Von Moritz Bachmann publiziert am 11. April 2018

Magento und die EU-DSGVO/GDPR - FAQ

Die EU-Datenschutzgrundverordnung (DSGVO) im Englischen General Data Protection Regulation (GDPR) tritt nicht, wie oft beschrieben, am 25. Mai 2018 in Kraft – vielmehr ist sie ab diesem Tag vollumfänglich anzuwenden.

Für viele Magento-Shop-Betreiber ergeben sich aus dieser Tatsache einige Fragen, da im E-Commerce fast immer personenbezogene Daten im Rahmen der Auftragsverarbeitung erfasst, gespeichert und verarbeitet werden. Ob Sie als Shopbetreiber davon betroffen sind und welche Maßnahmen Sie im Rahmen der EU-Datenschutz-Reform ergreifen sollten erfahren Sie in diesem FAQ-Artikel zum Thema.

Bin ich als Magento-Shop-Betreiber überhaupt von der EU-DSGVO/GDPR betroffen?

Sofern Ihr Unternehmen in der EU ansässig ist und/oder Waren oder Dienstleistungen an natürliche Personen in der EU anbietet – Ja, dann gilt die EU-DSGVO auch für Sie. Gleiches gilt auch, wenn Sie beispielsweise das Verhalten von EU-Bürgern nachverfolgen (z.B. über Kundenverhaltensprofile) 

Welche Daten sind im Rahmen der EU-DSGVO/GDPR geschützt?

Grundsätzlich geht es um jegliche Daten, die dazu geeignet sind, natürliche Personen direkt oder auch indirekt zu identifizieren. Auch nach Wirksamwerden der DSGVO wird bei der  Auftragsdatenverarbeitung typischerweise personenbezogene Daten wie Namen, E-Mail-Adressen, Profilfotos, Personalausweis oder andere ID-Nummern abgefragt. Hierzu zählen aber auch Informationen wie Standort, Finanzdaten, IP-Adressen, Cookie-Daten, uvm.

Welche Verantwortlichkeiten liegen bei mir als Shopbetreiber?

Es sind hierbei sind zwei grundsätzliche Unterschiede zu beachten:

Der Shopbetreiber tritt in diesem Bezug als Datenverantwortlicher auf. Gemeint ist damit die Organisation, die den Zweck und die Mittel der Verarbeitung persönlicher Daten bestimmt. Dies gilt auch dann, wenn die Organisation die Daten selbst verarbeitet.

Magento tritt in diesem Innenverhältnis als Datenverarbeiter auf, also als Dienstleister außerhalb der Organisation des Datenverantwortlichen, der Daten in dessen Auftrag verarbeitet.

In Bezug auf personenbezogenen Daten, die von Shopbetreibern gesammelt werden, war und ist es immer die Verantwortung des Händlers, eine konforme Datenschutzrichtlinie einzuhalten und seine Kunden hierüber aufzuklären. Der Händler ist also angehalten seine Endkunden darüber zu informieren, welche persönlichen Informationen gesammelt werden, wie und für welche Zwecke diese Informationen verwendet werden und ob diese auch an Dritte weitergegeben werden und wenn ja, zu welchem Zweck.

Gibt es eine EU-DSGVO/GDPR-Zertifizierung?

Nein. Andere Zertifizierungen wie PCI und SOC 2 sind nicht speziell erforderlich, sondern helfen dabei, die Sicherheitspraktiken zu überprüfen und die Vorgaben der Datenschutzgrundverordnung zu erfüllen.

Ist Magento heute schon konform in Bezug auf die EU-DSGVO/GDPR?

Nocht nicht. Magento ist bereit für die Datenschutzverordunung und arbeitet in unterschiedlichen Bereichen daran, bis zum 25. Mai alle Vorgaben zu erfüllen.

 

New Call-to-action 

Sind Änderungen an Magento-Produkten zu erwarten? 

Magento geht aktuell nicht davon aus, dass wesentliche Änderungen an seinen Produkten zu erwarten sind um EU-DSGVO konform zu sein.

