GDPR-Konformität für PrestaShop — Was Shop-Betreiber wirklich brauchen

Haftungsausschluss: Dieser Leitfaden bietet allgemeine Informationen zur DSGVO-Konformität für PrestaShop-Shopbetreiber. Er stellt keine Rechtsberatung dar. Das Datenschutzrecht variiert je nach Rechtsordnung und unterliegt der Auslegung durch Aufsichtsbehörden und Gerichte. Wenden Sie sich an einen qualifizierten Rechtsanwalt für eine auf Ihre Situation, Ihr Land und Ihr Geschäftsmodell zugeschnittene Beratung.

Was die DSGVO tatsächlich verlangt (einfach erklärt)

Die Datenschutz-Grundverordnung klingt beängstigend. Das Dokument umfasst 88 Seiten, ist voller Juristendeutsch, und die Bußgelder reichen bis zu 20 Millionen Euro. Kein Wunder, dass Shopbetreiber in Panik geraten.

Aber hier ist der entscheidende Punkt — das meiste, was die DSGVO verlangt, ist schlicht ein respektvoller Umgang mit Kundendaten. Wenn Sie bereits ein anständiger Shopbetreiber sind, der Kundeninformationen nicht missbraucht, sind Sie wahrscheinlich zu 70 % konform, ohne es bewusst anzustreben. Dieser Leitfaden behandelt die restlichen 30 % — die praktischen Schritte, die Sie unternehmen müssen, um Ihren PrestaShop-Shop DSGVO-konform zu machen.

Die Kernidee

Die DSGVO lässt sich auf ein Prinzip reduzieren: Die Menschen sind Eigentümer ihrer personenbezogenen Daten, nicht Sie. Sie leihen sich diese Daten, um Ihr Geschäft zu betreiben, und müssen verantwortungsvoll damit umgehen. Das bedeutet:

Informieren Sie die Menschen darüber, was Sie erfassen und warum — kein verstecktes Tracking, keine geheime Datenerhebung
Erfassen Sie nur, was Sie tatsächlich benötigen — wenn Sie das Geburtsdatum nicht brauchen, um Schuhe zu verkaufen, fragen Sie nicht danach
Holen Sie eine ordnungsgemäße Einwilligung ein — „Wir verwenden Cookies, klicken Sie auf OK“ reicht nicht mehr aus
Lassen Sie die Menschen ihre Daten einsehen, berichtigen und löschen — wenn jemand aussteigen möchte, lassen Sie es zu
Schützen Sie die Daten — wenn Sie sie erfassen, müssen Sie sie auch schützen
Bewahren Sie Daten nicht länger als nötig auf — Daten abgebrochener Warenkörbe aus dem Jahr 2018 aufzubewahren, ist nicht notwendig

Gilt die DSGVO für Sie?

Ja. Fast mit Sicherheit ja.

Die DSGVO gilt, wenn:

Ihr Unternehmen in der EU oder im EWR ansässig ist
Sie Produkte oder Dienstleistungen an Personen in der EU verkaufen (auch wenn Ihr Unternehmen in den USA, Brasilien, Indien oder anderswo sitzt)
Sie das Verhalten von Personen in der EU überwachen (Analytics, Tracking, Profiling)

Wenn Sie Euro akzeptieren, Versand in EU-Länder anbieten oder Ihre Website in einer EU-Sprache verfügbar ist — gilt die DSGVO für Sie. Die Verordnung zielt auf den Schutz der Daten von EU-Bürgern ab, unabhängig davon, wo das Unternehmen, das diese Daten verarbeitet, seinen Sitz hat.

Verschwenden Sie keine Zeit damit herauszufinden, ob die DSGVO für Sie gilt. Wenn Sie einen Onlineshop betreiben, der von Europa aus erreichbar ist, halten Sie sich einfach daran. Die Kosten für die Einhaltung sind weit geringer als die Kosten für die Nichteinhaltung — und die meisten Anforderungen sind ohnehin gute Geschäftspraktiken.

Was zählt als personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die eine Person direkt oder indirekt identifizieren können. Im Kontext eines PrestaShop-Shops umfasst dies:

Offensichtliches: Name, E-Mail-Adresse, Telefonnummer, Postanschrift, Geburtsdatum
Bestelldaten: was bestellt wurde, wann, wie viel bezahlt wurde, welche Zahlungsmethode verwendet wurde
Kontodaten: Passwörter (auch gehashte), Kontörstellungsdatum, Anmeldeverlauf
Technische Daten: IP-Adressen, Browser-Fingerprints, Geräteinformationen
Verhaltensdaten: besuchte Seiten, angesehene Produkte, Warenkorbinhalte, Suchanfragen
Cookie-Daten: Session-IDs, Tracking-Cookies, Präferenz-Cookies

Das Schlüsselwort ist „identifizieren“. Eine IP-Adresse allein identifiziert möglicherweise niemanden, aber in Kombination mit einem Zeitstempel und Server-Logs kann sie es. Diese Kombination macht sie zu personenbezogenen Daten im Sinne der DSGVO.

Die sechs Rechtsgrundlagen für die Datenverarbeitung

Sie können nicht einfach Daten erfassen, weil Sie Lust dazu haben. Sie benötigen eine rechtliche Grundlage — eine dieser sechs:

Einwilligung: Die Person hat ausdrücklich zugestimmt (Newsletter-Anmeldung, Marketing-E-Mails)
Vertrag: Sie benötigen die Daten zur Erfüllung einer Bestellung (Lieferadresse zum Versand von Produkten)
Rechtliche Verpflichtung: Das Gesetz verlangt die Aufbewahrung (Rechnungen für steuerliche Zwecke)
Lebenswichtige Interessen: Kommt im E-Commerce selten vor
Öffentliches Interesse: Trifft auf den E-Commerce nicht zu
Berechtigtes Interesse: Sie haben einen berechtigten geschäftlichen Grund, der die Rechte der Person nicht überwiegt (Betrugsprävention, einfache Analysen)

Für die meisten PrestaShop-Shops verwenden Sie drei davon: Vertrag (Bestellabwicklung), Einwilligung (Marketing und Cookies) und rechtliche Verpflichtung (Aufbewahrung von Rechnungen).

Was Ihr PrestaShop-Shop erfasst (und wo es gespeichert wird)

Bevor Sie bei der Datenerfassung transparent sein können, müssen Sie genau wissen, was Ihr Shop erfasst. PrestaShop-Shops sammeln mehr Daten, als den meisten Betreibern bewusst ist.

Kundenkonten

Die Tabelle ps_customer speichert alles über registrierte Kunden:

Vorname, Nachname, E-Mail-Adresse
Passwort (gehasht mit bcrypt oder der älteren md5+cookie_key-Methode)
Geburtsdatum (falls Sie danach fragen — überlegen Sie, ob Sie das wirklich brauchen)
Geschlecht / Anrede
Newsletter- und Opt-in-Flags
Kontörstellungsdatum, letztes Anmeldedatum
IP-Adresse bei der Registrierung
Zugehöriger Firmenname und SIRET/APE-Nummern (B2B-Felder)

Bestellungen und Adressen

Jede Bestellung erzeugt Einträge in mehreren Tabellen:

ps_orders — Bestelldetails, Gesamtbeträge, Zahlungsmethode, aktueller Status
ps_order_detail — einzelne Produkte in jeder Bestellung
ps_order_payment — Zahlungstransaktionsreferenzen
ps_order_history — Statusänderungen mit Zeitstempeln
ps_address — Liefer- und Rechnungsadressen (mit dem Kunden verknüpft)
ps_order_carrier — Versandart und Sendungsverfolgungsnummern
ps_message — Kundendienstnachrichten zu Bestellungen

Beachten Sie, dass ps_address vollständige Postanschriften, Telefonnummern und sogar eine nationale Identifikationsnummer (DNI-Feld) enthalten kann, je nach Land.

