E-Commerce-News

Recht auf Vergessenwerden DSGVO Artikel 17 auf PrestaShop: Kontolöschung ohne Bruch der steuerlichen Spur 2026

·sasha
Droit à l'oubli RGPD article 17 sur PrestaShop : suppression de compte sans casser la trace fiscale en 2026

Artikel 17 DSGVO: eine Pflicht, die einfach zu formulieren, aber komplex umzusetzen ist

„Der Kunde kann die Löschung seiner Daten verlangen.“ Der Satz im Artikel 17 der DSGVO ist lapidar. Seine Umsetzung in einem PrestaShop- oder WooCommerce-Shop, der seit 5 Jahren besteht, ist alles andere als einfach. Denn eine gut gemachte „Kontolöschung“ muss zwischen vier widersprüchlichen Anforderungen navigieren:

  • Das Recht des Kunden auf Vergessenwerden (DSGVO Artikel 17).
  • Die buchhalterische Aufbewahrungspflicht von 10 Jahren (französisches Handelsgesetzbuch L.123-22, in Deutschland HGB §257 für 10 Jahre).
  • Die steuerliche Rückverfolgbarkeit der Verkäufe (CGI in Frankreich, AO in Deutschland, FEC).
  • Das Recht auf Antwort bei einem etwaigen Rechtsstreit (Verbraucherschutzrecht, gesetzliche Gewährleistung bis 2 Jahre nach dem Kauf).

Der praktische Einsatz: Ein Modul, das alles brutal löscht, bringt das Unternehmen in einen buchhalterischen Gesetzesbruch. Ein Modul, das nichts löscht, bringt das Unternehmen in einen DSGVO-Gesetzesbruch (Strafe bis zu 4 % des weltweiten Umsatzes). Die bewährte Praxis ist die selektive Pseudonymisierung – das löschen, was für eine gesetzliche Pflicht nicht notwendig ist, den Rest in einer nicht auf eine identifizierte Person rückführbaren Form aufbewahren.

Was Artikel 17 DSGVO genau besagt

Artikel 17.1 zählt sechs Gründe auf, die einen Löschantrag rechtfertigen:

  1. Die Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich.
  2. Die Person widerruft ihre Einwilligung und es gibt keine andere Rechtsgrundlage.
  3. Die Person widerspricht der Verarbeitung und es liegt kein zwingender berechtigter Grund vor.
  4. Die Daten wurden unrechtmäßig verarbeitet.
  5. Die Daten müssen gelöscht werden, um einer gesetzlichen Pflicht nachzukommen.
  6. Die Daten wurden im Rahmen eines Dienstleistungsangebots an ein Kind erhoben.

Aber Artikel 17.3 sieht fünf Ausnahmen vor, die häufig im E-Commerce zur Anwendung kommen:

  1. Ausübung der Meinungs- und Informationsfreiheit.
  2. Einhaltung einer gesetzlichen Pflicht (zum Beispiel: buchhalterische Aufbewahrung).
  3. Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit.
  4. Archivzwecke, wissenschaftliche oder historische Forschung, Statistik.
  5. Feststellung, Ausübung oder Verteidigung von Rechtsansprüchen.

Die Ausnahme (b) – gesetzliche Pflicht – ist diejenige, die auf Buchhaltungsdaten Anwendung findet. Aber sie deckt nicht alle Daten eines Kundenkontos ab: nur diejenigen, die strikt für die Buchführung und die Einhaltung der Aufbewahrungsdauer (10 Jahre) erforderlich sind.

Die Daten eines Kundenkontos kartografieren

Bei einem PrestaShop-Shop mit 5 Jahren Historie enthält ein Kundenkonto typischerweise:

Datenkategorie Beispiele Löschung nach Artikel 17 Gesetzliche Aufbewahrung
Identifikation Name, Vorname, E-Mail, Telefon Pseudonymisieren 10 Jahre (Buchhaltung)
Adressen Liefer-, Rechnungsadresse Rechnungsadresse aufbewahren, alte Lieferadresse löschen 10 Jahre für Rechnung
Bestellungen Nummer, Datum, Beträge, Artikel Aufbewahren 10 Jahre (Buchhaltung) + 2 Jahre (gesetzliche Gewährleistung)
Zahlungen Stripe-/PayPal-Tokens, letzte Ziffern Löschen, wenn nicht mehr genutzt Keine Pflicht, aber nützlich bei Streit
Passwörter bcrypt-Hash Sofort löschen Keine
Präferenzen Newsletter, Marketing, Cookies Löschen Keine (außer Einwilligungsnachweis 3 Jahre nützlich)
Browser-Historie Besuchs-Logs, abgebrochene Warenkörbe Löschen Keine
Bewertungen und Kommentare Produktbewertungen, Kundenservice-Nachrichten Anonymisieren („Anonymer Kunde“) Variabel je nach öffentlicher Anzeige
Treueprogramm Punkte, Status Löschen Keine
Wunschliste Lieblingsprodukte Löschen Keine

