Kundenkonten & Passwörter bei der Shop-Migration übernehmen
Die häufigste Frage vor jedem Systemwechsel: „Können sich meine Kunden danach noch einloggen?“ Die ehrliche Antwort ist differenzierter als Ja oder Nein – und genau das erklären wir hier.
Das Grundproblem: Passwörter existieren nur als Hashes
Kein seriöses Shopsystem speichert Passwörter im Klartext. In der Datenbank liegt immer nur ein Hash – eine Einweg-Verschlüsselung, aus der sich das Original-Passwort nicht zurückrechnen lässt. Je nach System und Alter der Installation kommen dabei sehr unterschiedliche Verfahren zum Einsatz: MD5 und SHA1 in alten osCommerce-Abkömmlingen, phpass bei WordPress/WooCommerce, bcrypt bei Shopware 6 und modernen Frameworks, Argon2 bei den neuesten Systemen.
Weil Quell- und Zielsystem in der Regel verschiedene Verfahren nutzen, ist die 1:1-Übernahme der Logins technisch unmöglich – das Zielsystem kann mit einem fremden Hash-Format erst einmal nichts anfangen. Und das ist auch gut so: Ein System, das Ihnen die Passwörter Ihrer Kunden im Klartext herausgeben könnte, wäre ein Sicherheits-GAU.
Wichtig ist die Trennung zweier Dinge, die oft vermischt werden:
- Kundenkonten – Stammdaten, Rechnungs- und Lieferadressen, Kundengruppen, Newsletter-Status – lassen sich vollständig übernehmen. Ihre Kunden finden im neuen Shop ihr Konto samt Daten wieder.
- Passwörter – genauer: der Login mit dem alten Passwort – brauchen eine bewusste Strategie. Dafür gibt es zwei saubere Wege, die wir unten zeigen.
Wie Kundendaten technisch extrahiert, bereinigt und ins Zielsystem gemappt werden, beschreibt unser Leitfaden zur Datenmigration im Detail. Für die Bestellungen der Kunden gibt es einen eigenen Artikel: Bestellhistorie migrieren.
Aus der Praxis: gemischte Hash-Bestände in Alt-Shops
Ein Detail, das in kaum einem Tutorial steht, uns in Projekten aber regelmäßig begegnet: Alt-Shops haben oft gemischte Hash-Bestände in ein und derselben Datenbank. Ein modified-eCommerce-Shop, der über zehn Jahre gewachsen ist, hat Kunden aus der MD5-Ära und Kunden, deren Passwörter nach einem Update bereits mit bcrypt/phpass gehasht wurden – je Kundenkonto verschieden, erkennbar nur am Format des gespeicherten Hashes.
Für die Migration heißt das: Es gibt nicht „das“ Hash-Verfahren des Altsystems. Eine saubere Übernahme muss pro Konto erkennen, welches Format vorliegt, und entsprechend behandeln – sonst funktioniert der Login für die Hälfte der Kunden und für die andere Hälfte nicht. Genau solche Bestandsaufnahmen machen wir vor jeder Migration; wer ohnehin von modified eCommerce weg will, findet in unserem Artikel modified eCommerce Nachfolger die Systemwahl-Perspektive dazu.
Weg 1: Der Passwort-Reset-Flow
Der robusteste und mit Abstand häufigste Weg: Alle Kundenkonten werden vollständig migriert – ohne Passwort. Beim ersten Login im neuen Shop wird der Kunde freundlich zum einmaligen Zurücksetzen geführt. Das klingt nach Reibung, ist mit guter Umsetzung aber ein Nicht-Ereignis: Kunden kennen den „Passwort vergessen“-Ablauf, und viele nutzen ohnehin einen Passwort-Manager oder den Browser-Login.
Vorteile
- Funktioniert bei jedem Systemwechsel, auch zu Shopify
- Keine Altlasten: alle Passwörter danach modern gehasht
- Kein Custom-Code, der gewartet werden muss
- Gelegenheit, inaktive Konten zu bereinigen
Nachteile
- Einmalige Hürde beim ersten Login
- Ohne Kommunikation wirkt es wie ein Fehler („Login geht nicht mehr!“)
- Reset-Mails müssen zuverlässig zugestellt werden
So bleibt die Conversion stabil
- Kunden vorab per E-Mail informieren: neuer Shop, gleiche Konten, einmalig neues Passwort – als Verbesserung kommunizieren, nicht als Panne
- Freundliche Fehlermeldung beim ersten Login: „Wir haben unseren Shop erneuert – bitte setzen Sie Ihr Passwort einmalig neu“ statt „Login fehlgeschlagen“
- Reset-Link maximal einen Klick entfernt platzieren – jede Hürde kostet Wiederkäufer
- Gast-Checkout aktiv lassen: Wer sein Passwort nicht sofort zurücksetzen will, muss trotzdem kaufen können
- Reset-E-Mails vor Go-Live testen (Zustellbarkeit, SPF/DKIM) – nichts ist schlimmer als ein Reset-Link, der im Spam landet
Weg 2: Technische Überleitung der Alt-Hashes
Der elegantere Weg, wenn das Zielsystem mitspielt: Die Alt-Hashes werden mitmigriert, und das Zielsystem verifiziert beim ersten Login das eingegebene Passwort gegen den alten Hash. Stimmt es, wird es sofort mit dem modernen Verfahren neu gehasht – der Kunde merkt nichts, der Altbestand baut sich mit jedem Login von selbst ab.
