EU-Datenschutzgrundverordnung (DSGVO) und Magento

Die EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft. Magento hat hier die notwendige Vorkehrungen getroffen, um sicherzustellen dass Magento Software den dann geltenden Vorschriften gerecht wird.

Die DSGVO ist die neue EU-Gesetzgebung, die wesentliche Änderungen des bestehenden Datenschutzrechts einführt, insbesondere neue Vorschriften darüber, wie Unternehmen, die in Europa geschäftlich tätig sind, personenbezogene Daten erfassen und verarbeiten können bzw. müssen. Die DSGVO-Anforderungen sind sehr spezifisch und erweitern den Anwendungsbereich des EU-Datenschutzrechts.

Magento sieht die DSGVO als Chance, die bereits bestehende Geschäftsbeziehung weiter zu stärken und zu verdeutlichen, dass der Schutz der Privatsphäre ihrer Kunden oberste Priorität hat. Insofern sieht Magento die neuen EU-Vorschriften als eine Art Blaupause für die weiteren Bemühungen um mehr Transparenz und Sicherheit.

Nachfolgend ein kurzer Überblick darüber, was unter der DSGVO zu verstehen ist und welche Auswirkungen dies auf Magento hat bzw. haben kann:

die EU-Datenschutzgrundverordnung in wenigen Worten

Kurz gesagt handelt es sich bei der DSGVO um einen einheitlichen Datenschutzrahmen, der sicherstellen soll, dass personenbezogene Daten von entsprechend sorgfältig und vorsichtig behandelt werden. Sie gilt für Organisationen mit Sitz in der EU, die personenbezogene Daten verarbeiten, und für Organisationen mit Sitz außerhalb der EU, die entweder Waren oder Dienstleistungen direkt an Einzelpersonen in der EU anbieten oder das Verhalten von Einzelpersonen in der EU überwachen (z.B. durch Erstellung von Kundenprofilen). 

Die Regelungen der DSGVO sind darauf ausgelegt, eine Vielzahl von Informationen zu schützen - im Grunde genommen alles, was verwendet werden könnte, um eine Person in irgendeiner Weise, auch indirekt, zu identifizieren. Das bedeutet, dass beispielsweise Namen, E-Mail-Adressen, Fotos, ID-Nummern, Gesundheitsdaten, biometrische Daten, Standortdaten und Finanzdaten enthalten sind. Das gilt auch für IP-Adressen, Social-Network-Posts und webbasierte Cookie-Daten. Wenn etwas in irgendeiner Weise für die "physische, physiologische, genetische, mentale, ökonomische, kulturelle oder soziale Identität" einer Person relevant ist, gilt es als personenbezogene Daten.

Unternehmen können entsprechenden Daten nur dann speichern oder verarbeiten, wenn die zugehörige Person ausdrücklich zustimmt - und selbst dann setzt die DSGVO der Aufbewahrungsdauer dieser Daten feste Grenzen.

Sobald die DSGVO in Kraft tritt, kann jede Organisation, die sich nicht an die dann geltenden Vorgaben hält, mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro - abhängig davon, welcher Betrag höher ist - bestraft werden.

Die Rolle von Magento bei der Einhaltung der DSGVO-Richtlinien

Magento hat sowohl Kunden, die in der EU ansässig sind, als auch Kunden, die Privatpersonen in der EU bedienen. Insofern ist es selbstverständlich dass die Einhaltung der entsprechenden Vorgaben sehr ernst genommen wird.

Im Rahmen der EU-Datenschutzgrundverordnung, werden Magento Kunden als "Daten-Kontrolleure" angesehen - dies bedeutet, dass sie selbst bestimmen, wie personenbezogene Daten erhoben und genutzt werden. Bei Magento selbst handelt es sich um einen sog. Datenverarbeiter, weil mit Magento personenbezogene Daten verarbeitet. Grundsätzlich gilt, dass der richtige Umgang mit Daten eine gemeinsame Verantwortung darstellt, bei der alle die mit personenbezogenen Daten arbeiten, entsprechende Vorkehrungen treffen müssen um die nötige Sicherheit gewährleisten zu können.

