DSGVO

Am 25. Mai 2018 wird die europäische Datenschutz-Grundverordnung (DSGVO) wirksam und löst nationale Regelungen ab. Gültigkeit hat die DSGVO für alle Unternehmen und Institutionen, die in der EU tätig sind und mit personenbezogenen Daten, wie Namen, Adressen, Bankdaten und Geburtstagen arbeiten. Die Vereinheitlichung der Verarbeitung von personenbezogenen Daten zielt vor allem auf bessere Transparenz im Umgang mit Verbraucherdaten und einem erweiterten Schutz dieser Daten ab. Dieser Wiki-Artikel soll Dir eine kurze Zusammenfassung über die Verarbeitung von personenbezogenen Daten in Shopware 6 geben, damit Du die benötigten Dokumentationen (bspw. das Verzeichnis von Verarbeitungstätigkeiten oder kurz VVT) oder die Datenschutzerklärung für eine Shopware-Instanz besser erstellen kannst. Da die Umsetzung der DSGVO von Unternehmen zu Unternehmen unterschiedlichste Ausmaße annimmt, solltest Du bei der Umsetzung in Deinem Shop stets Rücksprache mit Deinem Rechtsbeistand halten, um hier alle Anforderungen zu erfüllen. Einen allgemeinen Überblick über die Inhalte der DSGVO könnt ihr euch in unserem Whitepaper verschaffen.
 

Welche personenbezogenen Daten werden in Shopware 6 verarbeitet und gespeichert?

In diesem Punkt möchten wir Dir aufzeigen, welche personenbezogenen Daten direkt in Shopware 6 verarbeitet werden. Als eCommerce-System ist es natürlich zwingend notwendig, Daten des Kunden zu verarbeiten um bspw. Lieferadressen aufzunehmen. Hier solltest Du beachten, dass natürlich nicht nur die Software selbst an der Verarbeitung beteiligt ist, sondern auch die dahinterliegende Hardware. Da das jeweilige Setup Deines Hosters stark individuell ist, solltest Du ggf. auch mit diesem klären, inwieweit dort die Kommunikation stattfindet (bspw. bei einem getrennten Datenbankserver, wo die Applikation über ein Netzwerk mit der Datenbank kommuniziert). Hier soll es rein um die softwareseitige Verarbeitung dieser Daten in Shopware 6 gehen.

Dieser Punkt ist bewusst erstmal sehr allgemein gehalten. Shopware 6 selbst speichert unterschiedlichste Daten, die entweder einen direkten Bezug (= personenbezogen) oder keinen direkten Bezug (= anonymisiert) zum Benutzer haben. Anonymisierte Daten sind keine personenbezogenen Daten und fallen nicht unter die DSGVO, sodass hierfür keine besonderen Maßnahmen zu treffen sind.

Pseudonymisierte Daten, die man z.B. über eine Kennziffer einer Person zuordnen kann (z.B. über die Bankverbindung, eine Kundennummer oder eine Bestellnummer) sind wieder personenbezogene Daten, auch wenn nicht sofort erkennbar ist, wer die Person ist.

Die personenbezogenen Daten werden immer dann benötigt, wenn Shopware 6 eine Eingabe des Kunden entgegennimmt oder der Shopbetreiber mit diesen Daten arbeiten muss. Dies kann zum einen die Registrierung oder Bewertungsfunktion im Frontend sein, aber auch die Verarbeitung von Bestellungen über das Backend. Natürlich können auch über die RestAPI mit Autorisierung personenbezogene Daten abgeholt werden. Zudem werden natürlich auch anonymisierte Daten erfasst um bspw. Artikelempfehlungen ("Kunden kauften auch", "Kunden haben sich ebenfalls angesehen“, ...) und Statistiken im Backend ausspielen zu können. Da man bei den unzähligen Funktionen von Shopware 6 schnell den Überblick verliert, möchten wir Dir hier auflisten, welche Daten in Shopware gespeichert werden.

