CommerceKit und Datenschutz: Cookies, die nur entstehen, wenn du bestimmte Module aktivierst

CommerceKit ist aus Datenschutzsicht kein problematisches Plugin – solange du weißt, welche Module du aktiviert hast. Das Plugin versendet keine Daten an CommerceGurus, alle Informationen bleiben auf deinem eigenen WordPress. Aber: Je nachdem, welche Funktionen du nutzt, entstehen Cookies, die eine Zustimmung im Cookie-Banner brauchen, und ein Formular, das E-Mail-Adressen sammelt.

Überblick

Was ist CommerceKit?

CommerceKit ist ein WooCommerce-Plugin des Anbieters CommerceGurus, das mehrere Verkaufs- und Conversion-Funktionen in einem einzigen Plugin zusammenfasst. Dazu gehören unter anderem Produktgalerien, Attribut-Swatches, eine Wunschliste, Order Bumps an der Kasse, eine Ajax-gestützte Suchfunktion, Countdown-Timer und eine Warteliste für nicht vorrätige Produkte. Das Plugin ist modular aufgebaut – du aktivierst nur die Funktionen, die du tatsächlich brauchst.

CommerceKit – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟡Zustimmungspflichtige Cookies entstehen nur, wenn Wishlist-, Order-Bumps-, Ajax-Search- oder Countdown-Module aktiv sind.
Externe Verbindungen🟢CommerceKit baut keine externen Verbindungen auf – alle Assets werden von deinem eigenen Server ausgeliefert.
Datenschutzerklärung🟡Eintrag nötig, wenn zustimmungspflichtige Module oder das Waitlist-Modul aktiv sind.
Drittlandtransfer🟢Kein Transfer – alle Daten bleiben auf deinem WordPress.
Auftragsverarbeitung🟢Kein Vertrag mit CommerceGurus nötig – CommerceGurus erhält keine Besucherdaten.
Benutzereingaben🟡Das Waitlist-Modul sammelt E-Mail-Adressen, wenn du es aktivierst.

Datenverarbeitung

Was passiert mit Daten, wenn CommerceKit aktiv ist?

CommerceKit arbeitet vollständig lokal. Das bedeutet: Alle Daten, die das Plugin verarbeitet, bleiben in der Datenbank deines WordPress. CommerceGurus – der Hersteller des Plugins – bekommt keinen Zugriff auf das Verhalten deiner Website-Besucher, deren Suchanfragen oder deren Wunschlisten.

Was genau gespeichert wird, hängt davon ab, welche Module du aktiviert hast. Die Wunschliste speichert einen anonymen Sitzungsschlüssel im Browser des Besuchers, damit die Liste auch ohne Login erhalten bleibt. Die Order-Bumps- und Ajax-Search-Module speichern, welche Produkte ein Besucher gesehen und angeklickt hat – ausschließlich für deine eigene Statistik im Plugin-Dashboard. Das Waitlist-Modul speichert E-Mail-Adressen von Besuchern, die sich für eine Benachrichtigung angemeldet haben.

Module, die gar keine Daten speichern und keinerlei Datenschutzpflichten erzeugen: Produktgalerie, Attribut-Swatches, Größentabellen, Versandkostenhinweis, Lagerbestandsanzeige, Sticky-Warenkorb-Leiste und Produkt-Badges.

CommerceKit und Datenschutz: Datenverarbeitung lokal ohne externe Verbindungen
Je nachdem welche Module du aktiviert hast, setzt CommerceKit Cookies, die dein Cookie-Banner blockieren muss – alle Daten bleiben dabei auf deinem eigenen Server.

Cookies

Welche Cookies setzt CommerceKit?

CommerceKit setzt immer zwei technisch notwendige Cookies: commercekit-nonce-value und commercekit-nonce-state. Diese Cookies sind für die sichere Verarbeitung von Anfragen erforderlich – sie laufen nach etwa zwei Stunden ab und brauchen keine Zustimmung im Cookie-Banner.