- Shopware 6: Bringt das Konzept der Legacy-Password-Encoder mit; für Shopware-5-Hashes existiert es im Migrations-Umfeld fertig, für exotischere Formate (MD5 mit Salt, phpass) lässt sich ein eigener Encoder ergänzen. Details zum Zielsystem: zu Shopware 6 migrieren.
- WooCommerce: Nutzt phpass/bcrypt – kommt der Alt-Shop ebenfalls aus der PHP-Welt, sind die Hashes teils direkt kompatibel oder per kleinem Plugin überleitbar.
- Shopify: Eigene Passwort-Hashes lassen sich nicht importieren – die Plattform akzeptiert grundsätzlich keine fremden Hashes. Bei einer Migration zu Shopify führt der Weg über den Reset-Flow (Konto-Aktivierungs-Mail). Sonderfälle wie Multipass oder Headless-Login mit externem Identity-Provider gibt es nur bei Shopify Plus – für die meisten Mittelstands-Shops unverhältnismäßig.
Ehrliche Einordnung: Die technische Überleitung lohnt sich vor allem bei großen, aktiven Kundenbeständen (B2B, Stammkunden-lastige Sortimente). Bei kleineren Shops ist der Reset-Flow oft das bessere Kosten-Nutzen-Verhältnis.
Was geht wo? Die Systemtabelle
Kundenkonten gehen überall – bei den Passwörtern entscheidet die Kombination aus Quell- und Zielsystem.
| Migrationspfad | Kundenkonten & Daten | Passwörter / Login | Aufwand |
|---|---|---|---|
| Shopware 5 → Shopware 6 | Vollständig (Kunden, Adressen, Kundengruppen) | Legacy-Encoder: Alt-Hash wird beim ersten Login verifiziert und modern re-hasht – Kunden loggen sich mit dem alten Passwort ein | Gering |
| modified eCommerce → Shopware 6 | Vollständig, Kundengruppen werden gemappt | Technische Überleitung möglich (MD5- und phpass-Hashes via Custom-Encoder), sonst Reset-Flow. Achtung: oft gemischte Hash-Bestände | Mittel |
| Gambio / xt:Commerce → Shopware 6 | Vollständig | Überleitung je nach Hash-Verfahren möglich, sonst Reset-Flow | Mittel |
| Magento → Shopify | Vollständig (Kunden, Adressen, Tags statt Gruppen) | Keine Hash-Übernahme möglich – Shopify akzeptiert keine fremden Hashes. Reset-Flow ist der Standardweg | Gering (Konten) / Reset nötig |
| WooCommerce → Shopify | Vollständig via API-Import | Reset-Flow. Ausnahme: Shopify Plus mit Multipass/Headless-Login | Gering (Konten) / Reset nötig |
| Shopware / Magento → WooCommerce | Vollständig | WooCommerce nutzt phpass/bcrypt – teils direkte Kompatibilität, sonst Überleitung per Plugin oder Reset-Flow | Gering bis mittel |
DSGVO: Dürfen Sie die Kundendaten überhaupt mitnehmen?
Ja – und zwar ohne neue Einwilligung. Bei einer Migration wechselt nicht der Verantwortliche, sondern nur die Software: Sie bleiben derselbe Händler mit denselben Kundenbeziehungen. Rechtsgrundlage für die Übernahme der Konto- und Bestelldaten ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. das berechtigte Interesse an der Fortführung der Kundenbeziehung (lit. f).
Drei Punkte gehören trotzdem in jedes saubere Migrationskonzept:
- Datenminimierung: Nur übernehmen, was gebraucht wird. Uralt-Konten ohne Bestellung und Login sind Kandidaten für die Bereinigung statt für die Migration.
- Keine Klartext-Passwörter: Zu keinem Zeitpunkt – nicht im Export, nicht in Zwischendateien, nicht per E-Mail. Es werden ausschließlich Hashes bewegt (oder gar keine Passwortdaten, beim Reset-Flow).
- Dienstleister als Auftragsverarbeiter: Wer die Migration technisch durchführt, arbeitet auf Basis eines AV-Vertrags – bei uns Standard in jedem Projekt.
Kundenkonten sauber mitnehmen – ohne Login-Chaos
Wir analysieren Ihren Kundenbestand (inkl. Hash-Formate), empfehlen den passenden Weg und setzen ihn um. Daten-Migration ab 1.990 €, Komplett-Migration als individuelles Festpreis-Angebot nach kurzer, kostenloser Einschätzung – mehr dazu im Migrations-Service.
Kostenlose Einschätzung anfragenHäufige Fragen zu Kundenkonten & Passwörtern
Bereit für den nächsten Schritt?
Kostenlose Ersteinschätzung in 24 Stunden. Unverbindlich, mit ehrlichem Zeit- und Preisrahmen.
Das passt auch zu Ihnen
Bestellhistorie migrieren: Was geht – und was nicht
Bestellhistorie beim Shopwechsel: Was Shopware 6, Shopify & WooCommerce übernehmen können, was GoBD wirklich verlangt und wann ein Archiv reicht.
Artikel lesenLänder-Shops migrieren: DE/AT/CH richtig umziehen
Mehrere Länder-Shops migrieren: hreflang, Redirect-Maps je Land, Shopware-6-Verkaufskanäle vs. Shopify Markets, CH-Spezifika – aus der Praxis.
Artikel lesenWas kostet eine Shop-Migration wirklich?
Ehrliche Preisranges für 2026, Kostentreiber und versteckte Posten – Budget realistisch planen.
Artikel lesen