Gastdaten und Verbindungen

Selbst Besucher, die nie ein Konto erstellen, hinterlassen Spuren:

ps_güst — Browser-/Betriebssystem-Identifikation für jeden Besucher
ps_connections — jeder Besuch wird mit IP-Adresse und Zeitstempel erfasst
ps_connections_source — HTTP-Referer (woher der Besucher kam)
ps_connections_page — jede Seite, die während des Besuchs aufgerufen wurde
ps_page und ps_page_viewed — Seitenaufrufstatistiken

Diese Tabellen wachsen schnell. Ein mäßig frequentierter Shop kann innerhalb eines Jahres Millionen von Zeilen in ps_connections ansammeln. Dies sind personenbezogene Daten (IP-Adressen + Surfverhalten), und die meisten Shops bewahren sie unbegrenzt auf, ohne es zu bemerken.

Warenkorbdaten

PrestaShop erstellt einen Warenkorbeintrag (ps_cart), sobald ein Besucher etwas in den Warenkorb legt — auch wenn er nie zur Kasse geht. Dies umfasst:

Ausgewählte Produkte (mit Kombinationen/Attributen)
Zugehörige Kunden-ID oder Gast-ID
Referenzen für Liefer- und Rechnungsadressen
Versanddienstleisterwahl
Zeitstempel für Erstellung und letzte Aktualisierung des Warenkorbs

Abgebrochene Warenkörbe sind personenbezogene Daten, wenn sie mit einem Kundenkonto verknüpft sind oder genug Informationen enthalten, um jemanden zu identifizieren. Die meisten Shops bereinigen diese nie.

Newsletter-Anmeldungen

Das Standard-Newsletter-Modul speichert E-Mail-Adressen in ps_emailsubscription (oder ps_newsletter in älteren Versionen). Dazu gehören die E-Mail-Adresse, das Anmeldedatum und manchmal die IP-Adresse. Wenn Sie einen externen E-Mail-Marketing-Dienst verwenden, werden die Daten auch dort gespeichert.

Cookies

PrestaShop setzt standardmäßig mehrere Cookies:

PrestaShop-Session-Cookie — identifiziert die Benutzersitzung (essenziell für die Funktion des Shops)
Warenkorb-Cookie — merkt sich den Warenkorbinhalt
Mitarbeiter-/Admin-Cookie — Back-Office-Authentifizierung

Dies sind funktionale Cookies. Das DSGVO-Problem betrifft hauptsächlich nicht-essenzielle Cookies, die von Drittanbieter-Modulen hinzugefügt werden — Google Analytics, Facebook Pixel, Remarketing-Tags, Chat-Widgets und ähnliche Tracking-Tools.

Server-Logs

Ihr Webserver (Apache oder Nginx) protokolliert standardmäßig jede Anfrage. Diese Logs enthalten IP-Adressen, Zeitstempel, angeforderte URLs, User-Agents und HTTP-Referer. Sie werden als Klartextdateien auf dem Server gespeichert und sind personenbezogene Daten im Sinne der DSGVO.

Die meisten Hosting-Anbieter bewahren diese Logs 30–90 Tage auf. Informieren Sie sich über die Vorgehensweise Ihres Hosting-Setups — und konfigurieren Sie eine Log-Rotation, wenn Sie Ihren eigenen Server verwalten.

Modulspezifische Daten

Drittanbieter-Module erstellen oft eigene Datenbanktabellen. Häufige Beispiele:

Bewertungs-/Rezensionsmodule: Kundenname, E-Mail, Bewertungsinhalt, IP-Adresse
Wunschlisten-Module: gespeicherte Produkte, Kundenverknüpfungen
Live-Chat-Module: vollständige Chat-Protokolle, Kundennamen, E-Mail-Adressen
Analytics-Module: detailliertes Surfverhalten, Conversion-Tracking
Treue-/Bonusmodule: Punktestände, Transaktionshistorie
Module zur Wiederherstellung abgebrochener Warenkörbe: E-Mail-Adressen, Warenkorbinhalte, Erinnerungsverlauf

Überprüfen Sie jedes installierte Modul. Kontrollieren Sie, welche Datenbanktabellen es erstellt (suchen Sie in phpMyAdmin nach Tabellen mit dem Modulpräfix). Sie können bei der Datenerfassung nicht transparent sein, wenn Sie nicht wissen, was Ihre Module erfassen.

Cookie-Einwilligung: Richtig umsetzen

Die Cookie-Einwilligung ist der Bereich, in dem die meisten PrestaShop-Shops bei der DSGVO-Konformität scheitern. Die Anforderungen sind höher, als die meisten denken.

Was das Gesetz tatsächlich verlangt

Die ePrivacy-Richtlinie (die neben der DSGVO gilt) verlangt, dass:

Essenzielle Cookies (Session, Warenkorb, Sicherheit) ohne Einwilligung gesetzt werden dürfen — sie sind für die Funktion der Website notwendig
Nicht-essenzielle Cookies (Analytics, Marketing, Social Media, Personalisierung) eine ausdrückliche, informierte Opt-in-Einwilligung erfordern, bevor sie gesetzt werden
Die Einwilligung freiwillig gegeben werden muss — Sie dürfen sie nicht zur Bedingung für die Nutzung der Website machen
Die Einwilligung spezifisch sein muss — Nutzer sollten Analytics akzeptieren, aber Marketing-Cookies ablehnen können
Die Einwilligung informiert sein muss — Nutzer müssen wissen, welche Cookies Sie setzen und warum
Es genauso einfach sein muss, die Einwilligung zu widerrufen, wie sie zu erteilen

Was nicht als gültige Einwilligung gilt

Diese gängigen Vorgehensweisen sind nicht DSGVO-konform:

„Durch weiteres Surfen akzeptieren Sie Cookies“ — stillschweigende Einwilligung ist keine Einwilligung
Ein Banner mit nur einem „OK“-Button — es wird keine echte Wahl angeboten
Vorab angehäkte Einwilligungskästchen — die Einwilligung muss Opt-in sein, nicht Opt-out
Cookie-Wall (alles akzeptieren oder die Seite verlassen) — dies ist umstritten, aber die meisten Aufsichtsbehörden betrachten es als nicht konform
Ein Cookie-Banner, das angezeigt wird, aber Tracking-Skripte trotzdem lädt — das Banner muss nicht-essenzielle Cookies tatsächlich blockieren, bis die Einwilligung erteilt wird

Standard-PrestaShop-Cookies

Ohne zusätzliche Module setzt PrestaShop diese Cookies:

PrestaShop-[hash] — Haupt-Session-Cookie (essenziell)
PHPSESSID — PHP-Session-ID (essenziell)
PrestaShop_admin — Back-Office-Session (essenziell, nur für Administratoren)

Dies sind alles unbedingt erforderliche Cookies. Eine Standard-PrestaShop-Installation ohne Drittanbieter-Module benötigt für diese kein Cookie-Einwilligungsbanner. Die Probleme beginnen, wenn Sie Google Analytics, Facebook Pixel, Hotjar, Live-Chat-Tools oder ein Marketing-Modul hinzufügen, das Tracking-Cookies setzt.