Darüber hinaus entstehen weitere Cookies, die eine Zustimmung benötigen – aber nur, wenn du die entsprechenden Module aktiviert hast:

  • commercekit_wishlist – gesetzt durch das Wunschlisten-Modul. Speichert den Wunschlisten-Schlüssel des Besuchers für 365 Tage. Dieser Cookie ist funktional und zustimmungspflichtig.
  • commercekit_obp_view_ids und commercekit_obp_click_ids – gesetzt durch das Order-Bumps-Modul. Zählen, welche Order-Bump-Produkte ein Besucher gesehen und angeklickt hat. Laufen nach 24 Stunden ab. Diese Cookies sind Analytics-Cookies und zustimmungspflichtig.
  • commercekit_search_ids und commercekit_search_cids – gesetzt durch das Ajax-Search-Modul. Speichern angeklickte Produkt- und Kategorie-IDs aus der Suche. Laufen nach 48 Stunden ab. Diese Cookies sind Analytics-Cookies und zustimmungspflichtig.
  • Countdown-Timer-Cookie – gesetzt durch das Countdown-Modul. Hält den Timer-Status über mehrere Seiten hinweg. Nur für die aktuelle Sitzung. Dieser Cookie ist funktional und zustimmungspflichtig.

Dein Cookie-Banner muss die zustimmungspflichtigen Cookies blockieren, bis der Besucher zustimmt. Das betrifft also nur die Module Wunschliste, Order Bumps, Ajax-Suche und Countdown-Timer. Wenn du diese Module deaktivierst, entstehen auch keine zustimmungspflichtigen Cookies.

Hinweis: In früheren Versionen von CommerceKit existierte ein Cookie namens commercekit-fast-token. Dieser taucht in der aktuellen offiziellen Dokumentation (Stand März 2026) nicht mehr auf und wurde offenbar durch die genannten Cookies ersetzt. Falls du diesen Cookie noch auf deiner Website siehst, läuft wahrscheinlich eine ältere Plugin-Version.

Externe Verbindungen

Baut CommerceKit Verbindungen zu fremden Servern auf?

CommerceKit baut keine Verbindungen zu externen Servern auf. Alle Skripte und Stilvorlagen des Plugins werden direkt von deinem eigenen Webserver ausgeliefert. Es gibt keine eingebetteten Widgets, keine externen Fonts, keine Verbindungen zu Drittanbietern beim Laden der Seite.

Für dieses Plugin brauchst du weder im Cookie-Banner noch in deiner Datenschutzerklärung externe Verbindungen zu berücksichtigen.

CommerceKit auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Sammelt CommerceKit Daten von Website-Besuchern?

Das Waitlist-Modul von CommerceKit sammelt E-Mail-Adressen von Besuchern, die sich benachrichtigen lassen möchten, wenn ein nicht vorrätiges Produkt wieder verfügbar ist. Diese E-Mail-Adressen werden in deiner WordPress-Datenbank gespeichert und genutzt, um die Benachrichtigungs-E-Mail zu verschicken.

Wenn du das Waitlist-Modul nicht aktivierst, sammelt CommerceKit keinerlei Daten von Besuchern durch Formulare. Du kannst das Modul in den CommerceKit-Einstellungen unter dem Bereich „Module“ einzeln deaktivieren.

Direkt beim Anmeldeformular auf der Produktseite muss ein Hinweis auf deine Datenschutzerklärung stehen, da Besucher hier personenbezogene Daten eingeben.

Drittlandtransfer

Werden Daten von Besuchern ins Ausland übertragen?

CommerceKit überträgt keine Besucherdaten ins Ausland. Alle Daten, die das Plugin verarbeitet, bleiben in der Datenbank deines WordPress auf deinem Hosting-Server. CommerceGurus erhält keinen Zugriff auf diese Daten. Ein Drittlandtransfer findet nicht statt.

Auftragsverarbeitung

Brauche ich einen Vertrag mit CommerceGurus?

Du brauchst keinen Vertrag mit CommerceGurus. Das Plugin verarbeitet alle Daten ausschließlich auf deinem eigenen Webserver – CommerceGurus erhält keine Besucherdaten. CommerceGurus bietet auch keinen entsprechenden Vertrag an, weil er schlicht nicht nötig ist.

Datenschutzerklärung

Muss CommerceKit in die Datenschutzerklärung?

CommerceKit muss dann in deine Datenschutzerklärung, wenn du eines der folgenden Module aktiviert hast: Wunschliste, Order Bumps, Ajax-Suche, Countdown-Timer oder Waitlist. Diese Module setzen entweder zustimmungspflichtige Cookies oder verarbeiten E-Mail-Adressen.

