Datenschutz-Grundverordnung (DSGVO)
Am 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) wirksam und löst nationale Regelungen ab. Gültigkeit hat die DSGVO für alle Unternehmen und Institutionen, die in der EU tätig sind und mit personenbezogenen Daten, wie Namen, Adressen, Bankdaten und Geburtstagen arbeiten. Die Vereinheitlichung der Verarbeitung von personenbezogenen Daten zielt vor allem auf bessere Transparenz im Umgang mit Verbraucherdaten und einem erweiterten Schutz dieser Daten ab. Dieser Wiki-Artikel soll Dir eine kurze Zusammenfassung über die Verarbeitung von personenbezogenen Daten in Shopware geben, damit Du die benötigten Dokumentationen (bspw. das Verzeichnis von Verarbeitungstätigkeiten oder kurz VVT) oder die Datenschutzerklärung für eine Shopware-Instanz besser erstellen kannst. Da die Umsetzung der DSGVO von Unternehmen zu Unternehmen unterschiedlichste Ausmaße annimmt, solltest Du bei der Umsetzung in Deinem Shop stets Rücksprache mit Deinem Rechtsbeistand halten, um hier alle Anforderungen zu erfüllen. Einen allgemeinen Überblick über die Inhalte der DSGVO könnt ihr euch in unserem Whitepaper verschaffen.
Welche personenbezogenen Daten werden in Shopware verarbeitet und gespeichert?
In diesem Punkt möchten wir Dir aufzeigen, welche personenbezogenen Daten direkt in Shopware verarbeitet werden. Als eCommerce-System ist es natürlich zwingend notwendig, Daten des Kunden zu verarbeiten um bspw. Lieferadressen aufzunehmen. Hier solltest Du beachten, dass natürlich nicht nur die Software selbst an der Verarbeitung beteiligt ist, sondern auch die dahinterliegende Hardware. Da das jeweilige Setup Deines Hosters stark individuell ist, solltest Du ggf. auch mit diesem klären, inwieweit dort die Kommunikation stattfindet (bspw. bei einem getrennten Datenbankserver, wo die Applikation über ein Netzwerk mit der Datenbank kommuniziert). Hier soll es rein um die softwareseitige Verarbeitung dieser Daten in Shopware gehen.
Dieser Punkt ist bewusst erstmal sehr allgemein gehalten. Shopware selbst speichert unterschiedlichste Daten, die entweder einen direkten Bezug (= personenbezogen) oder keinen direkten Bezug (= anonymisiert) zum Benutzer haben. Anonymisierte Daten sind keine personenbezogenen Daten und fallen nicht unter die DSGVO, sodass hierfür keine besonderen Maßnahmen zu treffen sind.
Pseudonymisierte Daten, die man z.B. über eine Kennziffer einer Person zuordnen kann (z.B. über die Bankverbindung, eine Kundennummer oder eine Bestellnummer) sind wieder personenbezogene Daten, auch wenn nicht sofort erkennbar ist, wer die Person ist.
Die personenbezogenen Daten werden immer dann benötigt, wenn Shopware eine Eingabe des Kunden entgegennimmt oder der Shopbetreiber mit diesen Daten arbeiten muss. Dies kann zum einen die Registrierung oder Bewertungsfunktion im Frontend sein, aber auch die Verarbeitung von Bestellungen über das Backend. Natürlich können auch über die RestAPI mit Autorisierung personenbezogene Daten abgeholt werden. Zudem werden natürlich auch anonymisierte Daten erfasst um bspw. Artikelempfehlungen ("Kunden kauften auch", "Kunden haben sich ebenfalls angesehen“, ...) und Statistiken im Backend ausspielen zu können. Da man bei den unzähligen Funktionen von Shopware schnell den Überblick verliert, möchten wir Dir hier auflisten, welche Daten in Shopware gespeichert werden.
Diese Liste kann unvollständig sein. Plugins sind in der Lage die Datenhaltung zu erweitern und weitgehende Bereiche in Shopware zu erweitern. Ob Du weitere personenbezogene Daten verarbeitest, musst Du individuell in Deinem Shop evaluieren!
Die DSGVO definiert in Art. 4 Nr. 1 DSGVO personenbezogene Daten wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person, identifiziert werden kann.“
Kundendaten
Um eine Bestellung und weitere Handlungen im Shop durchführen zu können, benötigt der Kunde ein Kundenkonto. Dies enthält unter anderem die Adressdaten, aber auch weitere personenbezogene Informationen, je nachdem was Du in Deinen Einstellungen konfiguriert hast. Eine Abfrage von Geburtsdatum ist ebenso denkbar, wie die Angabe des Firmennamens. Hier solltest Du konkret die Registrierung Deines Shops prüfen, damit Du einen Überblick erhältst, welche Daten Du vom Kunden sammelst. In der Datenbank von Shopware beginnen alle Tabellen die Kundendaten enthalten mit dem Kürzel "s_user*". Aber auch im Backend kannst Du diese Daten natürlich einsehen, indem Du unter Kunden > Kunden, den jeweiligen Kunden öffnest.
