en Jump to content

Question

Für 2018 stehen ja einige Gesetzesänderungen an, die unmittelbar Auswirkungen auf den Betrieb unserer Online-Shops haben.

Besonders wichtig, am 25 Mai 2018 endet die zweijährige Übergangsfrist und es gilt dann endgültig die EU-Datenschutzgrundverordnung . Wer da noch Defizite hat sollte sich schnellsten informieren.

------------------------------------

Aber erstmal ganz aktuell: Gleich im Januar geht es los, am 18.1.2018 trit das "Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie“  in Kraft.

Grob zusammengefaßt: Für SEPA-Lastschriften und Master- und Visacardzahlungen dürfen keine Gebühren für die Zahlungsabwicklung mehr erhoben werden.

Für Paypal gilt dieses Gesetz zwar nicht, aber Paypal hat angekündigt bereits zum 9.1.2018 ein Surcharing-Verbot einzuführen, (Zitat: „Sie sind als Händler nicht berechtigt, ein Zahlungsmittelentgelt für die Nutzung der PayPal-Services als Zahlungsmethode in Ihrem Online-Shop zu erheben)

Das bedeutet für alle die es betrifft, noch ganz schnell die technischen Änderungen vorzunehmen und insbesondere auch an die Anpassung der AGBs denken und ggfs einen RA bezgl der Details befragen!

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites

52 answers to this question

Recommended Posts

  • 0

Und um es noch kürzer zu machen: Sieht man mal vom Verbot der Zusatzgebühren für bestimmte Zahlungsmethoden ab, dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,  wenn er sich bisher schon an die gesetzlichen Vorgaben gehalten hat.

Die eigentlichen Neuerungen wie z.B. die umfangreiche Dokumentationspflichten gelten nur für Betriebe ab 250 Mitarbeitern (Artikel 30, Abschnitt 5). Und  es ist auch wenig wahrscheinlich, dass in einem Online-Shop der Artikel 9 greifen wird:

"Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeithervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt."

Also, Bangemachen gilt nicht! Lasst den Anwälten und selbsternannten Experten von Trusted Shops & Händlerbund & Co. ihre Spielweise und euch das Geld nicht aus den Taschen ziehen.

In diesem Sinne gute Geschäfte im neue  Jahr. :)

Share this post


Link to post
Share on other sites
  • 0
vor 5 Stunden schrieb eleazar :

...dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,...

Hallo Rainer, das sollte ein Joke sein, oder?

Schau dir - als kleines Beispiel - nur mal den  umfangreichen Katalog über die Pflichtangaben in der Datenschutzerklärung an ( Art. 13 Abs. 1 DSGVO ) und vergleiche das mal mit einer x-beliebigen aktuellen Datenschutzerklärung oder z.B. mit deiner.;)

Ich bin überzeugt, daß auch dieses Mal einige Abmahnanwälte nur auf den 25.Mai warten und dann die Gelddruckmaschine, so wie bei vergangenen Gesetzesänderungen auch, auf Hochtouren laufen lassen werden.

Grüsse
Whiley

 

Share this post


Link to post
Share on other sites
  • 0

Nein, Jörg, das war kein Scherz! Das heißt natürlich nicht, dass ich so blauäugig bin zu meinen, dass es irgendeine Abmahnkanzlei nicht versuchen wird, weil sie ja an die Großen der Branche nicht rankommen. Aber, ob sie auch damit durchkommt, sei mal dahingestellt:

Egal, dann werde ich also eben etwas ausführlicher ... ;)

Pars pro toto zitiere ich mal aus dem Artikel eines Fachmanns für Datenschutz in tn3 vom vergangenen Juli, der kurz und knapp die Dinge auf den Punkt bringt:

"Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

  • Rechtmäßigkeit – Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.  
  • Transparenz – Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
  • Verbot mit Erlaubnisvorbehalt – Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  • Zweckbindung – Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  • Datenminimierung – Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
  • Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

(...)
Neu zu den vorgenannten Grundprinzipien des Datenschutzes, kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu.

„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen.

„Privacy by Default“ bedeutet wiederum, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.
(...)
Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben."

Und hier greift dann wiederum Absatz 5 des Artikels 30, wie der im Anhang der DSVGO befindliche "Erwägungsgrund Nr. 13" präzisiert:
"Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission¹ maßgebend sein."

Dort übrigens heißt es zu den Unternehmensgrößen:
"Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.

(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet."
(Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen - Amtsblatt Nr. L 124 vom 20/05/2003 S. 0036 - 0041)

Also, welcher Shop-Betreiber hier im Forum fühlt sich jetzt angesprochen? (Scherz!)

Aufpassen müssen natürlich diejenigen, die sich extensiv der Kundendaten für Marketing-Zwecke (Werbemails, Newsletter etc.) bedienen. Denn hier sind  jetzt wirklich die "vernünftigen Erwartungen der betroffenen Person" zu berücksichtigen. Welche Interessen überwiegen, hängt im Einzelfall u.a. davon ab, welche Daten von welchen Personen verarbeitet werden, welchen Zweck die Datenverarbeitung verfolgt, welche Grundrechte betroffen sind und mit welchen Massnahmen die Datensicherheit gewährleistet wird. Das betrifft aber nicht den normalen Shopbetrieb, wo Kundendaten zum Zwecken der Bestellbearbeitung erfasst werden.

Die üblichen "klassischen" Cookies, die nur der Nutzerfreundlichkeit dienen, dürften in den meisten Fällen wie bisher rechtmäßig sein. Also z.B. individuelle Einstellungen, die Erkennung von Nutzerinnen und Nutzer ohne erneute Passworteingabe oder Warenkörbe bei Shops. Alles andere wäre auch absurd.
Tracking-Cookies allerdings sollte man im Einzelfall prüfen. Im Hinblick auf die Datensparsamkeit wäre die Pseudonymisierung, z.B. in Form von Nutzer-IDs empfehlenswert. Und natürlich ein Double-Opt-In. Ob uns dann am Ende doch der Pflicht-Disclaimer für Cookies auch in Deutschland blüht, bleibt abzuwarten.  Denn wenn der Einsatz eines Cookies gem. Artikel 6 Abs. 1 der DSGVO zulässig ist, ist folglich keine Einwilligung erforderlich. Damit würde auch weiterhin jede Notwendigkeit für einen Cookie-Disclaimer entfallen - zumindest vorerst, solange die sog. ePrivacy-Verordnung der EU in Deutschland noch nicht gesetzlich umgesetzt wurde.