Die Sortierregel: Ist diese Daten für die Buchhaltungsspur oder einen etwaigen Streit erforderlich? Wenn ja, wird sie in pseudonymisierter Form aufbewahrt. Wenn nein, wird gelöscht.

Pseudonymisierung: der zentrale Mechanismus

Pseudonymisieren ist nicht anonymisieren. Der Unterschied ist juristisch und technisch:

  • Anonymisierung: irreversible Aufhebung der Verbindung zwischen den Daten und der Person. Die Daten können nie wieder zurückgeführt werden. Die Anonymisierung führt die Daten aus dem DSGVO-Perimeter heraus.
  • Pseudonymisierung: Ersetzung der direkten Identifikatoren durch ein Pseudonym, aber die Verbindung bleibt theoretisch rekonstruierbar (zum Beispiel über eine verschlüsselte Zuordnungstabelle). Die Daten bleiben im DSGVO-Perimeter, aber die Verarbeitung gilt als weniger riskant.

Für den E-Commerce strebt man im Allgemeinen eine starke Pseudonymisierung an, die sich der praktischen Anonymisierung annähert:

  • customer.firstname„Kunde"
  • customer.lastname„#" + id_customer (z. B. „#42851")
  • customer.email„deleted-" + id_customer + „@invalid" (spezieller Präfix, ungültige Domain)
  • customer.phone → NULL
  • customer.passwd → zufällige Bytes (Konto effektiv unbrauchbar)
  • customer.note → NULL
  • address.firstname, address.lastname auf alten Adressen → Pseudonym
  • address.firstname, address.lastname auf der Rechnungsadresse bestehender Bestellungen → aufbewahren (für die Rechnung erforderlich)

Der Schlüssel liegt in der Nuance: Man behält die Rechnung wie sie ausgestellt wurde (Buchhaltungspflicht), aber man löscht alles, was nicht mehr dient.

Architektur eines konformen Löschmoduls

Ein seriöses Modul für PrestaShop wie DfAccountDelete implementiert fünf Schichten:

Schicht 1 – Identifizierung der Anfrage

Drei mögliche Kanäle:

  • Schaltfläche im Kundenbereich – „Mein Konto löschen“, zugänglich über „Meine Daten“. Self-Service-UX.
  • Anfrageformular – für ehemalige Kunden, die sich nicht mehr anmelden können. Identitätsprüfung per E-Mail mit Bestätigungslink.
  • Anfrage an den DSB/DSGVO-Kontakt – per E-Mail oder Brief, manuell bearbeitet mit Übertragung in das System.

Schicht 2 – Identitätsprüfung

Vor der Löschung wird geprüft, dass die Person tatsächlich Inhaber des Kontos ist. Für eingeloggte Kunden: angemeldet zu sein + Passworteingabe oder E-Mail-Validierung (zweiter Magic Link). Für nicht eingeloggte Kunden: Versand einer Bestätigungs-E-Mail mit einem zeitlich begrenzten Einmal-Validierungslink (typischerweise 1 Stunde). Für Brief-Anfragen: Kopie eines Ausweisdokuments, 1 Jahr aufbewahrt, dann vernichtet.

Schicht 3 – Bedenkfrist

Optional, aber empfohlen: eine Frist von 7 bis 30 Tagen zwischen Anfrage und tatsächlicher Ausführung. Der Nutzer erhält eine E-Mail „Ihre Anfrage wird am [Datum] bearbeitet, klicken Sie hier, um abzubrechen“. Das vermeidet versehentliche Löschungen und Reue. Eine bewährte Praxis der CNIL/BfDI.