Bestellungen
Das Herzstück eines jeden Onlineshops ist natürlich der Checkout. Um eine Bestellung in Shopware auslösen zu können, benötigt der Kunde natürlich zunächst ein Kundenkonto. All diese Informationen werden auch zusammen in der Bestellung gespeichert. Dazu kommen die Produkte die der Kunde in Deinem Shop erwirbt und auch die IP-Adresse des Kunden. Darüber hinaus wird auch der Referrer - also die Quelle, über die der Kunde auf Deinen Shop gelangt ist, mitgespeichert. Alle relevanten Informationen kannst Du über das Backend unter Kunden > Bestellungen einsehen, sowie in der Datenbank in den Tabellen mit dem Kürzel "s_order". Weitere Informationen zur Verarbeitung von IP-Adressen findest Du hier: Werden IP-Adressen in Shopware gespeichert?
Bankdaten (SEPA)
Die Shopware-eigene SEPA-Funktion wird heutzutage kaum noch genutzt. Die meisten Shopbetreiber benutzen eine externe Lösung, die diese Daten nicht in Shopware speichert, sondern nur den Zahlungserfolg an Shopware überträgt (bspw. PayPal Plus). Solltest Du die shopwareeigene SEPA-Funktion nutzen, ist dies natürlich auch eine Verarbeitung von personenbezogenen Daten. Unsere SEPA-Funktion findest Du hier erklärt: SEPA-Lastschrift Die vom Kunden eingegebenen SEPA-Daten werden in der Tabelle s_core_payment_data aufbewahrt.
IP-Adressen
Wie oben bereits erwähnt, werden die IP-Adressen zu einzelnen Bestellungen gespeichert. Darüber hinaus findest Du eine Auflistung von Bereichen, in denen eine IP-Adresse gespeichert wird, in diesem Dokument: Werden IP-Adressen in Shopware gespeichert?
Newsletter
Wie viele andere Systeme auch, bietet Shopware eine Funktion zur Newsletter-Registrierung. Hier findet sich bspw. das Formular im Footer des Shops oder ein erweitertes Formular über den Aufruf /newsletter. Welche Daten hier erhoben werden, ist stark abhängig von der Grundeinstellung "Erweiterte Felder in der Newsletter-Registrierung abfragen". Je nach Definition werden hier weitere Informationen wie der Vor- und Nachname des Kunden erhoben. Eine Dokumentation zum Newsletter findest Du hier: Newsletter
Alle Informationen, die der Kunde im Frontend hinterlegt, findest Du in der Administrationsoberfläche im Bereich "Marketing > Newsletter > Verwaltung > Empfänger". In der Datenbank werden die Tabellen s_campaigns_mailaddresses und s_campaigns_maildata zur Speicherung der Daten genutzt. Darüber hinaus kannst Du auch definieren, ob bei einer Registrierung zum Newsletter das Double-Optin Verfahren genutzt werden soll, hierzu benutzt Du die Grundeinstellung "Double-Opt-In für Newsletter-Anmeldungen". Die Optin-Daten werden in der Tabelle s_core_optin gespeichert.
Formulare
Die Formulare in Shopware versenden eine Mail, mit den von Kunden eingegebenen Daten, an die im Formular hinterlegte Adresse. Welche Daten dort abgefragt werden, liegt im Ermessen des Shopbetreibers und kann stark individualisiert werden/variieren. Welche Daten Du dort also wie verarbeitest, solltest Du selbstständig unter Inhalte > Formulare im Backend prüfen. Die Dokumentation zur Formularfunktion in Shopware findest Du hier: Formulare
Bewertungen
Auf der Artikeldetailseite bietet Shopware die Möglichkeit eine Produktbewertung abzugeben. Diese muss per Double-Optin bestätigt werden, wenn die Grundeinstellung "Double-Opt-In für Bewertungen" aktiviert ist. Für das Optin-Verfahren ist die Tabelle s_core_optin zuständig. Die bestätigten Bewertungen können dann im Backend unter Artikel > Bewertungen eingesehen, gelöscht oder freigegeben werden. Hier findest Du eine Dokumentation zur Bewertungsfunktion in Shopware: Artikelbewertungen
Backend
Die Administrationsoberfläche ist eine kleine Besonderheit in diesem Bereich, da man dort natürlich ebenfalls Kundendatensätze einsehen und anlegen kann, aber auch Administrationsbenutzer, die ebenfalls mit einer Mailadresse verknüpft sind. Das Backend verarbeitet also nicht nur die Daten der Kunden in Deinem Shop, sondern auch ein Stück weit die Daten Deiner Mitarbeiter. Die Benutzerverwaltung des Backends kannst Du unter Einstellungen > Benutzerverwaltung konfigurieren. Es gibt ebenfalls die Möglichkeit einzelne Bereiche des Backends zu beschränken oder den Zugriff nur lesend zu erlauben. Eine Dokumentation zu Rechten und Rollen im Backend findest Du hier: Benutzerverwaltung
RestAPI
Wenn Du weitere Systeme, wie bspw. ein ERP angeschlossen hast, kommuniziert dieses in der Regel über die RestAPI mit dem Shop. Die Benutzer der Rest-API werden wie oben beschrieben über das Backend angelegt. Hier findest Du eine Auflistung von Daten, die Du über die Rest-API erhalten kannst: REST
Welche Daten werden anonymisiert gespeichert?