Ebenso absurd und technisch kaum zu realisieren, wäre es, aus der DSVGO die Forderung abzuleiten, Kundendaten, die mit Bestellungen verknüpft sind,  auf Wunsch aus der Datenbank zu löschen oder auch nur einen Löschzeitpunkt dafür festzulegen. Solche unsinnigen Befürchtungen wurden unlängst in diesem Zusammenhang im thirty-bees-Forum diskutiert. Dies würde nicht nur zu Inkonsistenzen führen, auch das Finanzamt hätte sicherlich etwas dagegen, wenn es mal zur Betriebsprüfung käme.

Hier gilt vielmehr das berechtigte Interesse des Online-Händlers, das sich aus Artikel 6, Absatz 1 der DSVGO ergibt: Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse. Dazu schreibt Jennifer Rost im Shopbetreiber-Blog:

"Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte."

Just for the record: Mir geht schon der aktuelle, für kleinere und mittlere Shops oft realitätsferne Datenschutz gehörig auf den Keks, weil es die meisten Kunden nicht die Bohne interessiert. Ich bin allerdings pragmatisch genug zu glauben, dass sich im Alltagsgeschäft auch durch die Umsetzung der DSGVO nicht viel ändern wird.

Bei den Großen der Branche, die über ganz andere Möglichkeiten der Datenverknüpfung verfügen, die vermutlich die Bürokraten, die diese verschwurbelte und auslegungsbedürftige "Grundverordnung" ersonnen haben, nicht mal ansatzweise verstehen würden, wäre es dagegen wünschenswert, wenn man Ihnen in Sachen Datenschutz juristisch die Daumenschrauben anlegt.

Aber ob das mit solchen Verordnungen zu leisten ist, daran habe ich so meine Zweifel ...

Share this post


Link to post
Share on other sites
  • 0

Und was soll das jetzt?

Es bestreitet ja niemand, daß es in der DSGVO auch Dinge gibt die bereits in den bisher geltenden Gesetzten geregelt waren und das es auch Vorschriften gibt die nur für Unternehmen ab einer gewissen Größenordnung gelten.

Wichtiger sind doch die Änderungen die alle betreffen und neu sind und da gibt es nunmal genug davon.

Bleib doch bei meinem Beispiel Art. 13 Abs. 1 DSGVO, der nun mal für alle gilt ünabhängig davon wie goß das Unternehmen ist und unabhängig davon wie bisher die Datenschutzerkärung formuliert war.

Da gibt es einen Katalog, der genau vorgibt was in der Datenschutzerklärung zwingend drin stehen muß (nicht kann und nicht soll sondern muß). Das sind also Pflichtangaben die, wenn sie nicht genau so wie vorgegeben ausgeführt sind, abgemahnt werden können (Ähnlich wie wir das von der Widerrufsrechtserkärung her kennen).

  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
  • sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

So und nun vergleiche mal die ab Mai notwendigen Pflichtangaben mit deiner jetzigen Datenschutzerklärung!

Es wäre einfach töricht zu sagen, ich kümmere mich nicht darum;  gerade das Fehlen so einfacher Pflichtangaben wie z.B. die Kontaktdaten in der Datenschutzerklärung lassen sich kinderleicht über spider herausfiltern (Plausibilitätsprüfung PLZ) - ein wirklich gefundenes Fressen für einschlägige Abmahnerinnen und Abmahner.

Das war nur ein kleines Beispiel wie man in die Abmahnfalle tappen kann - mit etwas Zeitaufwand aber liesse sich dieser Punkt von jedem problemlos lösen!

Aber die Problematik zu verharmlosen und den Kopf in den Sand zu stecken und nichts zu tun,  das ist da sicherlich der ganz falsche Weg.

Grüsse
Whiley

 

PS Neben Textanpassungen gibt es natürlich noch technische Anpassungen die auch notwendig werden.

 

 

Share this post


Link to post
Share on other sites
  • 0

Ich will mich mit dir doch gar nicht streiten, Jörg. Und ich stecke auch nicht den Kopf in den Sand. Ganz im Gegenteil! Ich versuche einfach nur, einen klaren Kopf zu behalten.

Share this post


Link to post
Share on other sites
  • 0

Prima, dann haben wir hiermit ja schon ein Thema wo wir ggf. noch weiteres, hilfreiches zusammetragen können oder "sogar" Mustertexte zumindest verlinken oder einstellen könnten.

Hat jemand daran echtes Interesse so daß sich daraus dann ggf. auch weitere technische Umsetzungen entwickeln könnten für das Shopsystem?  Das Ding betrifft die gesamte EU und ich hoffe, das ist auch Entwicklern klar, die ja sonst immer gerne rummaulen daß das nur für die Deutschen zutrifft.   .....und die DSGVO schreibt "Bußgelder werden verhängt"  -  nicht mehr wie bisher "können verhängt werden",  das ist doch mal ein handfester Unterschied wo die Behörden nun auch gar nicht mehr anders können, grade auch für die Großen.

 

Share this post


Link to post
Share on other sites
  • 0

Ihr seit nach wie vor wie ein 100 jähriges Ehepaar :D

Mal generell gefragt, im DevBlog fand ich dazu jetzt nichts.

Wie geht's weiter mit 1.7.x? Eigentlich war ja Mal 1.8.x im Gespräch U d das 1.7 nur das Vista der Systeme ist. Rechtssicher trotz vorverivizierung war ja nix. In Deutschland lief oder läuft man ja Gefahr durch Zahlreiche Gründe abgemahnt zu werden. Nicht zuletzt deswegen weil das Modul für den "kleinen" Binnenmarkt EU / Deutschland ja nicht nur den Cache Fehler aufweist den man laut github jetzt zwar behoben hat sondern auch generell vieles gefehlt hat bzw. falsch oder schlecht umgesetzt hat.

 

Ich habe jetzt nach etwas ruhenden Gewerbe langsam wieder die Zeit und Ressourcen wieder weiter zu machen. Daher hatte ich mich gezwungen nur lesend hier aktiv zu sein. Trotzdem konnte ich was die Deutsche Rechtssicherheit angeht kaum handfestes finden. Ebenso der Weiterentwicklung bzw. Roadmaps von 1.6.x oder 1.7.x.

 

Zuletzt wirkte das ganze Projekt "Prestashop für den deutschen Markt" nämlich wie ein ungewolltes Stievkind welches man wie Potter lieber unter der Treppe anspricht. Nur das hier eben auch nichtmal Magie im Spiel ist.

 

Habt ihr dies bezüglich etwas Lektüre die helfen kann? Besonders eine Einschätzung bezüglich 1.7 / 1.8 wäre toll.

