Magento Online Shop und EU-DSGVO bereit machen

Hier eine Sammlung an verschiedensten Informationen rund um Magento Online Shop und EU-DSGVO bereit machen. Dies ersetzt keine Rechtsberatung und dient rein dazu aus technischer Sicht auf Dinge hinzuweisen die bei Magento sicherlich problematisch sein können.

Hier einmal eine Liste verschiedenster Dinge die problematisch sein können und durch Rechtsberatung geprüft werden sollten . Weiter noch verschiedenste Quellen um sich mit dem Thema näher zu beschäftigen.

update 26.04.2018
Bei vielen Dingen zeichnen sich die Wege zur Lösung ab. Diese sind nun ergänzt

Problematisch scheint zusein:

(1) Google Analytics

Das Problem is ganz klar Übertragung von Daten nach Extern. Dazu noch in die USA, die als Drittland gelten.

Die Lösung:  Hier gibt es entsprechende Datenschutzerklärungen wie Sand am Meer. Die Muster sind über verschiedenste Quellen erhältlich. Evtl. hat auch Ihr Magento Betreuer eine entsprechendes Muster parat.

Dazu muss die IP Anomysierung aktiviert werden. Das ist eine simple Anpassung am Tracking Skript.

Weiter muss der Auftragsdateverarbeitungsvertrag mit Google abgeschlossen werden sowie die Altdaten (die unsaubere erhoben worden) gelöscht werden. Das sind jedoch die normalen Dinge, die beim Einsatz von Google Analytics und Magento generell beachtet werden müssten. Hier sollte es eigentlich keine Probleme geben.

(2) jegliche Art von  Funktionen, welche im Shop eingebunden sind und somit Daten/IP Adressen abfragen (können).

Dazu zählt z.B. hotjar, Google Maps und jegliche andere Software zum Tracken

Lösung: Jeder mir bekannte Anbieter solch einer Software erfüllt die DSGVO Anforderungen über z.B. das US Privacy Shield(?) Abkommen. Weiter bieten die Anbieter Auftragsdatenverarbeitungsverträge an. Diese können meist einfach runtergeladen, ausgefüllt und teils bereits automatisch komplett digital abgeschlossen werden.

Dazu ist die Datenschutzerklärung anzupassen. Aber auch da gibt es verschiedenste Muster.

Altdaten müssen vermutlich auch gelöscht werden. Aber auch das bieten die meisten Anbieter von Haus aus an.

(3) jegliche Art von Funktion wo personenbezogene Daten übermittelt werden.

z.B. Kontaktformulare, Anfrageformulare, Konfiguratoren usw.

Lösung: Bei diesen müssen die Benutzer vorab informiert werden, was mit den Daten passiert. Dazu gibt es jedoch auch verschiedenste Mustertexte die sinngemäß informieren, dass einer automatisierten Verarbeitung zugestimmt wird. Und weiter wo es ausführlicher Infos bzw. die Datenschutzverordnung gibt.

Was hier jedoch sehr problematisch ist, dass je nach Ratgeber der Benutzer explizit eine Checkbox anklicken muss. Man geht bei der DSVGO scheinbar davon aus, dass Besucher so extrem blöd sind, dass diese zusätzlich ein Häkchen setzen müssen. Erst wenn das gesetzt ist, kann das Formular abgeschickt werden... Diese Funktion bietet das reguläre Magento Kontaktformular nicht(!) Bedeutet dass muss eigentlich ausgebaut werden?

(4) Newsletter Anmeldung.

Sowohl Texte wie auch Sicherstellung einer sauberen Anmeldung wie auch Abmeldung.

Lösung: Double Opt in muss generell aktiv sein. Dazu die Dokumentation wer sich wann im Newsletter eingetragen hat. Problematisch scheint es jedoch bei der Zustimmung zu werden... Es scheint als müsste es eine Extra Checkbox geben bei der ein User händisch der Verarbeitung der Daten zustimmen muss.

Hier kommt weiter hinzu, dass auf den letzten Drücker eine Änderung gab. (https://shopbetreiber-blog.de/2018/05/02/dsgvo-aenderung/) Diese besagt sinngemäß, dass der Vorname und Nachname nicht erfasst werden darf... Es herrscht jedoch ziemliches Chaos und rechtsunsicherheit. Niemand weiß aktuell ob dies bei den ersten Gerichtsverfahren sofort gekippt wird oder was auch immer

(5) Normale Double Opt In Verfahren.

