WooCommerce DSGVO konform nutzen | decareto

Erstellt am 21. März 2023

WooCommerce ist ein Plugin von Wordpress, das eine einfache Erstellung von Onlineshops ermöglicht und zählt zu den beliebtesten Wordpress-Plugins auf diesem Gebiet. Onlineshops können auf verschiedene Arten, mit vielen Funktionen und ganz ohne Programmierfähigkeiten, individuell gestaltet werden.

Das Plugin entspricht jedoch an sich und ohne weitere Arbeitsvorgänge nicht zu 100 % der EU-Datenschutz-Grundverordnung (DSGVO). 

Welche Cookies WooCommerce setzt, welche Kundendaten gespeichert und wie Sie WooCommerce DSGVO konform nutzen können, erklären wir Ihnen im folgenden Artikel.

Welche Cookies setzt WooCommerce für Besucher?

WooCommerce setzt insgesamt vier Cookies für Besucher einer Webseite, dabei handelt es sich um verschiedene Sitzungscookies, oder auch Session-Cookie genannt. Die Cookies sind: woocommerce_cart_hash, store_notice, woocommerce_recently_viewed, woocommerce_items_in_cart und wp_woocoommerce_session_.

woocommerce_cart_hash

Der Cookie „woocommerce_cart_hash” wird gesetzt, um Veränderungen im Warenkorb zu erkennen. Mithilfe des Cookies werden diese Änderungen im Warenkorb gespeichert. Aufgrund der Tatsache, dass dieser Cookie ein Sitzungscookie ist, wird der Cookie gelöscht, wenn der Browser vom Nutzer geschlossen wird. 

store_notice

„store_notice” ermöglicht die Speicherung der Ausblendung von Shop-Nachrichten. Mit Woocommerce können Sie dem Besucher Nachrichten anzeigen lassen, diese personalisieren und entscheiden, an welcher Stelle, auf welcher Seite Sie diese Nachricht setzen möchten.

Entscheidet sich der Besucher, diese Nachricht auszublenden, wird ein Cookie gesetzt, damit die Nachricht nicht erneut angezeigt wird. Da es sich jedoch auch hierbei um ein Sitzungscookie handelt, wird die Ausblendung nur für eine Sitzung gespeichert. Der Cookie wird demnach gelöscht, sobald der User den Browser schließt.

woocommerce_recently_viewed

Mithilfe des Cookies „woocommerce_recently_viewed” wird das WooCommerce-Widget ermöglicht. Dieses Widget zeigt dem User die von ihm zuletzt angesehenen Produkte an. Genau wie die Cookies zuvor beschränkt sich auch dieser Cookie nur auf eine Sitzung. 

woocommerce_items_in_cart

Ähnlich wie „woocommerce_cart_hash” wird auch der „woocommerce_items_in_cart” Cookie eingesetzt. Er ermittelt und speichert die Produkte, die von dem User in den Warenkorb verschoben wurden, erkennt Veränderungen und speichert diese ebenfalls. Auch hierbei beschränkt sich die Zeit der Speicherung auf die jeweilige Sitzung. 

wp_woocommerce_session_

Der „wp_woocommerce_session” Cookie beinhaltet einen eigenen Kennungscode für jeden Kunden. Mit diesem Code kann WooCommerce die jeweiligen Daten des Warenkorbs in der Datenbank schneller finden. Anders als bei vorherigen Cookies hat dieser Cookie eine Laufzeit von 2 Tagen und wird erst dann gelöscht.

Welche Daten speichert WooCommerce?

Folgende Daten speichert WooCommerce:

  • vollständiger Name
  • E-Mail-Adresse
  • Adresse
  • Zahlungsinformation
  • IP-Adresse
  • Browserinformation
  • Zeitpunkt des Webseitenaufrufs

Diese Daten und Informationen werden nach Beendigung des Speicherungszwecks gelöscht, das heißt, wenn die Daten von WooCommerce für den angegebenen Zweck nicht mehr benötigt werden. 

