Magento und die DSGVO

Was bedeutet die DSGVO für Onlinehändler, die Magento als E-Commerce-System einsetzen? Wir haben uns damit beschäftigt welche Module und Funktionalitäten benötigt werden um die Aufbewahrungsfristen nach EU-Datenschutz-Grundverordnung einzuhalten.

In der DSGVO sind Aufbewahrungsfristen von Personenbezogenen Daten geregelt. Diese Fristen sind jedoch je nach Branche unterschiedlich. Die gesetzlich verankerten als auch die Branchenüblichen Aufbewahrungsfristen können auf einer Seite der WKO nachgelesen werden.

Welche Datensätze sind davon betroffen?

Konkret sind dabei folgende personenbezogene Datensätze in Magento betroffen: Kunden, Kundenadressen, Warenkorb, Warenkorb-Adresse, Warenkorb-Bezahlung, Bestellungen, Bestellungs-Adresse, Bestellungs-Bezahlung, Rechnungs-Übersicht, Rechnungen, Lieferscheine und Rechnungskorrekturen, Rechnungskorrektur-Übersicht und noch einige Datensätze für Wunschliste, Newsletter und Bewertungen. Für alle diese gilt es die Aufbewahrungsfristen einzuhalten.

Ist Magento derzeit DSGVO-konform?

Bis vor kurzem hieß es von offizieller Seite aus, Magento Inc. arbeite noch an der DSGVO/GDPR-Konformität. Voraussichtlich wird die Möglichkeit geschaffen die personenbezogenen Daten wie zum Beispiel Rechnungen manuell zu löschen. Dies bedeute jedoch, dass sich Shopbetreiber jeden Tag die nicht konformen Datensätze selbst heraussuchen müssen und das Löschen manuell durchgeführt werden muss.

Sind Features geplant, die Magento in Sachen DSGVO/GDPR unterstützen?

Magento Inc. hat eine Evaluierung für die personenbezogenen Daten für Magento 1 und Magento 2 durchgeführt. Ein Toolset die einen erleichterten Umgang mit diesen Daten (wie Löschen usw.) gibt es derzeit jedoch nicht.

Gibt es in Magento die Möglichkeit Kunden und Bestellungen zu löschen?

„Jein“. Es gibt in Magento die Möglichkeit Kunden zu löschen. Aber (im Standard) nicht die Möglichkeit Bestellungen, Rechnungen, Lieferscheine oder Rechnungskorrekturen zu löschen. Das löschen von Kunden muss manuell gemacht werden, es gibt keinen Mechanismus der die Kundendaten automatisch löscht.

Muss ich Kunden und Bestellungen in Magento Löschen?

Nein. Wir haben uns dazu ausführlich mit Experten unterhalten und folgende personenbezogenen Daten müssen in einem Onlineshop gelöscht oder anonymisiert werden. (die angeführten Werte sind für den klassischen Onlinehandel gültig und sind je nach Branche verschieden)

  • Kundendaten welche älter als 2 Monate sind aber keine Bestellung getätigt haben
  • Kundendaten bei welchen die letzte Bestellung länger als 7 Jahre her ist
  • Bestellungen, Rechnungen, Lieferscheine, Rechnungskorrekturen welche älter als 7 Jahre sind
  • Warenkörbe abhängig von den enthaltenen Daten

Automatisches löschen oder anonymisieren von Kundenbezogenen Daten in Magento! Mit unseren Modulen!

Alle unsere Kunden benötigen diese Funktionalität und darum haben wir uns dazu entschlossen die notwendigen Module zur programmieren und unseren Kunden kostengünstig zur Verfügung zu stellen.

Es sind 3 von einander unabhängige Module die wir dazu einsetzen:

  • CopeX_CleanCustomers
    Dieses Modul ermöglicht das automatisierte löschen oder anonymisieren von Kunden und Bestellungen nach vergangenen Monaten oder Jahren. Folgende Möglichkeiten sind gegeben:

    • Kunden die sich zwar registriert, aber nie eine Bestellung getätigt haben, nach z.B. 2 Monaten automatisiert zu löschen.
    • Kunden und deren Bestellungen die seit z.B. 7 Jahren keine Bestellung mehr getätigt haben zu löschen.
    • Bestellungen die älter als z.B. 7 Jahre sind automatisch zu anonymisieren.
  • CopeX_AnalyticsOptOut
    Dieses Modul bietet die Funktion „Google-Analytics-Optout“. Die Funktion zum Ausführen des „OptOut“ kann z.B. auf Links in den Datenschutzbedingungen gesetzt werden.
  • CopeX_DeleteMe
    Mit diesem Modul können Kunden die Löschung ihres Kundenkontos in Magento beantragen. Dazu wird ein Link im Benutzerkonto hinzugefügt über welchen der Kunde auf eine Seite gelangt, auf dieser Seite kann der Kunde die Löschung beantragen. Der Antrag wird via Mail an eine im Backend konfigurierte E-Mail Adresse gesendet. Der Löschvorgang selbst muss manuell durch einen Mitarbeiter erfolgen.

Download: Offizielle FAQ zum Thema Magento und DSGVO/GDPR

Haben Sie noch weitere Fragen? Magento Inc. veröffentlichte kürzlich ein FAQ, das weitere Antworten bietet. Das PDF können Sie hier kostenlos herunterladen:

Magento Module DSGVO

Sie haben noch Fragen zu unseren Modulen?

Sie möchten unsere Module einsetzen?