Wer in seinem WooCommerce-Shop mit dem Stripe-Plugin Zahlungen akzeptiert, holt sich damit gleichzeitig einen US-amerikanischen Zahlungsdienstleister auf die eigene Website – inklusive Cookies, Gerätedaten-Übertragung und einem Pflichtvertrag. Das klingt erstmal nach viel, ist aber gut handhabbar, wenn man weiß, was zu tun ist.
Überblick
Was ist WooCommerce Stripe Payment Gateway?
Das WooCommerce Stripe Payment Gateway ist das offizielle Plugin, mit dem WooCommerce-Shop-Zahlungen über den Dienst Stripe annehmen können. Käufer können damit mit Kreditkarte, SEPA-Lastschrift, Apple Pay, Google Pay und weiteren Methoden bezahlen. Die Kartendaten werden dabei nie über deinen eigenen Server geleitet, sondern direkt zu Stripe übertragen.
WooCommerce Stripe Payment Gateway – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🔴 | Stripe setzt zwei Cookies zur Betrugserkennung – sie kommen mit dem Skript und gehören in die Datenschutzerklärung. |
| Externe Verbindungen | 🔴 | Das Plugin lädt ein Stripe-Skript von js.stripe.com, das für den Bezahlprozess zwingend erforderlich ist. |
| Datenschutzerklärung | 🔴 | Stripe muss in der Datenschutzerklärung genannt werden, inklusive Hinweis auf die USA-Übertragung. |
| Drittlandtransfer | 🔴 | Zahlungs- und Gerätedaten werden an Stripe-Server in den USA übertragen. |
| Auftragsverarbeitung | 🔴 | Ein Vertrag mit Stripe ist erforderlich – er wird automatisch mit den Stripe-Nutzungsbedingungen vereinbart. |
| Benutzereingaben | 🔴 | Zahlungsdaten wie Kartennummer, Name und Adresse werden an Stripe übertragen. |
Datenverarbeitung
Was passiert mit den Daten deiner Shop-Besucher?
Sobald ein Besucher deinen Shop öffnet, lädt das Stripe-Plugin im Hintergrund ein Skript von Stripes Servern. Dieses Skript sammelt Browser- und Gerätedaten – also Informationen über das verwendete Gerät, den Browser und das Verhalten auf deiner Website. Stripe braucht diese Daten, um Zahlungsbetrug zu erkennen: Auffällige Muster, zum Beispiel wenn jemand innerhalb von Sekunden viele Produkte aufruft, werden so erkannt. Stripe nennt diese Funktion Stripe Radar.
Wenn ein Käufer dann tatsächlich bezahlt, kommen Zahlungsdaten dazu: Kartennummer, Ablaufdatum, Name, E-Mail-Adresse und Rechnungsadresse. Bei SEPA-Zahlungen außerdem die IBAN. Diese Daten gehen direkt an Stripe – nicht über deinen eigenen Server. All das landet auf Stripes-Servern in den USA. Stripe ist ein US-amerikanisches Unternehmen und verarbeitet die Daten dort, auch wenn du als Shop-Betreiber in Deutschland sitzt.
Cookies
Setzt Stripe Cookies auf meiner Website?
Stripe setzt über sein Skript zwei Cookies: __stripe_mid und __stripe_sid. Der Cookie __stripe_mid speichert eine Geräte-Kennung und bleibt ein Jahr lang im Browser. Der Cookie __stripe_sid speichert eine Sitzungs-Kennung und läuft nach 30 Minuten ab. Beide Cookies dienen ausschließlich der Betrugserkennung – Stripe verwendet sie nicht für Werbung.
Diese Cookies kommen zusammen mit dem Stripe-Skript, das für den Bezahlprozess technisch unersetzbar ist. Das Skript darf nicht durch den Cookie-Banner blockiert werden – sonst funktioniert die Zahlung nicht mehr. Die Cookies lassen sich daher nicht über den Cookie-Banner steuern, sondern gehören in die Datenschutzerklärung. Dort muss stehen, dass Stripe beim Laden der Website Cookies zur Betrugserkennung setzt.