Besucher einer WooCommerce-Webseite haben im Sinne der EU-Datenschutz-Grundverordnung das Recht, die erhobenen Daten einzusehen, darauf zu bestehen, dass die Daten gelöscht werden oder die weitere Speicherung und Verarbeitung der Daten abzulehnen.

Wie kann man eine DSGVO-konforme Nutzung von WooCommerce gewährleisten?

Datenschutzerklärung erstellen

Um eine datenschutzkonforme Webseite zu gestalten, benötigen Sie eine vollständige und detaillierte Datenschutzerklärung, die Sie gut sichtbar für alle Besucher zur Verfügung stellen müssen 

Wenn Sie WooCommerce für Ihren Onlineshop nutzen, müssen Sie alle Informationen darüber in Ihrer Datenschutzerklärung aufführen. Hierbei ist wichtig zu erläutern, was WooCommerce ist, warum Sie sich für die Nutzung von WooCommerce auf Ihrer Webseite entschieden haben und welche Daten wie lange und wo gespeichert werden. Außerdem müssen Sie Nutzer über Ihre Rechte informieren. 

Darüber hinaus müssen alle Informationen über Versanddienstleister (z.B. DHL) und Zahlungsdienstleister (z.B. PayPal), die personenbezogene Daten der Besucher speichern, in der Datenschutzerklärung aufgeführt werden. Dies ist besonders wichtig, wenn Daten an Dienstleister aus Drittländern wie den USA weitergegeben werden. 

Datenerhebung und Cookie-Setzen nur mit Rechtsgrundlage 

Sämtliche Nutzerdaten dürfen ausschließlich mit einer Rechtsgrundlage erhoben werden. Das Gleiche gilt für das Einsetzen von Cookies - sie benötigen die Einwilligung der Besucher. 

Die Einwilligung für die Cookies können Sie über den Cookie-Banner Ihrer Webseite steuern. Führen Sie im Banner alle Cookies auf, die Ihre WooCommerce-Webseite setzt, und lassen Sie Ihre Besucher selbst entscheiden, mit welchen sie einverstanden sind und welche sie ablehnen möchten.

Dies gilt sowohl für WooCommerce-Cookies als auch für alle Tracking-, Analyse-, Tool- oder Plugin-Cookies.

Die Einwilligung für die Datenerhebung holen Sie vorzugsweise über eine Checkbox ein. Mit dem „Ankreuzen” der Checkbox stimmen User der Datenschutzerklärung und gleichzeitig der Datenerhebung, -speicherung und -weiterverarbeitung zu. Nutzer müssen darüber selbstverständlich belehrt werden. 

Minimierung bei Datenerhebung beachten

Bei der Datenerhebung ist auf die Datenminimierung nach Artikel 5, Absatz c) der DSGVO zu achten. Das bedeutet, dass nur die Daten erhoben werden dürfen, die auch für den jeweils angegebenen Zweck benötigt werden. Das Maß an erhobenen Daten muss für den Zweck angemessen sein.

In folgenden Situationen kommt es auf einer Webseite zur Datenerhebung:

  • beim Kontaktformular
  • bei der Anmeldung zum Newsletter
  • beim Check-out (bei der Bestellung)
  • bei der Kundenregistrierung
  • bei Produktbewertungen
  • bei der Kommentarfunktion

AV-Vertrag abschließen

Wenn Sie auf Ihrer Webseite (personenbezogene) Daten an Dritte weitergeben, die diese Daten speichern und weiterverarbeiten, müssen Sie mit den jeweiligen Dienstleistern einen Auftragsverarbeitungsvertrag abschließen. 

In diesem AV-Vertrag wird schriftlich festgehalten, dass Daten von allen Parteien datenschutzkonform gespeichert und verarbeitet werden müssen. Ein DSGVO-konformer Umgang mit Nutzerdaten soll somit sichergestellt werden. 