Es wurde eine Bestandsaufnahme aller Magento-Produkte vorgenommen, in welcher alle persönlichen Informationen, die von den Magento-Anwendungen gespeichert werden, erfasst wurden. Diese Informationen werden allen Partnern und Kunden zur Verfügung gestellt, so dass es diesen leichter fallen wird auf Fragen zum Datenschutz seitens von Endkunden einzugehen.

Unabhängig davon wird ein entsprechender Datenverarbeitungsvertrag mit jedem Unterauftragnehmer abgeschlossen, der die persönlichen Daten von Magento-Händlern und Händlern im Namen von Magento verarbeitet, um alle Aspekte der EU-DSGVO zu behandeln, einschließlich der oben diskutierten individuellen Anfragen zu den Rechten der Betroffenen. 

Gibt es Magento-Features, die bei der Einhaltung der Vorschriften helfen sollen?

Magento hat ein Daten-Mapping vorgenommen, um alle Standorte zu identifizieren, an denen persönlichen Daten gespeichert werden. Diese Informationen werden als Dokumentation bis zum 1. Mai auf der offiziellen Magento Entwickler-Dokumentationsseite veröffentlicht. Weiterhin prüft Magento, welche Tools zum automatischen Auflisten, Exportieren und Löschen von persönlichen Daten es in Zukunft für Magento-Produkte geben wird.

Wie muss ich als Shopbetreiber mit der Einhaltung der EU-DSGVO/GDPR-Richtlinien in meinem Magento-Shop umgehen? 

Shopbetreiber sollten ihre Datenschutzpraktiken und -richtlinien überprüfen und aktualisieren. Da Magento selbst keine Rechtsberatung anbieten kann, empfiehlt es sich ggf. einen Datenschutzbeauftragten oder Juristen für Datenschutz hinzuzuziehen.

Wie steht Magento zur Verschlüsselung als Voraussetzung für die EU-DSGVO/GDPR?

Um ein angemessenes Sicherheitsniveau zu gewährleisten sind Shopbetreiber dazu angehalten geeignete technische und organisatorische Maßnahmen zu ergreifen. Diese Maßnahmen können eine Verschlüsselung beinhalten, sind aber nach der EU-DSGVO nicht zwingend vorgeschrieben. Magento Commerce Cloud-Kunden profitieren bereits heute von einer Verschlüsselung auf Festplattenebene. 

Wie lange darf ich als Shopbetreiber personenbezogene Daten speichern?

Personenbezogene Daten sollten nur so lange aufbewahrt werden, wie dies im Hinblick auf den/die Zweck(e), für die sie aufbewahrt wurden, erforderlich oder zulässig ist. Im E-Commerce sind im Sinne der Auftragsdatenverarbeitung auch neben der DSGVO beispielsweise auch gesetzliche Aufbewahrungspflichten zu beachten (z.B. Deutschland: 6 Jahre für Handels- und Geschäftsbriefe)

Welche Möglichkeiten haben Shopbetreiber in der EU, ihre Daten in der EU zu speichern?

Für alle gehosteten Magento-Produkte besteht die Möglichkeit, Ihre Daten in EU-Ländern zu hosten:

  • Magento Commerce (Cloud) - Irland, London oder Frankfurt
  • Magento Business Intelligence - Irland
  • Magento Auftragsmanagement - Irland

Magento überträgt keine personenbezogenen Daten von den vom Shopbetreiber angegebenen Orten. Magento könnte jedoch per Fernzugriff außerhalb der EU Zugriff auf in der EU gespeicherten personenbezogenen Daten erlangen. Magento hat für diesen Fall entsprechende Sicherheitsvorkehrungen getroffen.

Wie wird Opt-in in Magento Commerce gehandhabt und benötigen die Marketingfunktionen (wie Kundensegmente) ein Opt-in?

Magento Commerce ermöglicht es Händlern, Kundenattribute zu erstellen und zu verwalten.  Diese können für die Erstellung des Kundenkontos benötigt und mit dem Kundendatensatz in Magento gespeichert werden. Magento Commerce bietet auch eine Funktion, die Shopbetreiber nutzen können, um ein explizites Opt-in bei der Account-Erstellung zu verlangen.

