Sind Warenkorb-Cookies einwilligungspflichtig?

Warenkorb- und Checkout-Cookies können für eine ausdrücklich gewünschte Shop-Funktion erforderlich sein. Marketing- oder Analyse-Cookies sind anders zu bewerten und brauchen häufig eine Einwilligung.

Sollte ich den Checkout separat prüfen?

Ja, soweit er ohne echte Bestellung erreichbar ist. Im Checkout laden oft Zahlungs-, Versand- oder Trust-Dienste, die auf der Startseite nicht sichtbar sind.

Prüft konfora meine Bestelldaten?

Nein. konfora ruft öffentliche URLs auf und beobachtet technische Datenflüsse im Browser. Bestellungen, Kundendaten und Admin-Bereiche werden nicht geöffnet.

Reichen die WordPress-Datenschutzwerkzeuge für Auskunfts- und Löschanfragen?

Sie sind ein guter Anfang, decken aber nur ab, was in WordPress selbst liegt. Daten in Newsletter-Tools, CRM-Systemen, Zahlungsdiensten oder Buchhaltung musst du separat berücksichtigen. Eine Liste aller Systeme mit Kundendaten macht solche Anfragen deutlich leichter beantwortbar.

Wie lange darf ich Bestelldaten aufbewahren?

Das hängt von der Datenart ab: Für Rechnungs- und Geschäftsunterlagen gelten gesetzliche Aufbewahrungsfristen, anderes sollte nach Zweckerfüllung gelöscht oder anonymisiert werden. Sinnvoll ist ein dokumentiertes Löschkonzept — für die konkreten Fristen lohnt fachkundiger Rat.

Was ist mit Live-Chat und Support-Widgets im Shop?

Chat-Widgets laden meist Skripte eines Drittanbieters und setzen oft eigene Cookies — häufig schon beim Seitenaufruf. Prüfe, ob sich das Widget erst nach Klick oder Einwilligung laden lässt, und beschreibe den Anbieter in der Datenschutzerklärung.

Ratgeber · CMS & Plattformen

WooCommerce & DSGVO: Checkliste für WordPress-Shops

WooCommerce-Shops kombinieren WordPress, Theme, Shop-Plugins, Zahlungsanbieter, Versanddienste und Marketing. Dadurch entstehen viele Stellen, an denen personenbezogene Daten verarbeitet oder Drittanbieter geladen werden. Eine technische Checkliste hilft, den Überblick zu behalten.

7 Min. LesezeitStand: Juni 2026

Hinweis: Dieser Artikel ist eine technische Orientierung für Website-Betreiber und ersetzt keine Rechtsberatung. Für die Bewertung deiner konkreten Situation solltest du fachkundigen Rat einholen.

WooCommerce ist mehr als ein WordPress-Plugin

Ein Shop verarbeitet bereits im normalen Ablauf personenbezogene Daten: Warenkorb, Checkout, Kundenkonto, Zahlungsabwicklung, Versand, E-Mail-Benachrichtigungen und Support. Dazu kommen Statistik, Conversion-Tracking und Retargeting.

Für den Website-Check ist der öffentliche Teil entscheidend: Welche Dienste laden auf Startseite, Produktseiten, Warenkorb und Checkout? Manche Bereiche sind erst nach Interaktion erreichbar und sollten gezielt separat geprüft werden.

Typische Datenschutz-Baustellen im Shop

Marketing-Pixel: Meta Pixel, Google Ads, Pinterest oder TikTok sollten in der Regel nicht vor einer passenden Einwilligung feuern.
Payment und Versand: Zahlungs- und Versanddienste sind für den Kaufprozess relevant, müssen aber transparent in Datenschutz- und Checkout-Informationen beschrieben sein.
Plugins und Themes: Viele Plugins laden eigene Skripte, Fonts oder APIs. Ein Plugin-Update kann das Ladeverhalten verändern.
Bewertungen und Trust-Widgets: Bewertungs-Siegel, Chat, Verfügbarkeits- oder Empfehlungstools können beim Seitenaufruf Drittanbieter kontaktieren.

Consent im Shop besonders sorgfältig prüfen

Shops setzen häufig mehrere Trackingzwecke ein: Reichweitenmessung, Warenkorbanalyse, Retargeting und Affiliate-Auswertung. Prüfe, ob diese Kategorien in deinem Consent-Tool sauber getrennt sind und ob eine Ablehnung tatsächlich respektiert wird.

Beachte dabei, dass notwendige Shop-Cookies anders zu bewerten sind als Marketing-Cookies. Ein Warenkorb-Cookie kann für die gewünschte Shop-Funktion erforderlich sein; ein Retargeting-Pixel ist es in der Regel nicht.