Schicht 4 – Ausführung der Pseudonymisierung

Das Modul führt in atomarer MySQL-Transaktion aus:

  1. Pseudonymisiert ps_customer (Name, E-Mail, Telefon, etc.).
  2. Pseudonymisiert die ps_address, die nicht an abgeschlossene Bestellungen geknüpft sind.
  3. Löscht abgebrochene ps_cart, ps_compare, ps_wishlist.
  4. Löscht die Einträge des Treueprogramms, Preiswarnungen, Lagerbestandswarnungen.
  5. Anonymisiert öffentliche Bewertungen („Anonymer Kunde") oder löscht sie je nach Richtlinie.
  6. Löscht die Session-Logs, Magic-Link-Tokens, gespeicherten Warenkörbe.
  7. Löscht die Newsletter-Abos (und propagiert an Mailchimp, Brevo über API, falls verbunden).
  8. Markiert das Konto als gelöscht (active=0, deleted=1, deleted_at = now).
  9. Bewahrt die Bestellungen, Rechnungen, Gutschriften (ps_orders, ps_order_invoice, ps_order_slip) unverändert auf.

Schicht 5 – Audit-Log und Benachrichtigung

Ein Eintrag in einem DSGVO-Audit-Journal:

  • Datum der Anfrage, Datum der Ausführung.
  • Ursprüngliche E-Mail-Adresse (vor Pseudonymisierung).
  • Kunden-ID.
  • Methode der Identitätsprüfung.
  • Liste der betroffenen Tabellen und Anzahl der betroffenen Zeilen.

Dieses Log wird 3 Jahre aufbewahrt (von den Aufsichtsbehörden empfohlene Dauer, um die Konformität nachzuweisen). Es dient im Falle einer CNIL/BfDI-Prüfung oder einer Anfrage der Person („haben Sie meine Daten wirklich gelöscht?“).

Eine Bestätigungs-E-Mail wird an die ursprüngliche Adresse gesendet, mit Hinweis, dass die Daten gelöscht wurden, mit Ausnahme der für die Buchhaltung erforderlichen (Transparenz nach Artikel 12 DSGVO).

Die Brücke zur FEC: was unbedingt zu erhalten ist

Wie in unserem Artikel zur FEC und zum Buchhaltungs-Export erläutert, sind bestimmte Daten zur Erstellung einer konformen FEC erforderlich:

  • Identifikation des Kunden auf der ausgestellten Rechnung (Name + Rechnungsadresse zum Zeitpunkt der Ausstellung). Aber dieser Name muss nicht ständig aus der lebenden Kundendatenbank auffindbar sein – er steht in der archivierten PDF-Rechnung und in ps_orders.
  • Beträge netto, Umsatzsteuer, Versand, Gesamt brutto – reine Buchhaltungsdaten, unverändert aufzubewahren.
  • Datum der Bestellung, der Rechnung, der Zahlung – dito.
  • Zahlungsmethode (Stripe, PayPal, Überweisung) – nützlich für den Bankabgleich.

Das praktische Muster: Man pseudonymisiert ps_customer, aber man lässt ps_orders.firstname, ps_orders.lastname, ps_orders.email so, wie sie zum Zeitpunkt der Bestellung waren. Das ist, was auf der ausgestellten Rechnung erscheint. Die Rechnung ist die buchhalterische Aufzeichnung, unveränderlich. Das Kundenkonto ist ein lebendes Aggregat, das anonymisiert werden kann.

Auf PrestaShop wird diese Logik dadurch erleichtert, dass die Rechnung von ps_order_invoice mit eigenen Feldern verwaltet wird (der Name ist nicht nur durch id_customer referenziert, sondern auch in der Bestellung eingefroren). Auf WooCommerce ist es heikler: Die WC-Orders speichern die Customer ID und rekonstruieren die Infos bei der Anzeige. Man muss daher den Namen und die Rechnungsadresse auf der Order zum Zeitpunkt der Pseudonymisierung einfrieren, sonst zeigt die regenerierte Rechnung „Anonymer Kunde“ an.

Bewertungen und Kommentare: ein Sonderfall

Eine öffentlich angezeigte Produktbewertung mit dem Namen des Kunden ist eine personenbezogene Daten (Artikel 4 DSGVO). Ihre Löschung auf Verlangen wirft zwei Probleme auf:

  • Der Inhalt der Bewertung hat einen Wert für andere Kunden (Verbraucherinformation).
  • Die Historie der Bewertungen dient dem Durchschnitt der Bewertung.

Die juristische Standardauflösung: den Namen anonymisieren („Anonymer Kunde“ oder „A.K.“), den Inhalt der Bewertung und die Note aufbewahren. Es ist eine statistische Verarbeitung im Sinne von Artikel 17.3.d. Wenn der Kunde ausdrücklich die vollständige Löschung der Bewertung verlangt („ich möchte nicht, dass dieser Text noch existiert“), dann wird vollständig gelöscht, aber der Durchschnitt kann ohne die verlorene Daten neu bewertet werden.