Diese Liste kann unvollständig sein. Plugins sind in der Lage die Datenhaltung zu erweitern und weitgehende Bereiche in Shopware 6 zu erweitern. Ob Du weitere personenbezogene Daten verarbeitest, musst Du individuell in Deinem Shop evaluieren!

Die DSGVO definiert in Art. 4 Nr. 1 DSGVO personenbezogene Daten wie folgt: „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person, identifiziert werden kann.“

Kundendaten

Um eine Bestellung und weitere Handlungen im Shop durchführen zu können, benötigt der Kunde ein Kundenkonto. Dies enthält unter anderem die Adressdaten, aber auch weitere personenbezogene Informationen, je nachdem was Du in Deinen Einstellungen konfiguriert hast. Eine Abfrage von Geburtsdatum ist ebenso denkbar, wie die Angabe des Firmennamens. Hier solltest Du konkret die Registrierung Deines Shops prüfen, damit Du einen Überblick erhältst, welche Daten Du vom Kunden sammelst. In der Datenbank von Shopware 6 beginnen alle Tabellen die Kundendaten enthalten mit dem Kürzel "customer*". Aber auch im Admin kannst Du diese Daten natürlich einsehen, indem Du unter Kunden > Übersicht, den jeweiligen Kunden öffnest.

Bestellungen

Das Herzstück eines jeden Onlineshops ist natürlich der Checkout. Um eine Bestellung in Shopware auslösen zu können, benötigt der Kunde natürlich zunächst ein Kundenkonto. All diese Informationen werden auch zusammen in der Bestellung gespeichert. Dazu kommen die Produkte die der Kunde in Deinem Shop erwirbt und auch die IP-Adresse des Kunden. Darüber hinaus wird auch der Referrer - also die Quelle, über die der Kunde auf Deinen Shop gelangt ist, mitgespeichert. Alle relevanten Informationen kannst Du über den Admin unter Bestellungen > Übersicht einsehen, sowie in der Datenbank in den Tabellen mit dem Kürzel "order*"

IP-Adressen

Wie oben bereits erwähnt, werden die IP-Adressen zu einzelnen Bestellungen gespeichert. Darüber hinaus findest Du eine Auflistung von Bereichen, in denen eine IP-Adresse gespeichert wird, in diesem Dokument: Werden IP-Adressen in Shopware gespeichert?

Newsletter

Wie viele andere Systeme auch, bietet Shopware 6 eine Funktion zur Newsletter-Registrierung. Hier findet sich bspw. das Formular im Footer des Shops oder im Benutzerkonto des Kunden. Eine Dokumentation zum Newsletter und welche Daten hier erfasst werden findest Du hier: Newsletter

Alle Informationen, die der Kunde im Frontend hinterlegt, findest Du im Shopware Admin im Bereich "Marketing > Newsletter-Empfänger. In der Datenbank wird die Tabelle newsletter_recipient zur Speicherung der Daten genutzt.

Formulare

Die Formulare in Shopware 6 versenden eine Mail, mit den von Kunden eingegebenen Daten, an die in den Erlebniswelten für das Formular hinterlegte Adresse. Im Standard werden hier die Anrede, der Name und Nachname, sowie die E-Mail Adresse und die Telefonnummer abgefragt.

Bewertungen

Auf der Artikeldetailseite bietet Shopware die Möglichkeit eine Produktbewertung abzugeben. Eine Bewertung kann nur angemeldet abgegeben werden und ist somit mit dem Kundenkonto verknüpft. Die getätigten Bewertungen können im Backend unter Kataloge > Bewertungen eingesehen, gelöscht oder freigegeben werden. Hier findest Du eine Dokumentation zur Bewertungsfunktion in Shopware: Bewertungen
 

Shopware Admin

Die Adminoberfläche ist eine kleine Besonderheit in diesem Bereich, da man dort natürlich ebenfalls Kundendatensätze einsehen und anlegen kann, aber auch Administrationsbenutzer, die ebenfalls mit einer Mailadresse verknüpft sind. Der Admin verarbeitet also nicht nur die Daten der Kunden in Deinem Shop, sondern auch ein Stück weit die Daten Deiner Mitarbeiter. Die Benutzerverwaltung des Admins kannst Du unter Einstellungen > Benutzerverwaltung konfigurieren. Es gibt ebenfalls die Möglichkeit einzelne Bereiche des Backends zu beschränken oder den Zugriff nur lesend zu erlauben. Eine Dokumentation zu Rechten und Rollen im Admin findest Du hier: Benutzerverwaltung