 

Ich selbst werde wohl vorerst sowieso nur auf eBay  erkaufen und prestashop als Datenzentrale nutzen (eBay Modul) und die Abwicklung nur über eBay und das Prestashop Backoffice machen. Trotzdem soll an sich ja auch über prestashop selbst wieder was verkauft werden. Daher die Überlegung der roadmaps ob nun 1.6 oder 1.7 zum Einsatz kommt und 1.7 auf absehbare Zeit ein System ist welches man in Deutschland betreiben sollte.

 

1.6 wird ja sowieso nur noch gepatched und TB hatte im August letzten Jahres seinen letzten Release was angesichts des verwendeten Codes in meinen Augen merkwürdig erscheint.

 

Danke euch und frohes neues :)

 

PS Ich habe es mit Handy geschrieben, Fehler seinen mir bitte verziehen .

Share this post


Link to post
Share on other sites
  • 0

Also von 1.8 wurde offiziell noch nie gesprochen. Korrigiert mich wenn ich mich irre.

Sicherlich hat 1.7 ein paar Macken rechtlich gesehen, die kann man aber teilweise auch selbst nachrüsten. Oder was genau hast du da im Sinn?

Roadmaps sind immer so die sache. Dann müsste man sich auch daran halten. Und die Leute von Presta denken (so scheint es mir) eigentlich immer nur von Update zu Update.

Natürlich darf hier keine Rechtsberatung stattfinden aber ein gesammelter Ort wo steht was man gegebenenfalls noch selbst einrichten muss oder vielleicht sogar Links zu Modulen oder Codeschnipsel die einem dabei helfen würde ich auch sehr begrüßen. Könnte da vielleicht auch das ein oder andere nachreichen.

Edited by Shad86

Share this post


Link to post
Share on other sites
  • 0

Naja 1.8 war eher unter der Hand bzw. deine Vermutung und Spekulation. Gewundert hätte es mich aber nicht bei diesem Desaster zu Beginn.

 

Das mit dem nachrüsten ist halt immer so eine Sache. Müsste ja alles Update fähig sein. Toll wäre ein besseres Framework bzw. Wie du schon sagst ein visual Scripting im Bereich Modul. In Sachen Game development sind wir bereits an einem Punkt wo das ganze hervorragend funktioniert. So könnte jemand mit know how ohne Ajax/PHP skills einen ganz hervorragenden Beitrag leisten.

 

Das Problem ist halt das das was wir uns ja eigentlich wünschen und du vorschlägst (was ich sehr begrüße) das AUEC sein sollte. Das ist aber so schlecht umgesetzt und so lieblos entwickelt das man da nicht eben einfach was einfügen kann. Echt schade.

 

Die Franzosen sind die neuen Italiener...roadmaps sind als Händler bzw. Endanwender eigentlich ganz essenziell. Aber stimmt. Daran hatten sie sich kaum gehalten schade.

Share this post


Link to post
Share on other sites
  • 0

Ja natürlich, EIGENTLICH sollte man das AUEC installieren und sich dann im besten Fall keinen weiteren Kopf mehr über die rechtliche Seite machen müssen.

Aber da es nicht so ist könnte man hier im Forum ja davon ausgehen das jemand die neueste Shopversion installiert und das neueste AUEC, aber was muss er dann noch tun? Man kann demjenigen keine Texte zur verfügung stellen sonst heißt es, hat er ja aus dem offiziellen Forum, wieso steht da dies und das nicht drin aber man könnte ja sagen es gibt noch dieses oder jenes Modul das etwas nachrüstet das man benötigt.

Oder in den Datenschutzbestimmungen muss man jetzt ja auch ein opt-out für Google Analytics anbieten. Da die CMS Seiten aber kein Script zulassen kann man den Code den Google dafür vorgibt nicht verwenden. Also habe ich mir eine ganz simple HTML Seite gemacht di dieses Script ausführt und die man über einen Link im Datenschutz erreicht. Solche Dinge muss man erstmal wissen bzw. ein Workaround dafür haben. Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt. Da ist sicherlich auch noch mehr wo ich erstmal gucken müsste was ich an unserem Shop alles geändert habe. Und vielleicht hat ja auch noch der ein oder andere eine bessere Methode oder man merkt das man selber über irgendwas garnicht nachgedacht hat und "was auch immer" noch nicht in seinen eigenen Shop eingebaut hat.

Share this post


Link to post
Share on other sites
  • 0
vor einer Stunde schrieb Shad86:

Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt.

 

Das wäre auch schön, aber wir haben leider keinen Einfluss auf die Gestaltung der Foren. Ich war ja damals schon froh, dass wir dieses Subforum hier beim CM durchgekriegt hatten. Also solltest du solche Änderungen, die spezielle die Anpassung für den deutschen Markt betreffen, sinnigerweise auch hier veröffentlichen und nicht im Subforum "PrestaShop-Entwickler", dessen Name wir dem nur kurzzeitig tätigen Community Manager Sylvain Dermy verdanken.

Allerdings muss man erstmal abwarten, wie die ePrivacy-Richtlinie in Deutschland rechtlich umgesetzt wird. Denn erst dann kommt so etwas zum Tragen. Und so, wie es aussieht, hast du dir möglicherweise die Arbeit umsonst gemacht, weil die Verordnungsbegründung in eine andere Richtung zielt:

Zitat

„Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

 

Denn das würde bedeuten, dass Verbraucher künftig anstatt über ein Banner im Shop über ihre Browser-Einstellungen ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen sollen. Dann wären auch Cookie-Module, die wir im Moment in Deutschland ja sowieso noch nicht brauchen, überflüssig.

Share this post


Link to post
Share on other sites
  • 0

Ja aber man könnte doch einen Thread im Bereich "Anpassung an deutsches Recht" anpinnen, den man als Sammelthread nutzt. Da könnte man ja alle relevanten Threads verlinken und vielleicht sogar eine art Checkliste/Linksammlung machen, was man zum EU-Modul noch ergänzen sollte. Und wenn da teilweise nur Links sind wo man sich informieren kann was noch nötig ist.

Ich versuche das ganze schon bestmöglich zu verfolgen, muss ich jetzt einen neuen Shop aufbauen weiß ich aber nicht ob ich noch alles zusammen bekomme.

 

Ich weiß, diese Seiten gibt es ohne Ende im Netz aber ich hatte mich bezügich des Analytics jetzt nach dieser gerichtet:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Und dachte mir das es definitiv nicht schaden kann. Denn so kann ein Nutzer sich dauerhaft vor Analytics verstecken. Natürlich hat er dann einen Cookie aber das wird das geringere Übel sein.