Um den Verpflichtungen als Datenverarbeiter gerecht zu werden, hat Magento in den folgenden drei Bereichen entsprechenden Anpassungen vorgenommen:

1. Policen/Verträge

Magento hat die Kunden- und Partnerverträge sowie die Richtlinien und Prozesse zum Datenschutz und zum Datenschutz proaktiv überprüft und aktualisiert (sofern erforderlich).

2. Technologie

Die Magento-Produkte verfügen bereits von Grund auf über eine solide und moderne Architektur mit entsprechenden Sicherheitsfunktionen, so dass keine größeren Modifikationen notwendig sind, um die Einhaltung der DSGVO auf technischer Seite sicherstellen zu können. Magento arbeitet eng mit Juristen und Ingenieuren zusammen, um die Magento Produkte in Bezug auf Einhaltung der entsprechenden Vorgaben zu prüfen und laufend zu optimieren. Darüber hinaus führt das Magento Security-Team auch laufend detaillierte Sicherheitsaudits für alle Magento-Produkte durch.

Weitere Informationen für Magento Kunden

Für alle gehosteten Magento-Produkte besteht die Möglichkeit, eine Datenspeicherung innerhalb der EU zu wählen (Irland für Magento Business Intelligence und Magento Order Management und Irland, London oder Frankfurt für Magento Commerce Cloud). Magento speichert keine personenbezogenen Daten an einem Ort außerhalb der vom Kunden angegebenen Präferenz.

An dieser Stelle sei jedoch auch nochmals darauf hingewiesen, dass Magento Erweiterungen (Module) unter Umständen personenbezogenen Daten ggf. auch außerhalb der vorgesehenen Magento-Instanz speichern sowie ggf. auch Daten an Dritte weitergeben könnten. Hier empfiehlt es sich auf Kundenseite die entsprechenden Punkte der DSGVO gegenüber dem verantwortlichen Dienstleister möglichst frühzeitig anzusprechen bzw. zu prüfen / prüfen zu lassen.

Im Allgemeinen sollten Magento Kunden alle Dienstleistungen und Verträge, die mit Drittunternehmen verbunden sind, überprüfen bzw. überprüfen lassen um die Einhaltung der Datenschutzgrundverordnung zu bestätigen. Kunden sollten zudem auch für sich selbst eine entsprechende Rechtsberatung konsultieren, um die Einhaltung der DSGVO und deren Anforderungen prüfen zu lassen. Magento selbst kann leider keine Rechtsberatung übernehmen.

 

Häufig gestellte Fragen (FAQ)

 

Ist Magento bereits heute konform zur kommende EU-Datenschutzgrundverordnung?

Die DSGVO gilt erst ab dem 25. Mai 2018. Magento arbeitet mit Hochdruck daran, die entsprechenden Vorgaben bis zum Inkrafttreten der DSGVO zu erfüllen.

Sind irgendwelche Änderungen/Anpassungen an Magento Commerce notwendig um die Vorgabe der DSGVO zu erfüllen?

Es sind keine wesentlichen Änderungen zu erwarten, die erforderlich sind, damit die Software DSGVO konform ist.

Betrifft die DSGVO nur Unternehmen mit Sitz in der EU?

Nein. Auch Unternehmen, die nicht in der EU ansässig sind, müssen sich an diese Vorgaben halten, wenn sie Sie mit personenbezogenen Daten arbeiten:

Dazu zählt das Angebot von Waren und/oder Dienstleistungen an Einzelpersonen (unabhängig davon, ob eine Zahlung für diese Waren oder Dienstleistungen erforderlich ist) aber auch die Überwachung des Besucherverhaltens auf Webseiten.

Gibt es eine Zertifizierung für die DSGVO?

