Magento und die DSGVO

Die gute Nachricht: Ein Standard-Magento-System ist (vermutlich) DSGVO-konform. Aber natürlich ist es nicht so einfach.

E-Commerce

Magento und DSGVO

Nach Aussage von Magento sind sowohl Magento 1 als auch die Magento-2-Versionen „GDPR compliant“. User mit einem Account bei einem Magento-Webshop haben nach Login die Möglichkeit alle persönlichen Daten einzusehen, zu ändern oder zu löschen. Auch Administratoren können Daten löschen oder bearbeiten. Die Daten werden nach neusten Standards verschlüsselt gespeichert. Für alle gehosteten Magento-Produkte besteht die Möglichkeit, eine Datenspeicherung innerhalb der EU zu wählen (Irland für Magento Business Intelligence und Magento Order Management und Irland, London oder Frankfurt für Magento Commerce Cloud). Für Ihre selbstgehostete Magento-Installation müssen Sie einen europäischen Webserver wählen. Ein Standard-Magento-Webshop ist also ohne größere Probleme DSGVO-konform.

Allerdings nur wenn er alle aktuellen Sicherheits-Updates enthält. Denn auch das ist eine Bedingung der DSGVO, um die Daten zu schützen. Kritisch wird es, wenn Sie in Ihrem Magento mit Erweiterungen (Extensions) arbeiten, die evtl. persönliche Daten speichern. Diese müssen gesondert betrachtet werden. Es ist also wichtig, dass eine Magento-Agentur, die Ihr System pflegt und erweitert, die DSGVO und IT-Sicherheit im Auge hat.

Magento DSGVO & Security Audit

Lassen Sie Ihr Magento-System von unseren zertifizierten Magento-Experten prüfen. In einem detaillierten Bericht erhalten Informationen über alle Faktoren, die die DSGVO betreffen. Ein Datenstruktogramm zeigt auf, wo welche persönlichen Daten von Magento oder anderer Software gespeichert sind und wie sie gesichert sind. Sie erhalten konkrete Handlungsempfehlungen, um zielgerichtet DSGVO-Konformität herzustellen.

Google Analytics

Prinzipiell kann Google Analytics auch nach dem 25.5.2018 weiter genutzt werden. Für einen DS-GVO-konformen Betrieb von Google Analytics sollten jedoch folgende Maßnahmen umgesetzt werden:

  1. Auftragsdatenverarbeitungsvertrag (ADV) mit Google abschließen
    Dazu bietet Google einen Auftragsdatenverarbeitungsvertrag zum Download an, den sie unterschrieben an Google schicken und mit einer Unterschrift von Google wieder zurückbekommen.
  2. Datenschutzerklärung anpassen
    Klären Sie über die Nutzung von Google Analytics auf und bieten Sie die Möglichkeit zum Opt-Out über eine Browser-Erweiterung.
  3. Tracking anonymisieren
    Verwenden Sie die Funktion „_anonymizeIp()“, um Google Analytics IP-Adressen nur gekürzt verarbeiten zu lassen, um eine direkte Personenbeziehbarkeit auszuschließen.

Facebook Like-Button & Co.

Das Landgericht Düsseldorf hat entschieden, dass das Laden eines Like-Buttons von Facebook, ohne Einverständnis des Nutzers gegen deutsches Datenschutzrecht verstößt. Er darf also erst geladen werden, wenn der Nutzer dies wünscht. Dazu gibt es einfache Lösungen. Das Urteil bezieht sich zwar auf Facebook, es betrifft aber auch ähnliche Buttons wie Twitter oder Google+, die personenbezogene Daten übertragen. Hier hat sich durch das DSGVO nichts grundlegend geändert.

Eigene Cookies

Sofern die Cookies keine personenbezogenen Daten speichern, sondern z.B. Spracheinstellungen, oder Session-ID, droht auch kein Problem mit dem DSGVO. Trotzdem sollten Sie auf die Verwendung eigener Cookies und deren Zweck in der Datenschutzerklärung hinweisen. Darüber hinaus könnten Sie noch darauf hinweisen, dass der Nutzer in seinem Browser meist generell die Speicherung von Cookies deaktivieren kann.

Ihre Daten in sicheren Händen

Datenschutz und IT-Sicherheit sind wichtige Themen bei Sitewards. Wir überprüfen ständig unsere Systeme auf Sicherheit und hinterfragen unseren Umgang mit persönlichen Daten speziell im Hinblick auf die DSGVO. Unsere Kunden werden diesbezüglich von uns beraten und ihre Systeme geprüft und abgesichert.