E-Commerce-Compliance
WooCommerce: Ihre Cookies sind verbrannt
Sie haben ein Banner installiert, im Kopf das Häkchen „konform“ gesetzt und sich wieder dem Verkaufen zugewandt. Das Problem: In den meisten Shops, die wir prüfen, hat dieses Banner denselben Nutzen wie ein auf die Wand gemalter Feuerlöscher — es beruhigt, aber es rettet nichts.
Sie haben es gemacht wie alle. Das Problem ist nur: „Alle“ liegen daneben. Trotzdem eine gute Nachricht: Es ist fast nie WooCommerce' Schuld. Und es lässt sich reparieren.
Die Wahrheit in zwei Sätzen
WooCommerce pur ist nicht wegen seiner Cookies illegal: Warenkorb und Session lassen sich in der Regel als „unbedingt erforderlich“ verteidigen. Der Schlamassel beginnt, wenn man Analytics, Werbe-Pixel, Retargeting, Heatmaps und Warenkorb-Erinnerungen obendrauf stapelt — und all dieses Geraffel vor der Einwilligung des Besuchers auslöst.
Übersetzt: Der Schuldige ist nicht die Registrierkasse, sondern die Wanzen, die man draufgeklebt hat.
Was an einem „aufgehübschten“ WooCommerce-Warenkorb zum Problem wird
Die „ehrlichen“ WooCommerce-Cookies
WooCommerce setzt funktionale Cookies — woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_ —, um den Warenkorb zu verfolgen und ihn serverseitig wiederzufinden. Sie enthalten nicht unmittelbar personenbezogene Daten.
Und genau hier tappt man in die Falle: „keine personenbezogenen Daten im Cookie“ heißt nicht „außerhalb der DSGVO“. Eine eindeutige Kennung, die hinter den Kulissen mit einem Warenkorb, einem Konto oder einer Bestellung verknüpft ist, trägt zur Identifizierung einer Person bei. Die DSGVO ordnet Online-Kennungen, Cookies eingeschlossen, ohnehin dem zu, was jemanden identifizierbar macht. Das Cookie spielt den Unschuldigen; der Server hingegen weiß genau, wer Sie sind.
Im Klartext:
cart_hash,items_in_cart,wp_woocommerce_session_→ unbedingt erforderlich, ohne Opt-in, solange sie nicht heimlich dem Marketing dienen.woocommerce_recently_viewed→ von vornherein verdächtig. Speist es Empfehlungen, Retargeting oder ein Drittanbieter-Tool, behandeln Sie es als nicht essenziell.
Auf WordPress-Seite dieselbe Logik: Authentifizierungs-Cookies (notwendig), aber Kommentar-Cookies (comment_author_*), die fast ein Jahr aufbewahrt werden und für einen Kauf völlig überflüssig sind. Anzugeben oder gleich abzuservieren.
Die europäische Spielregel: zwei Schlösser, ein Schlüssel reicht nicht
In Europa kontrolliert man nicht eine Tür, sondern zwei:
- Das Setzen oder Auslesen des Trackers fällt unter die ePrivacy (in Deutschland § 25 TDDDG) — auch wenn das Cookie keinerlei personenbezogene Daten enthält.
- Was mit den erhobenen Daten geschieht, fällt unter die DSGVO.
Das Fundament hat sich nicht bewegt, und es ist gnadenlos gegenüber Schlaubergern: Weitersurfen gilt nicht als Einwilligung; es braucht eine klare aktive Handlung; und jeder Winkelzug, der kein klares „Ja“ ist — etwa das Banner zu schließen —, zählt als Ablehnung. Vor allem muss Ablehnen genauso einfach sein wie Akzeptieren. Der Trick mit dem neongrünen „Akzeptieren“-Knopf und dem „Ablehnen“, das drei Untermenüs tiefer versteckt ist, hat ausgedient.
Manche Tracker sind ausgenommen (Warenkorb, Authentifizierung, Sicherheit und eine streng eingegrenzte Reichweitenmessung). Aber — ein Detail, das viele vergessen — ausgenommen heißt nicht unsichtbar: Man muss den Nutzer trotzdem darüber informieren.
