Bright IT - Welche Headless Commerce-Plattformen sind DSGVO-konform?

Sie haben wahrscheinlich schon von dem Begriff "Headless Commerce" gehört. Er ist im E-Commerce und im Einzelhandel schon seit geraumer Zeit in aller Munde. Da E-Commerce-Systeme mit Kundendaten arbeiten, müssen sie mit Datenschutzgesetzen wie der DSGVO vereinbar sein. Finden Sie heraus, ob und wie Headless Commerce-Lösungen DSGVO-konform sind.

Headless Commerce ist eine relativ moderne Form des E-Commerce, bei der Frontend- und Backend-Systeme "entkoppelt" sind - d.h. sie sind nicht "übereinander gestapelt", sondern nutzen Daten gemeinsam über APIs.

Dies ermöglicht eine größere Flexibilität und Kontrolle über das Frontend und Backend und gilt in der Branche als zukunftssicherer Ansatz für den Aufbau moderner Handelslösungen. Wir haben vor ein paar Wochen über die Unterschiede und Gemeinsamkeiten zwischen diesen Ansätzen geschrieben, wenn Sie mehr darüber erfahren möchten.  

Ein wesentlicher Grund für die Nachfrage nach Headless Commerce-Systemen ist die Geschwindigkeit. Die Entkopplung der Frontend- und Backend-Layer bedeutet in der Regel schlankere Systeme und damit eine schnellere Bereitstellung von Inhalten über mehrere individuelle Endpunkte. Die Kunden verlangen immer schnellere Ladezeiten, so dass Geschwindigkeit gleichbedeutend mit Gewinn ist. 

Werfen Sie einen Blick auf das folgende Diagramm von Shopify, um eine Vorstellung davon zu bekommen, wie eine entkoppelte E-Commerce-Lösung strukturiert ist.

Eine größere Herausforderung beim Headless Commerce ist die Sicherheit. Natürlich hängt es immer von der Nutzung der Software ab, wie sicher sie in der Praxis ist, aber im Allgemeinen gelten entkoppelte E-Commerce-Lösungen als sicherer, da ihre Struktur - mit einem getrennten Backend und Frontend - bessere Sicherheitsprotokolle ermöglicht. Dies ist auch im Hinblick auf die jüngsten Änderungen der DSGVO wichtig.

Gehen wir einen kleinen Schritt zurück, um zu überlegen, warum die DSGVO für den Vergleich von Headless Commerce-Anbietern relevant ist. Nach und nach gewöhnt sich die Branche daran, die Zustimmung der Besucher zu Cookies, Newslettern und analytischem Tracking zu verwalten.

Für viele aktuelle Commerce-Lösungen gibt es natürlich Plugins, die diese Probleme relativ einfach lösen können. Wie wir jedoch in einem unserer Blogs über ein kürzlich ergangenes Urteil in Österreich zugunsten strenger DSGVO-Richtlinien argumentiert haben, hat die Branche als Ganzes den Umfang der Auswirkungen der DSGVO möglicherweise noch nicht begriffen. Die DSGVO betrifft alle Aspekte der Speicherung von Kundendaten, einschließlich:

• Was genau gespeichert wird und für wie lange.

• Wo und wie diese Daten gespeichert werden.

• Inwieweit die Hauptpartei (E-Commerce) oder Drittanbieterdienste rechenschaftspflichtig sind.

• Wie Ihre Datennutzung den Nutzern mitgeteilt werden sollte.

Kurz gesagt, es geht um die Art und Weise, wie wir das Internet, den elektronischen Handel und das Werbe-Ökosystem "organisieren" (daher die Ankündigung von Google, sich vom Cookie, wie wir ihn kennen, zu verabschieden). Es erfordert einen "Design First"-Ansatz für Kundendaten und Datenschutz, damit die Nutzer ihre Zustimmung zur Verwendung ihrer Daten selbst steuern können. An dieser Stelle kommen moderne Commerce-Anbieter ins Spiel. Diese für die Zukunft des Datenschutzes konzipierten und entwickelten Lösungen konkurrieren um multinationale Konzerne und große Unternehmen und arbeiten mit ihnen zusammen, um den Wechsel zu zukunftssicheren Inhalten und Handelsgeschäften zu vollziehen.

Welche vertrauenswürdigen Optionen gibt es also für Unternehmen? Hier sind einige unserer Favoriten für führende Headless Commerce-Lösungen, die Ihnen eine Vorstellung davon geben können, worauf Sie bei der Recherche für Sie oder Ihr Unternehmen achten sollten. 