Shopware nutzt anonymisierte Inhalte, um Deinen Kunden im Shop einzelne Cross-Selling Vorschläge anzubieten. Dies betrifft bspw. die Funktionen "Kunden kauften auch" und "Kunden haben sich ebenfalls angesehen". Dort wird das Verhalten der Kunden in Deinem Shop anonymisiert ausgewertet und für die Anzeige von Empfehlungen genutzt. Diese Funktionen kannst Du im Backend über das Performance-Modul verwalten. Weitere Dokumentation zu diesem Bereich findest Du hier: Crossselling
Statistiken
Im Backend kannst Du zudem Statistiken zum Kaufverhalten, Bestellungen und vielem mehr einsehen. Eine Dokumentation zu den Statistiken findest Du auch in unserer Dokumentation: Auswertungen
Das Erfassen von Statistiken kannst Du auch über das Performance-Modul verwalten, zudem findet sich in den Grundeinstellungen auch die Möglichkeit einzelne IP-Adressen von der Erfassung auszuschließen. Diese Daten werden aus allen Daten die in der Shopware-Datenbank erfasst werden, festgehalten.
Welche Informationen werden verschlüsselt übertragen?
Die verschlüsselte Übertragung von Daten erfolgt im Regelfall über das HTTPs-Protokoll. Um dies in Deinem Shop nutzen zu können, benötigst Du zunächst ein gültiges SSL-Zertifikat, welches auf Deinem Server eingerichtet werden muss. Im Anschluss kannst Du anhand dieser Anleitung SSL in Deinem Shop aktivieren: SSL-Zertifikate im Shop einrichten Hier muss generell zwischen der verschlüsselten Übertragung von Daten und der verschlüsselten Speicherung unterschieden werden. Wir empfehlen grundsätzlich alle Bereiche des Shops per HTTPs zu betreiben, damit alle personenbezogenen Daten per HTTPs verschlüsselt übertragen werden. Die Speicherung dieser Daten erfolgt dann in den jeweiligen Datenbank-Tabellen. Die Daten an sich sind nur dann verschlüsselt, wenn dies erforderlich ist, z.B. das Benutzerkennwort. Die Verschlüsselung von Passwörtern kann in den Grundeinstellungen definiert werden.
Welche Informationen werden im Browser des Nutzers gespeichert?
Ob das Setzen von Cookies, die technisch für den Betrieb des Shops nicht erforderlich sind, ein Opt-in notwendig ist oder nicht, ist zwischen Juristen strittig. Wir empfehlen, mindestens eine der etablierten Lösungen für die datenschutzrechtliche Information über Cookies umzusetzen. Mehr Informationen dazu findest Du unter www.cookiechoices.org; bitte nimm hierzu mit deinem Rechtsbeistand Rücksprache.
Shopware selbst bietet bereits im Standard die Möglichkeit den Cookie-Hinweis zu aktivieren.
Cookies (Session, SLT, CSRF)
Shopware speichert Cookies im Browser des Besuchers um die Grundfunktionen des Shops zu gewährleisten. Anhand der Cookies wird bspw. der Warenkorbinhalt, der Login-Zustand und auch der CSRF-Schutz ermöglicht. Ohne Cookies im Browser zugelassen zu haben, kann Shopware nicht benutzt werden. WICHTIG: Shopware speichert stets nur IDs im Browser des Kunden, die Zuweisung zu den jeweiligen Informationen erfolgen im Bereich der Applikation.
Session
Anhand des Session-Cookies entscheidet Shopware, ob der jeweilige User einen aktiven Warenkorb besitzt und ob der User eingeloggt ist. Er dient also als Identifikation zwischen Browser und Server. Es werden keine weiteren Informationen bis auf die Session-ID im Browsers gespeichert. Der Umgang mit Sessions wird serverseitig über PHP gesteuert und ist unabhängig von Shopware zu sehen.
