Die DSGVO ist die neue EU-Gesetzgebung, die wesentliche Änderungen des bestehenden Datenschutzrechts einführt, insbesondere neue Vorschriften darüber, wie Unternehmen, die in Europa geschäftlich tätig sind, personenbezogene Daten erfassen und verarbeiten können bzw. müssen. Die DSGVO-Anforderungen sind sehr spezifisch und erweitern den Anwendungsbereich des EU-Datenschutzrechts.
Magento sieht die DSGVO als Chance, die bereits bestehende Geschäftsbeziehung weiter zu stärken und zu verdeutlichen, dass der Schutz der Privatsphäre ihrer Kunden oberste Priorität hat. Insofern sieht Magento die neuen EU-Vorschriften als eine Art Blaupause für die weiteren Bemühungen um mehr Transparenz und Sicherheit.
Nachfolgend ein kurzer Überblick darüber, was unter der DSGVO zu verstehen ist und welche Auswirkungen dies auf Magento hat bzw. haben kann:
die EU-Datenschutzgrundverordnung in wenigen Worten
Kurz gesagt handelt es sich bei der DSGVO um einen einheitlichen Datenschutzrahmen, der sicherstellen soll, dass personenbezogene Daten von entsprechend sorgfältig und vorsichtig behandelt werden. Sie gilt für Organisationen mit Sitz in der EU, die personenbezogene Daten verarbeiten, und für Organisationen mit Sitz außerhalb der EU, die entweder Waren oder Dienstleistungen direkt an Einzelpersonen in der EU anbieten oder das Verhalten von Einzelpersonen in der EU überwachen (z.B. durch Erstellung von Kundenprofilen).
Die Regelungen der DSGVO sind darauf ausgelegt, eine Vielzahl von Informationen zu schützen - im Grunde genommen alles, was verwendet werden könnte, um eine Person in irgendeiner Weise, auch indirekt, zu identifizieren. Das bedeutet, dass beispielsweise Namen, E-Mail-Adressen, Fotos, ID-Nummern, Gesundheitsdaten, biometrische Daten, Standortdaten und Finanzdaten enthalten sind. Das gilt auch für IP-Adressen, Social-Network-Posts und webbasierte Cookie-Daten. Wenn etwas in irgendeiner Weise für die "physische, physiologische, genetische, mentale, ökonomische, kulturelle oder soziale Identität" einer Person relevant ist, gilt es als personenbezogene Daten.
Unternehmen können entsprechenden Daten nur dann speichern oder verarbeiten, wenn die zugehörige Person ausdrücklich zustimmt - und selbst dann setzt die DSGVO der Aufbewahrungsdauer dieser Daten feste Grenzen.
Sobald die DSGVO in Kraft tritt, kann jede Organisation, die sich nicht an die dann geltenden Vorgaben hält, mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro - abhängig davon, welcher Betrag höher ist - bestraft werden.
Die Rolle von Magento bei der Einhaltung der DSGVO-Richtlinien
Magento hat sowohl Kunden, die in der EU ansässig sind, als auch Kunden, die Privatpersonen in der EU bedienen. Insofern ist es selbstverständlich dass die Einhaltung der entsprechenden Vorgaben sehr ernst genommen wird.
Im Rahmen der EU-Datenschutzgrundverordnung, werden Magento Kunden als "Daten-Kontrolleure" angesehen - dies bedeutet, dass sie selbst bestimmen, wie personenbezogene Daten erhoben und genutzt werden. Bei Magento selbst handelt es sich um einen sog. Datenverarbeiter, weil mit Magento personenbezogene Daten verarbeitet. Grundsätzlich gilt, dass der richtige Umgang mit Daten eine gemeinsame Verantwortung darstellt, bei der alle die mit personenbezogenen Daten arbeiten, entsprechende Vorkehrungen treffen müssen um die nötige Sicherheit gewährleisten zu können.