Erstellung von User Accounts, Newsletter Anmeldungen

Generell double Opt in Verfahren bei allem was mit Accounts zutun hat zur Sicherstellung, dass sich wirklich die "echte" Person eingetragen hat.

Da muss einfach nur die im Magento Admin Bereich die entsprechende Einstellung getroffen werden.

(6) Die Datenschutzerklärung selbst.

Dort die Opt Out Funktionen um sich von Piwik, Analytic oder anderen Diensten austragen zu können.

Die "korrekte" Datenschutzerklärung wird extrem lang und umfangreich sein! Wer dort mit 5 Din A4 Seiten auskommt hat mit großer Sicherheit etwas falsch gemacht. Es müssen die Dienstleister gelistet werden, die personen bezogene Daten haben. Jegliche Art von externen Diensten wie auch google maps, google fonts usw. muss ausführlich erläutert werden usw.

Lösung: Auch hier gibt es verschiedensten Muster welche alle gänginge Anforderungen an einen Magento Shop abdecken. Diese gibt es über Händlerbund, Trusted Shops oder auch in Ratgebern von T3n oder Mittwald zum Thema DSVGO

(7) exotische Dinge

wie z.B. das nachladen von Fonts von google (google Font)

Lösung: Auch das kann scheinbar über die Datenschutzerklärung gelöst werden. Zumindest haben die Ratgeber entsprechende Absätze, welche diese Bereich behandeln.

(8) Sicherstellung, dass klar ist welche Daten wo innerhalb von Magento erhoben werden und warum.

Je nach individuellen Erweiterungen usw. sind das einiges an Daten.

Lösung: Da gilt es die Verfahrensverzeichnisse vollständig zu halten, sodass klar ist ob nur die normalen Kundendaten und Bestelldaten oder auch auf anderen Weg Daten erhoben werden.

(9) Export Funktion der gespeicherten Userdaten.

Sicherstellen, dass diese auch exportiert werden können, falls Personen anfragen.

Lösung: Hier gibt es vermutlich keine. Dort gibt es jedoch auch die Verhältnismäßigkeit und bleibt abzuwarten was sich hier ergibt. Die normalen Daten können bei Magento mit Boardmitteln exportiert werden oder auch mit copy & paste. Evtl. gibt es dort aber auch bald eine Erweiterung zum Export aller Daten zu einem Nutzern... Bei Interesse gerne bei uns melden...

(10) Klärung beim Löschen von Daten.

Was kann wie gelöscht werden mit welchem Aufwand? Ist evtl. irgendwo der Aufwand schlicht zu groß? Gibt es technische Möglichkeiten usw.

Lösung: Das Löschen beißt sich mit der Aufbewahrungsfrist. Daher dürfte es fast nie nötig sein entsprechend Daten wirklich in Magento zu löschen. Außer es gibt evtl. Erweiterungen. Hier ist eine nähere Prüfung sicherlich nötig.

Hier ein paar Informationen zu rechtlichen Themen

Änderung in noch aller letzter Minute evtl. durch Merkel
https://t3n.de/news/dsgvo-angela-merkel-aenderungen-1078083/

Änderung in letzter Minute
https://shopbetreiber-blog.de/2018/05/02/dsgvo-aenderung/

https://www.trustedshops.de/shop-info/dsgvo-diese-stellen-im-online-shop-sollten-sie-prufen/
- kostenose Whitepaper

https://www.mittwald.de/blog/allgemein/dsgvo-webseiten

- kostenlose Whitepaper

https://t3n.de/news/dsgvo-fuer-unternehmer-t3n-guide-911252/
- kostenpflichte ratgeber (ab ca. 100€ netto) inkl. Muster usw.

https://www.haendlerbund.de/de/leistungen/rechtssicherheit/agb-service/datenschutzgrundverordnung
-> generell verschiedenste Themenkomplexe

Sie haben Fragen oder weitere Themen, die aus technischer Sicht noch im Fokus stehen?

Gerne in die Kommentare.

Unterstützung benötigt?

Sie benötigen technische Unterstützung bei der Umsetzung für die EU-DSGVO ? Sprechen Sie uns gerne an. Wir bieten jedoch ausdrücklich keine Rechtsberatung und können nur auf vermutlich problematische Dinge hinweisen(!)

 

Magento Online Shop und EU-DSGVO bereit machen
5 (100%) 1 vote

Noch keine Kommentare bis jetzt

Einen Kommentar schreiben