E-Commerce Agentur GmbH

Checkliste EU-DSGVO für xt:Commerce Shops

Der 25. Mai 2018 ist der Stichtag für die Umsetzung der Datenschutz-Grundverordnung. Im Rahmen dieser gelten viele neue Richtlinien für alle Shopbetreiber. Ist Ihr xt:Commerce Shop schon bereit für die DSGVO?

Jede Datenverarbeitung muss rechtmäßig erfolgen, anhand vorab festgelegter Zwecke, transparent, in möglichst geringem Umfang und soll die Daten vor unberechtigter Veränderung sowie Verlust schützen.

Im Detail gehören zu den Grundsätzen für die Verarbeitung personenbezogener Daten laut Art. 5 DSGVO u.a.:

  • Rechtmäßigkeit: Daten dürfen ausschließlich entsprechend dem Gesetz verarbeitet werden.
  • Transparenz: Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht. Die Verarbeitung personenbezogener Daten muss nachvollziehbar sein. Zudem muss die Datenschutzerklärung verständlich und vollständig sein.
  • Verbot mit Erlaubnisvorbehalt: Jede Verarbeitung personenbezogener Daten ist zunächst verboten, es sei denn, sie wurde per Gesetz erlaubt.
  • Zweckbindung: Daten dürfen nur für den vereinbarten Zweck verarbeitet werden. Unternehmen müssen also im Vorfeld definieren, wofür Sie Daten nutzen möchten und dies  dann entsprechend dokumentieren. Nur wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO) ist eine nachträgliche Zweckänderung möglich.
  • Integrität und Vertraulichkeit: Unternehmen müssen technisch und organisatorisch sicherstellen, dass personenbezogene Daten vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.
  • Datenminimierung und Speicherbegrenzung: Vorratsdatenspeicherung ist verboten. Eine Identifizierung der Personen darf nur solange ermöglicht werden, wie es für den entsprechenden Zweck nötig ist. (Art. 5 Abs. 1 lit. c und e DSGVO). Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck gebraucht werden.

IST XT:COMMERCE DSGVO BEREIT?

Für xt:Commerce 5 können wir diese Frage grundsätzlich mit “Ja” beantworten. Viele der Richtlinien beziehen sich eher auf Ihre Prozesse, als auf die technischen Möglichkeiten Ihres Shops, zumindest wenn Ihre Software “halbwegs” aktuell ist. Alte Versionen von xt:Commerce, z.B. “XT:Commerce v3.0.4 SP2.1”  oder auch xt:Commerce 4 sollten jedoch dringend aktualisiert werden.

Die Anpassungen sind umfangreich und falls nicht schon geschehen, sollten Sie sich dringend um die Umsetzung kümmern. Bedenken Sie, dass es sich hier um eher kleine Anpassungen in Ihrem Shop handelt, jedoch auch die Workflows und Prozesse in anderen Teilen Ihres Unternehmens beeinflusst.

Um Ihnen dieses zu vereinfachen finden Sie hier einige Infos zu den wichtigsten Punkten in Ihrem Onlineshop, bei der wir Sie bei der Umsetzung im Rahmen unserer xt:Commerce Services gerne unterstützen:

SSL WIRD PFLICHT:

Für alle Formulare (z. B: Kontaktformulare, Bestellformulare, Login etc.), wird die Verwendung von einer verschlüsselten Verbindung Pflicht.
D.h. (mindestens) ab dem Zeitpunkt, wo sich der Kunde einloggt, sollte die Verbindung via httpS aufgebaut werden. Optimaler Weise sollte der gesamte Shop eine SSL-Verbindung nutzen, da dieses auch in Hinsicht auf Suchmaschinenoptimierung mittlerweile sehr sinnvoll ist.

COOKIE-ZUSTIMMUNG:

Bevor Sie bei dem Besucher/Kunden Ihres Shops ein Cookie setzen, müssen Sie dessen Zustimmung einholen. Aktuell wird diese Regel bereits von den meisten Shops umgesetzt. Sollte das in Ihrem Shop nicht der Fall sein, können Sie unser kostenfreies DSGVO-Cookie xt:Commerce Plugin nutzen.