API

Wenn Du weitere Systeme, wie bspw. ein ERP angeschlossen hast, kommuniziert dieses mit dem Shop. Das geschieht entweder über ein installiertes Plugin oder die API. Die Benutzer der API werden in der Regel über die Administration angelegt. Hier findest Du eine Auflistung von Daten, die Du über die Rest-API erhalten kannst: API

Welche Informationen werden verschlüsselt übertragen?

Die verschlüsselte Übertragung von Daten erfolgt im Regelfall über das HTTPs-Protokoll. Um dies in Deinem Shop nutzen zu können, benötigst Du zunächst ein gültiges SSL-Zertifikat, welches auf Deinem Server eingerichtet werden muss. Im Anschluss kannst Du die SSL Verschlüsselung für Deinen Shop verwenden, indem Du dem Verkaufskanal eine HTTPS Domain zuweist. 
Hier muss generell zwischen der verschlüsselten Übertragung von Daten und der verschlüsselten Speicherung unterschieden werden. Wir empfehlen grundsätzlich den Shop per HTTPs zu betreiben, damit alle personenbezogenen Daten per HTTPs verschlüsselt übertragen werden. Die Speicherung dieser Daten erfolgt dann in den jeweiligen Datenbank-Tabellen. Die Daten an sich sind nur dann verschlüsselt, wenn dies erforderlich ist, z.B. das Benutzerkennwort.

Welche Informationen werden im Browser des Nutzers gespeichert?

Ob das Setzen von Cookies, die technisch für den Betrieb des Shops nicht erforderlich sind, ein Opt-in notwendig ist oder nicht, ist zwischen Juristen strittig. Wir empfehlen, mindestens eine der etablierten Lösungen für die datenschutzrechtliche Information über Cookies umzusetzen. Mehr Informationen dazu findest Du unter www.cookiechoices.org; bitte nimm hierzu mit deinem Rechtsbeistand Rücksprache.

Shopware selbst bietet bereits im Standard die Möglichkeit den Cookie-Hinweis zu aktivieren.

Cookies (Session, CSRF)

Shopware speichert Cookies im Browser des Besuchers um die Grundfunktionen des Shops zu gewährleisten. Anhand der Cookies wird bspw. der Warenkorbinhalt, der Login-Zustand und auch der CSRF-Schutz ermöglicht. Ohne Cookies im Browser zugelassen zu haben, kann Shopware nicht benutzt werden. WICHTIG: Shopware speichert stets nur IDs im Browser des Kunden, die Zuweisung zu den jeweiligen Informationen erfolgen im Bereich der Applikation.

Session

Anhand des Session-Cookies entscheidet Shopware, ob der jeweilige User einen aktiven Warenkorb besitzt und ob der User eingeloggt ist. Er dient also als Identifikation zwischen Browser und Server. Es werden keine weiteren Informationen bis auf die Session-ID im Browser gespeichert. Der Umgang mit Sessions wird serverseitig über PHP gesteuert und ist unabhängig von Shopware zu sehen.

CSRF

Darüber hinaus erzeugt Shopware einen individuellen CSRF-Cookie bei Besuch des Shops, damit der Kunde die einzelnen Bereiche des Shops bedienen kann. Hier findest Du Informationen zum CSRF-Schutz: CSRF-Protection

Timezone

In der Datenbank ist eine feste Zeit eingestellt, die mit Hilfe des Timezone-Cookies entsprechend der Zeitzone des Benutzers umgerechnet wird. Somit wird dem Benutzer immer die für ihn korrekte Zeit angezeigt. Der Cookie wird sowohl für Frontend- als auch für Admin-Funktionen gesetzt.

Welche IP-Adressen werden gespeichert?