Die französische CNIL hat am 29. April 2026 eine FAQ herausgebracht und arbeitet an der Einwilligung über „mehrere Endgeräte“ und später über „mehrere Properties“ (dieselbe Einwilligung gültig auf mehreren Sites eines Konzerns). Das sind Klarstellungen und Vorhaben, kein neues Gesetz, das Ihren Shop über Nacht illegal machen würde. Wenn ein Artikel Ihnen „DIE neue Cookie-Verordnung 2026“ in Großbuchstaben verkauft, halten Sie eine Hand auf der Brieftasche: Die Basis bleibt DSGVO + ePrivacy + Leitlinien der europäischen Aufsichtsbehörden.
Und die neue ePrivacy-Verordnung? Die berühmte Verordnung, die die Richtlinie ersetzen sollte, wurde aufgegeben — nach Jahren der Verhandlungen beerdigt. Es kursieren Vereinfachungsvorschläge (der „Digital Omnibus“), aber ein Vorschlag ist kein Gesetz. Bauen Sie die Compliance Ihres Sites nicht auf dem Konjunktiv.
Die 7 Plagen des nicht konformen WooCommerce
- Alles zu „notwendig“ erklären. Der Warenkorb, geschenkt. Google Analytics, Meta Pixel, TikTok Pixel, Hotjar, Criteo, Google Ads und Affiliate ganz sicher nicht. „Notwendig“ ist kein Synonym für „praktisch fürs Marketing“.
- Das hinterhältige Banner. „Alles akzeptieren“ groß, Ablehnen winzig, vorangekreuzte Häkchen und kein Nachweis der Einwilligung. Design, das man höflich Dark Pattern nennt und unhöflich Betrug.
- Der Frühstart vor dem Startschuss. Der Klassiker: Tag Manager, Meta Pixel und Analytics laufen vor dem Klick los. Das Banner kommt dann wie die Feuerwehr nach dem Brand.
- Das Retargeting. Abgebrochener Warenkorb, verhaltensbasierte Erinnerung, Werbe-Zielgruppen, Conversion-Pixel → Einwilligung Pflicht. Einen Kunden mit den gestern angeschauten Schuhen durchs Web zu verfolgen, dafür fragt man höflich.
- Das „graue“ Analytics. Die Reichweitenmessung kann ausgenommen sein, aber unter engen Bedingungen (begrenzter Zweck, kein seitenübergreifendes Tracking, kein Abgleich, kein Weiterverkauf). Viele GA4-Konfigurationen verfehlen das und wissen es.
- Das gefräßige CAPTCHA. Für die Sicherheit notwendig, kann es ausgenommen sein; bedient sich der Anbieter aber nebenbei für eigene Zwecke, kommt die Einwilligung wieder auf den Tisch.
- Das falsche „First-Party“. Eine Drittanbieter-Wanze über eine eigene Subdomain umzuleiten macht sie nicht ehrlich — es verkleidet den Tracker, es entlastet ihn nicht und schafft obendrein ein Sicherheitsrisiko.
Jenseits des Banners: Datenschutz, der wirklich greift
Drei kostspielige blinde Flecken:
- Session-Sicherheit: HTTPS, sauber gesetzte Attribute
Secure,HttpOnly,SameSite, aktuelle Erweiterungen. Ein schlecht geschütztes Session-Cookie ist wie ein Schlüssel unter der Fußmatte. - Das Caching: Warenkorb, Mein Konto und Kasse außerhalb des Caches, Punkt. Sonst riskieren Sie, den Warenkorb — oder schlimmer, die Daten — eines Kunden einem anderen auszuliefern. WooCommerce sagt das laut genug.
- Die Erweiterungen: Zahlung, Versand, CRM, Newsletter, Bewertungen, Betrugsabwehr … jede kann Drittanbieter mit Daten beregnen. Eine nach der anderen zu prüfen.