ZUSTIMMUNG ZUR DATENWEITERGABE AN VERSENDER OD. BONITÄTSPRÜFUNG:

Selbstverständlich müssen Sie die Adressdaten Ihrer Kunden an den Paketversender weitergeben, damit das Paket zugestellt werden kann. Sollten Sie jedoch die Telefonnummer, E-Mail-Adresse oder andere Daten an einen Versender weitergeben, erfordert dieses die Zustimmung des Kunden.

Die klassischen Beispiele sind hier die Mail für die Sendungsverfolgung oder die Telefonnummer für die Spedition. Realisieren können Sie diese Funktion übrigens mit unserem Checkbox-Plugin für xt:Commerce 4 & 5. Mit dem Plugin können Sie beliebig viele Checkboxen erstellen auch um sehr spezielle Szenarien abzubilden.

GOOGLE ANALYTICS

Sollten Sie Google Analytics nutzen, dann müssen zukünftig zwei Regeln erfüllt werden:

Zum einen muss die IP-Adresse Ihres Kunden bzw. Besuchers anonymisiert werden. Dieses können Sie mit dem Parameter “anonymizeIp” realisieren, was in der aktuellen Version des xt_googleanalytics-Plugins von xt:Commerce der Fall ist, vorausgesetzt Sie haben die Option “Letzte Stelle in IP entfernen” aktiviert.

Zum anderen müssen Sie mit Google einen Vertrag zur Auftragsdatenverarbeitung (ADV) zeichnen. Letzteres hört sich komplizierter an als es ist, hier finden Sie den Vertrag und die Anweisungen:
http://www.google.com/analytics/terms/de.pdf

Die beiden zuerst genannten Regeln sind die “normale” Auslegung der neuen Regeln. Es gibt auch viele Verfechter der strikten Auslegung der Regeln, welche dem Kunden erlaubt im Cookie-Hinweis “Ablehnen” zu klicken. Danach dürfen keine technisch nicht erforderlichen (also alle Marketing-Cookies) gesetzt werden. Sollten Sie dieses realisieren wollen, können Sie unser Cookie-Plugin(ab Version 2.0.0) in Kombination mit unserem Plugin “DSGVO: Konformes Tracking für Google & Facebook” nutzen.

ADV-VERTRÄGE:

Ebenso wie bei Google Analytics müssen Sie ebenfalls einen AV-Vertrag mit Ihrem Webhoster, Domain-Hoster und allen anderen Services/Anbietern (z.B. Newsletter-Services, Cloud-Speicher etc.) schließen über welche Kundendaten geleitet oder bei denen Kundendaten gespeichert werden.

Prüfen Sie die Webseite Ihres Hosters, in der Regel gibt es Vorlagen die Sie nur ausdrucken, zeichnen und ggf. Versenden müssen.

Selbstverständlich müssen Sie, wenn Sie Service und Support Dienstleistungen für xt:Commerce von uns in Anspruch nehmen, einen ADV-Vertrag mit uns Zeichen. Dahingehend sollten Sie von uns bereits informiert worden sein. Falls nicht, machen wir Sie beim beauftragen der nächsten Anpassungen darauf Aufmerksam.

RECHT AUF LÖSCHUNG (“RECHT AUF “VERGESSENWERDEN”) :

Ihre Kunden haben jetzt das Recht Sie aufzufordern Ihre personenbezogene Daten unverzüglich zu löschen, und Sie als Shopbetreiber sind verpflichtet diesem nachzukommen.

Dieses kann manuell geschehen, indem der Kunde Ihnen eine Mail sendet und Sie die Daten in Ihrem System löschen oder automatisiert mit unserem xt:Commerce Plugin “DSGVO: Kundenkonto löschen”, welches Kunden erlaubt dieses selbstständig zu machen.

DATENSCHUTZERKLÄRUNG:

Natürlich muss Ihre Datenschutzerklärung hinsichtlich der neuen Regelungen aktualisiert werden.

Hier können Sie zum Beispiel auf den Service von TrustedShops (Gutscheincode “4TFM-Abmahnschutz” für einen kleinen Rabatt) zurückgreifen, aber es gibt auch gute kostenfreie alternative im Netz.

UNSER SERVICE FÜR IHREN SHOP

Wie immer können Sie bei der Umsetzung der DSGVO-Regelungen unsere Services in Anspruch nehmen. Wir stehen Ihnen mit Rat und Tat zur Seite!

Shopify Experts
Shopify Experts