Post preview
Nina Stocklöw

Die Datenschutz-Grundverordnung kommt. Was Sie als Online-Händler jetzt wissen müssen!

Es sind nur noch wenige Wochen, bis die neue Datenschutz-Grundverordnung, kurz DSGVO, am 25. Mai 2018 für alle EU-Mitgliedstaaten wirksam wird. Im Folgenden möchten wir Sie mit den wichtigsten Informationen hierzu versorgen und speziell auf die Rolle von Magento bei der Einhaltung der neuen Richtlinien eingehen.

Was ist das DSGVO und was bewirkt es?

Die Datenschutz-Grundverordnung ist ein neues Datenschutzgesetz, welches vom europäischen Parlament beschlossen wurde und bereits am 14. April 2016 in Kraft trat. Zum 25. Mai 2018 muss es von allen EU-Mitgliedstaaten angewendet werden. Dieser Beschluss regelt künftig die Verarbeitung von personenbezogenen Daten und gibt vor, wie Unternehmen Informationen sammeln, speichern und nutzen dürfen. So dürfen entsprechende Daten nur dann gespeichert oder verarbeitet werden, wenn die betroffene Person ausdrücklich zustimmt. Und auch in diesem Fall legt die Datenschutz-Grundverordnung bezüglich der Aufbewahrungsdauer der Daten strikte Vorgaben fest. Insgesamt soll Nutzern ein einfacherer Zugang zu den eigenen Daten gewährt werden. Auskünfte darüber, welche Daten über eine Person gesammelt werden, müssen erteilt werden genauso wie Informationen darüber, wer die eignen Daten zu welchem Zweck wie und wo verarbeitet.

Ziel der Verordnung es, ein europaweit gleich hohes Datenschutzniveau herzustellen und EU-Bürgern die Möglichkeit einer besseren Kontrolle über ihre Daten zu ermöglichen. Unternehmen dagegen sollen von einer Wettbewerbsgleichheit profitieren.

Bei Verstößen fallen Geldbußen in Höhe von bis zu 20 Millionen Euro oder alternativ 4% des Weltjahresumsatzes an.

In der Schweiz wird das Bundesgesetz über den Datenschutz (DSG) übrigens ebenfalls einer Revision unterzogen, um gegenüber der EU in Sachen Datenschutz mithalten zu können.

Was sind eigentlich personenbezogene Daten?

Gemäß der Verordnung fallen unter diesen Begriff alle Informationen, die zur Identifizierung einer Person, auch indirekt, auf jegliche Art und Weise genutzt werden können. Zu den personenbezogenen Daten zählen also Namen, Adressen, Lokalisierungen, Einkommensinformationen, Fotos, ID-Nummern, Finanzinformationen oder Beiträge auf sozialen Netzwerken.

Für wen gilt die DSGVO?

Wichtig zu wissen ist, dass von der neuen Verordnung nicht nur Unternehmen betroffen sind, die in der EU ansässig sind. Vielmehr wirkt sich die DSGVO sowohl auf Firmen innerhalb als auch außerhalb der Europäischen Union aus und schließt all diejenigen ein, die elektronisch oder digital arbeiten und Personendaten speichern - wie zum Beispiel mittels einer Kundendatenbank. So sind auch Unternehmen eingeschlossen, die außerhalb der EU ansässig sind und Einzelpersonen innerhalb der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU beobachten. Ein Beispiel hierfür wäre das Erstellen von Kundenprofilen.

Inwieweit betrifft die Verordnung Magento und welche Maßnahmen werden ergriffen?

Magento hat sowohl Kunden innerhalb als auch außerhalb der EU. Vor diesem Hintergrund ist es unumgänglich, entsprechende Maßnahmen einzuleiten. In einem offiziellen Statement hat Magento bereits verkündet, dass alle Kunden- und Partnerverträge eingehend und proaktiv geprüft und an notwendiger Stelle überarbeitet werden. Gleiches gilt für alle Richtlinien und Prozesse, die den Datenschutz betreffen. Da die Produkte von Magento von Haus aus alle relevanten Sicherheitsfunktionen mitbringen, sind keine größeren Maßnahmen notwendig, um die Anforderungen der DSGVO aus technischer Hinsicht einhalten zu können. Unter Beihilfe von juristischen und technischen Experten werden alle Magento Produkte in Bezug auf die Vorgaben der DSGVO sorgfältig geprüft und auch weiterhin stetig optimiert.

Der Schutz personenbezogener Daten nimmt seit jeher einen enorm hohen Stellenwert seitens Magento ein. Deshalb versteht das Unternehmen die Verordnung im Allgemeinen als Chance, das hohe Engagement in Sachen Datenschutz weiter zu forcieren.

