden.
Grundsätzlich ist WooCommerce kostenlos. Damit die Entwickler den einen oder anderen Pfennig für ihre Arbeit dazu verdienen, gibt es zu der Basis-Version kostenpflichtige Erweiterungen.
Zudem sind die Funktionen des WordPress-Plugins sehr intuitiv und anfängerfreundlich aufgebaut. Zu diesen zählen mitunter:
- Erstellen von Produkten und Filtern von Kategorien
- Nutzung von Gutscheinen und Rabatten auf Produkte
- Konkretisierung von Gewicht, Größe, Material, Farben, etc.
- Versandeinstellungen
- Zahlungseinstellungen (PayPal, Kreditkarte, Scheck, etc.)
- Anlegen von Kundenkonten
- etc.
Grob gesagt sind Web-Cookies kleine Datenpakete, die mit Nutzerdaten gefüllt sind - wie IP-Adresse, Sprache und persönliche Sucheinstellungen.
Cookies werden auf dem Gerät des jeweiligen Besuchers gespeichert, wenn dieser eine Website besucht. Beim erneuten Aufruf der Website werden die im Cookie gespeicherten Informationen über den Nutzer automatisch von der Website verwendet. So muss der Besucher z. B. die Sprache der Website nicht erneut einstellen.
Das Thema "Cookies" ist sehr facettenreich. Ausführliche Informationen über Cookies im Internet, verschiedene Cookies-Arten und den Unterschied zwischen First- und Third-Party-Cookies haben wir dir daher leicht verständlich in separaten Artikeln zusammengefasst.
Was du als Website-Betreiber in Bezug auf den Datenschutz beachten musst, kannst du ebenfalls in den entsprechenden Artikeln nachlesen.
WooCommerce als Online-Shop-System setzt Cookies, um deinen Website-Besuchern übliche Funktionen in Online-Shopping bereitzustellen. Bedenke, dass nur WooCommerce selbst, sondern auch Add-ons für WooCommerce Cookies setzen können, für die du unter Umständen eine Einwilligung einholen musst. Da wir nicht wissen, welche Add-ons du genau verwendest, können wir im Folgenden nur darauf eingehen, welche Cookies WooCommerce selbst setzt.
Im Folgenden genannte Cookie sind HTTP-Cookies, sofern nicht anders angegeben.
woocommerce_cart_hashund wc_cart_hash_* (als Local Storage Object)
- Dieses Cookie ist ein sogenanntes Session-Cookie (Sitzungs-Cookie). Solch eine Art von Cookie verfällt, sobald der Browser geschlossen wird.
- Das Cookie hilft WooCommerce dabei, Änderungen von Daten im Warenkorb zu speichern.
woocommerce_items_in_cart
- Dauer, Art und Zweck dieses Cookies gleicht dem vorherigen. (
woocommerce_cart_hash). - Es speichert, welche Produkte sich im Warenkorb befinden
wp_woocommerce_session_*
- Dieses Cookie enthält einen Code für jeden einzelnen Kunden. Somit weiß WooCommerce, wo die Warenkorbdaten in der Datenbank für jeden Kunden gefunden werden können.
- Die Lebensdauer dieses Cookies beträgt in den Standardeinstellungen zwei Tage.
woocommerce_recently_viewed
- Bei diesem WooCommerce-Cookie handelt es sich wieder um ein Session-Cookie. Mithilfe dieses Cookies kann ein Widget ausgespielt werden, welches das Einsehen zuletzt angesehener Produkte ermöglicht.
store_notice*
- Dieses Session-Cookie ist dafür zuständig, das erneute Fragen nach dem Ausblenden einer Shop-Nachricht zu vermeiden.
Laut eigenen Angaben speichern diese WooCommerce-Cookies keine personenbezogenen Daten. Ob personenbezogene Daten gespeichert werden oder nicht, ist nach der ePrivacy-Richtlinie in der EU aber unerheblich dafür, ob du eine Einwilligung zum Setzen der Cookies benötigst.
woocommerce_snooze_suggestions__*
- Dieses Cookie mit einer Lebensdauer von zwei Tagen ermöglicht es dem Shop-Verwalter im WordPress-Dashboard Vorschläge für den eigenen Shop abzulehnen
woocommerce_dismissed_suggestions__*
- Mit einer Lebensdauer von 1 Jahr ist dieses Cookies definitiv das langlebigste
- Dieses Cookie ist für die Speicherung der Anzahl an abgelehnten Vorschlägen von WooCommerce im WordPress-Backend zuständig
tk_ai
- Dieses Session-Cookie ist für die Speicherung zufällig generierter pseudonymen IDs zuständig. Die IDs werden lediglich innerhalb des Dashboard-Bereichs (
/wp-admin) verwendet und dienen zur Nachverfolgung der Nutzung von WooCommerce – sofern aktiviert.