Diese Nuance muss dem Nutzer im Formular präsentiert werden: „Möchten Sie Ihre Bewertungen löschen oder anonymisieren?“.

Schwierige Sonderfälle

Kundenkonto mit laufendem Streit

Wenn eine Bestellung im Streit ist (blockierte Rückgabe, Anfechtung, Gewährleistungsklage), kompromittiert die Löschung der Kundendaten die Verteidigung des Unternehmens. Artikel 17.3.e deckt diesen Fall ab: Man kann die Löschung ablehnen, bis der Streit gelöst ist, und den Kunden über diesen Grund informieren. Die Aufbewahrung erfolgt unter dem Status „im Streit“, mit beschränktem Zugriff.

B2B-Konto mit Mehrbenutzern

Bei einem B2B-Konto mit mehreren Nutzern darf die Löschung des Kontos eines Nutzers nicht das Unternehmen löschen. Man löscht den Nutzer (der ein individuelles Recht hat), bewahrt die Bestellungen im Namen des Unternehmens auf (das als juristische Person kein Recht auf Vergessenwerden hat).

Newsletter ohne Konto (anonym)

Eine ohne Kundenkonto eingetragene Newsletter-E-Mail: Die Löschung ist sofort, ohne Pseudonymisierung. Keine angegliederte buchhalterische Pflicht. Eine Ausnahme: Wenn die Marketing-Einwilligung als Nachweis dokumentiert ist, kann die Einwilligungs-Historie (Datum, IP, Opt-In) noch 3 Jahre nach Abmeldung aufbewahrt werden. Darüber hinaus vollständige Löschung.

Abonnenten eines wiederkehrenden Dienstes (Abo)

Für Shops im Abomodell erfordert die Kontolöschung zunächst die Beendigung des Abos (eine Karte eines nicht mehr existierenden Kontos kann nicht abgebucht werden). Das Modul muss sequenziell vorgehen: Abo-Kündigung → Warten auf einen Zyklus zur Bestätigung → Pseudonymisierung. Das Überspringen der Sequenz verursacht verwaiste Abbuchungen und Kundenstreitigkeiten.

Die von der DSGVO auferlegte Antwortfrist

Artikel 12.3 DSGVO: Die Antwort auf eine Anfrage muss innerhalb 1 Monats erfolgen, verlängerbar auf 2 oder 3 Monate für komplexe Anfragen (mit Benachrichtigung der Verlängerung an den Antragsteller). In der Praxis für den E-Commerce:

  • Einfache Anfrage über die Schaltfläche „Mein Konto löschen“: sofortige Ausführung (je nach optionaler Bedenkfrist) – weit unter der gesetzlichen Frist.
  • Anfrage per E-Mail/Brief, die eine Identitätsprüfung erfordert: 1 bis 2 Wochen Bearbeitung, unter dem Monat.
  • Anfrage in einem komplexen Kontext (Streit, laufendes Abo, Multi-Konten): 1 Monat mit Statusinformation des Antragstellers.

Die Nichteinhaltung der Frist setzt CNIL/BfDI-Sanktionen aus. Ein automatisiertes Modul, das innerhalb von 24-48 Stunden antwortet, deckt das Risiko bei Weitem ab.

Kosten und ROI

Der ROI eines konformen Kontolöschungs-Moduls misst sich anders als bei einem Konversionsmodul:

  • Kosten des Moduls: 39 € Lizenz für PrestaShop.
  • Vermiedene Kosten einer Aufsichtsbehörden-Sanktion: variabel, aber E-Commerce-Sanktionen 2023-2025 reichen von 5.000 € für KMU bis zu mehreren Millionen für große Marken. Das Kosten-/Risikoverhältnis ist extrem günstig.
  • Vermiedene manuelle Bearbeitungskosten: Bei einem Shop mit 50.000 Kunden 5 bis 10 Anfragen/Monat manuell zu bearbeiten, sind 2 bis 4 h/Monat interne Arbeit – etwa 1.200 €/Jahr.
  • Vertrauensnutzen: Eine gut sichtbare Schaltfläche „Mein Konto löschen“ zu zeigen, ist 2026 zu einem starken Vertrauenssignal geworden, messbar in der Kontoanlage-Quote (+3 bis 6 % beobachtet).

FAQ

Muss man wirklich die Bestellungen 10 Jahre nach der Kontolöschung aufbewahren?