Verkaufen Sie ins Ausland? Willkommen im regulatorischen Turmbau zu Babel
Sobald Sie die Grenze überschreiten, spielen Sie nicht mehr mit einer Regel, sondern mit vier — und sie verlangen nicht dasselbe zum selben Zeitpunkt. Die schmerzhafte Nuance: In Paris regelkonform zu sein schützt Sie weder in Sacramento noch in Montreal.
Wer darf vor dem ersten Klick auslösen?
🇪🇺 Europäische Union — der strengste Sheriff
Modell Opt-in: nichts Nicht-Essenzielles vor einer klaren Einwilligung und ein Ablehnen, das so einfach ist wie ein „Ja“. Das ist das Referenzregime, auf das die anderen schauen — und oft die Kopie kopieren. Wenn Sie hier sauber sind, haben Sie das Schwerste bereits geschafft.
🇩🇪 Deutschland — Europa in der Version mit Doppelschloss und Perfektionsdrang
Ebenfalls Opt-in, aber Deutschland macht nie etwas halb: zwei Texte parallel, das TDDDG (ehemals TTDSG, § 25, für das Setzen des Cookies) und die DSGVO (für die Nutzung der Daten). Rechtsgrundlage also in doppelter Ausfertigung.
Das Banner muss Akzeptieren und Ablehnen gleichrangig schon auf dem ersten Bildschirm anzeigen (Vorgabe der DSK). Und die Rechnung sitzt: bis zu 300.000 € pro Verstoß nach dem TDDDG, zusätzlich zu den DSGVO-Obergrenzen.
Lokale Neuerung, die EinwV (in Kraft seit dem 1. April 2025) schafft anerkannte Einwilligungsdienste — der Nutzer stellt seine Präferenzen einmal ein, teilnehmende Sites respektieren sie. Die Idee ist, die Bannerflut auszutrocknen. Sie ist freiwillig: Niemand ist gezwungen, sich anzuschließen.
Mehrere Anbieter schwenken eine Frist zum 19. Juni 2026, die Shops mit deutschen Verbrauchern einen „Kündigungsbutton“ aufzwingt. Mangels einer juristischen Primärquelle zur Bestätigung — und weil das eher nach Verbraucherrecht (Kündigung/Widerruf) als nach Cookies riecht — weisen wir Sie ohne Garantie darauf hin. Bevor Sie daran glauben, fragen Sie eine deutsche Juristin oder einen deutschen Juristen. Der Konjunktiv hat noch nie Rechtsprechung geschaffen.
🇺🇸 Kalifornien (CCPA/CPRA) — das eierlegende Wollmilchschwein: Opt-out
Kompletter Logikwechsel. Kalifornien verlangt kein vorheriges Opt-in: Es arbeitet nach dem Prinzip „wir informieren, Sie widersprechen“. Konkret:
- ein Link „Do Not Sell or Share My Personal Information“;
- die Berücksichtigung des Browser-Signals Global Privacy Control (GPC) als Widerspruch.
Neu 2026: Neue Regeln der CPPA sind zum 1. Januar in Kraft getreten. Widersprechen darf nicht mehr Schritte erfordern als Akzeptieren (die Jagd auf Dark Patterns hat den Atlantik überquert), und das Unternehmen muss bestätigen, dass der Widerspruch tatsächlich berücksichtigt wurde, GPC eingeschlossen. Das Ganze zielt auf Unternehmen mit über ~26,6 Mio. $ Umsatz, oder mit Daten von 100.000+ Kalifornierinnen und Kaliforniern, oder die 50 %+ ihrer Einnahmen aus dem Weiterverkauf von Daten ziehen.
🇨🇦 Quebec (Gesetz 25) — Europa spricht auch Französisch
Das Gesetz 25 (Quebec) verlangt eine ausdrückliche, klare und informierte Einwilligung vor jedem nicht essenziellen Cookie — Analytics, Pixel, Drittanbieter-Skripte inbegriffen. Das rein informative Banner und das „wenn Sie weitersurfen, stimmen Sie zu“ fallen durch. Hinzu kommen Datenschutz durch Voreinstellung (nicht essenzielles Tracking von Haus aus aus) und die Pflicht, den Nachweis der Einwilligung aufzubewahren. Gepfefferte Quittung bei Fehltritten: bis zu 25 Mio. CA$ oder 4 % des weltweiten Umsatzes.
