DSGVO / GDPR

Magento und die DSGVO

Was bedeutet die DSGVO für Onlinehändler, die Magento als E-Commerce-System einsetzen? Wir haben uns damit beschäftigt welche Module und Funktionalitäten benötigt werden, um die Aufbewahrungsfristen nach EU-Datenschutz-Grundverordnung einzuhalten.

In der DSGVO sind Aufbewahrungsfristen von personenbezogenen Daten geregelt. Diese Fristen sind jedoch je nach Branche unterschiedlich. Die gesetzlich verankerten als auch die branchenüblichen Aufbewahrungsfristen können auf einer Seite der WKO nachgelesen werden.

Welche Datensätze sind davon betroffen?

Konkret sind dabei folgende personenbezogene Datensätze in Magento betroffen: Kunden, Kundenadressen, Warenkorb, Warenkorb-Adresse, Warenkorb-Bezahlung, Bestellungen, Bestellungs-Adresse, Bestellungs-Bezahlung, Rechnungs-Übersicht, Rechnungen, Lieferscheine und Rechnungskorrekturen, Rechnungskorrektur-Übersicht und noch einige Datensätze für Wunschliste, Newsletter und Bewertungen. Für alle diese gilt es die Aufbewahrungsfristen einzuhalten.

Ist Magento derzeit DSGVO-konform?

Bis vor Kurzem hieß es von offizieller Seite aus, Magento Inc. arbeite noch an der DSGVO/GDPR-Konformität. Voraussichtlich wird die Möglichkeit geschaffen die personenbezogenen Daten, wie zum Beispiel Rechnungen, manuell zu löschen. Dies bedeute jedoch, dass sich Shopbetreiber jeden Tag die nicht konformen Datensätze selbst heraussuchen müssen und das Löschen manuell durchgeführt werden muss.

Sind Features geplant, die Magento in Sachen DSGVO/GDPR unterstützen?

Magento Inc. hat eine Evaluierung für die personenbezogenen Daten für Magento 1 und Magento 2 durchgeführt. Ein Toolset, das einen erleichterten Umgang mit diesen Daten (wie Löschen usw.) ermöglicht, gibt es derzeit jedoch nicht.

Gibt es in Magento die Möglichkeit Kunden und Bestellungen zu löschen?

„Jein“. Es gibt in Magento die Möglichkeit Kunden zu löschen, aber (im Standard) nicht die Möglichkeit Bestellungen, Rechnungen, Lieferscheine oder Rechnungskorrekturen zu löschen. Das Löschen von Kunden muss manuell gemacht werden, es gibt keinen Mechanismus der die Kundendaten automatisch löscht.

Muss ich Kunden und Bestellungen in Magento löschen?

Nein. Wir haben uns dazu ausführlich mit Experten unterhalten und folgende personenbezogenen Daten müssen in einem Onlineshop gelöscht oder anonymisiert werden. (die angeführten Werte sind für den klassischen Onlinehandel gültig und sind je nach Branche verschieden)

  • Kundendaten welche älter als 2 Monate sind aber keine Bestellung getätigt haben
  • Kundendaten bei welchen die letzte Bestellung länger als 7 Jahre her ist
  • Bestellungen, Rechnungen, Lieferscheine, Rechnungskorrekturen welche älter als 7 Jahre sind
  • Warenkörbe abhängig von den enthaltenen Daten

Automatisches Löschen oder Anonymisieren von kundenbezogenen Daten in Magento mit unseren Modulen

Alle unsere Kunden benötigen diese Funktionalität und darum haben wir uns dazu entschlossen, die notwendigen Module zu programmieren und unseren Kunden kostengünstig zur Verfügung zu stellen.

Es sind 3 voneinander unabhängige Module die wir dazu einsetzen:

  • CopeX_CleanCustomers
    Dieses Modul ermöglicht das automatisierte Löschen oder Anonymisieren von Kunden und Bestellungen nach vergangenen Monaten oder Jahren. Folgende Möglichkeiten sind gegeben:
    • Kunden die sich zwar registriert, aber nie eine Bestellung getätigt haben, nach z.B. 2 Monaten automatisiert zu löschen.
    • Kunden und deren Bestellungen die seit z.B. 7 Jahren keine Bestellung mehr getätigt haben zu löschen.
    • Bestellungen die älter als z.B. 7 Jahre sind automatisch zu anonymisieren.
  • CopeX_DeleteMe
    Mit diesem Modul können Kunden die Löschung ihres Kundenkontos in Magento beantragen. Dazu wird ein Link im Benutzerkonto hinzugefügt über welchen der Kunde auf eine Seite gelangt, auf welcher der Kunde die Löschung beantragen kann. Der Antrag wird via Mail an eine im Backend konfigurierte E-Mail Adresse gesendet. Der Löschvorgang selbst muss manuell durch einen Mitarbeiter erfolgen.

EuGH Urteil C-637/17 vom 01.10.2019 zieht nun einen Schlussstrich

Seit dem 1.10.2019 ist es nun Pflicht den Benutzer vor dem Setzen von Cookies ausdrücklich danach zu fragen und dessen Zustimmung einzufordern.

Davor dürfen nur unbedingt notwendige Cookies gespeichert werden, damit z.B. der Onlineshop überhaupt funktioniert. Google Analytics, Facebook Pixel und Co sollen nun so integriert werden, dass Cookies ab sofort nur mehr mit ausdrücklicher Zustimmung gespeichert werden.

Download: Offizielle FAQ zum Thema Magento und DSGVO/GDPR​

Haben Sie noch weitere Fragen? Magento Inc. veröffentlichte kürzlich ein FAQ, das weitere Antworten bietet. Das PDF können Sie hier kostenlos herunterladen:

Magento Module DSGVO

Sie haben noch Fragen zu unseren Modulen?

Sie möchten unsere Module einsetzen?