Edited by Shad86

Share this post


Link to post
Share on other sites
  • 0

Ja, nur fürchte ich, diese Lösung ist bald Schnee von gestern. Denn die Verantwortlichen der EU wollen ja gerade, dass jeder Internetnutzer sich künftig über seinen Browser individuell abschotten kann. Das ist vermutlich deren naive Vorstellung von Datensicherheit. Künftig geht es dann wahrscheinlich in erster Linie darum, wie man mit geeigneten Methoden solche Browsersperren umgehen kann. Vielleicht dann mit einem Pop-Up:

"Sie können leider in dieses Shop nichts einkaufen, da Ihr Browser das nicht zulässt."

Was den Sammelthread angeht, kein Problem! Du könntest ja mal vorpreschen, ich würde den Thread dann oben anpinnen.

In Sachen AEUC kann ich euch für 1.6 keine Hoffnungen mehr machen. Prestashop wird da nicht mehr drangehen, auch nicht an Bugfixes.  Hier sind also von denjenigen, die es können, eigene kreative Lösungen gefragt. Aber im Prinzip kann man auch jetzt schon ganz gut damit arbeiten. Und wenn man einen Blick über den großen Teich wagt, auch thirty bees tritt bei AEUC auf der Stelle und kann z.B. für das Cache-Problem entgegen anderslautenden Behauptungen keine brauchbare Lösung anbieten.

Share this post


Link to post
Share on other sites
  • 0

Also Google hat schon ein Plugin mit dem man das Tracking unterbindet. Ob man sich das installieren will muss jeder selbst wissen. Was da für Lösungen kommen und ob die dann meine Lösung ablösen oder nicht ist dann die Frage.

 

Okay, werde ich morgen mal angehen. Mal sehen was ich so zusammenkratzen kann was ich so bei 1.7 ändern musste.

Share this post


Link to post
Share on other sites
  • 0

Man sollte das etwas spezifizieren was jeder machen muss, wenn er rechtssicher den Shop mit prestashop betreiben will und das was man sollte. Dann vielleicht mein Thema Mal rauskramen zwecks Kleinunternehmer . Denke diese Zielgruppe kann man da jetzt ganz gut erreichen. 

Dann wäre ja allgemein noch wichtig wie die Daten auf dem Server geschützt werden. Man muss ja nicht nur den Shop absichern sondern auch das Gerüst auf dem er steht. Ob das rechtlich reicht Patches einzuspielen, wenn ein Bug einen relativ leichten unbefugten dem Zweck Manipulativen  Zugriff ermöglicht bleibt ja auch interessant als Frage offen. 

Ist der Server per "Admin" und "123456" "gesichert" wird diese "Sperre" wohl eher nicht als solche anerkannt werden. Das sollte man nie außer acht lassen, dass eben auch die Passwörter und Kundendatensätze eine ganz besondere Aufmerksamkeit Gebieten.

 

 

Share this post


Link to post
Share on other sites
  • 0

Wie angedroht habe ich hier mal verfasst wie man den Analytics Code deaktivierbar machen kann.

https://www.prestashop.com/forums/topic/650367-anleitung-google-analytics-abschaltbar-machen/

Wenn was zu ergänzen ist, imme her damit.

 

Desweiteren habe ich bei unserer mobilen Ansicht die Links zu Datenschutz und Impressum leichter zugänglich gemacht. Die müssen ja immer "unmittelbar erreichbar und ständig verfügbar" sein. Im original 1.7er Theme sind diese aber erst sichtbar wenn man einen Reiter öffnet. Also habe ich die Links nochmal unter dem Footer eingefügt damit diese ohne Umwege anklickbar sind. Meint ihr das ist unnötig oder soll ich da auch ein How-To machen?

Die restlichen Änderungen waren mehr usability als Rechtsicher machen. (Artikelnummer in die Kurzbeschreibung, Mailadressen und Telefonnummern anklickbar, SEO Optimierungen, Anfragebutton, Produktbeschreigungen im Warenkorb, "Zurück" in Broadcrumb)

Folgenden Beitrag würde ich aber auf jeden Fall in die neue Rechtssicherheitssammlung packen:

https://www.prestashop.com/forums/topic/649875-brutto-und-netto-anzeige-prestashop-17/

Share this post


Link to post
Share on other sites
  • 0

Wie schon mehrfach erwähnt muß ab 28.5.2018 ja jedes Unternehmen das personenbezogene Daten verarbeitet - also auch jeder Online-Shop-Betreiber - ein sog. "Verzeichnis der Verarbeitigungstätigkeiten (Art. 30 DSGVO)" führen und auf Verlangen auch vorweisen können.

Nun hat diese Woche die "Konferenz der Datenschutzbeauftragten des Bundes und der Länder" ein brauchbares und verständliches PDF mit Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten veröffentlicht:

https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Verzeichnis_der_Verarbeitungstaetigkeiten/Hinweise_zum_Verzeichnis_von_Verarbeitungstaetigkeiten.pdf

Die Ausnahmeregelung, daß dieses Verzeichnis erst ab einer Firmengröße mit mehr als 250 Mitarbeiter zu führen sei, würde bedingen, daß nicht regelmäßig Kundendaten verarbeitet werden würden., Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

Grüsse
Whiley

 

Share this post


Link to post
Share on other sites
  • 0
vor einer Stunde schrieb Whiley:

Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

 

Sei mir ncht böse, Jörg, aber entscheidend ist hier wirklich nicht, was du meinst, da hinein interpretieren zu müssen, sondern einzig und allein Absatz 5 des Artikels 30 der DSGVO:

" 5.Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Und selbst auf die Gefahr, dass ich mich wiederhole und du die Formulierung "nicht nur gelegentlich" ins Feld führst:

§ 28 Abs. 1 Nr. 1 BDSG erlaubt das Erheben, Speichern und die Weitergabe personenbezogener Daten dann, wenn dies zur Erfüllung und Abwicklung eines Vertragsverhältnisses ( Beispiel: Kaufvertrages bei einem Online-Kauf) erforderlich ist. Solange die Abfrage der personenbezogenenDaten nur Mittel zum Zweck der Vertragserfüllung ist, bleibt das Ganze unproblematisch. Deshalb ist auch die Erhebung und Weitergabe der Adressdaten des Kunden an ein Versandunternehmen normalerweise unbedenklich, da die Ware sonst ja nicht zugestellt werden kann und eine Vertragserfüllung nicht möglich wäre.