Nein. Es gibt keine offizielle Zertifizierungen für die DSGVO-Konformität. Andere Zertifizierungen wie PCI und SOC 2 helfen jedoch die Ziele der DSGVO zu erreichen.

Kann Magento Kunden bei der Einhaltung der DSGVO helfen?

Magento kann leider keine Rechtsberatung anbieten. Kunden sollten in diesem Fall ihren eigenen bzw. einen externen Juristen hinzuziehen, um zu verstehen, was sie tun müssen, um mit der DSGVO konform zu sein. Sollte Magento davon Kenntnis erlangen, dass die Software zu Problemen mit der DSGVO führen kann, wird Magento nach rechtlicher Prüfung die Kunden darüber entsprechend informieren.

Wird eine Datenverarbeitungsvereinbarung bereits heute in Verträgen verwendet?

Wenn ein Kunde dies wünscht, schließt Magento eine DSGVO-konforme Daten- verarbeitungsvereinbarung in den Kundenvertrag ein. Darüber hinaus wird Magento neue und bestehende Kundenverträge fortlaufend aktualisieren, um eine DSGVO-konforme Datenverarbeitungsvereinbarung einzubeziehen.

Welche Möglichkeiten haben EU-Kunden, ihre Daten in der EU aufzubewahren?

Für alle gehosteten Magento-Produkte besteht die Möglichkeit, in EU-Ländern zu hosten:

  • Magento Digital Cloud (Produktionsinstanzen) - Irland, London oder Frankfurt
  • Magento Business Intelligence - Irland
  • Magento Order Management - Irland

Magento wird keine personenbezogenen Daten von den vom Kunden angegebenen Orten übertragen. Magento könnte jedoch von Orten außerhalb der EU aus Fernzugriff auf personenbezogene Daten haben, die in der EU gespeichert sind. Magento hat für einen solchen Fernzugriff angemessene Sicherheitsvorkehrungen getroffen. Magento muss ggf. spezielle Cross-Border-Vereinbarungen mit Kunden abschließen, um den Remote-Zugriff abzudecken.

Sind Produktfunktionen geplant, die bei der Einhaltung der Vorschriften helfen sollen?

Magento führt derzeit ein Daten-Mapping durch, um alle Orte zu identifizieren, an denen personenbezogene Daten im System gespeichert sind. Dieses Mapping wird zunächst als Dokumentation zur Verfügung gestellt. Tools zur Automatisierung der Auflistung, des Exports und der Löschung von Kundendaten können in Zukunft in Betracht gezogen werden.

Wie wirken sich Programmerweiterungen (Extensions/Module) auf die Einhaltung der DSGVO-Richtlinien aus?

Wenn Kunden Extensions vom Magento Marketplace oder bei sonstige Dritten beziehen, schließen sie direkt mit diesen Anbietern Verträge ab. Extensions können personen- bezogene Daten an verschiedenen Stellen innerhalb der Datenbank speichern oder Daten an externe Dienstleister weiterleiten. Kunden müssen sich darüber im Klaren sein, auf welche Erweiterungen von Personendaten zugegriffen wird und ob sie personenbezogene Daten an anderen Orten als der zentralen eCommerce-Plattform speichern. Dienstleistungen von und Verträge mit externen Unternehmen sollten von Kunden frühzeitig auf die Einhaltung der DSGVO überprüft werden.

Werden Whitelabel-Angebote und Produkt-Bundles in Bezug auf die DSGVO geprüft?

Ja. Kunden schließen Verträge mit Magento um diese Art von Produkten zu verwenden und somit ist Magento auch für die Einhaltung der entsprechenden Vorgaben für diese Produkte verantwortlich.

Was kann zum Thema Privacy Shield gesagt werden?

Magento ist derzeit dabei eine Privacy Shield-Zertifizierung zu durchlaufen, die folgendes abdecken wird: Übermittlung von Kundendaten aus der EU und der Schweiz in die USA. In der Zwischenzeit hat Magento sog. EU-Modellklauseln eingeführt, die von der Europäischen Kommission vorbereitet wurden, um solche Transfers angemessen abzudecken.