AV-Verträge sollten beispielsweise mit dem Webhosting-Anbieter, mit Versand- und Zahlungsdienstleistern, mit Inhabern von Tracking- oder Analysetools und mit Newsletter-Hoster abgeschlossen werden. 

Double-Opt-in-Verfahren aktivieren

Wenn Sie …

… unternehmensbezogene E-Mail-Werbung verschicken,

… einen Newsletter an Ihre Abonnenten senden,

… Ihren Besuchern die Möglichkeit bieten möchten, ein Kundenkonto zu eröffnen,

sollten Sie dies mithilfe eines Double-Opt-in-Verfahrens tun. 

Double-Opt-in-Verfahren bedeutet, dass dem User nach erfolgreicher Anmeldung eine Mail mit einem Bestätigungslink gesendet wird. Mit einem Klick auf diesen Link akzeptiert der User den Erhalt der Werbung bzw. des Newsletters oder die Eröffnung des Kundenkontos. Double-Opt-in bedeutet demnach „doppeltes Einverständnis”. 

Löschfristen festlegen

WooCommerce ermöglicht es Ihnen, Löschfristen bzw. Aufbewahrungsfristen für bestimmte Daten festzulegen. Beachten Sie bitte, dass diese Funktion nicht voreingestellt ist und von Ihnen angepasst werden muss. 

Stellen Sie dennoch sicher, dass Fristen auch eingehalten und die Daten tatsächlich nach Ablauf der Frist gelöscht werden. 

Um Checkboxen erweitern

Spätestens beim Check-out sollten Sie eine Checkbox zur Lesebestätigung Ihrer AGBs hinzufügen. 

Sie können auch beim Check-out bzw. bei der Datenerhebung Checkboxen hinzufügen, die Nutzer anklicken können, wenn sie unternehmensbezogene Werbung oder einen Newsletter erhalten möchten. Klicken sie diese beiden Felder nicht an, dürfen Sie ihnen keine Werbung schicken und sie nicht in den Newsletterverteiler aufnehmen.

Mit DSGVO Plugins wie German Market ergänzen

Seit 2012 gibt es das deutsche DSGVO-Plugin German Market von Automattic, das als Shop-Erweiterung für WooCommerce dient. German Market ermöglicht die DSGVO-konforme Nutzung von WooCommerce in Deutschland und in der gesamten EU. 

Das kostenpflichtige Wordpress-Plugin gewährleistet eine rechtssichere Gestaltung eines Onlineshops und den DSGVO-konformen Umgang mit Nutzerdaten. Mit nur wenigen Handgriffen können beispielsweise Rechtstexte, Rechnungen oder Lieferscheine erstellt werden.

Nutzen Sie WooCommerce datenschutzkonform?

Mit den oben genannten Tipps sollten Sie prüfen, ob Sie WooCommerce datenschutzkonform nutzen. Wenn Sie dies nicht tun, kann es zu Strafen oder Abmahnungen führen. Da es sich bei WooCommerce um ein US-Unternehmen handelt, müssen Sie besonders darauf achten, dass Sie die Regeln der DSGVO befolgen.

Wenn Sie sich nicht sicher sind, ob Sie WooCommerce DSGVO-konform auf Ihrer Webseite einsetzen, testen Sie unseren DSGVO-Scanner von decareto. Wir scannen für Sie Ihre Webseite, inklusive Unterseiten, auf Datenschutzkonformität. 

Mit decareto können Sie sich sicher sein, dass das rechtmäßige Setzen von Cookies, die datenschutzkonforme Bereitstellung von Formularen, das DSGVO konforme Einbinden von Videos und die ordnungsgemäße Nutzung von Plugins und Tools garantiert wird.

Falls Sie weitere Fragen zum Thema haben, wie Sie WooCommerce DSGVO konform richtig einbinden, können Sie mit uns ebenfalls ein unverbindliches Beratungsgespräch über unsere Webseite vereinbaren. Wir freuen uns auf Ihre Anfrage!

Autor: Eckhard Schneider

Zur Übersicht