Ja, das ist die buchhalterische Pflicht (französisches Handelsgesetzbuch L.123-22; in Deutschland HGB §257 ebenfalls 10 Jahre). Die DSGVO entbindet nicht vom Steuerrecht. Die Auflösung: Die Bestellungen bleiben in der Datenbank in pseudonymisierter Form (der Kundenname ist nicht mehr an ein lebendes Konto geknüpft, erscheint aber noch auf der ausgestellten Rechnung, wie erforderlich). Nach Ablauf der 10 Jahre ist eine vollständige Löschung möglich.

Was tun, wenn Mailchimp oder Brevo den Newsletter weiterhin sendet?

Artikel 19 DSGVO schreibt die Weitergabe der Löschung an die Empfänger der Daten vor. Wenn Sie Ihre Datenbank mit Mailchimp/Brevo/Klaviyo synchronisiert haben, muss das Modul deren API aufrufen, um den Kontakt zu löschen (nicht nur abzumelden). Das ist ein Punkt, der bei der Installation zu validieren ist: Alle Marketing-Konnektoren müssen das Löschsignal erhalten.

Wie ist die Löschung bei Unterauftragsverarbeitern (Stripe, PayPal) zu handhaben?

Stripe und PayPal bewahren die Zahlungs-Tokens und die Transaktionshistorie nach ihrer Richtlinie auf (in der Regel 10 Jahre für steuerliche Konformität + Geldwäschebekämpfung). Sie können ihre Löschung nicht erzwingen – es ist ihre gesetzliche Pflicht, getrennt von Ihrer. Der Hinweis in Ihrer Datenschutzerklärung muss darauf hinweisen, dass die Zahlungsunterauftragnehmer die Daten gemäß ihrer eigenen gesetzlichen Dauer aufbewahren.

Kann man ein Konto löschen, ohne den Kunden zu informieren?

Wenn der Kunde die Löschung verlangt hat: Man informiert ihn über die Ausführung. Wenn das Unternehmen aus eigener Initiative löscht (z. B. längere Inaktivität): Man muss diese Politik in den AGB/Datenschutzerklärung vorgesehen haben und idealerweise 30 Tage vor der Löschung benachrichtigen, um Widerspruch zu ermöglichen. Die Löschung ohne Benachrichtigung ist riskant.

Wie lange nach einer Löschanfrage kann ein Kunde zu uns zurückkehren?

Das Recht auf Vergessenwerden ist kein Recht auf Umkehr. Sobald die Daten gelöscht (oder pseudonymisiert) sind, legt der zurückkehrende Kunde ein neues Konto ex nihilo an. Die Historie bleibt im DSGVO-Audit-Log (das dazu dient nachzuweisen, dass die Anfrage ausgeführt wurde), kann aber nicht zur Rekonstruktion des ursprünglichen Kontos wiederverwendet werden.

Zusammenfassend

Die mit Artikel 17 DSGVO konforme Kontolöschung ist eine Balanceübung zwischen vier widersprüchlichen gesetzlichen Pflichten. Die Auflösung erfolgt über die selektive Pseudonymisierung: Man löscht oder anonymisiert alles, was nicht von einer Aufbewahrungspflicht gedeckt ist, man bewahrt die für die FEC und die Steuerprüfung notwendige buchhalterische Spur unverändert.

Das DfAccountDelete-Modul für PrestaShop implementiert diese Logik mit den fünf Schichten eines konformen Workflows: Identifizierung, Identitätsprüfung, optionale Bedenkfrist, atomare Pseudonymisierung, Audit-Log. Es integriert sich mit dem FEC-Export, um die Buchhaltungskette nicht zu brechen, und mit den wichtigsten Marketing-Tools (Mailchimp, Brevo, Klaviyo), um die Löschung zu propagieren.

Der gute Reflex 2026: eine gut sichtbare Schaltfläche „Mein Konto löschen“ im Kundenbereich anzeigen (Vertrauenssignal, explizite Konformität), den Workflow in der Datenschutzerklärung dokumentieren (Transparenz nach Artikel 12), das Audit-Log 3 Jahre aufbewahren, um die Konformität bei einer Aufsichtsbehörden-Prüfung nachzuweisen.

Für Shops, die ein vollständiges Audit ihrer DSGVO-Konformität wünschen, deckt unser PrestaShop-Audit die sechs kritischen Punkte ab: Cookies und Einwilligung, Verarbeitungsgrundlage der Kundendaten, eingestellte Aufbewahrungsdauern, Recht auf Zugang und Portabilität, Recht auf Vergessenwerden, Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30.