DSGVO-konformes CMS für Salesforce Commerce Cloud: Was Unternehmen wissen müssen
Die DSGVO gilt seit 2018 – aber in der Praxis zeigen Datenschutzaudits immer wieder, dass CMS-Systeme ein unterschätztes Risiko darstellen. Wer für Salesforce Commerce Cloud ein CMS einsetzt, muss sicherstellen, dass auch dieses System die Anforderungen der Datenschutz-Grundverordnung erfüllt. Was das konkret bedeutet und worauf es ankommt.
Kernaussage: Ein CMS für SFCC verarbeitet potenziell personenbezogene Daten – von Nutzerverhalten über Content-Personalisierung bis zu Redaktionsdaten. DSGVO-Konformität ist damit keine Option, sondern Pflicht.
Warum CMS-Systeme datenschutzrelevant sind
Auf den ersten Blick scheint ein CMS „nur" Inhalte zu verwalten. In der Praxis aber berühren CMS-Systeme mehrere datenschutzrelevante Bereiche:
- Personalisierung: CMS-Systeme, die Inhalte nach Nutzersegmenten oder Verhalten ausspielen, verarbeiten personenbezogene Daten.
- Redakteursdaten: Nutzerkonten, Login-Daten und Aktivitätslogs von Redakteuren und Marketern sind personenbezogen.
- Drittanbieter-Integrationen: Wenn das CMS Analytics, Tracking oder CDN-Dienste einbindet, entstehen weitere Datenflüsse.
- Hosting-Standort: Wo werden Inhalte und Daten gespeichert? EU-Hosting oder US-basierte Dienste ohne Standardvertragsklauseln?
Die wesentlichen DSGVO-Anforderungen für CMS-Systeme
Auftragsverarbeitungsvertrag (AVV)
Jeder CMS-Anbieter, der im Auftrag Daten verarbeitet, muss einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO anbieten. Fehlt dieser Vertrag, ist der Einsatz datenschutzrechtlich problematisch – unabhängig davon, wie gut das System technisch ist.
Datensparsamkeit und Zweckbindung
Ein CMS sollte nur die Daten verarbeiten, die für seinen Betrieb tatsächlich notwendig sind. Tracking von Redakteursverhalten über den betrieblichen Zweck hinaus, automatische Analyse von Content-Nutzung ohne rechtliche Grundlage oder übermäßige Log-Speicherung sind potenzielle Schwachstellen.
Datenübertragung in Drittländer
US-amerikanische Anbieter müssen nachweisen, wie sie Daten in die USA transferieren – Data Privacy Framework, Standardvertragsklauseln oder Binding Corporate Rules. Ohne diesen Nachweis besteht ein Compliance-Risiko, das Datenschutzbehörden seit dem Schrems-II-Urteil verstärkt überprüfen.
Löschkonzept und Datenverfügbarkeit
Content-Daten und Nutzerdaten müssen löschbar sein – auch aus Backup-Systemen. Das betrifft Redakteurskonten, Content-Entwürfe und Personalisierungsdaten gleichermaßen.
Typische Risiken beim CMS-Betrieb in SFCC-Umgebungen
- Einbindung von US-Diensten ohne AVV (z. B. CDN, Analytics, Image-Services)
- Fehlende Protokolle, wer wann welche Daten bearbeitet hat (Auditpfad)
- Personalisierungs-Features ohne dokumentierte Rechtsgrundlage
- Kein strukturiertes Löschkonzept für Entwürfe und veraltete Content-Versionen
Worauf Sie bei der CMS-Auswahl aus Datenschutzsicht achten sollten
- AVV vorhanden und aktuell? Standardpflicht, kein Verhandlungspunkt.
- Hosting-Standort EU? Bevorzugen Sie Anbieter mit EU-Infrastruktur oder belastbarem Drittlandtransfer-Nachweis.
- Welche Drittdienste werden automatisch eingebunden? Jeder externe Dienst ist ein eigener Datenfluss.
- Rollenverwaltung und Zugriffskontrollen? Wer darf was sehen, bearbeiten, löschen?
- Auditpfad: Werden Änderungen protokolliert – und wie lange werden diese Logs aufbewahrt?
- Löschfunktionen: Können Daten tatsächlich vollständig und dokumentiert gelöscht werden?
Weiterführende Überlegungen zur CMS-Auswahl insgesamt – jenseits von Datenschutz – bietet der Beitrag CMS-Auswahl für Salesforce Commerce Cloud.
Hinweis: Dieser Beitrag stellt keine Rechtsberatung dar. Für verbindliche datenschutzrechtliche Einschätzungen wenden Sie sich an Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsbeistand.
Fazit
Ein CMS für Salesforce Commerce Cloud ist kein datenschutzrechtlich neutrales Werkzeug. Wer ein CMS einsetzt, übernimmt Verantwortung für die darin fließenden Daten – und muss sicherstellen, dass der Anbieter die DSGVO-Anforderungen erfüllt. Die guten Nachrichten: Die wichtigsten Kriterien lassen sich schon im Evaluationsprozess abfragen. Wer das tut, vermeidet später teure Compliance-Nachrüstungen.