Weitere Informationen zur DSGVO finden Sie auch auf folgender Webseite: https://ec.europa.eu/commission/priorities/justice-and-fundamental-rights/data-protection/2018-reform-eu-data-protection-rules_en

Weitere Informatione stehen hier zum Downloand bereit:

Magento und die EU-DSGVO - Fragen

Magento und die EU-DSGVO- Neue Schritte

Verwandte Artikel

Magento Shopsystem zählt zu den schnellst wachsenden E-Commerce Plattformen weltweit

Wir haben lange gebrainstormed um unsere core competencies zu definieren. Inzwischen sind wir aber im Consensus, dass unsere Skills weniger im Support von Legacy- Applikationen oder Low-Level-Stuff, sondern vielmehr in indviduellen und vor allem maintainable High-End-Tools für die Digitale-Transformation liegen.

Mehr lesen

Magento Commerce übernimmt RJMetrics

Clever verkaufen, ROI erhöhen - mit der fortgeschrittenen RJMetrics Solution von Magento wird genau das möglich. RJMetrics unterstützt Shopbetreiber das Kundenverhalten, Merchandising und die Seitenperformance mit tiefergehenden Analysetechniken besser zu verstehen. Und das alles, ohne technische Fertigkeiten besitzen zu müssen!


Mehr lesen

Neueste Posts

TechDivision relaunched Hallhuber Online-Shop auf Basis von Magento 2 Magento und TechDivision - Ein Blick auf die vergangenen 16 Monate Neos Conference 2018: "Eventually Consistent" Die Julius Zorn GmbH vertraut bei der Digitalisierung auf TechDivision und Magento Was heißt agil heute? Modern Agile!

Archiv

April März Februar Januar
Dezember November Oktober September August Juli Juni Mai April März Februar Januar
Dezember November Oktober September August Juni Mai April Februar Januar
Dezember November Oktober September August Juli Juni März Februar
Oktober September August Juli Juni Mai April März Januar
Dezember November Oktober September August Juli Mai April Februar
November Oktober September April
Dezember September Juni Mai Februar Januar
Juli Mai April März Februar Januar
September August Juli März
Oktober September Juli Juni Mai März Februar
Februar

Kategorien

E-Commerce Unternehmensmeldung Online-Marketing Magento Commerce Neos TYPO3 SEO SEA Usability Digitale Transformation Agile Projektentwicklung Corporate Web Analytics Künstliche Intelligenz Mobile Marketing Social Media Veranstaltungen Research & Development

Unser Herz schlägt online -
Deins Auch?


Wir stellen uns jeden Tag neuen Heraus-forderungen des Online-Business – immer auf der Suche nach spannenden Lösungs-ansätzen und sinnvollen Technologien. Eine Vielzahl namhafter Kunden vertrauen auf das Online Know-how „Made in Kolbermoor / Rosenheim und München“. 

Lust auf TechDivision? Hier geht zu unseren Stellenanzeigen

eStrategy Magazin


Erfahren Sie mehr zu den Themen E-Commerce, Online-Marketing, Mobile, Projektmanagement, Webentwicklung und E-Recht in unserem kostenlosen Online-Magazin.

Jetzt herunterladen!

Whitepaper:
Agiles Projektmanagement


In unserem kostenlosen Whitepaper versuchen wir Basiswissen und Erfahrungen aus vielen Jahren täglicher Projekt- und Unternehmenspraxis zu vermitteln, mit denen Sie die Anforderungen des Arbeitslebens von Heute besser bewältigen können.

Jetzt herunterladen!

Autor

Haben wir Ihr Interesse mit unserem Blog geweckt?

Wir sind der richtige Partner für anspruchsvolle Projekte im Bereich E-Commerce, Corporate Web, Consulting und Online-Marketing. Sprechen Sie mit uns!

Autor

Josef Willkommer Geschäftsführer / CMO