Muss ich jede Shopware-Erweiterung in der Datenschutzerklärung nennen?

Nicht jede Erweiterung verarbeitet personenbezogene Daten. Wenn sie aber Daten an Dritte überträgt oder Besucher wiedererkennt, sollte transparent beschrieben werden, was passiert.

Kann ein Consent-Manager Shopware-Tracking automatisch lösen?

Ein Consent-Manager kann helfen, ersetzt aber keinen Test. Entscheidend ist, ob die konkreten Tags und Plugins wirklich erst im passenden Zustand laden.

Warum mehrere Shop-Seiten prüfen?

Tracking und Widgets können je nach Seitentyp variieren. Produktdetailseiten, Warenkorb und Landingpages laden oft andere Dienste als die Startseite.

Ist ein Shopware-Shop mit deutschem Hosting automatisch DSGVO-konform?

Nein. Der Serverstandort ist nur ein Baustein. Tracking vor Einwilligung, externe Schriften, Embeds, unpassende Pflichttexte oder Datenflüsse über Erweiterungen entstehen unabhängig davon, wo der Shop gehostet ist.

Wie teste ich eine neue Erweiterung datenschutzfreundlich?

In der Staging-Umgebung installieren und die Storefront vorher und nachher im Netzwerk-Tab vergleichen: neue Hosts, neue Cookies, Verhalten nach Ablehnen im Consent-Manager. Erst wenn das Ergebnis passt, geht die Erweiterung in den Live-Shop.

Gehören Server-Logs auch ins Shopware-Audit?

Ja, zumindest als Frage an Hosting oder IT: Welche Logs entstehen, wie lange werden sie aufbewahrt und wer hat Zugriff? Logs mit IP-Adressen sind personenbezogene Daten. Für den Betrieb sind sie meist gut begründbar — aber nicht in unbegrenzter Aufbewahrung. Eine dokumentierte Lösch- oder Rotationsfrist beantwortet die Frage dauerhaft.

Ratgeber · CMS & Plattformen

Shopware & DSGVO: Datenschutz-Checkliste für Shops

Shopware-Shops sind oft technisch sauber geplant, wachsen aber durch Erweiterungen, Tracking-Skripte und Marketingkampagnen schnell. Für die Datenschutzprüfung zählt, was die Storefront im Browser tatsächlich lädt — nicht nur, was im Backend konfiguriert sein sollte.

7 Min. LesezeitStand: Juni 2026

Hinweis: Dieser Artikel ist eine technische Orientierung für Website-Betreiber und ersetzt keine Rechtsberatung. Für die Bewertung deiner konkreten Situation solltest du fachkundigen Rat einholen.

Storefront, Plugins und Marketing gemeinsam betrachten

Shopware bringt Shop-Funktionen, Themes, Erweiterungen und Integrationen zusammen. Externe Dienste können über Plugins, den Tag Manager, Theme-Code oder eingebundene Widgets in die Storefront gelangen.

Ein DSGVO-Check sollte daher mehrere Ebenen abdecken: öffentliche Seiten, Produktlisten, Produktdetails, Warenkorb, Checkout-nahe Seiten und zentrale Pflichttexte.

Häufige Prüfpunkte bei Shopware

Consent-Manager: Prüfe, ob nicht notwendige Cookies und Skripte erst nach passender Einwilligung starten.
Tracking und Ads: Conversion-Tags, Retargeting und Affiliate-Skripte sind im Shop-Kontext häufig, sollten aber transparent und consentgebunden sein.
Plugins: Bewertungs-, Suche-, Chat-, Recommendation- und Payment-Plugins können zusätzliche Drittanbieter laden.
Medien und Fonts: Themes oder externe Bibliotheken können Fonts, Icons und Skripte von fremden Hosts nachladen.

Consent darf den Kaufprozess nicht verdecken

Ein Cookie-Banner sollte verständlich sein und echte Wahlmöglichkeiten bieten. Gleichzeitig darf der Kaufprozess nicht von unklaren Tracking-Zuständen abhängen. Notwendige Funktionen wie Warenkorb und Checkout sind anders einzuordnen als Marketingmessung.

Teste Ablehnen und Akzeptieren getrennt. Wenn nach Ablehnen weiterhin Marketing- oder Analyse-Hosts feuern, solltest du die Kopplung im Consent-Manager und in den Plugin-Einstellungen prüfen.

Datenschutztexte für Shop-Prozesse

Shopware-Shops brauchen transparente Informationen zu Bestellprozess, Kundenkonto, Zahlungs- und Versanddienstleistern, Newsletter, Bonitäts- oder Betrugsprävention, Support und Tracking. Nicht jeder Shop nutzt all diese Funktionen; die Texte sollten zur konkreten Konfiguration passen.