So implementieren Sie eine ordnungsgemäße Cookie-Einwilligung

Eine konforme Cookie-Einwilligungsimplementierung muss:

Alle nicht-essenziellen Cookies standardmäßig blockieren — Google Analytics, Facebook Pixel und ähnliche Skripte dürfen nicht geladen werden, bis die Einwilligung erteilt wurde
Beim ersten Besuch ein deutliches Einwilligungsbanner anzeigen mit Optionen zum Akzeptieren, Ablehnen oder Anpassen
Granulare Kontrolle bieten — mindestens separate Kategorien: Notwendig, Analytics, Marketing, Präferenzen
Die Wahl speichern — nicht bei jedem Seitenaufruf erneut fragen (Einwilligung in einem Cookie speichern — ja, die Ironie)
Widerruf ermöglichen — eine Möglichkeit bieten, Cookie-Einstellungen später zu ändern (typischerweise ein Link im Fußbereich)
Aufzeichnungen führen — protokollieren, wann die Einwilligung erteilt wurde und für welche Kategorien

Die technische Umsetzung funktioniert typischerweise so:

<!-- Instead of loading Google Analytics directly: -->
<script src="https://www.googletagmanager.com/gtag/js?id=GA_ID"></script>

<!-- Load it conditionally based on consent: -->
<script type="text/plain" data-cookieconsent="statistics">
  // This script only executes after the user consents to statistics cookies
  (function(){ /* GA code here */ })();
</script>

Das Attribut type="text/plain" verhindert, dass der Browser das Skript ausführt. Ihr Einwilligungsverwaltungstool ersetzt es nach der Einwilligung durch type="text/javascript".

Das Google-Analytics-Problem

Google Analytics ist das größte Cookie-Einwilligungsproblem für Shopbetreiber. Hier ist der Grund:

GA setzt mehrere Cookies (_ga, _gid, _gat), die als Analytics-/Statistik-Cookies eingestuft werden
Diese erfordern eine ausdrückliche Einwilligung gemäß DSGVO
Wenn die meisten Besucher Analytics-Cookies ablehnen (und viele tun das), werden Ihre Analytics-Daten unzuverlässig
Google Analytics 4 überträgt weiterhin Daten an Google-Server in den USA, was zusätzliche Bedenken hinsichtlich der Datenübermittlung im Rahmen des EU-US Data Privacy Framework aufwirft

Möglichkeiten zum Überlegen:

GA mit ordnungsgemäßer Einwilligung beibehalten: Akzeptieren Sie, dass Sie Daten von Besuchern verlieren, die ablehnen. Ihre Analytics sind weiterhin nützlich für Trends, nur weniger vollständig.
Serverseitige Analytics verwenden: Tools wie Matomo (selbst gehostet) oder Plausible können so konfiguriert werden, dass sie ohne Cookies funktionieren, was eine Nutzung unter „berechtigtem Interesse“ ohne Einwilligung ermöglichen könnte. Wenden Sie sich hierzu an Ihren Rechtsberater.
Googles Consent Mode verwenden: GA4 unterstützt den Consent Mode, der cookielose Pings sendet, wenn die Einwilligung verweigert wird, und modellierte Daten verwendet, um Lücken zu füllen. Es ist ein Kompromiss.

Das offizielle PrestaShop-DSGVO-Modul

PrestaShop bietet ein offizielles DSGVO-Modul (psgdpr), das einige Funktionen zur Cookie-Einwilligung übernimmt. Es:

Zeigt ein Cookie-Einwilligungsbanner an
Ermöglicht Kunden, einen Datenexport und eine Datenlöschung über ihr Konto anzufordern
Lässt Sie konfigurieren, welche Module DSGVO-relevant sind
Bietet ein Einwilligungsprotokoll

Das offizielle Modul hat jedoch Einschränkungen. Es blockiert möglicherweise nicht alle Cookies vor der Einwilligung (abhängig von Ihrem Theme und anderen Modulen), und die Anpassung des Banners ist rudimentär. Viele Shops ergänzen es mit einer robusteren Cookie-Einwilligungsplattform oder ersetzen es vollständig durch eine dedizierte Consent Management Platform (CMP) wie Cookiebot, Complianz oder CookieYes.

Welche Einwilligungslösung Sie auch verwenden, testen Sie sie. Öffnen Sie Ihren Shop in einem privaten Browserfenster, öffnen Sie die Entwicklertools (F12 → Anwendung → Cookies) und prüfen Sie, welche Cookies gesetzt werden, bevor Sie mit dem Einwilligungsbanner interagieren. Wenn Sie dort Google-Analytics- oder Facebook-Cookies sehen, ist Ihre Implementierung fehlerhaft — die Einwilligung wird umgangen.

Ihre Datenschutzerklärungsseite

Jeder Shop benötigt eine Datenschutzerklärung. Sie ist nicht optional, und eine vage zweizeilige Erklärung erfüllt die Anforderungen nicht. Ihre Datenschutzerklärung muss spezifisch für Ihren Shop sein und genau abdecken, was Sie mit Kundendaten tun.

Was enthalten sein muss

Gemäß Art. 13 und 14 DSGVO muss Ihre Datenschutzerklärung Folgendes enthalten:

Ihre Identität und Kontaktdaten — Firmenname, Anschrift, E-Mail
Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden — die meisten kleinen Shops benötigen keinen)
Welche personenbezogenen Daten Sie erfassen — seien Sie konkret (Namen, E-Mail-Adressen, Anschriften, IP-Adressen, Cookie-Daten)
Warum Sie sie erfassen — der Zweck für jede Art von Daten
Die Rechtsgrundlage für jede Art der Verarbeitung (Einwilligung, Vertrag, berechtigtes Interesse, rechtliche Verpflichtung)
An wen Sie Daten weitergeben — Zahlungsdienstleister, Versanddienstleister, E-Mail-Dienste, Analytics-Anbieter
Internationale Datenübermittlungen — wenn Daten außerhalb der EU übertragen werden (Google, Stripe, US-amerikanische Dienste)
Wie lange Sie Daten aufbewahren — Aufbewahrungsfristen für jede Datenkategorie
Kundenrechte — Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch, Einschränkung
Wie diese Rechte ausgeübt werden können — Kontaktdaten, Verfahren
Beschwerderecht bei einer Aufsichtsbehörde
Ob die Bereitstellung von Daten erforderlich ist (z. B. benötigen Sie eine Adresse, um eine Bestellung zu versenden)
Automatisierte Entscheidungsfindung — falls vorhanden (die meisten Shops verwenden keine)
Cookie-Informationen — oder ein Link zu einer separaten Cookie-Richtlinie

Vorlage für die Struktur einer Datenschutzerklärung

Hier ist eine praktische Struktur für die Datenschutzerklärung eines PrestaShop-Shops. Sie müssen die spezifischen Angaben für Ihren Shop ergänzen:

1. Who We Are
   - Company name, registration number, address
   - Contact email for privacy matters

2. What Data We Collect
   - Account registration data (name, email, password)
   - Order data (shipping address, billing address, order contents)
   - Payment data (note: we don't store card numbers � our payment processor dös)
   - Communication data (contact form messages, order messages)
   - Technical data (IP address, browser type, cookies)
   - Newsletter subscription (email address)

3. Why We Collect It (Purposes and Legal Basis)
   - To process your orders (contract)
   - To create and manage your account (contract)
   - To send order confirmations and shipping updates (contract)
   - To send marketing emails (consent � you can unsubscribe at any time)
   - To improve our website (legitimate interest / consent for analytics cookies)
   - To comply with tax and accounting laws (legal obligation)
   - To prevent fraud (legitimate interest)

4. Who We Share Your Data With
   - Payment processor: [Name] � processes card payments
   - Shipping carrier: [Name] � receives delivery address and phone number
   - Email service: [Name] � sends transactional and marketing emails
   - Analytics: [Name] � website usage statistics
   - Hosting provider: [Name] � stores all website data

5. International Transfers
   - [List any services that transfer data outside the EU/EEA]
   - Safeguards in place (EU-US Data Privacy Framework, Standard Contractual Clauses)

