20+ Jahre Erfahrung
    Slot sichern
    Ratgeber · Datenmigration

    Kundenkonten & Passwörter bei der Shop-Migration übernehmen

    Die häufigste Frage vor jedem Systemwechsel: „Können sich meine Kunden danach noch einloggen?“ Die ehrliche Antwort ist differenzierter als Ja oder Nein – und genau das erklären wir hier.

    Das Grundproblem: Passwörter existieren nur als Hashes

    Kein seriöses Shopsystem speichert Passwörter im Klartext. In der Datenbank liegt immer nur ein Hash – eine Einweg-Verschlüsselung, aus der sich das Original-Passwort nicht zurückrechnen lässt. Je nach System und Alter der Installation kommen dabei sehr unterschiedliche Verfahren zum Einsatz: MD5 und SHA1 in alten osCommerce-Abkömmlingen, phpass bei WordPress/WooCommerce, bcrypt bei Shopware 6 und modernen Frameworks, Argon2 bei den neuesten Systemen.

    Weil Quell- und Zielsystem in der Regel verschiedene Verfahren nutzen, ist die 1:1-Übernahme der Logins technisch unmöglich – das Zielsystem kann mit einem fremden Hash-Format erst einmal nichts anfangen. Und das ist auch gut so: Ein System, das Ihnen die Passwörter Ihrer Kunden im Klartext herausgeben könnte, wäre ein Sicherheits-GAU.

    Wichtig ist die Trennung zweier Dinge, die oft vermischt werden:

    • Kundenkonten – Stammdaten, Rechnungs- und Lieferadressen, Kundengruppen, Newsletter-Status – lassen sich vollständig übernehmen. Ihre Kunden finden im neuen Shop ihr Konto samt Daten wieder.
    • Passwörter – genauer: der Login mit dem alten Passwort – brauchen eine bewusste Strategie. Dafür gibt es zwei saubere Wege, die wir unten zeigen.

    Wie Kundendaten technisch extrahiert, bereinigt und ins Zielsystem gemappt werden, beschreibt unser Leitfaden zur Datenmigration im Detail. Für die Bestellungen der Kunden gibt es einen eigenen Artikel: Bestellhistorie migrieren.

    Aus der Praxis: gemischte Hash-Bestände in Alt-Shops

    Ein Detail, das in kaum einem Tutorial steht, uns in Projekten aber regelmäßig begegnet: Alt-Shops haben oft gemischte Hash-Bestände in ein und derselben Datenbank. Ein modified-eCommerce-Shop, der über zehn Jahre gewachsen ist, hat Kunden aus der MD5-Ära und Kunden, deren Passwörter nach einem Update bereits mit bcrypt/phpass gehasht wurden – je Kundenkonto verschieden, erkennbar nur am Format des gespeicherten Hashes.

    Für die Migration heißt das: Es gibt nicht „das“ Hash-Verfahren des Altsystems. Eine saubere Übernahme muss pro Konto erkennen, welches Format vorliegt, und entsprechend behandeln – sonst funktioniert der Login für die Hälfte der Kunden und für die andere Hälfte nicht. Genau solche Bestandsaufnahmen machen wir vor jeder Migration; wer ohnehin von modified eCommerce weg will, findet in unserem Artikel modified eCommerce Nachfolger die Systemwahl-Perspektive dazu.

    Weg 1: Der Passwort-Reset-Flow

    Der robusteste und mit Abstand häufigste Weg: Alle Kundenkonten werden vollständig migriert – ohne Passwort. Beim ersten Login im neuen Shop wird der Kunde freundlich zum einmaligen Zurücksetzen geführt. Das klingt nach Reibung, ist mit guter Umsetzung aber ein Nicht-Ereignis: Kunden kennen den „Passwort vergessen“-Ablauf, und viele nutzen ohnehin einen Passwort-Manager oder den Browser-Login.

    Vorteile

    • Funktioniert bei jedem Systemwechsel, auch zu Shopify
    • Keine Altlasten: alle Passwörter danach modern gehasht
    • Kein Custom-Code, der gewartet werden muss
    • Gelegenheit, inaktive Konten zu bereinigen

    Nachteile

    • Einmalige Hürde beim ersten Login
    • Ohne Kommunikation wirkt es wie ein Fehler („Login geht nicht mehr!“)
    • Reset-Mails müssen zuverlässig zugestellt werden

    So bleibt die Conversion stabil

    • Kunden vorab per E-Mail informieren: neuer Shop, gleiche Konten, einmalig neues Passwort – als Verbesserung kommunizieren, nicht als Panne
    • Freundliche Fehlermeldung beim ersten Login: „Wir haben unseren Shop erneuert – bitte setzen Sie Ihr Passwort einmalig neu“ statt „Login fehlgeschlagen“
    • Reset-Link maximal einen Klick entfernt platzieren – jede Hürde kostet Wiederkäufer
    • Gast-Checkout aktiv lassen: Wer sein Passwort nicht sofort zurücksetzen will, muss trotzdem kaufen können
    • Reset-E-Mails vor Go-Live testen (Zustellbarkeit, SPF/DKIM) – nichts ist schlimmer als ein Reset-Link, der im Spam landet

    Weg 2: Technische Überleitung der Alt-Hashes

    Der elegantere Weg, wenn das Zielsystem mitspielt: Die Alt-Hashes werden mitmigriert, und das Zielsystem verifiziert beim ersten Login das eingegebene Passwort gegen den alten Hash. Stimmt es, wird es sofort mit dem modernen Verfahren neu gehasht – der Kunde merkt nichts, der Altbestand baut sich mit jedem Login von selbst ab.