Nochmal: Für solche personenbezogenen Daten benötigt der Shop-Betreiber keine ausdrückliche Einwilligung des Kunden und muss darüber auch kein gesondertes Verzeichnis führen. Es genügt, wenn man als Händler auf die Erhebung, Verarbeitung und Speicherung in der Datenschutzerklärung hinweist.

Share this post


Link to post
Share on other sites
  • 0

Lieber Rainer,

die Sache ist doch ganz einfach, natürlich erlaubt dir das BDSG (§28 Abs. 1 Nr. 1) das das Erheben, Speichern und die Weitergabe personenbezogener Daten, - niemand bestreitet das - aber das ist doch hier überhaupt nicht relevant.

Ab Mai gilt europaweit die DSGVO und die verpflichtet dich - unabhängig ob das Verarbeiten nach BDSG erlaubt ist oder nicht - dazu ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Und das die Ausnahme (unter 250 Mitarbeitern) für Onlineshops nicht gilt hast du ja mit deinem Zitat( "nicht nur gelegentlich" ) oben selbst bestätigt.

Nochmal: Der Shopbetreiber darf personenbezogenen Daten die er für die Auftragsabwicklung benötigt ohne ausdrückliche Einwilligung des Kunden verarbeiten, wie bisher auch. Neu, ab Mai 2018 muß er darüber ein Verzeichnis der Verarbeitungstätigkeiten führen, dieses Verzeichnis muß er auf Verlangen vorzeigen können. Verstösse dagegen sind bußgeldbewehrt.

 

Share this post


Link to post
Share on other sites
  • 0

Ich glaube, du verrennst dich hier.

Hier sind mal die Mustervorlagen für das von dir zitierte Verzeichnis für Verarbeitungstätigkeiten, aus denen schnell klar wird,  dass dies absolut nichts mit kleinen oder mittleren Online-Shops zu tun hat - schon gar nicht mit Ein-Mann-Betrieben.

Für Auftragverarbeiter: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Auftragsverarbeiter.pdf

Für Verantwortliche: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Verantwortlicher.pdf

Für technische und organisatorische Maßnahmen: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_TOMs.pdf

Für den durchschnittliche Prestashop-Anwender gilt das überhaupt nicht - daher auch die Einschränkung für die kleinen und mittleren Unternehmen.

Share this post


Link to post
Share on other sites
  • 0

Rainer, mir ist schon klar warum es zu dem Punkt unterschiedliche Meinungen -  auch im Netz - gibt.(mal aufs Datum achten). Aber jetzt in der endgültigen Formulierung ist der Art. 30 mehr als eindeutig.

Ich zitiere hier mal noch Rechtsanwalt Thomas Schwenke, einen der führenden Experten auf dem Gebiet des Datenschutzes, der zum Thema einen eigenen Blog betreibt und auf diversen Foren vertreten ist:

Zitat
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Befreiung bei weniger als 250 Mitarbeitern kommt äußerst selten infrage

Die Befreiung kommt praktisch nur für kleine Offline-Unternehmen infrage.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen. ...

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

oder ich zitiere mal Sabine Heukrodt-Bauer, Rechtsanwältin und Dozentin für IT-Recht im Masterstudiengang Medienrecht (LL.M.) des Fachbereichs Rechts- und Wirtschaftswissenschaften der Johannes Gutenberg-Universität Mainz.

Zitat
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Shopbetreiber werden leider nicht von der Ausnahme des Art. 30 Abs. 5 DSGVO profitieren können. Diese sieht vor, dass Verantwortliche mit weniger als 250 Mitarbeitern von der Pflicht befreit sind.  Allerdings nur, wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Da Shopbetreiber regelmäßig personenbezogene Daten im Rahmen von Bestellprozessen verarbeiten, kann die Ausnahme für sie wohl nicht gelten.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

und so könnte es jetzt mit Zitaten weitergehen....

Der Text des Art. 30 ist eindeutig und wird mitlerweile in allen aktuellen Kommentaren auch so interpretiert

 

Share this post


Link to post
Share on other sites
  • 0

An sich schöner Artikel, auch wenn ich nur teilweise seiner Meinung bin. Voll und ganz stimme ich Ihm zu das es für kleinere Unternehmen wesentlich schwerer wird als für Große. Aber die ganze Facebook Sache mit der Gesichtserkennung ist doch stark aus der Luft gegriffen. Ich habe dem z.B. nicht zugestimmt nur weil es als Pop-up auftaucht. Man muss halt schon lesen was man akzeptiert aber dort stand eindeutig das die eine Gesichtserkennung aktivieren wollen.

Und die ganze Sache hat meiner Meinung nach nichts mit der DSGVO zu tun. Klar akzeptieren die Leute momentan eher weil eh schon im Kopf ist das sich jetzt viel ändert aber das liegt ja an den Leuten und nicht an den Unternehmen.

Andererseits finde ich aber momentan sehr schlimm das niemand so richtig weiß was zu tun ist. Es sprießen jetzt irgendwelche Datenschutzbeauftragte aus dem Boden, die ihre Dienste an Unternehmen verkaufen um angeblich alles "in Ordnung zu bringen", kleinere Unternehmen gucken da aber mal wieder in die Röhre.

Ich bin echt gespannt was das noch so wird und was bis zum 25. noch alles passiert...

Share this post


Link to post
Share on other sites
  • 0

Ich finde es halt bemerkenswert, daß es in der Öffentlichkeit auch mal kritische Anmerkungen zum Regulierungswahnsinn  mit dem wir aus Brüssel beschenkt werden, gibt. Und ich meine das nicht mal unbedingt aus Sicht des Shopbetreibers sondern vielmehr aus Sicht des Konsumenten, der ich nunmal ja auch bin.

[Shad86: Andererseits finde ich aber momentan sehr schlimm das niemand so richtig weiß was zu tun ist. ]

Ich hoffe, daß mitlerweile (14 Tage vor Ablauf der Übergangsfrist) alle ihre Hausaufgaben gemacht haben. Zeit genug war ja nun.

Bzgl. möglicher Abmahnungen sind es ja zunächst nur ein paar einfache Umstellungen:

- Datenschutzerklärungen erstellen darauf achten, daß diese nicht über Google & CO gefunden werden können (robots.txt) und falls noch alte im Netz indexiert sein sollten, die Löschung beantragen (Google searchconsole), im letzteren Fall den Link unbedingt auf eine 404 Seite leiten!

- Newsletteranmeldung, falls hier Unsicherheit über die zukünftige Ausgestaltung besteht zunächst einfach herausnehmen u. die Entwicklung abwarten.