Ist WooCommerce DSGVO-konform?
Da im Fall von Datenschutzverstößen hohe Bußgelder drohen, ist die Frage nach der Einhaltung des Datenschutzes bei der Verwendung von WooCommerce berechtigt. Im Folgenden werfen wir daher einen genaueren Blick auf die Datenschutzkonformität des E-Commerce-Plugins.
Datenübertragung in die USA: kein Problem!
Die WooCommerce-Hauptquartiere sind in San Francisco, USA ansässig. Die USA gelten in der EU als unsicheres Drittland mit mangelhaftem Datenschutzniveau – insbesondere nach dem Ende des Privacy Shields (Abkommen zwischen den USA und EU zur Regelung des Datenschutzes). Daher ist eine Datenübermittlung in die USA grundsätzlich nur mittels einer Opt-in-Einwilligung des Shop-Besuchers erlaubt.
Aber das ist im Falle von WooCommerce kein Problem. Denn WooCommerce ist ein WordPress-Plugin, dass vollständig in deiner WordPress Website installiert ist. Alle Daten werden auf deinem Webspace ausgeführt – und nicht in einer Cloud, die womöglich von der WooCommerce Hersteller-Firma betrieben wird.
Dadurch werden, wenn du entsprechende Features nicht explizit aktiviert, keine Daten durch WooCommerce in die USA weitergeleitet und dort verarbeitet. Wir haben also ein Problem weniger als mit Alternativ-System wie Shopify!
⚖️ Keine Anpassung an länderspezifische rechtliche Anforderungen
In puncto USA gibt es aber trotzdem ein anderes Problem: WooCommerce ist primär auf den US-amerikanischen Markt ausgelegt. Somit erfüllt das Plugin grundsätzlich nicht die Anforderungen der in der Bundesrepublik Deutschland geltenden Datenschutzbestimmungen der EU. Das hat zur Folge, dass dem Shop-Neuling meist nicht bewusst ist, welche rechtlichen Seiten, wie die AGB und die Datenschutzerklärung, Einwilligungen bei der Bestellung oder Cookie Hinweise erforderlich sind.
Abhilfe soll die Erweiterung Germanized for WooCommerce schaffen.
Ebenso wie WooCommerce ist auch die für den deutschen Markt zugeschnittene Erweiterung in der Basis-Version kostenlos. Mit mehr als 80.000 aktiven Installationen ist das Plugin ebenso populär. Unter anderem deckt die Shop-Erweiterung folgende Kriterien ab:
- Mustertexte für Rechtstexte (z.B. AGB, Widerrufsbelehrung)
- Versandeinstellungen (z.B. Lieferzeiten, Versanddienstleister)
- Berechnung der Steuern
- Mehrstufiger Checkout
- etc.
Damit kannst du viele rechtliche Risiken bei dem Betrieb eines WooCommerce Online-Shops in oder für Deutschland auf einen Schlag lösen!
✅ Double-Opt-in-Funktion
Die Germanized for WooCommerce Erweiterung bietet eine Double-Opt-in-Funktion bei der Erstellung eines Kundenkontos. Das bedeutet, dass der Kunde bei der Registrierung eine E-Mail mit einem Bestätigungslink erhält. Durch den Klick auf den Link erfolgt die Aktivierung des Kontos. So hat es die DSGVO gern 😉
Aber auch weitere DSGVO-konforme Funktionen wie die Löschung persönlicher Daten auf Kundenwunsch, das Anonymisieren von Bestellungen und das simple Erstellen von Datenauszügen deckt das Shop-Plugin ab.
📝 Datenschutzerklärung
WooCommerce bietet dir die Möglichkeit, neben dem Erstellen von Allgemeinen Geschäftsbedingungen auch eine Datenschutzerklärung zu kreieren – dies solltest du unbedingt wahrnehmen, um deinen Shop datenschutzfreundlich zu gestalten.
Grundsätzlich musst du in der Datenschutzerklärung deines WooCommerce-Shops unter anderem sämtliche Datenverarbeitungen verwendeter Erweiterungen und Plugins detailliert aufführen. Hierzu zählen WooCommerce, Newsletter-Plugins, aber auch Social Media Buttons. Im letzteren Fall empfehlen wir dir ohnehin für den DSGVO-konformen Einsatz solcher Buttons das Plugin Shariff Wrapper zu verwenden.
