PDF

Tips & Tricks  | Agfa Graphics, Mortsel, Belgium  | 22 März 2018

DSGVO-Konformität für Apogee & Asanti StoreFront Web-to-Print Nutzer

DSGVO steht für die Datenschutz-Grundverordnung. (GDPR = General Data Protection Regulation).
Mit dieser Verordnung soll der Schutz personenbezogener Daten in der Europäischen Union (EU), Island, Liechtenstein und Norwegen harmonisiert werden. Auf dieser Seite wird die Auswirkung der DSGVO auf Drucker und Druckdienstleister beschrieben, die Apogee StoreFront oder Asanti StoreFront, die Cloud basierenden Web-to-Print Lösungen von Agfa, verwenden.

Die DSGVO konzentriert sich auf den Schutz personenbezogener Daten, bei denen es sich um Informationen handelt, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dazu gehören Namen, Anschriften, physische oder genetische Informationen, IP-Adressen, Standortdaten, Geschäftstransaktionen usw.. Die Gesetzgebung harmonisiert die Vielzahl unterschiedlicher Gesetze, die in verschiedenen EU-Mitgliedstaaten bereits existierten. Diese Verordnung ist unter anderen Namen in bestimmten Mitgliedstaaten bekannt, wie AVG (Niederlande), DSGVO (Deutschland), RGPD (Frankreich & Spanien) oder RODO (Polen).

GDPR-in-EU-member-states

Die Bestimmungen der DSGVO gelten ab dem 25. Mai 2018. Wenn sich Ihr Unternehmen in der EU befindet oder Sie Kunden innerhalb der EU haben, müssen Sie die DSGVO einhalten. Unternehmen, die diese Bestimmungen nicht einhalten, riskieren hohe Bußgelder.

Im Folgenden finden Sie Informationen zur DSGVO, die für Apogee StoreFront und Asanti StoreFront gelten. Agfa Graphics bemüht sich sicherzustellen, dass StoreFront in einer DSGV-konformen Weise verwendet werden kann. Als StoreFront-Nutzer müssen Sie sich der Maßnahmen bewusst sein, die Agfa Graphics ergriffen hat, und Sie müssen sicherstellen, dass Ihre Nutzung der Plattform in Bezug auf die Kunden mit der DSGVO-Gesetzgebung konform ist. Die folgenden Richtlinien dienen nur zu Informationszwecken und nicht zum Zweck der Rechtsberatung.


Unternehmen, die StoreFront nutzen, gelten als für die Verarbeitung Verantwortlichen - "natürliche oder juristische Personen, Behörden, Agenturen oder andere Stellen, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen". Agfa Graphics ist der Verarbeiter - "eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet".

Ihre DSGVO-Verantwortlichkeiten

Als Verantwortlicher müssen Sie Informationen zur DSGVO mit Ihren Kunden teilen. Wenn ein Store für einen bestimmten Geschäftskunden erstellt wird, sollte der Verkaufsvertrag Ihre und deren DSGVO-Verantwortlichkeiten abdecken. Sie müssen auch bestimmte Prozesse implementiert haben, um kompatibel zu sein. Wenn sich der folgende Text auf StoreFront-Benutzer bezieht, bezieht sich dies auf Speicherbenutzer sowie Unternehmens- und Druckeradministratoren.