Im Shopware Standard werden IP-Adressen hinterlegt. Dies dient zur eindeutigen Identifikation des Benutzers im Shop. Es werden im Standard von Shopware an vier Stellen IP-Adressen gespeichert.

order_customer

In jeder Bestellung wird die IP Adresse des Kunden gespeichert. Im Standard wird die im Admin nicht angezeigt oder verwendet. In der Datenbank Tabelle order_customer wird diese aber gespeichert.

customer

In der Tabelle customer wird die IP Adresse der letzten Bestellung hinterlegt. Auch diese Adresse wird im Standard im Admin nicht angezeigt oder verwendet.   

log_entry

In der Tabelle log_entry werden alle Aktivitäten von Backend-Benutzern hinterlegt. Anhand dieser Tabelle kann z.B nachvollzogen werden wann Änderungen vorgenommen worden sind. Diese kannst Du dann ggf. einer Person anhand der IP-Adresse zuordnen.

version_commit_data

In der Datenbank Tabelle version_commit_data werden Daten zur aktuellen Nutzung gespeichert. Hier werden beispielsweise notwendige Daten hinterlegt, die benötigt werden, während eine Bestellung in Bearbeitung ist. Hier wird auch die IP-Adresse von Besuchern und Kunden hinterlegt.

Wie kann ich die Datenschutzerklärung in meinen Shop einbinden?

Auch nach der DSGVO ist für Websites eine Datenschutzerklärung erforderlich. So ist nun über die zu Grunde gelegten Rechtsgrundlagen ebenso zu informieren, wie über die Erforderlichkeit für einen Vertragsabschluss oder ob eine andere Verpflichtung zur Bereitstellung der Daten besteht. Es ist zudem notwendig, dass Du in der Datenschutzerklärung darüber informierst, wie Du mit personenbezogenen Daten umgehst. Die Datenschutzerklärung kann dabei bspw. eine Erlebnisweltseite sein, die Du in den relevanten Bereichen Deines Shops verlinkst. Wichtig hierbei ist, dass Du diese Informationen „bei Erhebung“ der personenbezogenen Daten gibst. Daher sollte die Datenschutzerklärung regelmäßig mit nur einem Klick erreichbar sein. Im Standard ist bereits eine Erlebniswelt Datenschutz vorbereitet, welche bereits an den notwendigen Stellen wie im Checkout oder in Formularen verlinkt ist. Unter Einstellungen-> Shop > Stammdaten kannst DU aber auch eine eigene Erlebniswelt auswählen. 
Hier findest Du die Dokumentation zu den Erlebniswelten in Shopware: Erlebniswelten 

Wir weisen Dich darauf hin, dass die Sanktionen bei Nichteinhaltung dieser Informationspflichten gravierend sind. Fehlt eine Datenschutzerklärung, ist die Verarbeitung in der Regel rechtswidrig. Des Weiteren können Bußgelder verhängt werden, Schadensersatz oder ein Unterlassungsanspruch können geltend gemacht werden, sollte die Informationspflichten fehlerhaft erfüllt werden. Zudem können Verbraucherschutzverbände sowie Datenschutzvereine gegen einen Website-Betreiber ohne Datenschutzerklärung vorgehen. Letztlich können auch Abmahnungen durch Mitbewerber drohen.

Welche personenbezogenen Daten werden von Shopware an Dritte übertragen?

Im Standard von Shopware werden keine Informationen an Dritte übertragen. Durch Erweiterungen kann dies natürlich zusätzlich erfolgen. Setzt Du beispielsweise PayPal in Deinem Shop ein, werden Daten aus dem Shop (die Lieferadresse, die Bestellsumme und der Warenkorb) an PayPal übertragen. Hier gibt es natürlich auch zahlreiche weitere Dienstleister die Daten aus Shopware weiterverarbeiten, falls Du eine solche Erweiterung in Deinem Shop einsetzt. Prominente Beispiele wären hier Zahlungsanbieter, ERP-Systeme und auch Newsletter-Dienstleister. Welche Daten hier an Dritte übertragen werden, erfragst Du am besten beim Hersteller der jeweiligen Erweiterung.

