Admin-Aktivitätsprotokoll – Audit-Log, Diff & DSGVO-Export

About the Extension

Wer hat wann was im Backend geändert?

Kommora Admin-Aktivitätsprotokoll beantwortet diese Frage lückenlos – für DSGVO-Auskünfte, interne Audits, ISO-27001-Nachweise oder schlicht zur Fehlersuche im Team.

Jede Aktion im Shopware-Backend wird automatisch protokolliert: Produktpflege, Bestelländerungen, Kundenbearbeitung, Plugin-Installationen, Konfigurationsänderungen und Logins. Sie sehen nicht nur dass etwas geändert wurde, sondern was genau – mit vollem Vorher/Nachher-Diff jeder Änderung.

Warum dieses Plugin?

• Compliance ohne Aufwand. DSGVO-konformes Audit-Log out-of-the-box. Konfigurierbare Aufbewahrungsdauer, tägliche Auto-Löschung. Standardmäßig ohne IP-Speicherung – Datenminimierung per Default.
• Marktlücke. Im Shopware Store gibt es aktuell kein vergleichbares Audit-Log-Plugin. Kein Cloud-Dienst, kein externer Server – alle Daten bleiben in Ihrer Shopware-Datenbank.
• Vorher/Nachher-Diff. Jede Änderung wird mit altem und neuem Wert gespeichert. Passwörter, Tokens und API-Keys werden automatisch maskiert.
• Rubrikensystem statt Datenflut. Kunden, Bestellungen, Katalog, Nutzer, Flows, Plugins & Co. werden automatisch in 14 Rubriken einsortiert – ein Klick filtert die Ansicht.

Funktionen im Überblick

? Automatisches Logging

• Create/Update/Delete-Tracking für alle über das Admin-Backend geänderten Entitäten
• Vorher/Nachher-Diff als strukturiertes JSON pro Eintrag
• Automatische Maskierung von Feldern: password, token, secret, apiKey u. ä.
• Actor-Erfassung: Benutzer-ID, Benutzername, Typ (Admin/Integration/System)
• Zeitstempel mit Millisekunden-Präzision

? Login-Tracking

• Erfolgreiche Admin-Logins
• Fehlgeschlagene Login-Versuche (Brute-Force-Erkennung)
• Logout-Events
• IP-Adresse und User-Agent optional (Opt-in, DSGVO)

? Plugin-Lifecycle

• Installationen und Deinstallationen
• Aktivierungen und Deaktivierungen
• Plugin-Updates
• Ideal für Audit-Nachweise nach einem Funktionsfehler

?️ Rubrikensystem (14 Kategorien)

• Kundendaten: Kunden, Adressen, Kundengruppen, Wunschlisten
• Bestelldaten: Bestellungen, Positionen, Lieferungen, Zahlungen
• Katalog: Produkte, Kategorien, Eigenschaften, Hersteller, Preise, Steuern
• Content: CMS-Seiten, Medien, E-Mail-Templates
• Admin-Benutzer: Nutzer, Rollen, ACL, Integrationen
• Kanäle: Sales-Channel, Zahlungs- und Versandarten
• Regeln & Flows: Regeln, Flow-Builder, Flow-Templates
• Sonstiges: Promotions, Newsletter, System-Konfiguration, Authentifizierung

? Export

• CSV-Export – Excel-kompatibel, mit Semikolon als Trenner, UTF-8 BOM
• HTML/PDF-Export – druckfertig mit Kommora-Layout
• Filter nach Zeitraum und Rubrik
• Export direkt aus dem Admin-Modul per Button

⏱️ Automatische Aufbewahrung (DSGVO)

• Konfigurierbare Aufbewahrungsdauer (Standard: 365 Tage)
• Scheduled Task kommora_activity_log.purge löscht alte Einträge täglich
• Datenminimierung per Default: IP + User-Agent nur bei explizitem Opt-in

Typische Einsatzszenarien

• Ein Kunde fordert nach DSGVO Art. 15 Auskunft, wer wann seine Daten verändert hat
• Ein Produkt wurde versehentlich auf 0 € gesetzt und es ist unklar, wer oder wann
• Ein externer Dienstleister hat Backend-Zugang, Sie wollen die berührten Bereiche nachvollziehen
• Ein neuer Mitarbeiter wird eingearbeitet und der Compliance-Beauftragte verlangt Nachweise
• Nach einem Plugin-Update funktioniert etwas nicht mehr – Sie wollen sehen, was sich geändert hat
• Brute-Force-Login-Versuche erkennen und dokumentieren

Für wen?

• Shops mit mehreren Backend-Nutzern oder externen Dienstleistern
• B2C- und B2B-Shops mit DSGVO-/ISO-27001-Pflichten
• Agenturen, die ihren Kunden dokumentierte Backend-Zugänge bieten
• Shops mit Datenschutzbeauftragten, die Audit-Nachweise erwarten
• Hochpreisige Shops, in denen versehentliche Änderungen schnell teuer werden

DSGVO & Datenschutz

• Opt-in für IP-Adressen und User-Agents (Default: aus)
• Automatische Maskierung sensitiver Felder
• Konfigurierbare Aufbewahrungsdauer mit automatischer Löschung
• Vollständige Deinstallation inkl. aller Daten (Nutzer-Entscheidung)
• Keine externen Services, keine Cloud, keine API-Calls