Wer in seinem WooCommerce-Shop PayPal anbietet, kommt um ein paar Datenschutz-Aufgaben nicht herum. Das Plugin selbst ist dabei unproblematisch – der Haken steckt darin, dass PayPal ein US-Unternehmen ist und bei jeder Transaktion echte Kundendaten bekommt. Was du konkret tun musst, erklärt dieser Artikel.
Überblick
Was ist WooCommerce PayPal Payments?
WooCommerce PayPal Payments ist das offizielle Plugin von WooCommerce, um PayPal als Zahlungsmethode in einen WordPress-Shop einzubinden. Kunden können damit per PayPal-Konto, Kreditkarte, Debitkarte oder der „Jetzt kaufen, später bezahlen“-Option bezahlen. Das Plugin zeigt PayPal-Buttons direkt auf Produkt-, Warenkorb- und Checkout-Seiten an.
WooCommerce PayPal Payments – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Das Plugin setzt keine eigenen Tracking-Cookies. |
| Externe Verbindungen | 🔴 | Auf Produkt-, Warenkorb- und Checkout-Seiten wird ein PayPal-Skript von externen Servern geladen. |
| Datenschutzerklärung | 🔴 | PayPal muss namentlich in der Datenschutzerklärung stehen. |
| Drittlandtransfer | 🔴 | Kundendaten fließen bei jeder Zahlung an PayPal in die USA. |
| Auftragsverarbeitung | 🟢 | Kein Vertrag zur Auftragsverarbeitung nötig – PayPal ist eigenständiger Verantwortlicher. |
| Benutzereingaben | 🔴 | Name, E-Mail, Adresse und Zahlungsdaten der Käufer werden an PayPal übermittelt. |
Datenverarbeitung
Welche Daten verarbeitet WooCommerce PayPal Payments?
Sobald jemand in deinem Shop auf den PayPal-Button klickt und eine Zahlung abschließt, werden Kundendaten an PayPal übertragen. Dazu gehören Name, E-Mail-Adresse, Lieferanschrift, Telefonnummer, der Bestellbetrag und eine eindeutige Zahlungskennung. Diese Daten braucht PayPal, um die Zahlung abzuwickeln und Betrug zu erkennen.
Besonders wichtig: PayPal ist dabei kein Dienstleister, der nur für dich handelt. PayPal entscheidet selbst, wie und warum es diese Daten verarbeitet – zum Beispiel für Betrugsprävention, Kreditprüfung oder eigene Dienste. Das bedeutet, du gibst Kundendaten an ein eigenständiges Unternehmen weiter, nicht nur an einen technischen Helfer.
Auf deinen Produkt- und Warenkorb-Seiten lädt das Plugin außerdem bereits das PayPal-Skript von PayPal-Servern, bevor eine Zahlung ausgelöst wird – damit die Buttons sofort angezeigt werden können.
Cookies
Setzt WooCommerce PayPal Payments Cookies?
WooCommerce PayPal Payments setzt keine eigenen Tracking-Cookies auf deiner Website. Das Plugin selbst speichert im Browser deiner Besucher nichts, was zustimmungspflichtig wäre.
PayPal kann im Rahmen des Bezahlvorgangs technische Session-Cookies für Betrugsschutz setzen – das passiert aber auf PayPals eigenen Seiten und liegt außerhalb deiner WordPress-Installation. Für dein Cookie-Banner gibt es hier nichts einzurichten.
Externe Verbindungen
Baut WooCommerce PayPal Payments Verbindungen zu externen Servern auf?
WooCommerce PayPal Payments lädt auf allen Produkt-, Warenkorb- und Checkout-Seiten ein Skript direkt von www.paypal.com. Dieses Skript ist technisch notwendig, damit die PayPal-Buttons angezeigt werden und der Bezahlvorgang funktioniert – ohne es kannst du PayPal nicht anbieten.
Diese Verbindung muss nicht im Cookie-Banner blockiert werden, gehört aber in deine Datenschutzerklärung.
Nutzt du WooCommerce PayPal Payments auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um WooCommerce PayPal Payments gibt.
Benutzereingaben
Welche Daten von Käufern werden an PayPal weitergegeben?
Wenn ein Käufer den Bezahlvorgang mit PayPal abschließt, überträgt das Plugin folgende Daten an PayPal:
- Vor- und Nachname
- E-Mail-Adresse
- Liefer- und Rechnungsadresse
- Telefonnummer
- Bestellbetrag
- Eine eindeutige Zahlungskennung
Diese Daten sind notwendig, damit PayPal die Zahlung abwickeln und bei Rückbuchungen oder Betrug handeln kann. Die Übertragung findet statt, sobald der Käufer den Kauf bestätigt – nicht schon beim Anzeigen der Seite.
Drittlandtransfer
Werden Kundendaten in die USA übertragen?
WooCommerce PayPal Payments überträgt Kundendaten bei jeder Transaktion an PayPal, Inc. mit Sitz in San Jose, USA. Das lässt sich nicht abstellen, solange du PayPal als Zahlungsmethode anbietest. Name, E-Mail-Adresse, Adresse und Zahlungsdaten deiner Käufer landen auf US-amerikanischen Servern von PayPal. Diese Übertragung musst du in deiner Datenschutzerklärung nennen und auf den USA-Transfer hinweisen.