Shopware 6 stellt einen Cookie Consent Manager bereit, in dem alle im Shopware-Standard verwendeten Cookies eingebunden sind. Außerdem werden auch die durch Shopware-Plugins genutzten Cookies hinzugefügt, sobald ein entsprechendes Plugin genutzt wird.

Der Consent Manager ist so programmiert, dass Du auch Cookies von eigenen Plugins einbinden kannst. Dies wird Dir in der Entwickler-Dokumentation näher erläutert.

Häufige Fragen

Ist ein Logging der Kundeneinwilligung erforderlich?
Die Datenschutzkonferenz (Zusammenschluss der deutschen Datenschutzaufsichtsbehörden) hat im April 2019 eine „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) herausgegeben, die im hier relevanten Teil auch noch aktuell ist.
Dort heißt es auf S. 10: „Zur Erfüllung der Nachweispflichten des Art. 7 Abs. 1 DSGVO ist es gem. Art. 11 Abs. 1 DSGVO nicht erforderlich, dass die Nutzer dazu direkt identifiziert werden. Eine indirekte Identifizierung (vgl. Erwägungsgrund 26) ist ausreichend. Damit die Entscheidung des Nutzers für oder gegen eine Einwilligung bei einem weiteren Aufruf der Website berücksichtigt wird und das Banner nicht erneut erscheint, kann deren Ergebnis auf dem Endgerät des Nutzers ohne Verwendung einer User-ID o. ä. vom Verantwortlichen gespeichert werden. Durch ein solches Verfahren kann der Nachweis einer vorliegenden Einwilligung erbracht werden.“

Wie kann der Anwender nachträglich seine Cookie Einstellungen ändern? 
Im Servicemenü oder Footermenü kannst Du dem Anwender einen Link zur Verfügung stellen. Lege hierzu eine weitere Kategorie an, die Du im Service oder Footermenü anzeigen lässt. Eine genaue Beschreibung wie Du die neue Kategorie zu deinem Footer oder Servicemenü hinzufügst, findest Du hier.
Wähle als Kategorietyp der neuen Kategorie Link und Extern für den Linktyp unter Benutzerdefinierter Link. Gib im Bereich Linkziel Folgendes ein:


/cookie/offcanvas

Anschließend kann der Cookie Consent Manager über diesen Link im Footer oder Service Menü jederzeit erneut geöffnet werden. 

Wie kann ich personenbezogene Daten strukturiert ausgeben lassen?

Import/Export

Die DSGVO sieht vor, dass ein Kunde auf Anfrage die Ihn betreffenden Daten strukturiert vom Shopbetreiber zur Verfügung gestellt bekommt. Shopware bietet hier die Import/Export-Funktion, mit der Du alle relevanten Daten eines Kunden exportieren kannst. Dabei solltest Du beachten, dass je nach Registrierung des Kunden (Schnellbesteller oder Kundenkonto) ggf. auch mehr als ein Kundenkonto bestehen kann. Eine Dokumentation über die Export-Möglichkeiten (CSV und XML) findest Du hier: Import / Export

Datenbank

Auch die Datenbank bietet die Möglichkeit, über ein SQL-Query die Informationen zu einem Kunden ausgeben zu lassen. Alle Kundenspezifischen Daten befinden sich dabei in den Tabellen, die mit customer* beginnen. 

Wie kann ich alle personenbezogenen Daten aus meinem Shop löschen?

Alle in diesem Dokument definierten Daten können in der Regel komfortabel über den Shopware Admin gelöscht werden. Wenn ein Kunde nun also von Dir die Löschung aller personenbezogenen Daten wünscht, dann kannst Du diese Daten über das Kundenmodul im Admin löschen. Es werden automatisch auch die jeweiligen Verknüpfungen entfernt. Zudem kannst Du über das Newsletter-Modul den Empfänger auch aus der Empfängerliste entfernen. Shopware bietet also ohne Probleme die Möglichkeit, auf Kundenanfrage alle personenbezogenen Daten über den Admin zu entfernen. Ob und wann Du verpflichtet bist, Daten von Kunden zu löschen, ist eine Rechtsfrage, die Du mit Deinem Rechtsbeistand klären solltest. Pauschale Aussagen sind hierzu leider nicht möglich.