CSRF
Darüber hinaus erzeugt Shopware einen individuellen CSRF-Cookie bei Besuch des Shops, damit der Kunde die einzelnen Bereiche des Shops bedienen kann. Hier findest Du Informationen zum CSRF-Schutz: CSRF-Protection
SLT
Eines der neuen Features in 5.3 ist der SLT-Cookie der es dem Shop ermöglicht den Kunden bei Rückkehr zum Shop wiederzuerkennen, auch wenn die Session bereits ausgelaufen ist. Alle Informationen zum SLT-Cookie findest Du hier: Shopware Login Token Der SLT-Cookie kann in den Grundeinstellungen darüber hinaus auch deaktiviert werden.
Merkzettel
Legt ein Kunde ein Produkt auf den Merkzettel, wird hierzu ein Cookie mit dem Namen "sUniqueID" angelegt, um den Inhalt des Merkzettels zu speichern. Die gespeicherten Produkte werden in der Tabelle s_order_notes abgelegt.
Zuletzt angesehene Artikel
Im Local Storage des Browsers werden zudem die Informationen zu den "zuletzt angesehen Artikeln" gespeichert. Hier findest Du die Dokumentation zu dieser Funktion: Zuletzt angesehen
Übersicht der Cookies
In dieser Tabelle findest Du für die Nutzung von Shopware relevante Cookies:
| Name des Cookies | Funktion | Speicherdauer |
| __csrf_token-1 | Wird für die Validierung von Kundenangaben benötigt. | Ist an die Browsersitzung gebunden. |
| session-1 | Identifiziert die aktuelle Sitzung, den Benutzer und sein Warenkorb. | Ist an die Browsersitzung gebunden. |
| cookiePreferences | In einem serialisierten String werden die Informationen gespeichert, welche Cookies der Kunde wünscht. | Die Informationen werden für ein halbes Jahr gespeichert. |
| slt | Ermöglicht es, den Kunden bei Rückkehr zum Shop wiederzuerkennen, auch wenn die Session bereits ausgelaufen ist. | Wird für ein Jahr gespeichert oder durch manuelles Abmelden des Kunden gelöscht. |
| sUniqueID | Ist für die Zuordnung der Merkliste zuständig und wird beim Nutzten der Merkliste genutzt. | Wird für ein Jahr gespeichert. |
| x-ua-device | Dient zur Ermittlung des verwendeten Endgerätes bspw. für die korrekte Anzeige des Shops. | Ist an die Browsersitzung gebunden. |
| allowCookie | Speichert die Cookie-Einstellungen des Shopkunden. | Läuft nicht ab. |
| timezone | Die Zeitzone wird abgespeichert bspw. für Zeitangaben in E-Mails. | |
| PHPSESSID | PHP Session, die zur Zuordnung der aktuellen Sitzung dienen (Warenkorb, etc.). | Ist an die Browsersitzung gebunden. |
| csrf | Sämtliche CSRF-Cookies dienen dazu die Formulareingaben zu validieren, um XSS Attacken verhindern zu können. | Ist an die Browsersitzung gebunden. |
| sw-cache-hash | Technischer Cookie für die Cache-Funktionalität. | |
| cookie-preference | Für die Cookie-Präferenzen des Kunden, falls diese im Offcanvas konfiguriert werden. | Die Informationen werden für ein halbes Jahr gespeichert. |
| sw-states | Technischer Cookie für die Cache-Funktionalität. |
Welche IP-Adressen werden gespeichert?
Im Shopware Standard werden IP-Adressen hinterlegt. Dies dient zur eindeutigen Identifikation des Benutzers im Shop. Es werden im Standard von Shopware an vier Stellen IP-Adressen gespeichert.
s_order
In der Bestellübersicht findest Du die IP-Adresse der Bestellung. Dazu wechselst du im Backend auf Kunden > Bestellungen und rufst dort eine der Bestellungen auf.
Die IP-Adresse wird auf der Bestellungs-Detail-Seite (1) angezeigt. Die letzten 3 Stellen (das letzte Oktett) werden hierbei ausgeblendet.
Die IP-Adresse findest Du ebenfalls unverschlüsselt in der Datenbanktabelle s_order in der Spalte remote_addr wieder.
s_core_log
In der Tabelle s_core_log werden alle Aktivitäten von Backend-Benutzern hinterlegt. Anhand dieser Tabelle kann z.B nachvollzogen werden wann Änderungen vorgenommen worden sind. Diese kannst Du dann ggf. einer Person anhand der IP-Adresse zuordnen.
s_statistics_pool
Die hier gesammelten Daten werden in den Statistiken eingesetzt, um die Besucher pro Tag zu ermitteln.
s_statistics_currentusers
In der Tabelle s_statistics_currentusers werden temporäre Daten für das Widget "Kunden online" gespeichert und alle 3 Minuten wieder geleert.