Beachten Sie dabei: Die Einhaltung der DSGVO hängt nicht nur von der Software selbst ab. Ein Dienst kann Ihnen die benötigten Tools zur Verfügung stellen, aber die Art und Weise, wie Sie ihn nutzen, entscheidet über Ihre Compliance. Die meisten modernen Headless Commerce-Anbieter können die DSGVO-konforme Nutzung von Kundendaten nur ermöglichen, aber nicht garantieren.

Optimizely (Commerce Cloud)

Die Commerce Cloud-Lösung von Optimizely gibt es in zwei Varianten. Die eine ist für B2C-Organisationen gedacht, die andere ist eher für B2B-Teams geeignet. Die B2B Commerce Cloud verfügt über eine React-basierte Storefront, die eine genauere Kontrolle über das Kundenerlebnis ermöglicht.

Was die Sicherheit betrifft, so ist Optimizely dabei, die ISO 27001-Zertifizierung für seine gesamte Produktpalette zu erlangen. 

Die Commerce Cloud wird mit allen notwendigen Opt-in-Funktionen geliefert, mit denen Endbenutzer ihre Datenpräferenzen verwalten können. 

Die Optimizely Commerce Cloud wird auf der Microsoft Azure Cloud-Infrastruktur gehostet. Dadurch können Sie sie so einrichten, dass sie die strengsten DSGVO-Anforderungen erfüllt. So können Sie beispielsweise vorschreiben, dass deutsche Daten deutscher Konsumenten nur in Rechenzentren in der EU gespeichert und verarbeitet werden.

Wenn Sie mehr über die Bemühungen von Optimizely zur Einhaltung der DSGVO in der Commerce Cloud lesen möchten, finden Sie hier eine ausführlichere Beschreibung der Verfahren. 

Shopify Plus

Shopify Plus kann man am besten als den großen Bruder von Shopify beschreiben, der bereit ist, große Unternehmen zu bedienen. Es zählt zu den bekannteren Marken im E-Commerce und hat im Laufe der Jahre eine große Anhängerschaft gewonnen. Der Preis deutet jedoch darauf hin, dass diese Suite nicht für Startups geeignet ist.

Das Unternehmen erklärt: "Shopify hat seine Plattform so konzipiert, dass Sie Ihren Kunden Transparenz und Kontrolle über ihre persönlichen Daten bieten können." Als Datenverarbeiter Ihrer Kunden sind Sie und Ihr Unternehmen jedoch dafür verantwortlich, die Funktionen von Shopify so zu konfigurieren, dass sie die Kundendaten verarbeiten und mit der DSGVO übereinstimmen. 

Eines der großen Verkaufsargumente der Plattform ist, dass sie es Händlern ermöglicht, Produkte auf der ganzen Welt zu verkaufen. Eine der wichtigsten und einfachsten Funktionen, die Shopify im Hinblick auf die DSGVO-Richtlinien in seine Software eingebaut hat, ist die Möglichkeit für Händler, eine unabhängige Zustimmung für Marketingzwecke einzuholen. Sie können auch wählen, ob sie das Kontrollkästchen für die Einwilligung je nach ihren Anforderungen ankreuzen oder nicht. Das bedeutet, dass Sie die Plattform so konfigurieren können, dass sie Ihren lokalen Vorschriften entspricht.

Shopify geht in seinem Whitepaper ausführlicher auf die verschiedenen Elemente der Einhaltung der DSGVO ein. Weitere Einzelheiten zu den Verpflichtungen, die Shopify als Datenverarbeiter gegenüber Ihrem Unternehmen hat, finden Sie in der Vereinbarung zur Datenverarbeitung.

In diesem Artikel haben wir die Kernkonzepte von Headless Commerce-Lösungen vorgestellt und erläutert, warum sie aus geschäftlicher und infrastruktureller Sicht wichtig sind. Wir haben auch dargelegt, warum es für Unternehmen von Vorteil ist, Zeit und Forschung in verschiedene Headless Commerce-Lösungen zu investieren, um sich einerseits auf die Zukunft des Handels und andererseits auf die Gestaltung des Datenschutzes und der Datennutzung vorzubereiten. 

Außerdem haben wir dargelegt, warum Compliance wichtig ist und dass die Auswahl eines guten Anbieters nur der erste Schritt ist. Wenn der Übergang zum Headless Commerce eines mit sich bringt, dann ist es, dass E-Commerce-Kunden davon profitieren werden. Im Vergleich zu monolithischen E-Commerce-Lösungen lässt sich ein Headless Commerce-System leichter an die gewünschten Einkaufserlebnisse der Käufer anpassen und erfüllt Datenschutzbestimmungen wie die DSGVO.