FAQ

Inwieweit wird Shopware auf die neue DSGVO vorbereitet?

Seit geraumer Zeit sind wir bei Shopware damit beschäftigt, in Zusammenarbeit mit den bekannten Zertifizierungsstellen sicherzustellen, dass das System den Anforderungen der DSGVO genügt. Dabei hat sich herausgestellt, dass Shopware nach unserem jetzigen Kenntnisstand den Shopbetreibern die notwendigen Funktionen bereitstellt, die sie brauchen, um die nötigen Einstellungen vorzunehmen, die die Regeln der DSGVO erfordern. So stellt Shopware etwa bereits in der regulären Endbenutzer-Dokumentation alle erforderlichen Werkzeuge bereit, z.B. auch um personenbezogene Daten wieder aus dem System zu entfernen, was eine Kernforderung der neuen Datenschutz-Grundverordnung ist. Ein besonderes Plugin/Update ist bzgl. der DSGVO nicht geplant.

Werden entsprechende Funktionen automatisch mit SW Updates eingespielt?

Sollte sich die Notwendigkeit der Anpassung unserer Software ergeben, werden wir natürlich eine entsprechende Anpassung per Update bereitstellen.

Wie kann ich in der Registrierung auf die Datenschutz-Bestimmungen verweisen?

In der Registrierung der Neukunden wird über den Textbaustein general.privacyNotice auf die Datenschutz-Bestimmungen verwiesen. Im Standard verlinkt dieser bereits zu der Shopseite Datenschutz-Bestimmungen aus den Erlebniswelten. 

Wie kann ich in den Formularen auf die Datenschutz-Bestimmungen verweisen?

Wenn Du Formulare anlegst, in dem Kundendaten abgefragt werden, wird automatisch eine Checkbox hinzugefügt, welche auf die Datenschutz-Bestimmungen verweist.

In der Footer Navigation werden die Kategorien angezeigt, die Du in der Verkaufskanal Konfiguration für diesen Zweck auswählst.

Unter Kataloge>Kategorien fügst Du dann unterhalb der Kategorie, welche Du als Einstiegspunkt für die Footernavigation gewählt hast eine Kategorie hinzu, welche als Überschrift dient. Darunter fügst Du eine weitere Kategorie hinzu und nennst diese beispielsweise Datenschutz.

In der Kategorie-Konfiguration der Kategorie Datenschutz wählst Du dann im Bereich Layout-Zuweisung das Layout Datenschutz aus den Erlebniswelten hinzu. Wenn Du nun die Datenschutz Kategorie und alle Kategorien oberhalb dieser Kategorie aktivierst, wird der Menüpunkt Datenschutz im Footermenü angezeigt. 

Was passiert mit Warenkörben aus abgebrochenen Bestellungen?

Shopware speichert die Warenkörbe der Shopbesucher für eine spätere Wiederherstellung. Darin enthalten sind die Warenkörbe der Gastbesteller / Besucher ebenso wie die gespeicherten Warenkörbe der Shopkunden. Die meisten davon werden durch den Abschluss des Bestellvorgangs entfernt, abgebrochene Warenkörbe bleiben jedoch erhalten. Shopware löscht diese in regelmäßigen Intervallen. Per Standard werden alle Warenkörbe entfernt, die älter als 120 Tage sind. 

Du kannst diesen Zeitraum anpassen. Dafür lege die Datei shopware.yaml im Verzeichnis config/packages/ an. Mit diesem Inhalt kannst Du festlegen, nach vielen Tagen ein gespeicherte Warenkorb gelöscht werden soll:


shopware:
  cart:
    expire_days: 1

Beachte bitte, dass diese Einstellung natürlich auch die Dauer verändert, mit der gespeicherte Warenkörbe Deiner registrierten Kunden wiederhergestellt werden können.

War dieser Artikel hilfreich?