Pflichttexte und Checkout zusammen denken

Datenschutzerklärung, Impressum, AGB, Widerruf und Checkout-Hinweise sollten zueinander passen. Datenschutzrelevant sind vor allem die Informationen zu Bestelldaten, Kundenkonto, Zahlungs- und Versanddienstleistern, Newsletter sowie Tracking.

Der Text sollte nicht pauschal alles nennen, was theoretisch möglich wäre, sondern die tatsächliche Shop-Konfiguration erklären. Das macht den Shop verständlicher und reduziert unnötige Widersprüche.

Plugin-Hygiene: weniger ist prüfbarer

Das Plugin-Ökosystem ist die größte Stärke von WooCommerce — und die häufigste Quelle ungeplanter Datenflüsse. Page-Builder, Slider, Bewertungs-Widgets, Spam-Schutz, Chat und Statistik-Plugins können eigene Skripte, Schriften oder API-Calls mitbringen, die beim Seitenaufruf externe Server kontaktieren. Auch seriöse Plugins ändern ihr Verhalten mit Updates.

Eine einfache Routine hilft: Führe eine Liste aller aktiven Plugins mit Zweck und Verantwortlichem. Was keinen aktuellen Zweck hat, fliegt raus — deaktivieren reicht dabei nicht immer, denn deaktivierte Plugins werden weder gewartet noch geprüft und sind beim nächsten versehentlichen Aktivieren sofort wieder live. Weniger Plugins bedeuten weniger externe Hosts, weniger Update-Risiken und eine Datenschutzerklärung, die sich überhaupt noch aktuell halten lässt.

Bestelldaten, Kundenkonten und Aufbewahrung

Ein Shop speichert zwangsläufig personenbezogene Daten: Bestell- und Rechnungsdaten, Lieferadressen, Kundenkonten, Support-Nachrichten. WordPress bringt dafür eigene Datenschutz-Werkzeuge mit, über die sich personenbezogene Daten exportieren oder löschen lassen. WooCommerce ergänzt Einstellungen zu Konten und Datenschutz, mit denen sich unter anderem die Aufbewahrung und Anonymisierung alter Bestellungen steuern lässt.

Beim Löschen ist Augenmaß gefragt: Für Rechnungs- und Geschäftsunterlagen können handels- und steuerrechtliche Aufbewahrungspflichten gelten, die einer sofortigen Löschung entgegenstehen. Sinnvoll ist ein dokumentiertes Konzept, welche Daten wie lange aufbewahrt und wann sie gelöscht oder anonymisiert werden — und eine Datenschutzerklärung, die genau das beschreibt. Für die konkrete Fristenbestimmung lohnt fachkundiger Rat.

Hosting, Caching und CDN: die Infrastruktur-Ebene

Unter jedem WooCommerce-Shop liegt eine Infrastruktur, die selbst personenbezogene Daten verarbeitet: Der Hosting-Anbieter sieht IP-Adressen und Server-Logs, ein vorgeschaltetes CDN oder ein externer Schutzdienst verarbeitet jeden Request, und Backup-Systeme halten Kopien der Bestelldaten. Diese Ebene ist im Browser kaum sichtbar, gehört aber genauso in deine Dienstleister-Übersicht.

Mit dem Hosting-Anbieter kommt regelmäßig ein Vertrag zur Auftragsverarbeitung in Betracht; seriöse Hoster bieten ihn als Standard an. Kläre außerdem, wie lange Server-Logs aufbewahrt werden und wo Backups liegen. Wenn ein CDN oder ein Bot-Schutzdienst vorgeschaltet ist, sollte auch dieser Anbieter in der Datenschutzerklärung auftauchen — Besucher-Requests laufen schließlich komplett über ihn.

Zahlungsdienste: Skripte nicht nur im Checkout

Zahlungs-Plugins binden oft mehr ein als den Bezahlschritt selbst. Express-Checkout-Buttons auf Produktseiten oder im Warenkorb bedeuten, dass Skripte des Zahlungsanbieters schon dort laden — manche Payment-Plugins laden ihre Skripte sogar auf allen Seiten des Shops. Das ist nicht automatisch unzulässig, gehört aber in deine Bestandsaufnahme und in die Datenschutzerklärung.

Prüfe deshalb nicht nur den Checkout, sondern auch Startseite und Produktseiten auf Hosts von Zahlungsanbietern. Wo der Anbieter Konfigurationsoptionen bietet, kannst du oft einstellen, auf welchen Seiten seine Skripte aktiv sind — eine der einfachsten Stellschrauben, um Datenflüsse auf das Notwendige zu begrenzen.

WordPress-Basics nicht vergessen: Kommentare, Avatare, Embeds

Unter dem Shop läuft weiterhin WordPress — mit Standardfunktionen, die eigene Datenschutzfragen mitbringen. Kommentarfunktionen speichern Name, E-Mail-Adresse und IP-Adresse; Avatar-Bilder werden je nach Einstellung über einen externen Dienst geladen, der dafür einen Hash der E-Mail-Adresse erhält. Auch automatische Einbettungen über oEmbed — eine eingefügte Video-URL wird zum Player — holen Inhalte von Drittservern.