  • Speicherung von persönlichen Daten
    StoreFront speichert persönliche Daten aller Benutzer. Einige Felder sind obligatorisch, wie der vollständige Name des Benutzers, die E-Mail-Adresse, die Anrede / das Geschlecht (falls bekannt) und die bevorzugte Sprache. Benutzer können diese Felder sehen und ändern. Optional können Sie zusätzliche Felder definieren und diese vor Benutzern verbergen. Die Bestellhistorie der Benutzer wird ebenfalls gespeichert.
    • Online-Shops sollten eine Datenschutzerklärung enthalten, die Sie Benutzern auf einer der Informationsseiten zur Verfügung stellen können. Diese Datenschutzerklärung sollte Antworten auf die folgenden Fragen enthalten:
           - Welche persönlichen Daten werden gesammelt?
           - Wer sammelt diese?
           - Wie werden diese gesammelt?
           - Warum werden diese es gesammelt?
           - Wie werden diese verwendet?
           - Mit wem werden diese geteilt?
           - Wie wird sich dies auf die Betroffenen auswirken?
           - Kann die beabsichtigte Verwendung dazu führen, dass Personen Einwände erheben oder sich beschweren?
    • In einem separaten Datensatz der Datenverarbeitungsaktivitäten müssen Sie dokumentieren, welche Daten gespeichert sind, wer Zugriff hat und warum diese Daten benötigt werden. Dazu stehen Microsoft Word- oder Excel-Vorlagen zum Download im Internet zur Verfügung. Diese sind besonders nützlich für kleinere Unternehmen.
    • Sie sollten nur persönliche Daten speichern, die für die Verwendung in StoreFront relevant sind. Bei sensiblen oder gerichtlichen Informationen wie Religion oder sexueller Orientierung ist besondere Vorsicht geboten.
    • Wenn ein Storefront-Shop einen Tracker wie Google Analytics oder andere verwendet, vergewissern Sie sich, dass die Verwendung der erfassten Daten den DSGVO-Vorschriften entspricht. Da die meisten Tracker ein Cookie verwenden, vergewissern Sie sich, dass sie auf Ihrer Cookie-Akzeptanzseite erwähnt werden, die auf der Registerkarte des Storecenters,  >Shops> Seiten> Rechtliches, aktiviert und konfiguriert werden kann.
  • Vertraulichkeit und Sicherheit von Daten
    • Es ist wichtig, dass alle persönlichen Daten sicher übertragen und gespeichert werden.
    • Die gesamte Datenkommunikation zwischen dem Browser des Benutzers und StoreFront verwendet das verschlüsselte HTTPS-Protokoll.
    • Wenn Benutzer auf einen Store zugreifen und ihr Browserfenster geöffnet lassen, schließt StoreFront die Sitzung automatisch nach 60 Minuten. Dies minimiert das Risiko, dass andere Personen die Kontodaten des Benutzers manipulieren.
    • Wenn eine Sicherheitsverletzung zu einem Datenleck führt, muss die lokale Aufsichtsbehörde innerhalb von 72 Stunden darüber informiert werden. Alle betroffenen Benutzer müssen ebenfalls gewarnt werden. Ein Beispiel für ein solches Leck könnte ein illoyaler Mitarbeiter sein, der eine Liste aller Benutzer exportiert, um sie einem Wettbewerber zur Verfügung zu stellen. Um solche Risiken zu minimieren, deaktivieren Sie sofort das Konto von Mitarbeitern mit Zugriffsrechten auf Administratorebene, die das Unternehmen verlassen. Wenn eine Datenverletzung auftritt, müssen Sie dies nicht nur melden, sondern auch dokumentieren, welche Maßnahmen ergriffen wurden, um zu verhindern, dass ein solcher Verstoß in Zukunft erneut auftreten kann.
    • Wenn Sie Benutzerdaten an Dritte weitergeben oder verkaufen, müssen Sie die Benutzer darüber aufklären und informieren.
  • Richtigkeit der persönlichen Daten
    Personenbezogene Daten sollten korrekt und auf dem neuesten Stand sein. Dies bedeutet, dass die Benutzer ihre persönlichen Daten einsehen und die Möglichkeit haben müssen, sie zu korrigieren. In der Datenschutzerklärung sollte erläutert werden, wie Benutzer auf ihre jeweiligen Daten zugreifen und diese aktualisieren können. Wenn benutzerdefinierte Felder in Benutzerprofilen verwendet werden und Benutzer daran gehindert werden, diese selbst zu ändern, sollte die Datenschutzrichtlinie die Prozedur angeben, mit der Benutzer Sie auffordern können, diese Daten zu ändern.
  • Richtlinie zur Datenaufbewahrung
    Personenbezogene Daten sollten nicht länger als nötig aufbewahrt werden. Wenn ein Web-Shop von einen Geschäftskunden nicht mehr verwendet wird, wird erwartet, dass Sie die darin enthaltenen Benutzerprofildaten innerhalb eines angemessenen Zeitraums löschen. Wie lange persönliche Daten aufbewahrt werden, bleibt Ihnen überlassen. Es ist akzeptabel, dies erst nach ein paar Jahren zu tun, da Kunden manchmal zwischen Lieferanten wechseln und die Geschäftsdaten zur Hand haben, wenn sie nach einem Jahr wieder Kunden werden, ist völlig in Ordnung.
    • Sie dürfen Benutzerprofildaten archivieren, bevor Sie sie löschen. Dies kann mithilfe der Funktion Export im Fenster Benutzer von StoreCenter erfolgen. Beachten Sie, dass dieses Archiv nicht die Bestellhistorie des Benutzers enthält.
    • Andere Rechtsvorschriften können Vorrang vor dieser Regel haben. Fallbeispiel: In den meisten Ländern sollten Rechnungen für mehrere Jahre aufbewahrt werden. In Web-Shops, die zum Generieren von Rechnungen konfiguriert sind, werden diese Rechnungen in den Benutzerkontodaten gespeichert. Wir empfehlen, vor dem Löschen von Benutzerkonten alle Rechnungen aus dem Fenster "Auftragsberichte" in das StoreCenter zu exportieren.
  • Recht, vergessen zu werden
    Benutzer haben das Recht, ihre persönlichen Daten in StoreFront entfernen zu lassen. Da sie ihre Profildaten nicht selbst löschen können, muss ein StoreFront-Administrator dies für jeden tun, der um Löschung bittet. In Ihrer Datenschutzrichtlinie müssen Sie die Vorgehensweise dokumentieren, der Benutzer folgen sollten. Das kann auch einfach eine Aufforderung sein, eine E-Mail mit dem vollständigen Namen und der Betreffzeile "Mein Konto löschen" zu senden.
  • Eine Zustimmung muss eingeholt werden
    Die DSGVO-Gesetzgebung beschränkt Ihre Möglichkeiten, Abonnenten für einen Newsletter einzutragen, erheblich. Dies ist besonders wichtig, wenn Sie öffentliche Shops betreiben. E-Mail-Marketing ist eine leistungsstarke Möglichkeit, Kunden zu erreichen. Sie können jedoch keine Benutzer zu Ihrer Mailingliste hinzufügen, ohne deren ausdrückliche Zustimmung oder berechtigte Interessen.