6. How Long We Keep Your Data
   - Account data: until you delete your account
   - Order data: [X] years (legal requirement for invoices)
   - Abandoned cart data: [X] months
   - Analytics data: [X] months
   - Server logs: [X] days

7. Your Rights
   - Access, rectification, erasure, portability, objection, restriction
   - How to exercise them (email, account settings, GDPR module)
   - Right to complain to [your country's supervisory authority]

8. Cookies
   - [Summary or link to cookie policy]

9. Changes to This Policy
   - Last updated: [date]

10. Contact Us
    - Email for privacy inquiries

Wo Sie Ihre Datenschutzerklärung verlinken sollten

Ihre Datenschutzerklärung muss leicht zugänglich sein. Verlinken Sie sie von:

Fußbereich der Website — auf jeder Seite
Registrierungsformular — mit einer Checkbox („Ich habe die Datenschutzerklärung gelesen und stimme ihr zu“)
Checkout-Seite — insbesondere wenn Gastkauf aktiviert ist und Sie Daten von nicht registrierten Nutzern erheben
Kontaktformular — bevor personenbezogene Daten übermittelt werden
Newsletter-Anmeldung — neben dem Anmeldeformular
Cookie-Einwilligungsbanner — Link zur vollständigen Erklärung im Banner

In PrestaShop können Sie die Datenschutzerklärung als CMS-Seite erstellen (Back Office → Design → Seiten) und den Link im Fußbereich über das Modul „Link Widget“ oder die Fußbereichskonfiguration Ihres Themes einrichten.

Kundenrechte in Bezug auf Daten

Die DSGVO gewährt Ihren Kunden bestimmte Rechte über ihre personenbezogenen Daten. Sie müssen in der Lage sein, diese Anfragen innerhalb von 30 Tagen zu erfüllen.

Auskunftsrecht (Datenexport)

Jeder Kunde kann fragen: „Welche Daten haben Sie über mich?“ Sie müssen eine umfassende Antwort geben, die alle Daten über alle Systeme hinweg enthält — nicht nur die Informationen auf der Kontoseite, sondern auch Bestellverlauf, Adressen, Einwilligungsnachweise, Newsletter-Status und alle von Drittanbieter-Modulen gespeicherten Daten.

Das offizielle PrestaShop-DSGVO-Modul fügt der Kontoseite des Kunden einen Bereich „DSGVO“ hinzu, über den ein Datenexport angefordert werden kann. Dieser erzeugt eine PDF- oder CSV-Datei mit den Daten des Kunden aus der PrestaShop-Datenbank.

Wenn Sie dies manuell durchführen, müssen Sie mehrere Tabellen abfragen:

-- Get all data for a specific customer
SELECT * FROM ps_customer WHERE id_customer = {ID};
SELECT * FROM ps_address WHERE id_customer = {ID};
SELECT * FROM ps_orders WHERE id_customer = {ID};
SELECT * FROM ps_cart WHERE id_customer = {ID};
SELECT * FROM ps_message WHERE id_customer = {ID};
SELECT * FROM ps_customer_message WHERE id_customer = {ID};

-- Don't forget module-specific tables
SELECT * FROM ps_emailsubscription WHERE email = '{EMAIL}';
-- Check any other module tables that store customer data

Recht auf Löschung (Recht auf Vergessenwerden)

Kunden können verlangen, dass Sie alle ihre personenbezogenen Daten löschen. Dieses Recht ist jedoch nicht absolut — Sie können ablehnen, wenn:

Sie die Daten aus rechtlichen Gründen aufbewahren müssen (Rechnungen, Steuerunterlagen — typischerweise 5–10 Jahre je nach Land)
Ein laufender Rechtsstreit besteht
Die Daten für einen berechtigten Zweck benötigt werden, der den Antrag überwiegt

In der Praxis bedeutet dies für einen PrestaShop-Shop in der Regel:

Löschen: Kundenkonto, nicht mit Bestellungen verknüpfte Adressen, abgebrochene Warenkörbe, Newsletter-Anmeldung, Gasteinträge, Wunschliste, Bewertungen
Anonymisieren: Bestelldaten (persönliche Details durch „Gelöschter Kunde“ oder Ähnliches ersetzen — die Bestellung für die Buchhaltung behalten, aber identifizierende Informationen entfernen)
Aufbewahren: Rechnungen (gesetzliche Anforderung) — Sie können aber die Kundenkopie anonymisieren und nur den Finanzdatensatz aufbewahren

Das DSGVO-Modul kann die Kontolöschung und Datenanonymisierung automatisieren. Wenn Sie es manuell handhaben, ist hier der Ansatz:

-- Anonymize customer record (don't DELETE � linked orders would break)
UPDATE ps_customer SET
  firstname = 'Deleted',
  lastname = 'Customer',
  email = CONCAT('deleted_', id_customer, '@anonymous.invalid'),
  passwd = '',
  birthday = '0000-00-00',
  phone = '',
  optin = 0,
  newsletter = 0,
  deleted = 1,
  active = 0
WHERE id_customer = {ID};

-- Anonymize addresses not linked to delivered orders
UPDATE ps_address SET
  firstname = 'Deleted',
  lastname = 'Customer',
  address1 = 'Deleted',
  address2 = '',
  postcode = '00000',
  city = 'Deleted',
  phone = '',
  phone_mobile = '',
  other = '',
  company = '',
  vat_number = '',
  dni = '',
  deleted = 1
WHERE id_customer = {ID}
AND id_address NOT IN (
  SELECT id_address_delivery FROM ps_orders WHERE id_customer = {ID}
  UNION
  SELECT id_address_invoice FROM ps_orders WHERE id_customer = {ID}
);

-- Delete abandoned carts (not converted to orders)
DELETE FROM ps_cart_product
WHERE id_cart IN (
  SELECT id_cart FROM ps_cart
  WHERE id_customer = {ID}
  AND id_cart NOT IN (SELECT id_cart FROM ps_orders)
);
DELETE FROM ps_cart
WHERE id_customer = {ID}
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Remove newsletter subscription
DELETE FROM ps_emailsubscription WHERE email = '{ORIGINAL_EMAIL}';

Warnung: Erstellen Sie immer ein Backup, bevor Sie Löschabfragen ausführen. Anonymisieren Sie statt zu löschen, wenn Daten mit Bestellungen oder Rechnungen verknüpft sind. Testen Sie zuerst in einer Staging-Umgebung. Und denken Sie daran — die obigen Abfragen sind Beispiele; Ihr spezifisches Setup kann zusätzliche Modultabellen haben, die ebenfalls bereinigt werden müssen.

Recht auf Datenübertragbarkeit

Kunden können ihre Daten in einem maschinenlesbaren Format (JSON, CSV, XML) anfordern. Dies dient dazu, ihre Daten an einen anderen Dienst übertragen zu können. Die Exportfunktion des DSGVO-Moduls deckt dies typischerweise ab und erzeugt eine CSV- oder PDF-Datei.

Wenn Sie dies manuell handhaben, stellen Sie die Daten in einem strukturierten Format bereit — JSON oder CSV — mit denselben Datenpunkten wie bei der Antwort auf das Auskunftsrecht.

Recht auf Berichtigung

Kunden können Sie bitten, unrichtige Daten zu korrigieren. In den meisten Fällen können PrestaShop-Kunden dies selbst über ihre Kontoseite tun (Name, E-Mail, Adresse aktualisieren). Wenn sie Sie jedoch darum bitten, müssen Sie innerhalb von 30 Tagen nachkommen.

Dies ist in der Regel das am einfachsten zu erfüllende Recht — aktualisieren Sie einfach den Datensatz im Back Office.