Externe Verbindungen
Baut das Stripe-Plugin Verbindungen zu externen Servern auf?
Das Plugin lädt ein Skript direkt von js.stripe.com. Diese Verbindung baut deine Website auf, sobald eine Seite geladen wird – nicht erst, wenn jemand den Kaufen-Button drückt. Stripe empfiehlt ausdrücklich, dieses Skript auf jeder Seite zu laden, und das Plugin folgt dieser Empfehlung: Bei aktivierter Express-Checkout-Funktion (Apple Pay, Google Pay) wird das Skript auch auf Produkt- und Warenkorbseiten eingebunden.
Diese Verbindung ist für den Bezahlprozess technisch unersetzbar – ohne sie funktioniert die Kartenzahlung nicht. Deshalb darfst du sie nicht einfach durch den Cookie-Banner blockieren lassen, weil dann der Checkout kaputtgeht . Stripe muss stattdessen in deiner Datenschutzerklärung genannt werden.
WooCommerce Stripe auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Welche Daten geben Käufer beim Bezahlen ein?
Im Bezahlprozess gibt ein Käufer persönliche Daten ein. Diese Daten werden an Stripe übertragen:
- Kartendaten (Kartennummer, Ablaufdatum, Prüfziffer) – oder IBAN bei SEPA-Zahlung
- Name des Karteninhabers
- E-Mail-Adresse
- Rechnungsadresse
Die Kartennummer selbst verlässt die Website des Käufers verschlüsselt direkt zu Stripe – du als Shop-Betreiber siehst sie nicht. In deiner Datenschutzerklärung muss aber stehen, dass Zahlungsdaten an Stripe übertragen werden und dass dabei auch Daten in die USA gehen.
Drittlandtransfer
Werden Daten durch Stripe in die USA übertragen?
Stripe überträgt sowohl die Gerätedaten der Seitenbesucher als auch die Zahlungsdaten der Käufer an Server in den USA. Das lässt sich nicht abstellen – es ist fester Bestandteil davon, wie Stripe funktioniert.
Stripe hat mit der EU bestimmte Vereinbarungen getroffen, die eine solche Übertragung unter definierten Bedingungen erlauben. Diese Vereinbarungen entbinden dich aber nicht davon, die Datenübertragung in die USA in deiner Datenschutzerklärung zu erwähnen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Stripe?
Stripe verarbeitet Zahlungs- und Gerätedaten deiner Kunden in deinem Auftrag. Dafür brauchst du einen sogenannten Auftragsverarbeitungsvertrag mit Stripe.
Die gute Nachricht: Dieser Vertrag wird automatisch abgeschlossen, wenn du ein Stripe-Konto anlegst und die Nutzungsbedingungen akzeptierst. Du musst dazu nichts separat anfordern oder unterschreiben. Den Vertrag findest du unter stripe.com/legal/dpa. Wenn du deinen Shop in Deutschland betreibst, ist dein Vertragspartner Stripe Payments Europe, Limited mit Sitz in Dublin, Irland.
Datenschutzerklärung
Muss Stripe in der Datenschutzerklärung stehen?
Stripe muss in deiner Datenschutzerklärung genannt werden. Die Gründe dafür liegen in den gesetzten Cookies, den übertragenen Zahlungsdaten und der Datenübertragung in die USA. Folgende Angaben gehören in den Eintrag:
- Zweck: Zahlungsabwicklung und Betrugserkennung
- Rechtsgrundlage: Vertragserfüllung (der Kaufvertrag mit deinem Kunden)
- Empfänger: Stripe Payments Europe, Limited, Dublin, Irland
- Drittlandtransfer: Datenübertragung in die USA findet statt
- Speicherdauer: Richtet sich nach den gesetzlichen Aufbewahrungspflichten für Zahlungsdaten
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Stripe – Zahlungsabwicklung
Für die Abwicklung von Zahlungen in unserem Shop nutzen wir den Dienst Stripe. Anbieter ist Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Wenn du einen Kauf abschließt, überträgt unser Shop Zahlungsdaten wie Kartendaten, Name, E-Mail-Adresse und Rechnungsadresse an Stripe. Stripe verarbeitet diese Daten zur Zahlungsabwicklung und zur Erkennung von Zahlungsbetrug.