- Soziale Medien gleich wie bei Newsletteranmeldung

- Kundenanmeldung darauf achten daß keine unnötigen Daten wie z.B. das Geburtsdatum abgefragt werden

- Link zu externen (Google)-Schriften entfernen und durch lokal gespeicherte Schriften (Lizenzbedingungen beachten) ersetzen. Das betrifft auf jeden Fall alle die die Prestashop Standard-Themes benutzen, bei Fremdthemes sollte man das ebenfalls  prüfen .

Abmahnungen wird es diemal sicher auch dort geben wo falsch verstandene Umsetzungen der DSVGO nun echte Abmahngründe liefern. Teils grotesk anmutende "Lösungen" kann man da inzwischen finden. Ich wollte gestern in einem Onlineshop (kein Prestashop) etwas einkaufen, und hätte da am Schluß sage und schreibe 4 Checkboxen anklicken müssen, eine davon :"Ich stimme der Datenschutzerklärung zu und akzeptiere sie" !  Auch hier im Forum wurden schon Lösungsansätze für die DSGVO diskutiert, deren Umsetzung sich eher bedenklich auswirken könnten.  Da gibts reichlich Futter für die Abmahnerinnen und Abmahner.

Neben den  Umsetzungen die das Risiko einer Abmahnung verringern sollen, gibt es natürlich noch die anderen gesetzlich vorgegeben (bußgeldbewerten) Pflichten wie z.B. das Abschließen neuer Auftragsverarbeitungs-Verträge mit allen Dienstleistern,  und insbesondere das zeitaufwändige Anlegen des Verzeichnises der Verarbeitungstätigkeiten.

Letzteres scheint mir mitlerweile extrem wichtig zu sein, beim Anlegen dieses Verzeichnisses erkennt man recht schnell die Schwachstellen und Risiken der eigenen Datenverarbeitung und fragt sich wie mache ich das mit dem "Recht auf Vergessen"(also Löschen der Kundendaten)  und den  Backups oder wie mache ich das mit den Bestell-Bestätigungsmails die ich da unverschlüsselt mit zusammengeführten Daten (Kundendaten und Bestelldaten) an irgendeine Email-Adresse schicke ....

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites
  • 0

- Wieso darf die Datenschutzerklärung nicht von Google gefunden werden? Klar das man zusehen sollte das keine alten Versionen mehr im Netz rumschwirren aber wenn diese auf die aktuelle leiten sollte es doch kein Problem geben. Generell sind 404 Seiten immer zu vermeiden also wieso sollte ich mir die absichtlich einbauen?

- Newsletteranmeldung: ich glaube nicht das sich da irgendwas ändert was man abwarten könnte. Man muss halt im Zweifelsfall beweisen können wann die Leute sich zum Newsletter angemeldet haben. Wenn man das nicht kann, denjenigen lieber entfernen. Der Rest sollte eh schon lange vorhanden sein.

- Soziale Medien: Die sich selbst anmeldenen Buttons sind ja schon lange in der Kritik und auf der Liste der Abmahner. Deshalb ersetze ich generell solche Buttons immer durch normale Grafiken mit Verlinkung.

- Schriften: Das ist wirklich ein guter Hinweis. Soweit ich weiß sind die im 1.7er verwendeten Schriften nicht extern gelagert. Oder hast du einen Hinweis wo ich mal explizit gucken könnte?

Und ja, genau dieses Voreilige wird bei vielen genau das Gegenteil bewirken. Einmal schreckt man mit 4 Checkboxen sicherlich den einen oder anderen Kunden ab (wird ja schon immer von dem Cookie Banner behauptet) und bei den momentan angebotenen Modulen muss man auc hsehr vorsichtig sein. Habe letztens ein Modul gesehen, für "das Recht des vergessen werdens" das den angewählten Kunden (+ Adresse und alles was dazu gehört) mit "Unknown" überschreibt. Ich glaube nicht das das so funktioniert. Zum vergessen werden vielleicht aber was sagen alle anderen Rechte dazu?

Share this post


Link to post
Share on other sites
  • 0

Hi Shad86,

[- Wieso darf die Datenschutzerklärung nicht von Google gefunden werden? ]

Die DSE bringt dir ja aus SEO-Sicht eh nichts, wenn aber bestimmte Absätze, die möglicherweise nicht rechtskonform sind über Google einfach geortet werden können machen wirs den Abmahnern besonders leicht (das gab es schonmal bei den Änderungen der Widerrufsfristen)

401 Seite macht ja nichts wenn keine shopinternen Verlinkungen darauf zeigen und Google die Seite nicht mehr crawlen kann, sie signalisiert sowohl Google als auch jemanden der die Seite anschauen möchte eindeutig, daß die Seite nichtmehr da ist.

[- Newsletteranmeldung: i...Man muss halt im Zweifelsfall beweisen können wann die Leute sich zum Newsletter angemeldet haben. ]

Es gibt Leute, die behaupten, daß man im Zweifel den Nachweis über die Einwilligung zur Datenverarbeitung erbringen müsse  ... wenn das so stimmt dürfte die tech. Realisierung mehr als schwierig werden.

[Schriften]

Das hängt natürlich vom Theme ab,  ich meine das ich auch mal gelesen habe, daß beim 1.7 classic nicht extern geladen wird. Beim Standardtheme der 1.6. Version wird allerdings definitiv von Google geladen. Im Zweifel kannst du einen Suchlauf über eine lokale Shopkopie laufen lassen nach "fonts.googleapis.com ".

Grüsse
Whiley

 

Share this post


Link to post
Share on other sites
  • 0

Fast alle neueren Templates nutzen Webfonts, und ganz besonders gern Google-Fonts. Wer sich also beispielsweise nicht traut, den Code umzuschreiben und Angst vor Abmahnungen hat, der darf ab dem 25.5. auch die beliebten Templates von Sunnytoo, allen voran das Transfomer Theme nicht mehr einsetzen. :P

Und für 1.7 gibt es sogar ein kostenloses Modul von Sunytoo, um diese Beschränkung des Classic Themes aufzuheben. Alles für die Katz?

 

Share this post


Link to post
Share on other sites
  • 0

Danke Whiley für die Info der Schriften. Bei 1.7 kann ich aber tatsächlich nichts davon finden.

Und wegen des Nachweises, es wird sicherlich irgendwelche Infos im Netz geben (früher oder später) welche Möglichkeiten es gibt um den Nachweis zu erbringen. Und ab dann kann man sich gedanken machen wie man es technisch umsetzen kann. Da lasse ich mich nicht stressen.