Relevante Angaben für den Eintrag:

  • Zweck: Speicherung von Wunschlisten, Analyse von Suchanfragen und Klicks auf Produktvorschläge an der Kasse, Versand von Benachrichtigungen bei Wiederverfügbarkeit von Produkten.
  • Rechtsgrundlage: Einwilligung (für zustimmungspflichtige Cookies); berechtigtes Interesse für den Versand der Waitlist-Benachrichtigung (da der Besucher die Anmeldung aktiv vorgenommen hat).
  • Empfänger: Kein externer Empfänger – Daten verbleiben auf deinem Webserver.
  • Drittlandtransfer: Keiner.
  • Speicherdauer: Je nach Cookie 24 Stunden bis 365 Tage; Waitlist-E-Mails bis zur Benachrichtigung oder manuellen Löschung.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

CommerceKit – WooCommerce-Funktionserweiterung

Auf dieser Website ist das Plugin CommerceKit des Anbieters CommerceGurus aktiv. Das Plugin erweitert die Funktionen des Webshops, unter anderem um eine Wunschliste, eine Produktsuche, Countdown-Timer und eine Warteliste für nicht vorrätige Produkte. Dabei werden, je nach genutzter Funktion, Cookies im Browser der Website-Besucher gesetzt, die Nutzungsdaten wie Suchanfragen, Klicks auf Produktempfehlungen oder den Inhalt der Wunschliste speichern. Das Setzen dieser Cookies erfolgt auf Grundlage einer vorherigen Einwilligung.

Soweit das Waitlist-Modul aktiv ist, werden E-Mail-Adressen von Besuchern gespeichert, die sich für eine Benachrichtigung bei Wiederverfügbarkeit eines Produkts angemeldet haben. Diese E-Mail-Adressen werden ausschließlich für den Versand der Benachrichtigung verwendet und anschließend gelöscht. Alle Daten verbleiben auf dem Webserver dieser Website und werden nicht an CommerceGurus oder andere Dritte weitergegeben. Anbieter des Plugins ist CommerceGurus, commercegurus.com.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu CommerceKit?

Es gibt keine gleichwertige Alternative, die denselben Funktionsumfang abdeckt und gleichzeitig in Bezug auf Cookies oder Datenweitergabe besser abschneidet.

CommerceKit speichert ohnehin alle Daten lokal und überträgt nichts an externe Server – das ist bereits das bestmögliche Datenschutzniveau für ein Plugin dieser Art. Eine Alternative würde hier keinen Vorteil bringen.

Fehler

Typische Datenschutz-Fehler bei CommerceKit

Der häufigste Fehler: Module sind aktiv, obwohl sie gar nicht genutzt werden. Wer CommerceKit installiert und alle Module eingeschaltet lässt, hat automatisch zustimmungspflichtige Cookies im Einsatz – auch wenn zum Beispiel die Wunschliste oder Order Bumps auf der Website gar nicht sichtbar sind. Deaktiviere in den CommerceKit-Einstellungen alle Module, die du nicht brauchst.

Ein weiterer Fehler: Der Cookie-Banner ist nicht auf die CommerceKit-Cookies eingestellt. Wenn du Wunschliste, Order Bumps, Ajax-Suche oder Countdown aktiv hast, müssen die entsprechenden Cookies im Cookie-Banner als zustimmungspflichtig eingetragen sein und blockiert werden, bis der Besucher zustimmt.

Beim Waitlist-Modul vergessen viele den Hinweis auf die Datenschutzerklärung direkt am Anmeldeformular. Dieser Hinweis muss dort stehen, wo Besucher ihre E-Mail-Adresse eingeben – nicht nur irgendwo auf der Website.

DSGVO-Check

Wie erkennst du, ob CommerceKit Cookies auf deiner Website setzt?

Du kannst direkt im Browser prüfen, welche CommerceKit-Cookies auf deiner Website aktiv sind. Öffne dazu eine Produktseite deines Shops in einem frischen Browser-Fenster (am besten im Inkognito-Modus), öffne die Entwicklertools (Taste F12) und sieh unter „Anwendung“ → „Cookies“ nach. CommerceKit-Cookies erkennst du an diesen Namen:

  • commercekit-nonce-value
  • commercekit-nonce-state
  • commercekit_wishlist
  • commercekit_obp_view_ids
  • commercekit_obp_click_ids
  • commercekit_search_ids
  • commercekit_search_cids

Die ersten beiden Cookies sind technisch notwendig und immer vorhanden. Alle anderen entstehen nur, wenn das jeweilige Modul aktiv ist. Wenn du einen dieser Cookies siehst, muss das zugehörige Modul im Cookie-Banner berücksichtigt sein. Alternativ kannst du einen Datenschutz-Scan deiner Website durchführen lassen, der diese Cookies automatisch erkennt und bewertet.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.