WooCommerce und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber WooCommerce ein, verarbeitet er über sein WordPress-System regelmäßig Bestelldaten, Kontaktdaten, Zahlungsinformationen und Webserver-Protokolldaten der Nutzer, um Produkte über seinen eigenen Online-Shop zu verkaufen. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten WooCommerce auf der eigenen WordPress-Installation typischerweise verarbeitet, welche Zwecke und Rechtsgrundlagen einschlägig sind und wie sich der Einsatz in einer Datenschutzerklärung sachgerecht abbilden lässt.

A. Zweck und Funktionsweise von WooCommerce

WooCommerce ist ein Open-Source-E-Commerce-Plugin für WordPress, das aus einer WordPress-Installation einen vollwertigen Online-Shop macht. Es stellt Funktionen für Produktkatalog, Warenkorb, Checkout, Zahlungs- und Versandintegration sowie Bestellverwaltung bereit. WooCommerce wird auf der Webserver-Infrastruktur des Webseitenbetreibers (oder seines Hosters) installiert und betrieben – die Datenverarbeitung erfolgt damit primär in der eigenen Verantwortung des Webseitenbetreibers.

Diese Seite konzentriert sich auf den Einsatz von WooCommerce als Shop-Plugin auf der eigenen WordPress-Webseite des Webseitenbetreibers. Cloud-gehostete Funktionen von Automattic (z. B. WooCommerce.com, WooPayments, Jetpack) sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen. Datenschutzrechtlich relevant sind nicht nur die Bestellabwicklung, sondern auch zusätzliche Module wie WooCommerce Analytics, Marketing-Module und externe Zahlungsdienstleister-Integrationen.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von WooCommerce

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von WooCommerce sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, WooCommerce mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Verkauf/Zahlung, Serverbetrieb, Tracking …) beschreibt und konkrete Dienstleister – etwa externe Zahlungsdienstleister – lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von WooCommerce

WooCommerce ist ein Open-Source-Plugin und wird auf der WordPress-Installation des Webseitenbetreibers betrieben. Eine zentrale Übermittlung von Bestelldaten an einen externen WooCommerce-Anbieter findet beim Standard-Plugin selbst nicht statt. Anbieter und Maintainer ist die Automattic Inc., mit Sitz in 60 29th Street #343, San Francisco, CA 94110, USA. Cloud-Funktionen der Automattic-Gruppe (insbesondere WooCommerce.com, WooPayments, Jetpack, Akismet) werden ergänzend durch Konzerngesellschaften betrieben und sind im Einzelfall separat zu betrachten.

Automattic Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden. Soweit Cloud-Funktionen genutzt werden, kommen ergänzend EU-Standardvertragsklauseln zum Einsatz.

Die Datenschutzhinweise von Automattic sind abrufbar unter https://automattic.com/privacy/. Informationen zur DSGVO-Konformität von WooCommerce stellt der Anbieter unter https://woocommerce.com/document/privacy-and-personal-data/ bereit.

D. Datenverarbeitung durch WooCommerce – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von WooCommerce

Im Zusammenhang mit WooCommerce werden typischerweise IP-Adresse und Webserver-Protokolldaten, Klickpfade auf der Shopseite, Endgeräte- und Browser-Informationen, Conversion-Ereignisse (z. B. Aufruf eines Produkts, Warenkorberstellung, Bestellabschluss) sowie im Bestellprozess Name, Anschrift, E-Mail-Adresse, Telefonnummer, Bestellpositionen, Zahlungsinformationen und Bestellhistorie verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort.
• Klickpfade: aufgerufene Seiten, Klicks auf Produkte und Schaltflächen, Aufrufe des Warenkorbs.
• Endgeräte-Daten: Gerätetyp und Betriebssystem.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: bei Anlage eines Kundenkontos typischerweise Nutzungskennung (E-Mail) und ggf. Profildaten.
• Conversion-Ereignisse: Aufruf eines Produkts, Warenkorberstellung, Bestellabschluss.
• Nutzer-Inhalte: in Bestellnotizen oder Produktbewertungen eingegebene Inhalte.

Im Bestellprozess werden zudem typische Kauf- und Zahlungsdaten verarbeitet (Name, Anschrift, E-Mail, Bestellpositionen, Zahlungsinformationen).

F. Nutzungszwecke beim Einsatz von WooCommerce

Webseitenbetreiber nutzen WooCommerce zur Bereitstellung eines Online-Shops, zur Abwicklung des Verkaufs von Waren und Dienstleistungen, zur Kundenverwaltung und zur Erfüllung gesetzlicher Pflichten (z. B. handels- und steuerrechtlicher Aufbewahrung).