Der Spickzettel über den Bildschirm
| Rechtsraum | Modell | Vor dem Klick | Das Detail, das alles ändert |
|---|---|---|---|
| Europäische Union | Opt-in | Nichts Nicht-Essenzielles | Ablehnen = so einfach wie Akzeptieren |
| Deutschland | Opt-in | Nichts Nicht-Essenzielles | TDDDG + DSGVO; EinwV (freiwillig) |
| Kalifornien | Opt-out | Cookies standardmäßig geduldet | Link „Do Not Sell“ + GPC + Bestätigung 2026 |
| Quebec | Opt-in | Nichts Nicht-Essenzielles | Datenschutz durch Voreinstellung + Nachweis aufbewahrt |
Moral: Eine „Nur-Europa“-CMP lässt Sie in Kalifornien nackt dastehen, und ein „Opt-out nach US-Art“ stellt Sie in Europa wie in Quebec ins Abseits. Sie brauchen eine geo-adaptive CMP: Opt-in für die EU, Deutschland und Quebec; Opt-out + GPC für Kalifornien. Eine Regulierung mit variabler Geometrie verdient ein Banner mit variabler Geometrie.
Die Checkliste, die sich im Browser prüfen lässt (nicht auf Zuruf)
Compliance liest man nicht in der Cookie-Richtlinie — man stellt sie in der Konsole fest (F12 → Application → Cookies und der Network-Tab). Der Rest ist Literatur.
Der Test der drei Szenarien, im Browser
Vor jedem Klick:
- Nur unbedingt erforderliche Cookies sind gesetzt (Warenkorb, Session, Sicherheit).
- Kein GA4, Meta Pixel, Tag Manager, Hotjar oder Werbe-Pixel ist gestartet.
Nach „Alles ablehnen“:
- Kein nicht ausgenommener Marketing-/Analytics-Tracker läuft los. Die Ablehnung blockiert die Skripte; sie kehrt das Banner nicht nur unter den Teppich.
Nach „Alles akzeptieren“:
- Nur die angekündigten Tracker aktivieren sich. Keine blinden Passagiere.
CMP-Einstellungen:
- „Alles akzeptieren“ und „Alles ablehnen“ gleichrangig, granulare Auswahl, Blockade vor der Einwilligung, Nachweis aufbewahrt, Widerruf so einfach wie die Annahme.
- Geo-Anpassung: Opt-in (EU / Deutschland / Quebec) vs. Opt-out + GPC (Kalifornien).
- Google Consent Mode v2 aktiv, falls Sie GA4 nutzen.
- WordPress Consent API von Ihren Plugins genutzt (nützlich — aber sie erledigt die Arbeit nicht von allein).
Ehrliche Papierarbeit:
- Cookie-Richtlinie = Ihre echten Cookies (Name, Domain, Zweck, Dauer, Kategorie, Verantwortlicher, Drittanbieter, Rechtsgrundlage, Drittlandtransfer, Widerruf) — kein Copy-paste aus einem Generator.
- Datenschutzerklärung, die die echten WooCommerce-Verarbeitungen abdeckt (Konto, Bestellung, Versand, Zahlung, Rechnung, Support, Bewertungen, Marketing, Betrugsabwehr, Aufbewahrungsfristen).
- Warenkorb / Mein Konto / Kasse vom Caching ausgenommen.
- Liste der Auftragsverarbeiter und Drittlandtransfers aktuell gehalten.
Der Königsfehler 2026 bleibt die generische, von einem Generator ausgespuckte Datenschutzerklärung, die weder Ihre Auftragsverarbeiter noch Ihre Drittlandtransfers noch Ihre echten Aufbewahrungsfristen kennt. Bei einer Beschwerde ist das die erste Akte, die man umdreht — und die belastendste.