Beim Laden unserer Website baut Stripe außerdem eine Verbindung zu seinen Servern auf und setzt Cookies, die dein Gerät und deine Browsersitzung identifizieren. Diese Verbindung dient ebenfalls der Betrugserkennung. Stripe ist ein US-amerikanisches Unternehmen; eine Übertragung von Daten in die USA findet statt. Stripe hat mit der EU vereinbart, dass diese Übertragung unter definierten Bedingungen zulässig ist. Die Verarbeitung erfolgt auf Grundlage des mit dir geschlossenen Kaufvertrags.
Stripe speichert Zahlungsdaten gemäß den gesetzlichen Aufbewahrungspflichten. Weitere Informationen findest du in der Datenschutzerklärung von Stripe unter stripe.com/privacy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Stripe?
Es gibt keine Alternative, die den gleichen Funktionsumfang bietet und dabei ohne externen Zahlungsdienstleister auskommt.
Andere Anbieter wie Mollie, PayPal oder Klarna direkt sind ebenfalls externe Dienste, die Zahlungsdaten auf eigenen Servern verarbeiten und teils ebenfalls US-Bezug haben. Eine vollständige Lösung ohne Drittlandtransfer und ohne externe Verbindungen ist für die Abwicklung von Kartenzahlungen, Apple Pay und Google Pay nicht realisierbar.
Fehler
Diese Fehler passieren mit Stripe häufig
Der häufigste Fehler ist, Stripe im Cookie-Banner als blockierbaren Dienst einzutragen. Wer das Stripe-Skript durch den Cookie-Banner sperren lässt, bricht damit den Checkout – Käufer können dann keine Zahlungsdaten eingeben. Das Stripe-Skript ist keine Option, die man ein- und ausschalten kann, sondern ein fester Bestandteil des Bezahlprozesses.
Der zweite häufige Fehler ist ein fehlender oder unvollständiger Eintrag in der Datenschutzerklärung. Stripe wird oft vergessen oder nur als „Zahlungsdienstleister“ genannt – ohne Hinweis auf die USA-Übertragung, ohne die gesetzten Cookies und ohne Angabe der Rechtsgrundlage. Das reicht nicht aus.
Außerdem übersehen manche Shop-Betreiber, dass das Stripe-Skript nicht nur auf der Checkout-Seite läuft, sondern bei aktivierter Express-Checkout-Funktion bereits auf Produktseiten und im Warenkorb. Die Datenschutzerklärung muss das abdecken – nicht erst ab dem Bezahlvorgang.
DSGVO-Check
Woran erkennst du, ob Stripe auf deiner Website aktiv ist?
Stripe hinterlässt auf deiner Website deutliche Spuren, die du direkt prüfen kannst. Schau im Browser unter den gespeicherten Cookies nach den Einträgen __stripe_mid und __stripe_sid. Wenn diese Cookies gesetzt sind, ist das Stripe-Skript aktiv. Du kannst auch im Browser-Entwicklerwerkzeug (Tab „Netzwerk“) prüfen, ob deine Website Verbindungen zu js.stripe.com aufbaut – das sollte spätestens auf der Checkout-Seite sichtbar sein, bei aktiviertem Express-Checkout auch auf Produktseiten. Ein Datenschutz-Scan auf datenrein.de erkennt diese Muster automatisch und prüft gleichzeitig alle anderen aktiven Dienste auf deiner Website.
Quellen und weiterführende Links
- WooCommerce Stripe Payment Gateway – WordPress.org Plugin-Seite
- WooCommerce Stripe Plugin – offizielle Dokumentation
- Stripe – Auftragsverarbeitungsvertrag (DPA)
- Stripe – Häufige Fragen zum Auftragsverarbeitungsvertrag
- Stripe – Dokumentation zur Betrugserkennung mit Stripe Radar
- Stripe – Cookie-Richtlinie
- Stripe – Datenschutzzentrum
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.