Auch Versand- und Zahlungsdienstleister, die personenbezogene Daten erheben, musst du in deine Datenschutzerklärung aufnehmen.
Nicht nur ein Hinweis auf die Datenübermittlung an Dritte auf EU-Ebene, sondern auch in unsichere Drittländer (z.B. USA), ist ein Muss in deiner Datenschutzerklärung.
Weitere wichtige Kriterien, die du abdecken solltest, findest du in unserem Artikel über die Nützlichkeit von Datenschutzerklärungs-Generatoren.
Sollte dein Online-Shop in verschiedenen Sprachen verfügbar sein, so musst du auch deine Datenschutzerklärung korrekt und vollständig übersetzen.
Wichtig: Rechtlich relevante Seiten (in Deutschland z.B. Datenschutzerklärung und Impressum) müssen für den Website-Besucher immer zugänglich sein und dürfen nicht von einem Cookie Hinweis o.Ä. verdeckt werden.
So verwendest du WooCommerce datenschutzkonform!
Du glaubst, das war's schon? Die gälten Datenschutzgesetze haben noch mehr Anforderungen an dich auf Lager!
🤝 Auftragsverarbeitungsvertrag
Sinn und Zweck einer Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) ist es, dass Website-Betreiber, die Dienste externer Unternehmen nutzen – welche in ihrem Namen die Verarbeitung von Benutzerdaten vornehmen – vertraglich festlegen, dass diese Verarbeitung der externen Unternehmen in einer datenschutzkonformen Art und Weise vollzogen wird.
Zusammengefasst regelt ein Auftragsverarbeitungsvertrag den datenschutzkonformen Umgang mit Kundendaten.
In einigen Ländern ist es sogar erforderlich, ein Datenschutzkonzept zu erstellen und Datenschutzbeauftragte festzulegen und zu benennen. Hilfe hierbei bietet dir die Website der Europäischen Kommission.
Du solltest auf jeden Fall einen Auftragsverarbeitungsvertrag mit deinem Webhosting-Provider schließen, denn auf deinem Webspace verarbeiteten seine Server Daten für dich. Es ist auch ratsam, einen Auftragsverarbeitungsvertrag abzuschließen, falls du beispielsweise Google Analytics einsetzt. Aber auch Versanddienstleister benötigen in der Regel Zugriff auf Kundendaten. Prüfe daher, welche Dienste eine solche Vereinbarung benötigen. In der Regel bieten diese Anbieter bereits Standardverträge, an die du nur noch unterzeichnen musst.
Grundlage für den Auftragsverarbeitungsvertrag ist Artikel 28 der DSGVO.
Als Shop-Betreiber bist du mit Sicherheit äußerst interessiert daran, wertvolle Daten über deine Besucher zu tracken, um deinen Shop auf Basis dessen zu optimieren. Im Zuge dessen hast du bestimmt bereits mit dem Analyse-Tool Google Analytics geliebäugelt. Oder vielleicht möchtest du auch eine schicke Google Maps Karte einbauen.
Doch leider macht dir auch hier der Datenschutz einen Strich durch die Rechnung, denn sobald personenbezogene Daten involviert sind, wird's knifflig (die von Google natürlich gerne erhoben werden). Das Erheben, Verarbeiten und Speichern solcher Daten darf nämlich in der Regel nicht ohne die aktive und informierte Einwilligung des Besuchers erfolgen. Dies geschieht beispielsweise beim Einsatz von Tracking-Tools in deinem WooCommerce-Shop.
Gleiches gilt übrigens auch für das Google Analytics Plugin MonsterInsights. Weshalb es – ebenso wie Google Analytics – nur vermeintlich DSGVO-konform ist. Wie du Google Analytics datenschutzkonform und mit hübscher Oberfläche zugleich einbindest, verraten wir dir in unserem Artikel über die datenschutzkonforme Verwendung von MonsterInsights.
Am schnellsten und einfachsten lässt sich so ein Opt-in-Verfahren mithilfe eines Cookie Consent Tools, wie Real Cookie Banner für WordPress, umsetzen. Real Cookie Banner nimmt dir die mühsame Einrichtung des WooCommerce-Services bereits ab, sodass du diesen binnen weniger Klicks easy cheesy einrichten kannst.
Ohne viel Arbeit kannst du dein DSGVO-konformes Cookie Banner für deinen WooCommerce-Shop verwenden, Opt-in-Einwilligungen in das Setzen von nicht-essenziellen Cookies einholen, verwalten und dokumentieren.