Die Segmentierungstools (siehe auch unseren Blog-Artikel zu diesem Thema) von Magento Commerce basieren auf Authentifizierung, um auf die Kontoinformationen des Kunden zuzugreifen. Bei nicht authentifizierten Käufern kann die Segmentierung nur auf der Grundlage der Aktivität innerhalb der aktiven Sitzung erfolgen, z. B. der Anzahl der Artikel, die sich derzeit im Warenkorb befinden. Magento Commerce speichert in diesem Fall einen Langzeit-Cookie auf dem Rechner des Käufers. Die in diesem Cookie gespeicherten Informationen sind anonymisiert. Der Nutzer ist aber weiterhin über die Verwendung von Cookies zu informieren und es bleibt darauf hinzuweisen, dass er ein Widerspruchsrecht gegen die Verwendung von Cookies hat. (Opt-Out)

Wie wirken sich Extensions und Module auf die Einhaltung der EU-DSGVO/GDPR aus?

Wenn Shopbetreiber Extensions vom Magento Marketplace oder bei sonstige Dritten beziehen, schließen sie direkt mit diesen Anbietern entsprechende Verträge ab. Erweiterungen können personenbezogene Daten an verschiedenen Stellen innerhalb der zentralen eCommerce-Plattform speichern oder an externe Dienste von Dritten senden. Shopbetreiber sind verpflichtet Ihre Endkunden dahingehend aufzuklären. Dienstleistungen von und Verträge mit externen Unternehmen sollten daher frühzeitig auf die Einhaltung der EU-DSGVO überprüft werden.

Werden White Label-Angebote und Produkt-Bundles im Sinne der EU-DSGVO/GDPR überprüft?

Ja. Shopbetreiber, die diese Art von Produkten von Magento beziehen schließen Verträge mit Magento für deren Nutzung ab. Somit liegt es in der Verantwortung von Magento die Einhaltung der Richtlinien zu gewährleisten.

Wie verhält es sich mit dem Thema Privacy Shield?

Um den Transfer personenbezogener Daten aus dem Europäischen Wirtschaftsraum und der Schweiz in die USA abzudecken, ist Magento aktuell im Zertifizierungsprozess für das Privacy-Shield-Programm. Bis dahin hat Magento von der Europäischen Kommission vorbereitete EU-Modellklauseln eingeführt, um sicherzustellen, dass solche Transfers vorgenommen werden können. 

Fazit: 

Die Umsetzung der DSGVO stellt Shopbetreiber vor neue Herauasforderungen und stärkt gleichzeitig die Rechte der Verbraucher in Bezug auf deren Recht auf Selbstbestimmung. So muss der Schutz personenbezogener Daten künftig ausreichend gewährleistet sein. Bei Nichtbeachtung drohen empfindliche Bußgelder. Onlinehändler müssen daher mehr als je zuvor auf kompetente Unterstützung in Fragen des Datenschutzes bauen und dürfen sich in diesem Bereich nicht weiterhin mehr oder weniger auf eigene Faust durchzuschlagen versuchen. Denn das wird über kurz oder lang mit Sicherheit schiefgehen und zu Abmahnungen oder Bußgeldern führen. Gerade für die Betreiber von großen Shops bedeutet dies ein Risiko, welches durch kompetente Beratung und ein Datenschutz-Audit minimiert werden kann.

Wer vollumfänglich sicher sein will, dass er auch nach dem 25.05.2018 im Einklang mit der DSGVO im E-Commerce handelt, sollte einen Rechtsbeistand zurate ziehen, um sicherzustellen, dass er in der Umsetzung der Datenschutzgrundverordnung auch alle Vorgaben zu einhundert Prozent erfüllt.

 

New Call-to-action 

Disclaimer

An dieser Stelle möchte ich noch darauf hinweisen, dass es sich bei diesem Blogartikel nicht um eine Rechtsberatung handelt. Die obenstehenden Informationen haben daher keine rechtsverbindliche Wirkung. Zur rechtsverbindlichen Prüfung in Ihrem Unternehmen sollten Sie in jedem Fall einen juristischen Experten hinzuziehen. Wir lassen uns in diesem Zusammenhang von unserem Datenschutzbeauftragten RA Christian Welkenbach (http://www.tcilaw.de/ ) beraten.