Umgang mit Datenanfragen in der Praxis

Richten Sie einen Prozess für den Umgang mit DSGVO-Anfragen ein:

Identität überprüfen — bevor Sie jemandem seine Daten senden oder ein Konto löschen, stellen Sie sicher, dass es sich tatsächlich um diese Person handelt. Bitten Sie darum, die Anfrage von der mit dem Konto verknüpften E-Mail-Adresse zu senden.
Anfrage protokollieren — notieren Sie, wann Sie die Anfrage erhalten haben und was angefordert wurde
Innerhalb von 30 Tagen antworten — dies ist die gesetzliche Frist. Wenn eine Anfrage komplex ist, können Sie um weitere 60 Tage verlängern, müssen den Antragsteller jedoch innerhalb der ersten 30 Tage benachrichtigen.
Anfrage erfüllen — exportieren, löschen, korrigieren oder erklären, warum Sie nicht können (mit rechtlicher Begründung)
Abschluss bestätigen — den Kunden benachrichtigen, dass die Anfrage erfüllt wurde

Führen Sie ein Protokoll aller Betroffenenanfragen und Ihrer Antworten. Dies belegt Ihre Rechenschaftspflicht, falls eine Aufsichtsbehörde nachfragt.

Einwilligungsverwaltung

Die Einwilligung gemäß DSGVO muss freiwillig, spezifisch, informiert und unmissverständlich sein. Hier erfahren Sie, was das in der Praxis für Ihren PrestaShop-Shop bedeutet.

Registrierungsformular

Wenn Kunden ein Konto erstellen, benötigen Sie:

Eine Checkbox (standardmäßig nicht angehäkt) mit Link zu Ihrer Datenschutzerklärung: „Ich habe die Datenschutzerklärung gelesen und stimme ihr zu“
Diese Checkbox darf nicht vorab angehäkt sein — der Kunde muss sie aktiv anklicken
Sie dürfen dies nicht mit der Marketing-Einwilligung zusammenfassen — das sind getrennte Dinge

In PrestaShop 1.7+ und 8.x können Sie dies über die DSGVO-Moduleinstellungen konfigurieren oder das Template für die Kundenregistrierung bearbeiten. Das Modul fügt typischerweise Einwilligungs-Checkboxen zum Registrierungsformular, zum Checkout-Prozess und zum Kontaktformular hinzu.

Newsletter-Einwilligung

Die Newsletter-Anmeldung erfordert eine eigene, separate Einwilligung. Der Kunde muss:

Aktiv zustimmen (nicht angehäkte Checkbox oder separates Anmeldeformular)
Wissen, wofür er sich anmeldet („Erhalten Sie unsere wöchentlichen Angebote und Produktneuheiten“)
Sich einfach abmelden können (Abmeldelink in jeder E-Mail)

Das Newsletter-Modul von PrestaShop enthält eine Opt-in-Checkbox. Stellen Sie sicher, dass sie nicht vorab angehäkt ist — überprüfen Sie das Newsletter-Block-Template Ihres Themes.

Marketing-Einwilligung

Wenn Sie Kundendaten zu Marketingzwecken an Dritte weitergeben (z. B. E-Mail-Listen an Facebook für Custom Audiences), benötigen Sie eine ausdrückliche Einwilligung für diesen spezifischen Zweck. „Ich stimme der Datenschutzerklärung zu“ deckt das nicht ab — Sie benötigen eine separate Checkbox wie: „Ich stimme dem Erhalt personalisierter Werbung basierend auf meinem Einkaufsverhalten zu“

Die meisten PrestaShop-Shops benötigen dies nicht, es sei denn, sie nutzen fortgeschrittene Marketing-Integrationen.

Einwilligungsnachweise aufbewahren

Sie müssen nachweisen können, dass eine Einwilligung erteilt wurde. Das bedeutet, Folgendes zu protokollieren:

Wer die Einwilligung erteilt hat (Kunden-ID oder E-Mail)
Wann die Einwilligung erteilt wurde (Zeitstempel)
Wozu eingewilligt wurde (Datenschutzerklärung, Newsletter, Marketing)
Wie die Einwilligung erteilt wurde (Checkbox im Registrierungsformular, Newsletter-Popup usw.)
Welche Version der Datenschutzerklärung zu diesem Zeitpunkt gültig war

Das offizielle DSGVO-Modul führt ein Einwilligungsprotokoll. Wenn Sie dies manuell verwalten, erstellen Sie eine Datenbanktabelle zur Nachverfolgung von Einwilligungsereignissen:

CREATE TABLE ps_gdpr_consent_log (
  id_consent_log INT AUTO_INCREMENT PRIMARY KEY,
  id_customer INT DEFAULT NULL,
  customer_email VARCHAR(255) NOT NULL,
  consent_type VARCHAR(50) NOT NULL,  -- 'privacy_policy', 'newsletter', 'marketing'
  consent_given TINYINT(1) NOT NULL,  -- 1 = given, 0 = withdrawn
  ip_address VARCHAR(45) DEFAULT NULL,
  date_add DATETIME NOT NULL,
  reqüst_details TEXT DEFAULT NULL
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

Datenaufbewahrung: Wie lange dürfen Sie Daten speichern?

Die DSGVO legt keine genauen Aufbewahrungsfristen fest — sie besagt, dass Daten „nicht länger als nötig“ aufbewahrt werden sollten. Sie müssen Ihre eigene Aufbewahrungsrichtlinie definieren und diese einhalten.

Empfohlene Aufbewahrungsfristen

Aktive Kundenkonten: Behalten, solange das Konto aktiv ist. Betrachten Sie Konten als inaktiv nach 24–36 Monaten ohne Anmeldung oder Kauf.
Inaktive Kundenkonten: Senden Sie eine Reaktivierungs-E-Mail, dann anonymisieren Sie bei ausbleibender Rückmeldung innerhalb von 30 Tagen.
Bestelldaten: So lange aufbewahren, wie gesetzlich für Steuer-/Buchhaltungszwecke vorgeschrieben. In den meisten EU-Ländern sind das 5–10 Jahre. Anonymisieren Sie die persönlichen Daten, bewahren Sie aber die Finanzunterlagen auf.
Rechnungsdaten: Müssen für die gesetzlich vorgeschriebene Dauer aufbewahrt werden (typischerweise 7–10 Jahre in den meisten EU-Ländern).
Abgebrochene Warenkörbe: Nach maximal 6–12 Monaten löschen. Es gibt keine Rechtfertigung, abgebrochene Warenkörbe länger aufzubewahren.
Gast-/Besucherdaten: Daten aus ps_güst und ps_connections sollten regelmäßig bereinigt werden — maximal 6 Monate für die meisten Shops.
Newsletter-Abonnenten: Behalten, bis sie sich abmelden. Bestätigen Sie regelmäßig inaktive Abonnenten erneut.
Server-Logs: 30–90 Tage sind üblich. Rotieren und löschen Sie ältere Logs.
Cookie-Einwilligungsnachweise: Mindestens für die Dauer der Einwilligung aufbewahren (typischerweise 12 Monate).

Alte Daten bereinigen: SQL-Abfragen

Hier sind sichere Bereinigungsabfragen für gängige PrestaShop-Daten. Erstellen Sie immer zuerst ein Backup und testen Sie in einer Staging-Umgebung.