Wie kann ich die Datenschutzerklärung in meinen Shop einbinden?
Auch nach der DSGVO ist für Websites eine Datenschutzerklärung erforderlich. So ist nun über die zu Grunde gelegten Rechtsgrundlagen ebenso zu informieren, wie über die Erforderlichkeit für einen Vertragsabschluss oder ob eine andere Verpflichtung zur Bereitstellung der Daten besteht. Es ist zudem notwendig, dass Du in der Datenschutzerklärung darüber informierst, wie Du mit personenbezogenen Daten umgehst. Die Datenschutzerklärung kann dabei bspw. eine Shopseite sein, die Du in den relevanten Bereichen Deines Shops verlinkst. Wichtig hierbei ist, dass Du diese Informationen „bei Erhebung“ der personenbezogenen Daten gibst. Daher sollte die Datenschutzerklärung regelmäßig mit nur einem Klick erreichbar sein. Typischerweise erfolgt dies im Footer und auch im Checkout-Bereich. Hier findest Du die Dokumentation zu den Shopseiten in Shopware: Shopseiten
Die einzelnen Texte im Checkout oder überall da, wo Du personenbezogene Daten verarbeitest, kannst Du in der Regel über die Textbausteinverwaltung anpassen. Die Testbausteinverwaltung findest Du hier: Textbausteine
Zudem bieten auch die Formulare die Möglichkeit zur Einbindung einer zusätzlichen Checkbox: Formulare - Beispiel Checkbox
Wir weisen Dich darauf hin, dass die Sanktionen bei Nichteinhaltung dieser Informationspflichten gravierend sind. Fehlt eine Datenschutzerklärung, ist die Verarbeitung in der Regel rechtswidrig. Des Weiteren können Bußgelder verhängt werden, Schadensersatz oder ein Unterlassungsanspruch können geltend gemacht werden, sollte die Informationspflichten fehlerhaft erfüllt werden. Zudem können Verbraucherschutzverbände sowie Datenschutzvereine gegen einen Website-Betreiber ohne Datenschutzerklärung vorgehen. Letztlich können auch Abmahnungen durch Mitbewerber drohen.
Wie kann ich die Datenschutzerklärung per Checkbox in der Registrierung verlinken?
Du kannst einfach über die Grundeinstellungen > Storefront > Anmeldung/Registrierung die Option "Datenschutz-Bedingungen müssen über Checkbox akzeptiert werden" aktivieren. Im Registrierungsprozess findest Du dann eine Checkbox, die zusätzlich auf die Datenschutz-Bestimmungen verlinkt. Über den Textbaustein "RegisterLabelDataCheckbox" kannst Du den Text anpassen und auf die jeweilige Shopseite verlinken. Zwingend erforderlich ist eine separate Checkbox jedoch nicht. Es genügt auch ein Hinweis auf die Datenschutzinformationen im Bestellprozess (z.B. „Die Hinweise zum Datenschutz habe ich zur Kenntnis genommen.“), wenn die Datenschutzhinweise dort verlinkt sind.
Kann ich einen Datenschutzhinweis an allen relevanten Stellen einstellen?
Im Zuge der Einführung der DSGVO kann Shopware ab der Version 5.4.3 nun an allen relevanten Stellen einen Datenschutzhinweis anzeigen. Die zugehörige Einstellung findest Du in den Grundeinstellungen unter Weitere Einstellungen > Datenschutz.
Welche personenbezogenen Daten werden von Shopware an Dritte übertragen?
Im Standard von Shopware werden keine Informationen an Dritte übertragen. Durch Erweiterungen kann dies natürlich zusätzlich erfolgen. Setzt Du beispielsweise Paypal in Deinem Shop ein, werden Daten aus dem Shop (die Lieferadresse, die Bestellsumme und der Warenkorb) an Paypal übertragen. Hier gibt es natürlich auch zahlreiche weitere Dienstleister die Daten aus Shopware weiterverarbeiten, falls Du eine solche Erweiterung in Deinem Shop einsetzt. Prominente Beispiele wären hier Zahlungsanbieter, ERP-Systeme und auch Newsletter-Dienstleister. Welche Daten hier an Dritte übertragen werden, erfragst Du am besten beim Hersteller der jeweiligen Erweiterung.
Wie kann ich personenbezogene Daten strukturiert ausgeben lassen?