Um den Verpflichtungen als Datenverarbeiter gerecht zu werden, hat Magento in den folgenden drei Bereichen entsprechenden Anpassungen vorgenommen:
1. Policen/Verträge
Magento hat die Kunden- und Partnerverträge sowie die Richtlinien und Prozesse zum Datenschutz und zum Datenschutz proaktiv überprüft und aktualisiert (sofern erforderlich).
2. Technologie
Die Magento-Produkte verfügen bereits von Grund auf über eine solide und moderne Architektur mit entsprechenden Sicherheitsfunktionen, so dass keine größeren Modifikationen notwendig sind, um die Einhaltung der DSGVO auf technischer Seite sicherstellen zu können. Magento arbeitet eng mit Juristen und Ingenieuren zusammen, um die Magento Produkte in Bezug auf Einhaltung der entsprechenden Vorgaben zu prüfen und laufend zu optimieren. Darüber hinaus führt das Magento Security-Team auch laufend detaillierte Sicherheitsaudits für alle Magento-Produkte durch.
Weitere Informationen für Magento Kunden
Für alle gehosteten Magento-Produkte besteht die Möglichkeit, eine Datenspeicherung innerhalb der EU zu wählen (Irland für Magento Business Intelligence und Magento Order Management und Irland, London oder Frankfurt für Magento Commerce Cloud). Magento speichert keine personenbezogenen Daten an einem Ort außerhalb der vom Kunden angegebenen Präferenz.
An dieser Stelle sei jedoch auch nochmals darauf hingewiesen, dass Magento Erweiterungen (Module) unter Umständen personenbezogenen Daten ggf. auch außerhalb der vorgesehenen Magento-Instanz speichern sowie ggf. auch Daten an Dritte weitergeben könnten. Hier empfiehlt es sich auf Kundenseite die entsprechenden Punkte der DSGVO gegenüber dem verantwortlichen Dienstleister möglichst frühzeitig anzusprechen bzw. zu prüfen / prüfen zu lassen.
Im Allgemeinen sollten Magento Kunden alle Dienstleistungen und Verträge, die mit Drittunternehmen verbunden sind, überprüfen bzw. überprüfen lassen um die Einhaltung der Datenschutzgrundverordnung zu bestätigen. Kunden sollten zudem auch für sich selbst eine entsprechende Rechtsberatung konsultieren, um die Einhaltung der DSGVO und deren Anforderungen prüfen zu lassen. Magento selbst kann leider keine Rechtsberatung übernehmen.
Häufig gestellte Fragen (FAQ)
Ist Magento bereits heute konform zur kommende EU-Datenschutzgrundverordnung?
Die DSGVO gilt erst ab dem 25. Mai 2018. Magento arbeitet mit Hochdruck daran, die entsprechenden Vorgaben bis zum Inkrafttreten der DSGVO zu erfüllen.
Sind irgendwelche Änderungen/Anpassungen an Magento Commerce notwendig um die Vorgabe der DSGVO zu erfüllen?
Es sind keine wesentlichen Änderungen zu erwarten, die erforderlich sind, damit die Software DSGVO konform ist.
Betrifft die DSGVO nur Unternehmen mit Sitz in der EU?
Nein. Auch Unternehmen, die nicht in der EU ansässig sind, müssen sich an diese Vorgaben halten, wenn sie Sie mit personenbezogenen Daten arbeiten:
Dazu zählt das Angebot von Waren und/oder Dienstleistungen an Einzelpersonen (unabhängig davon, ob eine Zahlung für diese Waren oder Dienstleistungen erforderlich ist) aber auch die Überwachung des Besucherverhaltens auf Webseiten.
Gibt es eine Zertifizierung für die DSGVO?
Nein. Es gibt keine offizielle Zertifizierungen für die DSGVO-Konformität. Andere Zertifizierungen wie PCI und SOC 2 helfen jedoch die Ziele der DSGVO zu erreichen.
Kann Magento Kunden bei der Einhaltung der DSGVO helfen?