Besonders nach Plugin-Wechseln lohnt sich ein Soll-Ist-Abgleich: Was die Datenschutzerklärung nennt, sollte in der Storefront oder im Prozess tatsächlich nachvollziehbar sein.

Der eingebaute Cookie-Consent-Manager als Ausgangspunkt

Shopware 6 bringt in der Storefront einen eigenen Cookie-Consent-Manager mit, der Cookies in Gruppen organisiert. Sauber programmierte Erweiterungen können ihre Cookies dort registrieren, sodass sie an die Besucherentscheidung gekoppelt sind. Das ist ein guter Ausgangspunkt — aber kein Freifahrtschein.

Denn der Manager erfasst nur, was sich bei ihm anmeldet. Skripte, die direkt ins Theme geschrieben wurden, Tags aus einem separaten Tag Manager oder Erweiterungen, die ihre Dienste am Consent vorbei laden, bleiben außen vor. Deshalb ersetzt die Backend-Sicht keinen Browser-Test: Erst der Blick auf die tatsächlichen Requests vor und nach der Banner-Entscheidung zeigt, ob die Kopplung funktioniert.

Cloud oder self-hosted: was sich für den Datenschutz ändert

Shopware gibt es als Cloud-Angebot und zum Selbst-Hosten. Für die Browser-Prüfung macht das keinen Unterschied — externe Requests, Cookies und Consent-Verhalten testest du in beiden Fällen gleich. Unterschiede gibt es bei den Verantwortlichkeiten dahinter: Beim Selbst-Hosten wählst du Hosting-Anbieter und Serverstandort selbst und solltest das Vertragsverhältnis (etwa eine Auftragsverarbeitung) und Themen wie Server-Logs im Blick haben.

In der Cloud-Variante übernimmt Shopware die Infrastruktur; dann gehört der Anbieter selbst in deine Dienstleister-Übersicht und die Datenschutzerklärung sollte das Hosting-Verhältnis abbilden. In beiden Fällen gilt: Die Storefront entscheidet, was Besucher erleben — dort beginnt die Prüfung.

Erweiterungen prüfen, bevor sie in den Shop kommen

Der entspannteste Datenschutz-Check ist der, den du vor der Installation machst. Lies beim Store-Eintrag einer Erweiterung, welche Dienste sie anbindet und ob sie externe Server anspricht. Teste sie danach zuerst in einer Staging-Umgebung — und vergleiche die Storefront vorher und nachher im Netzwerk-Tab: Welche neuen Hosts, Cookies oder Skripte sind dazugekommen?

Prüfe bei dieser Gelegenheit auch, ob sich die Erweiterung sauber beim Cookie-Consent-Manager registriert oder ihre Dienste daran vorbei lädt. Eine Erweiterung, die beim Vorher-Nachher-Vergleich unerwartete externe Requests erzeugt und sich nicht an die Consent-Entscheidung hält, ist ein Kandidat für eine Alternative — bevor sie in Produktion geht, nicht danach.

Dokumentiere das Ergebnis kurz: Erweiterung, Zweck, externe Dienste, Consent-Verhalten, Datum. Diese Notizen machen jedes spätere Audit und jede Anpassung der Datenschutzerklärung zur Routine statt zur Detektivarbeit.

Captcha, Kundenkonto und Registrierung

Formular-Spamschutz ist im Shop-Alltag nötig, hat aber Datenschutz-Seiten: Shopware unterstützt neben einfachen Captchas auch Google reCAPTCHA — und das lädt Google-Skripte, die du einordnen und in der Datenschutzerklärung beschreiben solltest. Prüfe, ob für deinen Anwendungsfall eine lokal arbeitende Alternative genügt.

Auch die Registrierung verdient einen Blick: Eine Gast-Bestellung ohne Kundenkonto ist die datensparsamste Variante und sollte nicht künstlich erschwert werden. Wo Konten angeboten werden, gilt das Übliche — nur notwendige Pflichtfelder, HTTPS und klare Information darüber, was mit den Kontodaten passiert.

Bestelldaten und Kundenkonten im Backend

Neben der Storefront verdient auch der Datenbestand im Backend einen Plan: Bestellhistorien, Gast-Bestellungen, Kundenkonten, Newsletter-Empfänger und Support-Vorgänge sammeln sich über die Jahre. Der Zweck „Bestellabwicklung" trägt keine unbegrenzte Vorratshaltung — irgendwann stellt sich für jeden Datensatz die Frage: löschen, anonymisieren oder begründet aufbewahren?

Für Rechnungs- und Geschäftsunterlagen gelten gesetzliche Aufbewahrungsfristen, die einer Löschung entgegenstehen können; anderes — etwa alte Gast-Bestellungen oder inaktive Konten — lässt sich nach Zweckerfüllung aufräumen. Sinnvoll ist ein einfaches, dokumentiertes Konzept: Datenart, Aufbewahrungsdauer, was danach passiert. Für die konkreten Fristen lohnt fachkundiger Rat.