Agfa's DSGVO-Verantwortlichkeiten als Verarbeiter

StoreFront wird von Agfa gehostet, das die von Ihnen verwalteten persönlichen Daten verarbeitet. Agfa verpflichtet sich zur Einhaltung der DSGVO. Im Folgenden die wichtigsten Aufgaben als Verarbeiter:

  • Verpflichtung des Verarbeiters zur Vertraulichkeit
    Die Verarbeiter müssen sicherstellen, dass die von ihnen verarbeiteten personenbezogenen Daten vertraulich behandelt werden.
  • Aufzeichnungen von Verarbeitungsaktivitäten
    Um die Einhaltung sicherzustellen, verpflichtet das EU-Datenschutzrecht die Verarbeiter, dafür zu sorgen, dass sie Aufzeichnungen über ihre Datenverarbeitungsaktivitäten führen und dass die Informationen in diesen Aufzeichnungen den entsprechenden Personen zur Verfügung gestellt werden (oder auf Anfrage verfügbar sind).
  • Datensicherheit
    Das EU-Datenschutzgesetz verpflichtet die Verarbeiter, die Sicherheit der von ihnen verarbeiteten personenbezogenen Daten zu gewährleisten.
  • Meldung von Datenschutzverletzungen
    Eines der Hauptprobleme bei der Aufrechterhaltung der Sicherheit personenbezogener Daten besteht darin, sicherzustellen, dass die relevanten Entscheidungsträger über Datenverletzungen informiert sind und entsprechend reagieren können.
  • Haftung der Verarbeiter
    Das EU-Datenschutzgesetz erkennt die Möglichkeit an, dass die Verarbeiter für Verstöße gegen ihre gesetzlichen oder vertraglichen Verpflichtungen haften können.