Magento kann leider keine Rechtsberatung anbieten. Kunden sollten in diesem Fall ihren eigenen bzw. einen externen Juristen hinzuziehen, um zu verstehen, was sie tun müssen, um mit der DSGVO konform zu sein. Sollte Magento davon Kenntnis erlangen, dass die Software zu Problemen mit der DSGVO führen kann, wird Magento nach rechtlicher Prüfung die Kunden darüber entsprechend informieren.
Wird eine Datenverarbeitungsvereinbarung bereits heute in Verträgen verwendet?
Wenn ein Kunde dies wünscht, schließt Magento eine DSGVO-konforme Daten- verarbeitungsvereinbarung in den Kundenvertrag ein. Darüber hinaus wird Magento neue und bestehende Kundenverträge fortlaufend aktualisieren, um eine DSGVO-konforme Datenverarbeitungsvereinbarung einzubeziehen.
Welche Möglichkeiten haben EU-Kunden, ihre Daten in der EU aufzubewahren?
Für alle gehosteten Magento-Produkte besteht die Möglichkeit, in EU-Ländern zu hosten:
- Magento Digital Cloud (Produktionsinstanzen) - Irland, London oder Frankfurt
- Magento Business Intelligence - Irland
- Magento Order Management - Irland
Magento wird keine personenbezogenen Daten von den vom Kunden angegebenen Orten übertragen. Magento könnte jedoch von Orten außerhalb der EU aus Fernzugriff auf personenbezogene Daten haben, die in der EU gespeichert sind. Magento hat für einen solchen Fernzugriff angemessene Sicherheitsvorkehrungen getroffen. Magento muss ggf. spezielle Cross-Border-Vereinbarungen mit Kunden abschließen, um den Remote-Zugriff abzudecken.
Sind Produktfunktionen geplant, die bei der Einhaltung der Vorschriften helfen sollen?
Magento führt derzeit ein Daten-Mapping durch, um alle Orte zu identifizieren, an denen personenbezogene Daten im System gespeichert sind. Dieses Mapping wird zunächst als Dokumentation zur Verfügung gestellt. Tools zur Automatisierung der Auflistung, des Exports und der Löschung von Kundendaten können in Zukunft in Betracht gezogen werden.
Wie wirken sich Programmerweiterungen (Extensions/Module) auf die Einhaltung der DSGVO-Richtlinien aus?
Wenn Kunden Extensions vom Magento Marketplace oder bei sonstige Dritten beziehen, schließen sie direkt mit diesen Anbietern Verträge ab. Extensions können personen- bezogene Daten an verschiedenen Stellen innerhalb der Datenbank speichern oder Daten an externe Dienstleister weiterleiten. Kunden müssen sich darüber im Klaren sein, auf welche Erweiterungen von Personendaten zugegriffen wird und ob sie personenbezogene Daten an anderen Orten als der zentralen eCommerce-Plattform speichern. Dienstleistungen von und Verträge mit externen Unternehmen sollten von Kunden frühzeitig auf die Einhaltung der DSGVO überprüft werden.
Werden Whitelabel-Angebote und Produkt-Bundles in Bezug auf die DSGVO geprüft?
Ja. Kunden schließen Verträge mit Magento um diese Art von Produkten zu verwenden und somit ist Magento auch für die Einhaltung der entsprechenden Vorgaben für diese Produkte verantwortlich.
Was kann zum Thema Privacy Shield gesagt werden?
Magento ist derzeit dabei eine Privacy Shield-Zertifizierung zu durchlaufen, die folgendes abdecken wird: Übermittlung von Kundendaten aus der EU und der Schweiz in die USA. In der Zwischenzeit hat Magento sog. EU-Modellklauseln eingeführt, die von der Europäischen Kommission vorbereitet wurden, um solche Transfers angemessen abzudecken.
Weitere Informationen zur DSGVO finden Sie auch auf folgender Webseite: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en