Import/Export
Die DSGVO sieht vor, dass ein Kunde auf Anfrage die Ihn betreffenden Daten strukturiert vom Shopbetreiber zur Verfügung gestellt bekommt. Shopware bietet hier die Import/Export-Funktion, mit der Du alle relevanten Daten eines Kunden exportieren kannst. Hierzu bietet das Modul bei den relevanten Profilen (Bestellungen, Kunden, Newsletter-Empfänger) die Möglichkeit einen Customer-Stream anzulegen. Du kannst hier bspw. vorab einen Customer-Stream mit dem betroffenen Kunden anlegen und einen Export erzeugen. Dabei solltest Du beachten, dass je nach Registrierung des Kunden (Schnellbesteller oder Kundenkonto) ggf. auch mehr als ein Kundenkonto bestehen kann. Eine Dokumentation über die Export-Möglichkeiten (CSV und XML) findest Du hier: Import / Export
Datenbank
Auch die Datenbank bietet die Möglichkeit, über ein SQL-Querry die Informationen zu einem Kunden ausgeben zu lassen.
Wie kann ich alle personenbezogenen Daten aus meinem Shop löschen?
Alle in diesem Dokument definierten Daten können in der Regel komfortabel über das Backend gelöscht werden. Wenn ein Kunde nun also von Dir die Löschung aller personenbezogenen Daten wünscht, dann kannst Du diese Daten über das Bestell- und Kundenmodul im Backend löschen. Es werden automatisch auch die jeweiligen Verknüpfungen entfernt. Zudem kannst Du über das Newsletter-Modul den Empfänger auch aus der Empfängerliste entfernen. Shopware bietet also ohne Probleme die Möglichkeit, auf Kundenanfrage alle personenbezogenen Daten über das Backend zu entfernen. Ob und wann Du verpflichtet bist, Daten von Kunden zu löschen, ist eine Rechtsfrage, die Du mit Deinem Rechtsbeistand klären solltest. Pauschale Aussagen sind hierzu leider nicht möglich.
FAQ
Inwieweit wird Shopware auf die neue DSGVO vorbereitet?
Seit geraumer Zeit sind wir bei Shopware damit beschäftigt, in Zusammenarbeit mit den bekannten Zertifizierungsstellen sicherzustellen, dass das System den Anforderungen der im Mai wirksam werdenden DSGVO genügt. Dabei hat sich herausgestellt, dass Shopware nach unserem jetzigen Kenntnisstand den Shopbetreibern bereits heute die notwendigen Funktionen bereitstellt, die sie brauchen, um die nötigen Einstellungen vorzunehmen, die die Regeln der DSGVO erfordern. So stellt Shopware etwa bereits in der regulären Endbenutzer-Dokumentation alle erforderlichen Werkzeuge bereit, z.B. auch um personenbezogene Daten wieder aus dem System zu entfernen, was eine Kernforderung der neuen Datenschutz-Grundverordnung ist. Ein besonderes Plugin/Update ist bzgl. der DSGVO nicht geplant.
Werden entsprechende Funktionen automatisch mit SW Updates eingespielt?
Sollte sich die Notwendigkeit der Anpassung unserer Software ergeben, werden wir natürlich eine entsprechende Anpassung per Update bereitstellen.
Die Tutorials sind ab Shopware 5.4.3 hinfällig, da die Funktion ab diesem Zeitpunkt im Core von Shopware vorhanden ist. Hierzu findest du in den Grundeinstellungen den Punkt "Datenschutz".
Wie kann ich in der Newsletter-Registrierung auf die Datenschutz-Bestimmungen verweisen?
An allen Stellen die personenbezogene Daten verarbeiten, solltest Du einen Hinweis auf die Datenschutzbestimmungen platzieren. Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in Deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Umsetzung
Für die Umsetzung der Änderungen musst Du in deinem Theme zwei kleine Änderungen durchführen:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/index/footer-navigation.tpl folgenden Code:
{extends file="parent:frontend/index/footer-navigation.tpl"}
{block name="frontend_index_footer_column_newsletter_form"}
{$smarty.block.parent}
{s name="IndexFooterNewsletterPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}
{/block}
Im Anschluss ergänzt du noch in der Datei: /themes/Frontend/DeinTheme/frontend/newsletter/index.tpl den nachfolgenden Code:
{extends file="parent:frontend/newsletter/index.tpl"}
{block name="frontend_newsletter_form_submit"}
{s name="IndexFooterNewsletterPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}
{$smarty.block.parent}
{/block}
Nachdem Du die Änderungen durchgeführt hast, musst Du einmal dein Theme kompilieren, damit die Änderungen im Frontend angezeigt werden.
Sofern die Datei in Deinem Theme noch nicht enthalten ist, musst Du diese im angegebenen Pfad selbst anlegen.
Mit dieser Anpassung wird ein neuer Textbaustein IndexFooterNewsletterPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Anpassung
Der hinzugefügte Hinweis (1) unterhalb der Newsletter-Registrierung im Footer.
Der Hinweis (1) am Ende des Newsletter-Formulars.
Wie kann ich in der Registrierung auf die Datenschutz-Bestimmungen verweisen?
Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Umsetzung
Für die Umsetzung der Änderungen musst Du in deinem Theme eine Änderungen durchführen:
In der Datei: /themes/Frontend/DeinTheme/frontend/register/index.tpl ergänzt Du hierzu einfach den nachfolgenden Code. Ist die Datei in Deinem Theme noch nicht vorhanden, musst Du sie manuell anlegen:
{extends file="parent:frontend/register/index.tpl"}
{block name='frontend_register_index_form_submit'}
<div class="register--privacy">
{s name="RegisterPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}
</div>
{$smarty.block.parent}
{/block}
Alternativ kannst Du in den Grundeinstellungen auch die Checkbox für die Datenschutz-Bestimmungen unter Einstellungen > Grundeinstellungen > Weitere Einstellungen > Datenschutz > Datenschutz-Bediungungen müssen über Checkbox akzeptiert werden: aktivieren.
Mit dieser Anpassung wird ein neuer Textbaustein RegisterPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Anpassung
Der nach den Änderungen neu hinzugefügte Hinweis (1).
Wie kann ich in den Formularen auf die Datenschutz-Bestimmungen verweisen?
Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in Deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Umsetzung
Für die Umsetzung der Änderungen musst Du in deinem Theme eine Änderungen durchführen:
In der Datei: /themes/Frontend/DeinThemefrontend/forms/form-elements.tpl ergänzt Du hierzu einfach den nachfolgenden Code. Ist die Datei in Deinem Theme noch nicht vorhanden, musst Du sie manuell anlegen:
{extends file="parent:frontend/forms/form-elements.tpl"}
{block name='frontend_forms_form_elements_form_submit'}
{s name="SupportPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}
{$smarty.block.parent}
{/block}
Nachdem Du die Änderungen durchgeführt hast, musst Du einmal dein Theme kompilieren, damit die Änderungen im Frontend angezeigt werden.
Mit dieser Anpassung wird ein neuer Textbaustein SupportPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Umsetzung
Der nach den Änderungen neu hinzugefügte Hinweis (1).
Checkbox statt Hinweistext einblenden
Alternativ kannst du eine Checkbox im Formular einbauen, welche angehakt werden muss, um das Formular abzusenden, dazu gehst Du wie folgt vor:
Erstelle das Feld (1) im Formular:
Wenn du möchtest, dass die Checkbox initial deaktiviert ist, dann trage bei "Optionen" eine "1" ein.
Zur Bestätigung kannst Du Dir den Wert der Eingabe auch in der eMail ausgeben lassen (1):
Im Frontend sieht das Ergebnis (1) dann wie folgt aus:
Wie kann ich in den Artikelbewertungen auf die Datenschutz-Bestimmungen verweisen?
An allen Stellen die personenbezogene Daten verarbeiten, solltest Du einen Hinweis auf die Datenschutzbestimmungen platzieren. Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in Deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Textbaustein
Für die Umsetzung der Änderungen musst Du in deinem Theme eine kleine Änderungen durchführen:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/detail/comment/form.tpl folgenden Code:
{extends file="parent:frontend/detail/comment/form.tpl"}
{block name='frontend_detail_comment_input_actions'}
<p>{s name="CommentPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</p>
{$smarty.block.parent}
{/block}
Nachdem Du die Änderungen durchgeführt hast, musst Du einmal dein Theme kompilieren, damit die Änderungen im Frontend angezeigt werden.
Sofern die Datei in Deinem Theme noch nicht enthalten ist, musst Du diese im angegebenen Pfad selbst anlegen.
Mit dieser Anpassung wird ein neuer Textbaustein CommentPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Anpassung
Checkbox
Alternativ kannst du auch eine Checkbox einbauen. Hier ein Beispiel für die Checkbox:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/detail/comment/form.tpl folgenden Code:
{extends file="parent:frontend/detail/comment/form.tpl"}
{block name='frontend_detail_comment_input_actions'}
<p>
<input name="comment-checkbox" type="checkbox" id="commentcheckbox" required="required" aria-required="true" value="1" class="chkbox is--required" />
<label for="commentcheckbox" class="chklabel">{s name="CommentPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</label>
</p>
{$smarty.block.parent}
{/block}
Frontend nach der Anpassung
Tipps und Tricks
Unter gewissen Umständen, kann es notwendig sein einzelne personenbezogene Daten erst garnicht zu erheben. Möchtest du bspw. die E-Mail-Adresse des Kunden nicht speichern, reicht ein einfaches deaktivieren des Double-Opt-In Verfahrens. Dies kannst du in den Grundeinstellungen unter Storefront > E-Mail-Einstellungen > Double-Opt-In für Artikelbewertungen deaktivieren.
Wie kann ich in den Blog-Kommentaren auf die Datenschutz-Bestimmungen verweisen?
Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in Deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Textbaustein
Für die Umsetzung der Änderungen musst Du in deinem Theme eine kleine Änderungen durchführen:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/blog/comment/form.tpl folgenden Code:
{extends file="parent:frontend/blog/comment/form.tpl"}
{block name='frontend_blog_comments_input_submit'}
<p>{s name="BlogPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</p>
{$smarty.block.parent}
{/block}
Nachdem Du die Änderungen durchgeführt hast, musst Du einmal dein Theme kompilieren, damit die Änderungen im Frontend angezeigt werden.
Sofern die Datei in Deinem Theme noch nicht enthalten ist, musst Du diese im angegebenen Pfad selbst anlegen.
Mit dieser Anpassung wird ein neuer Textbaustein BlogPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Anpassung
Checkbox
Alternativ kannst du auch eine Checkbox einbauen. Hier ein Beispiel für die Checkbox:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/blog/comment/form.tpl folgenden Code:
{extends file="parent:frontend/blog/comment/form.tpl"}
{block name='frontend_blog_comments_input_submit'}
<p>
<input name="blog-checkbox" type="checkbox" id="blogcheckbox" required="required" aria-required="true" value="1" class="chkbox is--required" />
<label for="blogcheckbox" class="chklabel">{s name="CommentPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</label>
</p>
{$smarty.block.parent}
{/block}
Frontend nach der Anpassung
Tipps und Tricks
Unter gewissen Umständen, kann es notwendig sein einzelne personenbezogene Daten erst garnicht zu erheben. Möchtest du bspw. die E-Mail-Adresse des Kunden bei Blog-Kommentaren nicht speichern, reicht ein einfaches deaktivieren des Double-Opt-In Verfahrens. Dies kannst du in den Grundeinstellungen unter Storefront > E-Mail-Einstellungen > Double-Opt-In für Artikelbewertungen deaktivieren.
Wie kann ich in der E-Mail-Benachrichtigung bei nicht verfügbaren Artikeln auf die Datenschutz-Bestimmungen verweisen?
An allen Stellen die personenbezogene Daten verarbeiten, solltest Du einen Hinweis auf die Datenschutzbestimmungen platzieren. Hier findest Du ein kleines Tutorial, wie Du einen solchen Hinweis in Deinem Theme einbauen kannst. Als Basiswissen solltest Du dir das Tutorial zur Anpassung von Themes ansehen: Tutorial - Änderungen am Template vornehmen
Textbaustein
Für die Umsetzung der Änderungen musst Du in deinem Theme eine kleine Änderungen durchführen:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/plugins/notification/index.tpl folgenden Code:
{extends file="parent:frontend/plugins/notification/index.tpl"}
{block name='frontend_detail_index_notification_button'}
{$smarty.block.parent}
<p>{s name="NotificationPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</p>
{/block}
Nachdem Du die Änderungen durchgeführt hast, musst Du einmal dein Theme kompilieren, damit die Änderungen im Frontend angezeigt werden.
Sofern die Datei in Deinem Theme noch nicht enthalten ist, musst Du diese im angegebenen Pfad selbst anlegen.
Mit dieser Anpassung wird ein neuer Textbaustein NotificationPrivacy angelegt, der auch über das Backend bearbeitet werden kann. Die Verlinkung im Textbaustein verweist auf die Standard-Shopseite "Datenschutz", falls Du eine eigene Shopseite nutzt, muss der Link entsprechend angepasst werden.
Frontend nach der Anpassung
Checkbox
Alternativ kannst du auch eine Checkbox einbauen. Hier ein Beispiel für die Checkbox:
Zunächst ergänzt Du in der Datei: /themes/Frontend/DeinTheme/frontend/plugins/notification/index.tpl folgenden Code:
{extends file="parent:frontend/plugins/notification/index.tpl"}
{block name='frontend_detail_index_notification_button'}
{$smarty.block.parent}
<p>
<input name="notification-checkbox" type="checkbox" id="notificationcheckbox" required="required" aria-required="true" value="1" class="chkbox is--required" />
<label for="notificationcheckbox" class="chklabel">{s name="NotificationPrivacy"}Die <a title="Datenschutzbestimmungen" href="{url controller=custom sCustom=7}">Datenschutzbestimmungen</a> habe ich zur Kenntnis genommen{/s}</label>
</p>
{/block}
Frontend nach der Anpassung
Tipps und Tricks
Unter gewissen Umständen, kann es notwendig sein einzelne personenbezogene Daten erst garnicht zu erheben. Möchtest du bspw. die E-Mail-Adresse des Kunden nicht speichern, reicht ein einfaches deaktivieren des Double-Opt-In Verfahrens. Diese Optionen kannst du in den Grundeinstellungen unter Storefront > E-Mail-Einstellungen einstellen.