-- Delete güst records older than 6 months
DELETE FROM ps_güst
WHERE id_güst NOT IN (SELECT id_güst FROM ps_cart WHERE id_cart IN (SELECT id_cart FROM ps_orders))
AND id_güst IN (
  SELECT g.id_güst FROM ps_güst g
  INNER JOIN ps_connections c ON c.id_güst = g.id_güst
  GROUP BY g.id_güst
  HAVING MAX(c.date_add) < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

-- Delete old connection records (keeps stats but removes IP-linked data)
DELETE FROM ps_connections_source
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections_page
WHERE id_connections IN (
  SELECT id_connections FROM ps_connections
  WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH)
);

DELETE FROM ps_connections
WHERE date_add < DATE_SUB(NOW(), INTERVAL 6 MONTH);

-- Delete abandoned carts older than 12 months (not converted to orders)
DELETE cp FROM ps_cart_product cp
INNER JOIN ps_cart c ON cp.id_cart = c.id_cart
WHERE c.date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND c.id_cart NOT IN (SELECT id_cart FROM ps_orders);

DELETE FROM ps_cart
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH)
AND id_cart NOT IN (SELECT id_cart FROM ps_orders);

-- Clean old page view statistics (anonymous aggregate data � lower priority)
DELETE FROM ps_page_viewed
WHERE date_add < DATE_SUB(NOW(), INTERVAL 12 MONTH);

Erwägen Sie, diese Bereinigungen mit einem Cron-Job zu automatisieren. Führen Sie sie monatlich in Zeiten geringer Auslastung aus. Verpacken Sie destruktive Abfragen immer in eine Transaktion oder überprüfen Sie zumindest die Zeilenanzahl mit einem SELECT, bevor Sie das DELETE ausführen. Und überspringen Sie niemals das Backup.

Datenaufbewahrung automatisieren

Erstellen Sie ein PHP-Skript oder einen Cron-Job, der diese Bereinigungsabfragen nach Zeitplan ausführt:

# Example crontab entry � runs at 3 AM on the 1st of each month
0 3 1 * * /usr/bin/php /path/to/your/store/scripts/gdpr-cleanup.php >> /var/log/gdpr-cleanup.log 2>&1

Das Skript sollte protokollieren, was wann gelöscht wurde — dies ist Teil Ihrer DSGVO-Rechenschaftsdokumentation.

Drittanbieter-Dienste und Auftragsverarbeiter

Ihr PrestaShop-Shop arbeitet nicht isoliert. Sie teilen Kundendaten mit verschiedenen Drittanbieter-Diensten. Gemäß DSGVO werden diese als „Auftragsverarbeiter“ bezeichnet — sie verarbeiten Daten in Ihrem Auftrag.

Häufige Auftragsverarbeiter für PrestaShop-Shops

Zahlungsdienstleister (Stripe, PayPal, Adyen, Mollie) — erhalten Kundennamen, E-Mail, Rechnungsadresse, Kartendaten
Versanddienstleister (DHL, UPS, DPD, lokale Dienstleister) — erhalten Liefername, Adresse, Telefonnummer, manchmal E-Mail
E-Mail-Marketing-Dienste (Mailchimp, Brevo/SendinBlue, Klaviyo) — erhalten E-Mail-Adressen, Namen, Kaufhistorie
Analytics (Google Analytics, Matomo) — erhalten IP-Adressen, Surfverhalten, Geräteinformationen
Hosting-Anbieter — speichert alle Ihre Daten (Datenbank, Dateien, Logs)
CDN-/Sicherheitsdienste (Cloudflare, Sucuri) — sehen den gesamten Datenverkehr, einschließlich IP-Adressen
Kundensupport-Tools (Zendesk, Freshdesk) — können Kundenkommunikation und Daten speichern
Social-Media-Pixel (Facebook, TikTok, Pinterest) — erhalten Surfverhalten und Conversion-Daten
ERP-/Buchhaltungssoftware — erhält Bestell- und Kundendaten für die Geschäftsverwaltung

Auftragsverarbeitungsverträge (AVV)

Die DSGVO verlangt, dass Sie mit jedem Verarbeiter, der personenbezogene Daten in Ihrem Auftrag verarbeitet, einen Auftragsverarbeitungsvertrag abschließen. Der AVV muss festlegen:

Welche Daten verarbeitet werden
Zweck und Dauer der Verarbeitung
Die Pflichten des Verarbeiters hinsichtlich der Datensicherheit
Was mit den Daten geschieht, wenn der Vertrag endet
Die Pflicht des Verarbeiters, Sie über Datenpannen zu informieren

Die gute Nachricht: Die meisten großen Dienstleister haben bereits Standard-AVVs verfügbar:

Stripe: In die Nutzungsbedingungen integriert
PayPal: In der rechtlichen Dokumentation verfügbar
Google: Datenverarbeitungszusatz im Google-Analytics-Admin verfügbar
Mailchimp: Standard-AVV auf der Website verfügbar
Brevo/SendinBlue: AVV in den Nutzungsbedingungen enthalten oder auf Anfrage verfügbar
Cloudflare: AVV in der Trust-Dokumentation verfügbar

Laden Sie den AVV für jeden verwendeten Dienst herunter und unterzeichnen Sie ihn (oder akzeptieren Sie ihn online). Bewahren Sie Kopien auf. Eine Aufsichtsbehörde kann danach fragen.

Internationale Datenübermittlungen

Wenn einer Ihrer Auftragsverarbeiter außerhalb der EU ansässig ist (und viele sind es — Stripe, Google, Mailchimp haben alle ihren Sitz in den USA), benötigen Sie einen rechtlichen Mechanismus für die Datenübermittlung. Derzeit sind die wichtigsten Optionen:

EU-US Data Privacy Framework — US-Unternehmen, die unter diesem Rahmenwerk zertifiziert sind, können personenbezogene Daten aus der EU empfangen. Prüfen Sie, ob Ihre Auftragsverarbeiter auf der Liste unter dataprivacyframework.gov stehen.
Standardvertragsklauseln (SCCs) — von der EU-Kommission genehmigte Vertragsklauseln für internationale Übermittlungen. Die meisten großen Anbieter nehmen diese in ihre AVVs auf.
Angemessenheitsbeschlüsse — einige Länder außerhalb der EU wurden als Staaten mit angemessenem Datenschutzniveau anerkannt (Vereinigtes Königreich, Kanada, Japan, Südkorea und weitere).

Listen Sie alle internationalen Datenübermittlungen in Ihrer Datenschutzerklärung auf. Geben Sie das Land und den rechtlichen Mechanismus an, der die Übermittlung absichert.

Verfahren bei Datenpannen

Eine Datenpanne ist jeder Sicherheitsvorfall, der zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Für einen PrestaShop-Shop könnte dies sein:

Ihr Shop wird gehackt und Kundendaten werden gestohlen
Ein Datenbank-Backup ist öffentlich zugänglich
Kundenbestelldaten werden versehentlich an die falsche Person per E-Mail gesendet
Eine Modul-Schwachstelle legt Kundeninformationen offen
Ein Mitarbeiter greift unbefugt auf Kundendaten zu
Ransomware verschlüsselt Ihre Datenbank und Sie verlieren den Zugang zu Kundendaten

Die 72-Stunden-Regel

Wenn eine Datenpanne eintritt, die voraussichtlich ein Risiko für die Rechte und Freiheiten von Personen darstellt, müssen Sie:

Ihre Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Panne benachrichtigen
Betroffene Personen unverzüglich benachrichtigen, wenn die Panne voraussichtlich ein hohes Risiko für deren Rechte darstellt

„72 Stunden nach Bekanntwerden“ bedeutet ab dem Zeitpunkt, an dem Sie vernünftigerweise festgestellt haben, dass eine Panne aufgetreten ist — nicht ab dem Zeitpunkt der Panne selbst. Es wird jedoch erwartet, dass Sie Überwachungsmaßnahmen haben, um Pannen zeitnah zu erkennen.

Was eine Meldung über eine Datenpanne enthalten muss

Ihre Meldung an die Aufsichtsbehörde muss enthalten:

Die Art der Panne (was ist passiert)
Kategorien und ungefähre Anzahl der betroffenen Personen
Kategorien und ungefähre Anzahl der betroffenen personenbezogenen Datensätze
Kontaktdaten Ihres Datenschutzbeauftragten oder Hauptansprechpartners
Voraussichtliche Folgen der Panne
Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Panne

Die Benachrichtigung der betroffenen Personen sollte die Panne in klarer Sprache beschreiben und dieselben Informationen enthalten sowie Hinweise, wie sie sich schützen können (Passwörter ändern, auf Phishing achten usw.).