Magento führt zum jetzigen Zeitpunkt eine Datenkartierung durch, um alle Standorte zu identifizieren, an denen personenbezogene Daten im System gespeichert werden. Die Ergebnisse werden bald als Dokumentation bereit gestellt. Tools zum Exportieren und Löschen sowie zur Auflistung von Kundendaten könnten künftig als hilfreiche Werkzeuge zur Verfügung stehen, um das Shopsystem in Sachen DSGVO zu unterstützen.

Informationen zum Hosting und zu Marketplace Extensions

Für alle Cloud-Produkte von Magento ist es möglich, eine Datenspeicherung innerhalb der EU auszuwählen. Magento versichert, keinerlei personenbezogene Daten außerhalb des angegebenen Ortes zu speichern.

  • Magento Commerce Cloud: Irland, England (London), Deutschland (Frankfurt)
  • Magento Business Intelligence: Irland
  • Magento Order Management: Irland

Da die Extensions im Magento Marketplace jedoch von Drittanbietern entwickelt werden, rät Magento dazu, alle mit Ihrem Konto verknüpften Erweiterungen ausgiebig zu prüfen. Denn diese speichern möglicherweise personenbezogene Daten außerhalb der Plattform an anderen Standorten. Einige davon können zudem Daten an externe Dienste weitergeben.

Was Sie nun tun sollten

Zunächst raten wir Ihnen, sich umgehend mit den Anforderungen, die das neue Datenschutzrecht stellt, vertraut zu machen.

Als Magento Kunde sollten Sie alle Dienstleistungen und Verträge mit Drittunternehmen eingehend überprüfen lassen ebenso wie technische und organisatorische Maßnahmen in Ihrem Unternehmen, um sicherzustellen, dass die neuen Richtlinien der DSGVO eingehalten werden.

Maßnahmen, die Sie treffen können, um ein angemessenes Datenschutzniveau einzuhalten sind beispielsweise die Pseudonomysierung und Verschlüsselung personenbezogener Daten oder Faktoren wie Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit aller Systeme und Dienste in Bezug auf die Datenverarbeitung sicherzustellen. Bei einem physischen oder technischen Zwischenfall müssen Daten schnell wiederhergestellt werden können. Auch sollten Verfahren eingesetzt werden, die regelmäßig überprüfen und bewerten, ob die technisch und organisatorisch ergriffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung dienlich sind.

Als unser geschätzter Kunde haben wir Sie bereits rechtzeitig und auch während der Übergangsphase stetig auf die DSGVO und die damit verbundenen Änderungen aufmerksam gemacht. Um den neuen Anforderungen gerecht zu werden, sollten Sie in Absprache mit Ihrem Projektmanager bei PHOENIX MEDIA weiter daran arbeiten, Ihren Online-Shop in Sachen Datenschutz auf den neuesten Stand zu bringen. So können wir beispielsweise eine Lösung integrieren, um das Recht auf Vergessenwerden zu realisieren. Damit können Sie innerhalb Magento selbst konfigurieren, nach wie vielen Tagen oder Monaten ein Kundenkonto, abgelehnte Bestellungen oder Gastbestellungen gelöscht werden.

Zögern Sie also nicht weiter, in solchen Belangen auf uns zurückzukommen - die Zeit drängt! Sie erreichen uns per E-Mail an info@phoenix-media.eu oder telefonisch unter 0711/1289500.

Wir möchten Sie an dieser Stelle außerdem darauf aufmerksam machen, dass dies keine rechtliche Beratung ist. Vielmehr möchten wir Sie mit diesem Artikel informieren. Für notwendige Handlungsmaßnahmen Ihrerseits konsultieren Sie am besten eine Rechtsberatung.

Wir werden diesen Artikel regelmäßig mit den neuesten Entwicklungen zum Thema updaten. Schauen Sie also gerne wieder vorbei und bleiben Sie immer auf dem aktuellsten Stand.

+++UPDATE, 09.04.2018+++

Der Händlerbund hat eine hilfreiche Checkliste zur DSGVO veröffentlicht. Damit können Sie bestens überprüfen, ob Sie auf die anstehenden Änderungen ausreichend vorbereitet sind.

P.S.: Auf der Webseite der Europäischen Kommission finden Sie übrigens eine tolle Infografik zum Datenschutz. Ein Besuch lohnt sich!


Weitere Beiträge zum Thema

Themenreihe DSGVO - Teil 1: Was bedeutet die neue Verordnung für den Versand von Newslettern?

Themenreihe DSGVO - Teil 2: Worauf Sie beim Einsatz von Cookies und Co. künftig achten müssen!

Themenreihe DSGVO - Teil 3: Die neuen Auskunfts- und Betroffenenrechte. Im Fokus: Das Recht auf Datenübertragbarkeit

Themenreihe DSGVO - Teil 4: Verschärfte Meldepflichten bei Datenpannen

Themenreihe DSGVO - Teil 5: Der Datenschutzbeauftragte im Unternehmen

Themenreihe DSGVO - Teil 6: Das Verarbeitungsverzeichnis und die Datenschutz-Folgenabschätzung


Zurück