    Verarbeiterpflichten umfassen, sind aber nicht beschränkt auf:
    • Verarbeitung von Daten nur wie vom Verantwortlichen Verarbeiter angewiesen
    • Zum Schutz personenbezogener Daten geeignete technische und organisatorische Maßnahmen zu ergreifen
    • Unterstützung des Verantwortlichen bei Anfragen von datenbezogenen Aufgaben
    • Nur Unter-Verarbeiter mit der Erlaubnis des Verantwortlichen Verarbeiters ernennen.
    • Sicherzustellen, dass Unter-Verarbeiter diese Anforderungen erfüllen

Speziell in Bezug auf StoreFront sind die folgenden Punkte wichtig:

  • Jedes StoreFront-Konto hat einen Hauptadministrator. Dies ist die Person, die als Erste Zugriff auf das StoreCenter erhält und andere Administratoren hinzufügen kann. Dieses Benutzerkonto (mit Vorname, Nachname, Anrede und E-Mail-Adresse) wird von Agfa verwaltet. Um dieses Konto aktualisieren zu lassen, wenden Sie sich bitte an Ihr örtliches Agfa-Kundendienstteam oder Ihren Händler.
  • Der StoreFront-Lizenz- und Servicevertrag wurde aktualisiert, um den DSGVO-Anforderungen Rechnung zu tragen. Sie können diese einsehen, indem Sie auf den Link Lizenzvereinbarung in der oberen linken Menüleiste im StoreCenter klicken. Wenn Sie es vorziehen, eine separate Datenverarbeitungsvereinbarung mit Agfa zu treffen, stellen Sie ein solches Dokument bitte Ihrer lokalen Agfa-Verkaufsorganisation oder Ihrem Händler vor. Sie werden von der Agfa-Zentrale validiert und unterzeichnet. Es gibt grafische Berufsverbände, die einen Mustervertrag anbieten, den Sie als Vorlage verwenden können.

Zusammenfassend ist es wichtig, dass Ihre StoreFront-Benutzer auf Ihre Datenschutzerklärung innerhalb Ihres Geschäfts zugreifen können und dass Sie über einen Datensatz für Datenverarbeitungsaktivitäten verfügen. Sobald diese grundlegenden Anforderungen abgedeckt sind, können Sie sich auf die anderen Aspekte der DSGVO-Gesetzgebung konzentrieren. Wenn Sie Fragen zu DSGVO hinsichtlich Apogee StoreFront oder Asanti StoreFront haben, wenden Sie sich bitte an Ihre lokale Agfa-Verkaufsorganisation oder Ihren Händler.

Apogee StoreFront

Apogee StoreFront

Diese Cloud-basierte Web-to-Print-Lösung gibt Druckereien und Druckdienstleistern die Möglichkeit, ihre Produkte und Dienstleistungen effizient zu vermarkten – und das sowohl für bestehende Kunden als auch für neue Märkte.

Asanti StoreFront

Asanti StoreFront

Asanti StoreFront ist ein Cloud-basiertes Web-to-Print-System. Druckereien für Sign und Display können Online-Stores zur Erweiterung Ihres Angebotes für bestehende Kunden erstellen und zu neuen Märkten expandieren.

Kontaktieren Sie uns

Bitte fülllen Sie das Formular aus für mehr Informationen.

 
*
*
*
*
*