Auftragsverarbeitung
Muss ich mit PayPal einen Auftragsverarbeitungsvertrag abschließen?
PayPal ist kein Dienstleister, der Daten in deinem Auftrag nach deinen Weisungen verarbeitet. PayPal entscheidet selbst, wozu und wie die Kundendaten genutzt werden – zum Beispiel für Betrugsschutz, Bonitätsprüfung oder eigene Zahlungsdienste.
Damit ist PayPal ein eigenständig Verantwortlicher, nicht dein Auftragsverarbeiter. Einen Auftragsverarbeitungsvertrag musst du deshalb nicht abschließen. Du musst aber in deiner Datenschutzerklärung darüber informieren, dass du Kundendaten an PayPal weitergibst.
Datenschutzerklärung
Muss PayPal in meiner Datenschutzerklärung stehen?
WooCommerce PayPal Payments muss in deiner Datenschutzerklärung stehen, weil Kundendaten an einen externen Anbieter in den USA weitergegeben werden. Folgende Angaben gehören in deinen Datenschutztext:
- Zweck: Abwicklung von Zahlungen und Betrugsprävention
- Rechtsgrundlage: Vertragserfüllung (der Käufer schließt einen Kaufvertrag ab)
- Empfänger: PayPal (Europe) S.à r.l. et Cie, S.C.A. bzw. PayPal, Inc.
- Drittlandtransfer: Übermittlung in die USA
- Speicherdauer: Entsprechend den gesetzlichen Aufbewahrungsfristen und den Nutzungsbedingungen von PayPal
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
PayPal – Zahlungsabwicklung
Auf dieser Website bieten wir PayPal als Zahlungsmethode an. Wenn du dich für eine Zahlung per PayPal entscheidest, werden deine Bestelldaten an PayPal übertragen. Dazu gehören dein Name, deine E-Mail-Adresse, deine Liefer- und Rechnungsadresse, deine Telefonnummer sowie der Bestellbetrag.
PayPal verarbeitet diese Daten zur Abwicklung der Zahlung und zur Betrugsprävention. Anbieter ist PayPal (Europe) S.à r.l. et Cie, S.C.A. mit Sitz in Luxemburg sowie PayPal, Inc. mit Sitz in den USA. Da PayPal Server in den USA betreibt, können deine Daten in die USA übertragen werden. Die Verarbeitung erfolgt auf Grundlage der Vertragserfüllung. PayPal ist in Bezug auf diese Daten eigenständig verantwortlich. Weitere Informationen findest du in der Datenschutzerklärung von PayPal unter www.paypal.com/de/webapps/mpp/ua/privacy-full.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu PayPal?
Eine Alternative zu WooCommerce PayPal Payments macht in diesem Fall wenig Sinn: Das Plugin ist dafür da, PayPal als Zahlungsmethode anzubieten.
Wer PayPal nicht mehr anbieten möchte, kann andere Zahlungsanbieter wie Mollie oder Stripe einbinden – die haben aber eigene Datenschutzanforderungen und sind kein Ersatz für PayPal, sondern andere Dienste. Wenn dir der USA-Transfer von PayPal ein Dorn im Auge ist, ist der einzige Weg, PayPal aus deinem Shop zu entfernen.
Fehler
Typische Datenschutz-Fehler mit WooCommerce PayPal Payments
Der häufigste Fehler: PayPal fehlt komplett in der Datenschutzerklärung, obwohl Kundendaten bei jeder Transaktion an einen US-Anbieter übermittelt werden. Gerade der Hinweis auf den USA-Transfer wird oft vergessen. Füge PayPal als Zahlungsanbieter mit allen nötigen Angaben in deine Datenschutzerklärung ein.
Ein weiterer Fehler: Der Eintrag in der Datenschutzerklärung nennt zwar PayPal, verschweigt aber, dass es sich um eine Übermittlung in die USA handelt. Beides muss stehen – die Weitergabe an PayPal und der Hinweis auf den USA-Transfer.
DSGVO-Check
Wie erkennst du, ob PayPal auf deiner Website aktiv Daten überträgt?
WooCommerce PayPal Payments verrät sich über externe Verbindungen zu PayPal-Servern. Du kannst das direkt in deinem Browser prüfen: Öffne eine Produktseite oder die Warenkorb-Seite deines Shops, öffne die Entwicklertools (meist mit F12), wechsle zum Tab „Netzwerk“ und lade die Seite neu. Siehst du Anfragen an www.paypal.com oder c.paypal.com, ist das PayPal-Skript aktiv – das ist bei korrekter Installation zu erwarten.
Was du prüfen solltest: Steht PayPal mit allen nötigen Angaben in deiner Datenschutzerklärung – inklusive des Hinweises auf die USA-Übermittlung? Das ist die einzige Pflicht, die du hier aktiv erfüllen musst.
Quellen und weiterführende Links
- WooCommerce PayPal Payments – WordPress.org Plugin-Seite
- WooCommerce PayPal Payments – offizielle Dokumentation
- WooCommerce – Datenschutzhinweise zu Zahlungs-Plugins
- PayPal – Datenschutz für Händler
- PayPal – Vollständige Datenschutzerklärung
Hast du WooCommerce PayPal Payments auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um WooCommerce PayPal Payments gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.