Share this post


Link to post
Share on other sites
  • 0
vor 37 Minuten schrieb Shad86:

Danke Whiley für die Info der Schriften. Bei 1.7 kann ich aber tatsächlich nichts davon finden.

 

Wirst du auch nicht, denn die Schriften sind tatsächlich in der Datei themes/classic/_dev/css/partials/_fonts.scss eingebettet. Das Prestashop-"Urgestein" @rocky (Adrian Nethercott) hat die Besonderheiten des Classic Themes hier mal aufgedröselt:

https://www.nethercottconstructions.com/content/190-prestashop-17-classic-theme

Share this post


Link to post
Share on other sites
  • 0

Also von extern scheint da keine Schrift zu kommen wenn ich mir die _fonts.scss ansehe:

@font-face {
  font-family: 'Noto Sans';
  src: url(~notosans-fontface/fonts/NotoSans-Regular.eot);
  src: local('Noto Sans Regular'),
  local('NotoSans-Regular'),
  url(~notosans-fontface/fonts/NotoSans-Regular.eot) format('embedded-opentype'),
  url(~notosans-fontface/fonts/NotoSans-Regular.woff2) format('woff2'),
  url(~notosans-fontface/fonts/NotoSans-Regular.woff) format('woff'),
  url(~notosans-fontface/fonts/NotoSans-Regular.ttf) format('truetype'),
  url(~notosans-fontface/fonts/NotoSans-Regular.svg) format('svg');
  font-weight: 400;
  font-style: normal;
}

Das und andere Varianten davon aber mehr ist da nicht drin.

Bei der von dir geposteten Seite bin ich echt beeindruckt wieviel Arbeit sich der Author gemacht hat. Werde ich mir in einer ruhigen Minute mal genauer ansehen.

Share this post


Link to post
Share on other sites
  • 0

[Und wegen des Nachweises, es wird sicherlich irgendwelche Infos im Netz geben (früher oder später) welche Möglichkeiten es gibt um den Nachweis zu erbringen. Und ab dann kann man sich gedanken machen wie man es technisch umsetzen kann. Da lasse ich mich nicht stressen. ]

Aber deshalb eben der Rat, im Zweifel den Newsletter ganz entfernen! Sicher ist der Newsletter eh manchmal (branchenabhängig) überflüssig, insbesondere dann wenn sich vorwiegend Wettbewerber eingetragen haben;).

Trotzdem nochmal nachgefragt:
Gibt es denn irgendwo bereits Hinweise wie man eine durch einen Kunden gegebene "Einwilligung zu einer Verarbeitung seiner Daten", rechtssicher abspeichern könnte, um dann den Nachweis, daß der Kunde diese Einwilligung gegeben hat, zu erbringen.

Ich hatte bisher keine (realisierbare) Idee!

Grüsse
Whiley

 

 

 

Share this post


Link to post
Share on other sites
  • 0

Irgendwer schrieb ja mal das das Anmeldedatum der Nachweis wär wenn es beim Anmelden eine Checkbox gibt oder das ganze mit in die AGB aufgenommen wird. Aber da gab es auch wieder genug die dagegen sprachen. Und im Endeffekt muss uns sowas auch eher ein Anwalt sagen.

Ich bin mal gespannt, wir haben jetzt eine Datenschutzbeauftragte und die müsste sich ja irgendwann mal mit mir auseinander setzen damit auch der Shop dahingehend Rechtssicher wird. Ich werde dann auf jeden Fall berichten.

Share this post


Link to post
Share on other sites
  • 0

Ich denke, daß es zunächst eine rein technische Frage ist. Anwalt meinte, IP mit Zeitstempel (ev noch Screenshot) und das dann manipulationssicher gespeichert. Aber an letzterem hakt es dann eben.

Wir haben uns schon die wildesten Konstrukte überlegt um das hinzubekommen. z.B. Daten verschlüsseln und mail an ein eigenes Postfach bei einem Provider schicken, auf dessen Server wir keinen Zugriff haben (der müsste die Mails aber dann für immer speichern oder zumindest für sehr lange Zeit) - das erscheint mir aber wenig praxistauglich!

Share this post


Link to post
Share on other sites
  • 0
Zitat

- Link zu externen (Google)-Schriften entfernen und durch lokal gespeicherte Schriften (Lizenzbedingungenbeachten) ersetzen.

Könnte mir jemand das näher erklären? Wir haben ein Onlinedesigntool das mit Googlefonts arbeitet, das könnte ich dann ja nicht mehr benutzen wenn man keine Google-Schriften mehr benutzen darf. Ich habe dahingehend auch noch nichts gelesen obwohl ich viel im Netz gestöbert habe. Ohne diesen Onlinedesigner kann ich den Shop schließen.

Danke und Gruß, Werner

Share this post


Link to post
Share on other sites
  • 0

Hallo Werner,

beim Zugriff auf die Googlefonts wird die IP des Kunden zu Google übertragen. Bei der Ip handelt es sich um personenbezogene Daten (Gerichtsurteile) die Google sammelt oder zumindest sammeln könnte.

Also müsstest du dir (nach DSGVO) eine Einwilligung des Kunden dazu holen (so einen Lösungsansatz habe ich tatsächlich schon gesehen???) oder halt lokal gespeicherte Schriften verwenden, dabei natürlich die lizenzrechtlichen Bestimmungen des Schriftenurhebers beachten oder ersatzweise auf die Browserschriftarten zurückfallen (Unterschiedliche Darstellung aber beachten!)

Grüsse

Whiley

 

Share this post


Link to post
Share on other sites
  • 0
Zitat

so einen Lösungsansatz habe ich tatsächlich schon gesehen???

Danke Whiley für deine Antwort, weißt du vielleicht noch wo du diesen Lösungsansatz gesehen hast? Denkst du eine Checkbox beim Onlinedesigner würde genügen? Lokal gespeicherte Schriften zu verwenden ist im Modul leider nicht vorgesehen, ich als Laie weiß auch nicht ob das so einfach zu ändern wäre. Als kleiner Einzelkämpfer wird es langsam unmöglich noch einen Onlineshop zu betreiben.

Edit: Sorry Whiley, ich habe nochmal nachgeschaut und gesehen dass das Modul keine Google Schriftarten verwendet sondern Lokal gespeicherte. Das erste Designmodul das ich hatte hat diese Googlefonts verwendet, darum hatte ich das noch im Kopf.