An der Kasse
WooCommerce splitternackt ist bei den Cookies prima im Griff. WooCommerce angezogen — Premium-Theme, Tag Manager, Pixel, Analytics, CAPTCHA, Bewertungen, Chat, Warenkorb-Erinnerung — kippt schnell ins Illegale, wenn nichts geprüft und vor der Einwilligung blockiert wird. Und sobald Sie Grenzen überschreiten, jonglieren Sie mit mehreren Regimen, die sich höflich widersprechen.
Niemand kann einen Site zertifizieren, ohne seine echten Cookies, seine echten Netzwerkanfragen, seine Erweiterungen und seine CMP zu inspizieren. Genau das sollte Ihnen ein datenschutzfreundliches Analytics-Tool ermöglichen: Ihre Besucher zu zählen, ohne Sie zu den Übeltätern zu zählen.
Setzt WooCommerce Cookies ohne Einwilligung?
Ja, aber nur funktionale Cookies — Warenkorb (woocommerce_cart_hash, woocommerce_items_in_cart) und Session (wp_woocommerce_session_) —, die sich in der Regel als „unbedingt erforderlich“ verteidigen lassen und damit von der Einwilligung ausgenommen sind. Alles, was man obendrauf setzt (Google Analytics, Meta Pixel, TikTok, Hotjar, Retargeting), erfordert dagegen eine vorherige Einwilligung.
Reicht ein Cookie-Banner, um WooCommerce konform zu machen?
Nein. Ein Banner, das bloß eine Meldung anzeigt, ohne die Skripte vor dem Klick zu blockieren, nützt nichts. Compliance stellt man im Browser fest: vor jedem Klick und nach einer Ablehnung dürfen nur die unbedingt erforderlichen Cookies vorhanden sein.
Ist WooCommerce standardmäßig DSGVO-konform?
Der Kern von WooCommerce (Warenkorb, Session) ist verteidigbar. Die DSGVO kommt ins Spiel, sobald eine Kennung mit einer Person verknüpft wird oder man Analytics und Pixel stapelt. Die Compliance hängt also von Ihrer Konfiguration, Ihren Erweiterungen und Ihrer CMP ab, nicht von WooCommerce allein.
Sind die Cookie-Regeln in der EU, in Deutschland, Kalifornien und Quebec dieselben?
Nein. Die EU, Deutschland und Quebec funktionieren nach dem Opt-in (nichts Nicht-Essenzielles vor einer klaren Einwilligung). Kalifornien funktioniert nach dem Opt-out (Cookies standardmäßig geduldet, mit Link „Do Not Sell“ und Berücksichtigung des GPC-Signals). Ein internationaler Shop braucht eine geo-adaptive CMP.
Gibt es 2026 ein neues Cookie-Gesetz?
Nein. Die CNIL hat am 29. April 2026 eine FAQ veröffentlicht und arbeitet an der geräteübergreifenden Einwilligung, aber das sind Klarstellungen, kein neues Gesetz. Die ePrivacy-Verordnung, die die Richtlinie ersetzen sollte, wurde aufgegeben. Die Basis bleibt DSGVO + ePrivacy + Leitlinien der Aufsichtsbehörden.
Aktualisiert im Juni 2026. Dieser Artikel informiert; er ersetzt weder ein Audit noch einen Anwalt — zwei Dinge, die noch nie ein Cookie-Banner ersetzt hat. Hauptquellen: CNIL (Leitlinien und Cookie-Empfehlung, FAQ April 2026), WooCommerce-Dokumentation, TDDDG / DSGVO und EinwV (Deutschland), CCPA/CPRA und CPPA-Regeln 2026 (Kalifornien), Gesetz 25 (Quebec). Die mit einem Vorbehalt gekennzeichneten Punkte sind vor jeder Entscheidung von einer im jeweiligen Rechtsraum qualifizierten Juristin oder einem Juristen zu prüfen.