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Bereitstellung der Shop-, Warenkorb- und Checkout-Funktion.
• Vertragsdurchführung: Abwicklung des Kaufvertrags zwischen Webseitenbetreiber und Nutzer, einschließlich Zahlungsabwicklung und Versand.
• Sicherheit und Missbrauchsschutz: Erkennung und Verhinderung von Betrug im Bestellprozess.
• Erfüllung von Aufbewahrungspflichten: Aufbewahrung von Bestelldaten zur Einhaltung steuer- und handelsrechtlicher Vorschriften.
• Allgemeine Produktverbesserung: Auswertung aggregierter Bestelldaten zur Optimierung des Shops.
• Kommunikation: Bestellbestätigungen, Versandinformationen, Kundenservice.

G. Rechtsgrundlagen beim Einsatz von WooCommerce

In einem ersten Schritt ist WooCommerce einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus der Kategorie Verkauf/Zahlung. Da WooCommerce auf der eigenen Infrastruktur läuft, fällt es zugleich in den Kontext Serverbetrieb/Hosting.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für die Verarbeitung von Bestell- und Zahlungsdaten: Vertragsdurchführung nach Art. 6 Abs. 1 lit. b DSGVO.
• Für die Aufbewahrung steuer- und handelsrechtlicher Daten: rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO (z. B. § 147 AO, § 257 HGB).
• Für Webserver-Protokolldaten und sicherheitsrelevante Auswertungen: berechtigte Interessen an Funktionsbereitstellung, Sicherheit und Missbrauchsschutz nach Art. 6 Abs. 1 lit. f DSGVO.
• Für Marketing-/Analytics-Module (z. B. WooCommerce Analytics, integrierte Tracking-Plugins): regelmäßig Statistik- oder Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG.
• Für Werbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen: ergänzend berechtigtes Interesse an Werbung nach Art. 6 Abs. 1 lit. f DSGVO i.V.m. § 7 Abs. 3 UWG.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Einsatzes (verwendete Module, Zahlungsdienstleister, Marketing-Funktionen) ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu WooCommerce

• Selbstbetrieb: WooCommerce wird auf der WordPress-Infrastruktur des Webseitenbetreibers betrieben. Eine externe Auftragsverarbeitung mit Automattic ist beim reinen Plugin-Einsatz typischerweise nicht erforderlich; sehr wohl jedoch mit dem Hoster und mit jedem aktivierten Cloud-Modul.
• Cloud-Module: WooPayments, Jetpack, Akismet und andere Automattic-Cloud-Funktionen verarbeiten Daten in den USA bzw. konzernweit. Hierfür sind eigene AVV-Regelungen und ggf. zusätzliche Drittlandsabsicherungen zu beachten.
• Drittanbieter-Module: Marketing-, Analytics- und Zahlungsmodule (z. B. Google Analytics, Meta Pixel, Stripe, Klarna, PayPal) sind eigenständige Tools mit eigener datenschutzrechtlicher Bewertung. Jeder Einsatz ist gesondert zu prüfen.
• AVV mit Hoster und Modulanbietern: Auftragsverarbeitungsverträge sind regelmäßig mit dem Hoster und mit jedem Anbieter eines aktivierten externen Moduls erforderlich.
• Drittlandtransfer / DPF: Soweit Automattic-Cloud-Funktionen genutzt werden, kommt die DPF-Zertifizierung als Transfermechanismus in Betracht; ergänzend werden EU-Standardvertragsklauseln eingesetzt.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert sind eine bewusste Auswahl der eingesetzten Module, eine sorgfältige Konfiguration des WooCommerce-Tracking-Verhaltens sowie eine Kopplung an das Consent-Management-System.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu WooCommerce und Datenschutz

J. Fazit zu WooCommerce

Beim Einsatz von WooCommerce verarbeitet der Webseitenbetreiber primär in eigener Verantwortung Bestell-, Zahlungs- und Webserver-Protokolldaten der Nutzer auf der eigenen WordPress-Infrastruktur. Datenschutzrelevant sind insbesondere die zusätzlich aktivierten Module (Cloud-Funktionen von Automattic, Zahlungsdienstleister, Marketing-/Analytics-Plugins), die jeweils eigenständig zu bewerten sind. Zentrale Pflichten sind der Abschluss von Auftragsverarbeitungsverträgen mit Hoster und Modulanbietern, die rechtmäßige Einbindung eingesetzter Tracking-Module und eine saubere Dokumentation der Aufbewahrungs- und Löschroutinen.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für WooCommerce einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Verkauf/Zahlung, Serverbetrieb, Tracking …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Hoster, Zahlungsdienstleister und Tracking-Anbieter nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com