Notfallplan bei Datenpannen

Warten Sie nicht auf eine Datenpanne, um herauszufinden, was zu tun ist. Bereiten Sie sich im Voraus vor:

Identifizieren Sie Ihre Aufsichtsbehörde — dies ist die Datenschutzbehörde in dem EU-Land, in dem Ihr Unternehmen ansässig ist (z. B. CNIL in Frankreich, ICO im Vereinigten Königreich, UODO in Polen, BfDI in Deutschland)
Kennen Sie das Meldeverfahren — die meisten Behörden haben ein Online-Formular. Setzen Sie ein Lesezeichen.
Bereiten Sie eine Vorlage vor für die Meldung einer Datenpanne (an die Behörde und an die Kunden)
Dokumentieren Sie alles — auch Pannen, bei denen Sie entscheiden, dass keine Meldung erforderlich ist. Die Dokumentation Ihres Entscheidungsprozesses ist selbst eine DSGVO-Anforderung.
Haben Sie einen technischen Reaktionsplan — wer ermittelt, wer repariert, wer kommuniziert

Nicht jeder Sicherheitsvorfall ist eine meldepflichtige Datenpanne. Wenn Ihre Firewall einen Angriff blockiert und keine Daten kompromittiert werden, ist das ein Vorfall, keine Panne. Protokollieren Sie es trotzdem — es zeigt, dass Sie Überwachungsmaßnahmen haben.

Häufige DSGVO-Fehler von PrestaShop-Shops

Nach der Überprüfung von Hunderten von PrestaShop-Shops auf DSGVO-Konformität sind dies die Fehler, die wir am häufigsten sehen:

1. Vorab angehäkte Einwilligungskästchen

Die Newsletter-Checkbox bei der Registrierung oder während des Checkouts ist vorab angehäkt. Dies ist ein klarer DSGVO-Verstoß. Die Einwilligung muss Opt-in sein. Durchsuchen Sie Ihre Theme-Templates nach Checkboxen, die checked oder checked="checked" als Standardattribut bei einwilligungsbezogenen Formularen haben.

2. Keine Möglichkeit, Konten zu löschen

Viele PrestaShop-Shops haben keinen Mechanismus, über den Kunden ihre Konten löschen können. Das Standard-PrestaShop-Frontend bietet keine Kontolöschung an. Sie benötigen das DSGVO-Modul oder eine individuelle Lösung, um dies bereitzustellen.

3. Daten für immer aufbewahren

Keine Datenaufbewahrungsrichtlinie. Gasteinträge von 2015 befinden sich noch in der Datenbank. Verbindungsprotokolle reichen Jahre zurück. Abgebrochene Warenkörbe von Kunden, die Ihren Shop vor drei Jahren vergessen haben. Legen Sie Aufbewahrungsfristen fest und setzen Sie sie durch.

4. Unzureichende Datensicherheit

Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“ zum Schutz von Daten. Häufige Mängel:

Kein SSL-Zertifikat — alle Shops sollten HTTPS verwenden. Im Jahr 2026 gibt es keine Ausrede mehr.
Schwache Admin-Passwörter — erzwingen Sie starke Passwörter für alle Back-Office-Konten
Veraltete PrestaShop-Version — Sicherheitspatches sind wichtig. PrestaShop 1.6 mit bekannten Schwachstellen zu betreiben, ist ein Risiko.
Nicht aktualisierte Module — Module mit bekannten Sicherheitslücken sind ein häufiger Angriffsvektor
Keine Datenbank-Backups — oder Backups, die an öffentlich zugänglichen Orten gespeichert sind
Shared Hosting mit schlechter Isolation — wenn eine andere Website auf demselben Server kompromittiert wird, könnten Ihre Daten gefährdet sein
FTP statt SFTP — FTP überträgt Zugangsdaten im Klartext

5. Google Analytics ohne Einwilligung

Der häufigste Verstoß, den wir sehen. Der Google-Analytics-Tracking-Code wird auf jeder Seite für jeden Besucher geladen, unabhängig von der Cookie-Einwilligung. Dies sendet personenbezogene Daten (IP-Adresse, Surfverhalten) an Google, bevor der Besucher überhaupt die Möglichkeit hat einzuwilligen.

6. Cookie-Banner, das eigentlich nicht funktioniert

Ein Cookie-Banner wird angezeigt, aber die nicht-essenziellen Cookies werden vor der Einwilligung geladen. Das Banner ist rein kosmetisch — es steuert das Cookie-Verhalten nicht wirklich. Testen Sie es selbst: Öffnen Sie die Entwicklertools, prüfen Sie, welche Cookies und Netzwerkanfragen vor der Interaktion mit dem Banner gestellt werden.

7. Keine Datenschutzerklärung (oder eine generische)

Entweder gibt es überhaupt keine Datenschutzerklärung, oder es handelt sich um eine generische Vorlage aus dem Internet, die nicht widerspiegelt, was der Shop tatsächlich tut. Ihre Datenschutzerklärung muss spezifisch für Ihren Shop, Ihre Datenverarbeitungspraktiken und Ihre Drittanbieter-Dienste sein.

8. Keine Einwilligungsnachweise führen

Kunden haben die Einwilligungs-Checkbox angehäkt, aber es gibt kein Protokoll darüber, wann, wozu sie eingewilligt haben oder welche Version der Datenschutzerklärung zu diesem Zeitpunkt gültig war. Wenn eine Aufsichtsbehörde fragt „Beweisen Sie, dass dieser Kunde Marketing-E-Mails zugestimmt hat“, müssen Sie den Nachweis vorlegen können.

9. Moduldaten ignorieren

Shopbetreiber prüfen ihre PrestaShop-Kerndaten, vergessen aber die von Drittanbieter-Modulen erfassten Daten. Bewertungsmodule, Wunschlistenmodule, Module für abgebrochene Warenkörbe, Chat-Tools — sie alle erfassen personenbezogene Daten, die unter die DSGVO fallen.

10. Keine Auftragsverarbeitungsverträge

Stripe, Google Analytics, Mailchimp und ein Dutzend anderer Dienste nutzen, ohne AVVs abgeschlossen zu haben. Diese sind oft kostenlos beim Dienstleister erhältlich — Sie müssen sie nur unterzeichnen.

DSGVO-Konformitätscheckliste für PrestaShop-Shops

Verwenden Sie diese Checkliste, um die DSGVO-Konformität Ihres Shops zu bewerten. Gehen Sie jeden Punkt durch und markieren Sie, ob er erledigt ist, in Bearbeitung oder Aufmerksamkeit benötigt.