Je nach Konfiguration kann WordPress zudem Ressourcen von WordPress.org-Servern nachladen, etwa Emoji-Grafiken. Nichts davon ist exotisch, aber es gehört in die Bestandsaufnahme: Geh die Diskussions- und Medien-Einstellungen durch, entscheide bewusst, was du brauchst, und schalte ab, was keinen Zweck hat.

Der Blog eines Shops wird bei Prüfungen gern vergessen, obwohl gerade dort Kommentare, Embeds und Share-Buttons sitzen. Nimm mindestens einen Blog-Artikel mit Kommentarbereich in deine Prüf-Stichprobe auf.

Prüfreihenfolge für WooCommerce

Startseite und Produktseite: Prüfe, welche Tracker, Fonts, CDN-Dateien und Embeds sofort laden.
Warenkorb und Checkout: Teste soweit öffentlich möglich, welche zusätzlichen Dienste beim Kaufprozess hinzukommen.
Consent-Zustände: Vergleiche keine Auswahl, Ablehnen und Akzeptieren. Marketingdienste sollten erst im passenden Zustand starten.
Plugin-Liste abgleichen: Ordne jedes aktive Plugin einem Zweck zu und entferne alte Kampagnen- oder Tracking-Erweiterungen.

Technische Bestandsaufnahme

konfora scannt die jeweilige öffentliche Shop-URL und zeigt erkannte Tracker, Cookies, Schriften, Embeds, Formulare, SSL/TLS und Pflichttext-Hinweise. Nicht automatisch geprüft werden Bestellungen, Zahlungsabwicklung, eingeloggte Kundenkonten oder geschlossene Admin-Bereiche.

Der vollständige Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo) und zeigt konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.

Report erstellen Beispiel ansehen

Kurz zusammengefasst

WooCommerce verbindet Website, Shop, Plugins und Zahlungsprozesse — der Check sollte mehrere Seitentypen umfassen.
Unterscheide notwendige Shop-Funktionen von Analyse- und Marketingdiensten.
Consent sollte im Shop technisch getestet werden, besonders für Retargeting und Conversion-Tracking.
Pflichttexte sollten die echte Shop-Konfiguration beschreiben.
Auch WordPress-Standardfunktionen wie Kommentare, Avatare und automatische Embeds gehören in die Bestandsaufnahme — der Blog ist Teil des Shops und wird bei Prüfungen am häufigsten vergessen.

Dieser Beitrag liefert allgemeine technische Hinweise und ersetzt keine Rechtsberatung. Für verbindliche Fragen zu deiner konkreten Website wendest du dich an Datenschutzbeauftragte, Rechtsberatung oder andere fachkundige Stellen.

Häufige Fragen

Sind Warenkorb-Cookies einwilligungspflichtig?: Warenkorb- und Checkout-Cookies können für eine ausdrücklich gewünschte Shop-Funktion erforderlich sein. Marketing- oder Analyse-Cookies sind anders zu bewerten und brauchen häufig eine Einwilligung.
Sollte ich den Checkout separat prüfen?: Ja, soweit er ohne echte Bestellung erreichbar ist. Im Checkout laden oft Zahlungs-, Versand- oder Trust-Dienste, die auf der Startseite nicht sichtbar sind.
Prüft konfora meine Bestelldaten?: Nein. konfora ruft öffentliche URLs auf und beobachtet technische Datenflüsse im Browser. Bestellungen, Kundendaten und Admin-Bereiche werden nicht geöffnet.
Reichen die WordPress-Datenschutzwerkzeuge für Auskunfts- und Löschanfragen?: Sie sind ein guter Anfang, decken aber nur ab, was in WordPress selbst liegt. Daten in Newsletter-Tools, CRM-Systemen, Zahlungsdiensten oder Buchhaltung musst du separat berücksichtigen. Eine Liste aller Systeme mit Kundendaten macht solche Anfragen deutlich leichter beantwortbar.
Wie lange darf ich Bestelldaten aufbewahren?: Das hängt von der Datenart ab: Für Rechnungs- und Geschäftsunterlagen gelten gesetzliche Aufbewahrungsfristen, anderes sollte nach Zweckerfüllung gelöscht oder anonymisiert werden. Sinnvoll ist ein dokumentiertes Löschkonzept — für die konkreten Fristen lohnt fachkundiger Rat.
Was ist mit Live-Chat und Support-Widgets im Shop?: Chat-Widgets laden meist Skripte eines Drittanbieters und setzen oft eigene Cookies — häufig schon beim Seitenaufruf. Prüfe, ob sich das Widget erst nach Klick oder Einwilligung laden lässt, und beschreibe den Anbieter in der Datenschutzerklärung.