Denk auch an Auskunfts- und Löschanfragen: Wenn ein Kunde fragt, welche Daten über ihn gespeichert sind, müssen neben Shopware auch angebundene Systeme — Newsletter-Tool, Zahlungsanbieter, Warenwirtschaft — mitgedacht werden. Eine Systemliste mit Kundendaten-Bezug macht solche Anfragen planbar.

Wartungsroutine für Shopware

Nach Plugin-Updates: Storefront erneut prüfen, weil Erweiterungen ihr Ladeverhalten ändern können.
Nach Kampagnenstart: Neue Ads-Tags, UTM-Tools und Affiliate-Skripte in den Consent-Test aufnehmen.
Nach Theme-Änderungen: Fonts, Icons, CDN-Dateien und eingebettete Medien neu inventarisieren.
Vor größeren Sales: Prüfe kritische Shop-Seiten rechtzeitig, nicht erst während der Kampagne.

Technische Bestandsaufnahme

konfora kann öffentliche Shopware-Seiten technisch prüfen und erkannte Tracker, Cookies, externe Schriften, Embeds, Formulare und Pflichttext-Abweichungen sichtbar machen. Geschlossene Checkout-Schritte, Backend-Konfigurationen und echte Bestellungen werden nicht automatisiert bewertet.

Der vollständige Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo) und zeigt konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.

Report erstellen Beispiel ansehen

Kurz zusammengefasst

Bei Shopware entstehen Datenschutzfragen oft weniger durch den Kern als durch Erweiterungen, nachgerüstete Tags und kurzlebige Marketing-Kampagnen.
Consent-Tests sollten mindestens Startseite, Produktdetailseite, Warenkorb und checkoutnahe Seiten abdecken — Tracking variiert je Seitentyp.
Notwendige Shop-Funktionen und Marketingmessung sollten getrennt betrachtet werden.
Nach Plugin-, Theme- und Kampagnenänderungen ist ein erneuter technischer Check sinnvoll.
Neue Erweiterungen zuerst auf Staging testen und die Storefront vorher und nachher im Netzwerk-Tab vergleichen — inklusive Consent-Verhalten.
Für Bestelldaten, Kundenkonten und Server-Logs gehört ein dokumentiertes Aufbewahrungs- und Löschkonzept zum Shop-Betrieb — gesetzliche Aufbewahrungsfristen eingeschlossen, für deren konkrete Bestimmung fachkundiger Rat sinnvoll ist.

Dieser Beitrag liefert allgemeine technische Hinweise und ersetzt keine Rechtsberatung. Für verbindliche Fragen zu deiner konkreten Website wendest du dich an Datenschutzbeauftragte, Rechtsberatung oder andere fachkundige Stellen.

Häufige Fragen

Muss ich jede Shopware-Erweiterung in der Datenschutzerklärung nennen?: Nicht jede Erweiterung verarbeitet personenbezogene Daten. Wenn sie aber Daten an Dritte überträgt oder Besucher wiedererkennt, sollte transparent beschrieben werden, was passiert.
Kann ein Consent-Manager Shopware-Tracking automatisch lösen?: Ein Consent-Manager kann helfen, ersetzt aber keinen Test. Entscheidend ist, ob die konkreten Tags und Plugins wirklich erst im passenden Zustand laden.
Warum mehrere Shop-Seiten prüfen?: Tracking und Widgets können je nach Seitentyp variieren. Produktdetailseiten, Warenkorb und Landingpages laden oft andere Dienste als die Startseite.
Ist ein Shopware-Shop mit deutschem Hosting automatisch DSGVO-konform?: Nein. Der Serverstandort ist nur ein Baustein. Tracking vor Einwilligung, externe Schriften, Embeds, unpassende Pflichttexte oder Datenflüsse über Erweiterungen entstehen unabhängig davon, wo der Shop gehostet ist.
Wie teste ich eine neue Erweiterung datenschutzfreundlich?: In der Staging-Umgebung installieren und die Storefront vorher und nachher im Netzwerk-Tab vergleichen: neue Hosts, neue Cookies, Verhalten nach Ablehnen im Consent-Manager. Erst wenn das Ergebnis passt, geht die Erweiterung in den Live-Shop.
Gehören Server-Logs auch ins Shopware-Audit?: Ja, zumindest als Frage an Hosting oder IT: Welche Logs entstehen, wie lange werden sie aufbewahrt und wer hat Zugriff? Logs mit IP-Adressen sind personenbezogene Daten. Für den Betrieb sind sie meist gut begründbar — aber nicht in unbegrenzter Aufbewahrung. Eine dokumentierte Lösch- oder Rotationsfrist beantwortet die Frage dauerhaft.