Rechtliche Grundlagen

Datenschutzerklärung erstellt und im Shop veröffentlicht
Datenschutzerklärung enthält alle erforderlichen Informationen (siehe Abschnitt oben)
Datenschutzerklärung ist vom Fußbereich, Registrierungsformular, Checkout und Kontaktformular aus verlinkt
Cookie-Richtlinie erstellt (separate Seite oder Abschnitt innerhalb der Datenschutzerklärung)
Allgemeine Geschäftsbedingungen aktualisiert mit Verweis auf die Datenschutzerklärung
Auftragsverarbeitungsverträge mit allen Drittanbieter-Verarbeitern unterzeichnet
Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt — ein Dokument, das alle Datenverarbeitungstätigkeiten auflistet
Datenschutzbeauftragter ernannt (falls erforderlich — in der Regel bei umfangreicher Datenverarbeitung)

Einwilligung

Registrierungsformular hat eine nicht angehäkte Checkbox für die Datenschutzeinwilligung
Newsletter-Anmeldung erfordert aktives Opt-in (keine vorab angehäkten Kästchen)
Marketing-Einwilligung ist von der Datenschutzeinwilligung getrennt
Cookie-Einwilligungsbanner implementiert und funktionsfähig
Cookie-Banner blockiert nicht-essenzielle Cookies bis zur Einwilligung
Cookie-Banner bietet granulare Auswahl (alle akzeptieren, alle ablehnen, anpassen)
Cookie-Einstellungen können nach der ersten Wahl geändert werden (z. B. Link im Fußbereich)
Einwilligungsnachweise werden mit Zeitstempel, Benutzer und Einwilligungsart protokolliert

Kundenrechte

Kunden können auf ihre personenbezogenen Daten zugreifen / diese exportieren
Kunden können die Löschung ihres Kontos beantragen
Kunden können ihre personenbezogenen Daten korrigieren
Kunden können ihre Daten in einem maschinenlesbaren Format herunterladen
Prozess zur Bearbeitung von Betroffenenanfragen innerhalb von 30 Tagen vorhanden
Identitätsüberprüfungsverfahren für Datenanfragen vorhanden
DSGVO-Modul installiert und konfiguriert (oder gleichwertige Funktionalität)

Datenmanagement

Aufbewahrungsfristen für alle Datenkategorien definiert
Automatisierte Bereinigung alter Gast-/Verbindungsdaten
Automatisierte Bereinigung abgebrochener Warenkörbe nach Ablauf der Aufbewahrungsfrist
Server-Log-Rotation konfiguriert
Inaktive Kundenkonten werden identifiziert und behandelt
Alle Datenspeicherorte sind dokumentiert (Datenbank, Dateisystem, Drittanbieter-Dienste)

Sicherheit

SSL/TLS-Zertifikat installiert (HTTPS erzwungen)
PrestaShop-Version auf dem neüsten Stand mit Sicherheitspatches
Alle Module auf dem neüsten Stand
Starke Passwörter für Admin-Konten erzwungen
Admin-Verzeichnis vom Standard umbenannt
Regelmäßige Backups konfiguriert und getestet
Backups sicher gespeichert (nicht im öffentlichen Webverzeichnis)
SFTP oder SSH statt FTP verwendet
Dateiberechtigungen ordnungsgemäß konfiguriert (keine 777-Verzeichnisse)
Datenbankzugriff eingeschränkt (kein Remote-Root-Zugriff)

Bereitschaft für Datenpannen

Aufsichtsbehörde identifiziert
Meldeverfahren bei Datenpannen dokumentiert
Vorlage für Datenpannenmeldung vorbereitet
Ansprechpartner für Datenpannen benannt
Sicherheitsüberwachung vorhanden (Log-Prüfung, Einbruchserkennung)

Drittanbieter-Dienste

Alle Drittanbieter-Dienste, die Kundendaten verarbeiten, sind aufgelistet
AVV mit jedem Auftragsverarbeiter abgeschlossen
Internationale Datenübermittlungen mit Rechtsgrundlage dokumentiert
Drittanbieter-Dienste in der Datenschutzerklärung aufgeführt
Analytics-Skripte laden erst nach Cookie-Einwilligung
Marketing-Pixel laden erst nach Cookie-Einwilligung

Abschließende Gedanken

DSGVO-Konformität ist kein einmaliges Projekt — es ist eine fortlaufende Praxis. Ihre Datenschutzerklärung muss aktualisiert werden, wenn Sie neue Module oder Dienste hinzufügen. Ihre Datenbereinigung muss regelmäßig laufen. Ihre Einwilligungsmechanismen müssen nach jedem Theme- oder Modul-Update getestet werden.

Die gute Nachricht ist, dass der Großteil der Arbeit einmalig erledigt wird. Die Einrichtung einer ordnungsgemäßen Cookie-Einwilligung, das Verfassen Ihrer Datenschutzerklärung, die Unterzeichnung von AVVs und die Konfiguration der Datenaufbewahrung — das sind einmalige Aufgaben mit gelegentlicher Wartung.

Und hier ist etwas, das die meisten DSGVO-Leitfäden Ihnen nicht sagen: Perfektion ist nicht der Maßstab. Aufsichtsbehörden suchen nach aufrichtigem Bemühen und einem vernünftigen Ansatz zum Datenschutz. Ein Shop, der eine gute Datenschutzerklärung hat, ordnungsgemäße Cookie-Einwilligung eingeholt hat, Datenaufbewahrungsregeln hat und einen Prozess zur Bearbeitung von Kundenanfragen hat, ist in einer starken Position — selbst wenn nicht jedes winzige Detail perfekt ist.

Was Aufsichtsbehörden bestrafen, ist Nachlässigkeit: Shops, die nichts tun, Kundenanfragen ignorieren, unnötige Daten sammeln und sie unbegrenzt ungeschützt aufbewahren. Seien Sie nicht dieser Shop.

Beginnen Sie mit der obigen Checkliste, arbeiten Sie sie in den nächsten Wochen durch und überprüfen Sie sie vierteljährlich. Das ist DSGVO-Konformität in der Praxis — keine Panik, keine Perfektion, nur konsequent gute Praxis im Umgang mit Kundendaten.

Denken Sie daran: Dieser Leitfaden behandelt allgemeine DSGVO-Konformitätsprinzipien für PrestaShop-Shops. Das Datenschutzrecht ist komplex und entwickelt sich weiter. Für verbindliche Rechtsberatung, die auf Ihr Unternehmen, Ihre Rechtsordnung und Ihre Datenverarbeitungstätigkeiten zugeschnitten ist, wenden Sie sich an einen qualifizierten Datenschutzanwalt oder -berater. Die Investition in professionelle Rechtsberatung ist gering im Vergleich zu den möglichen Konseqünzen, wenn etwas schiefgeht.

Cookie	Provider	Purpose	Duration
PrestaShop-*	PrestaShop	Sitzungsverwaltung und Warenkorb-Funktionalität	Session
PHPSESSID	PHP	PHP-Sitzungskennung	Session
mprcr_consent	MPR Cookies Revolution	Speichert Cookie-Einwilligungseinstellungen	365 day(s)
mprcr_version	MPR Cookies Revolution	Verfolgt die Version der Einwilligungskonfiguration	365 day(s)

Cookie	Provider	Purpose	Duration
_ga	Google Analytics	Unterscheidet eindeutige Benutzer durch eine zufällig generierte Nummer	2 year(s)
_ga_*	Google Analytics	Wird verwendet, um den Sitzungsstatus über Seitenaufrufe hinweg beizubehalten	2 year(s)
_gid	Google Analytics	Unterscheidet eindeutige Benutzer für 24 Stunden	24 hour(s)
_gat	Google Analytics	Begrenzt die Anfragerate der Analyse	1 minute(s)

Cookie	Provider	Purpose	Duration
_gcl_au	Google AdSense	Misst die Kampagneneffizienz durch Speichern von Konversionsdaten	3 month(s)
_fbp	Facebook	Liefert Werbeprodukte wie Echtzeit-Gebote	3 month(s)
_fbc	Facebook	Speichert Informationen zum letzten Klick aus Facebook-Werbung	2 year(s)
IDE	Google DoubleClick	Gezielte Werbung, misst die Anzeigenleistung auf verschiedenen Websites	1 year(s)
_uetsid	Microsoft Bing	Misst die Kampagnenleistung für Microsoft Bing	1 day(s)
_uetvid	Microsoft Bing	Verfolgt das Besucherverhalten über mehrere Besuche für Bing Ads	13 month(s)

DSGVO für PrestaShop-Shops: Was Sie wirklich brauchen