    • Shopware 6: Bringt das Konzept der Legacy-Password-Encoder mit; für Shopware-5-Hashes existiert es im Migrations-Umfeld fertig, für exotischere Formate (MD5 mit Salt, phpass) lässt sich ein eigener Encoder ergänzen. Details zum Zielsystem: zu Shopware 6 migrieren.
    • WooCommerce: Nutzt phpass/bcrypt – kommt der Alt-Shop ebenfalls aus der PHP-Welt, sind die Hashes teils direkt kompatibel oder per kleinem Plugin überleitbar.
    • Shopify: Eigene Passwort-Hashes lassen sich nicht importieren – die Plattform akzeptiert grundsätzlich keine fremden Hashes. Bei einer Migration zu Shopify führt der Weg über den Reset-Flow (Konto-Aktivierungs-Mail). Sonderfälle wie Multipass oder Headless-Login mit externem Identity-Provider gibt es nur bei Shopify Plus – für die meisten Mittelstands-Shops unverhältnismäßig.

    Ehrliche Einordnung: Die technische Überleitung lohnt sich vor allem bei großen, aktiven Kundenbeständen (B2B, Stammkunden-lastige Sortimente). Bei kleineren Shops ist der Reset-Flow oft das bessere Kosten-Nutzen-Verhältnis.

    Was geht wo? Die Systemtabelle

    Kundenkonten gehen überall – bei den Passwörtern entscheidet die Kombination aus Quell- und Zielsystem.

    MigrationspfadKundenkonten & DatenPasswörter / LoginAufwand
    Shopware 5 → Shopware 6Vollständig (Kunden, Adressen, Kundengruppen)Legacy-Encoder: Alt-Hash wird beim ersten Login verifiziert und modern re-hasht – Kunden loggen sich mit dem alten Passwort einGering
    modified eCommerce → Shopware 6Vollständig, Kundengruppen werden gemapptTechnische Überleitung möglich (MD5- und phpass-Hashes via Custom-Encoder), sonst Reset-Flow. Achtung: oft gemischte Hash-BeständeMittel
    Gambio / xt:Commerce → Shopware 6VollständigÜberleitung je nach Hash-Verfahren möglich, sonst Reset-FlowMittel
    Magento → ShopifyVollständig (Kunden, Adressen, Tags statt Gruppen)Keine Hash-Übernahme möglich – Shopify akzeptiert keine fremden Hashes. Reset-Flow ist der StandardwegGering (Konten) / Reset nötig
    WooCommerce → ShopifyVollständig via API-ImportReset-Flow. Ausnahme: Shopify Plus mit Multipass/Headless-LoginGering (Konten) / Reset nötig
    Shopware / Magento → WooCommerceVollständigWooCommerce nutzt phpass/bcrypt – teils direkte Kompatibilität, sonst Überleitung per Plugin oder Reset-FlowGering bis mittel

    DSGVO: Dürfen Sie die Kundendaten überhaupt mitnehmen?

    Ja – und zwar ohne neue Einwilligung. Bei einer Migration wechselt nicht der Verantwortliche, sondern nur die Software: Sie bleiben derselbe Händler mit denselben Kundenbeziehungen. Rechtsgrundlage für die Übernahme der Konto- und Bestelldaten ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bzw. das berechtigte Interesse an der Fortführung der Kundenbeziehung (lit. f).

    Drei Punkte gehören trotzdem in jedes saubere Migrationskonzept:

    • Datenminimierung: Nur übernehmen, was gebraucht wird. Uralt-Konten ohne Bestellung und Login sind Kandidaten für die Bereinigung statt für die Migration.
    • Keine Klartext-Passwörter: Zu keinem Zeitpunkt – nicht im Export, nicht in Zwischendateien, nicht per E-Mail. Es werden ausschließlich Hashes bewegt (oder gar keine Passwortdaten, beim Reset-Flow).
    • Dienstleister als Auftragsverarbeiter: Wer die Migration technisch durchführt, arbeitet auf Basis eines AV-Vertrags – bei uns Standard in jedem Projekt.

    Kundenkonten sauber mitnehmen – ohne Login-Chaos

    Wir analysieren Ihren Kundenbestand (inkl. Hash-Formate), empfehlen den passenden Weg und setzen ihn um. Daten-Migration ab 1.990 €, Komplett-Migration als individuelles Festpreis-Angebot nach kurzer, kostenloser Einschätzung – mehr dazu im Migrations-Service.

    Kostenlose Einschätzung anfragen

    Häufige Fragen zu Kundenkonten & Passwörtern

    Bereit für den nächsten Schritt?

    Kostenlose Ersteinschätzung in 24 Stunden. Unverbindlich, mit ehrlichem Zeit- und Preisrahmen.

    Cookie-Einstellungen

    Wir verwenden Cookies und Google Analytics, um unsere Website zu verbessern und den Erfolg unserer Marketingmaßnahmen zu messen. Mehr dazu in unserer Datenschutzerklärung.