Edited by knecht2020

Share this post


Link to post
Share on other sites
  • 0

Da hast du bezgl des Moduls ja Glück gehabt, aber generell verwendet dein Shop trotzdem Google Webfonts.

Wenn du deine Startseite aufrufst und dann

ctrl U drückst

dann

ctrl F eingibst

und in das Suchfeld eintippst:

href="//fonts.googleapis.com

wirst du fündig werden!

Grüsse

Whiley

 

Share this post


Link to post
Share on other sites
  • 0

Hi, zu den Webfonts von Google gibts hier viel zu lesen:  https://github.com/google/fonts/issues/1495 

https://www.blog.google/topics/google-europe/gdpr-europe-data-protection-rules/ 

 

Die wollen also bis zum Stichtag eine Lösung haben,  :) naja mal gucken.  Derzeit meint G daß sie rechtskonform wären, Behörden in USA würden das bestätigen, ja klar,  aber um die dreht sich halt nicht die Welt....

 

Und für die Schriftarten ist das hier gut:  https://google-webfonts-helper.herokuapp.com/fonts  ,  es erzeugt auch gleich den Code um die geladene Schrift zu ersetzen mit der am Server lokal gespeicherten. 

Share this post


Link to post
Share on other sites
  • 0
Zitat

Da hast du bezgl des Moduls ja Glück gehabt, aber generell verwendet dein Shop trotzdem Google Webfonts.

Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern. Leider bin ich als Laie nicht in der Lage das zu ändern, ist das sehr aufwendig?  Mit dem Link von DRMasterchief kann ich mangels wissen leider auch nichts anfangen, trotzdem Danke dafür.

Share this post


Link to post
Share on other sites
  • 0

[Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern.]

Ich hoffe mal, daß du mit deinen 90% nicht wirklich richtig liegst:) aber dennoch betrifft das Thema ja auch viele Fremdtemplates.

Ich halte die Änderungen der Fonts für äußerst wichtig, da dieser Link über einen sehr einfachen Crawler problemlos entdeckt werden kann.

Diese Anpassung dürfte wesentlich dringender sein, als alle möglichen Anpassungen an irgendwelchen Checkboxen und Einwilligungen an denen viele rumbasteln.

Heute habe ich wieder einen Shop gesehen, in dem man "die Datenschutzerklärung akzeptieren" muß???

Leute, lest euch Art. 12 u. 13 der DSVGO durch. Die Datenschutzerklärung ist eine einseitige Kommunikation. ihr erklärt dort wie ihr mit dem Datenschutz umgeht, diese Info sollte jeder Betroffene lesen können - mehr aber auch nicht. Eine Einwilligung oder Akzeptanz zur Datenschutzerklärung ist an keiner Stelle der DSVGO vorgesehen oder gar gefordert. Im Gegenteil, eine solche Aufforderung dürfte wahrscheinlich wettbewerbswidrig (§7 UWG) sein oder zumindest bewirken, daß eure Datenschutzerklärung zu AGBs werden, mit allen sich daraus ergebenden Konsequenzen.

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites
  • 0

Sehe ich genauso. Die "neuen" Punkte müssen aufgeführt werden aber da ist nichts was wirklich bestätigt werden muss.

Aber Whiley, gerade bezogen auf etwas weiter oben. wo du fragtest ob jemand einen konkreten Lösungsansatz gesehen hat:

Hat sich schon jemand das neue Modul von Presta angesehen was es für 1.7 kostenlos (ab Version 1.7.4.x sogar integriert) und für 1.6, 1.5 kostenpflichtig geben soll? Da sind wohl ein paar Punkte behandelt was die Löschung von Daten oder Checkboxen usw. angeht. Kann jemand berichten ob das Modul wirklich gut ist und ob das Modul + die Änderungen der Datenschutzvereinbarung so ausreichen?

Klar was den firmeninternen Ablauf angeht, sind da noch einige Punkte aber die müssen mich persönlich jetzt erstmal nicht groß kümmern. Da gibt es zumindest hier andere Zuständige.

 

Ich kümmere mich jetzt mal endlich um eine Shopkopie um Updates testen zu können und werde dan nauch mal das Modul ausgiebig testen.

Share this post


Link to post
Share on other sites
  • 0
6 hours ago, Whiley said:

[Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern.]

Ich hoffe mal, daß du mit deinen 90% nicht wirklich richtig liegst:) aber dennoch betrifft das Thema ja auch viele Fremdtemplates.

Ich halte die Änderungen der Fonts für äußerst wichtig, da dieser Link über einen sehr einfachen Crawler problemlos entdeckt werden kann.

Diese Anpassung dürfte wesentlich dringender sein, als alle möglichen Anpassungen an irgendwelchen Checkboxen und Einwilligungen an denen viele rumbasteln.

Heute habe ich wieder einen Shop gesehen, in dem man "die Datenschutzerklärung akzeptieren" muß???

......

Grüsse
Whiley

 

 

 

Hi Whiley,

muss jetzt noch mal nachfragen, dass Thema ist echt besch... :)

Die Checkbox bei einem Kontakformular o.Ä. ist ja eigentlich nicht für den User gedacht sondern für mich als Nachweis, daß ich den User auf die Erklärung hingewiesen habe oder nicht? Und genau diesen Nachweis geht es doch?

Und zwecks den google fonts reicht laut eRecht ein Absatz in der Datenschutzerklärung wo erklärt wird, daß man google fonts einsetzt und wiederum auf die Datenschutzerklärung von google verweist?

Danke und Gruß, Tom

Share this post


Link to post
Share on other sites
  • 0
vor 9 Stunden schrieb wmunich:

zwecks den google fonts reicht laut eRecht ein Absatz in der Datenschutzerklärung

Hallo Tom,

ich kenne jetzt nicht alle Kommentare zum Thema (stell mal einen Link ein) aber laut DSVGO ist die Verarbeitung von personenbezogenen Daten, die ncht zur Auftragsabwicklung notwendig sind, nur mit einer (nachweisbaren)  Einverständniserklärung der betroffenen Person erlaubt. Das es sich bei einer IP (diese wird ohne Wissen des Besuchers deiner Webseite nicht anonymisiert und ohne Grund und nicht notwendig an Google übertragen) um personenbezogene Daten handelt, wurde in der Vergangenheit immer wieder von Gerichten festgestellt.

vor 9 Stunden schrieb wmunich:

Die Checkbox bei einem Kontakformular o.Ä. ist ja eigentlich nicht für den User gedacht sondern für mich als Nachweis, daß ich den User auf die Erklärung hingewiesen habe oder nicht? Und genau diesen Nachweis geht es doch?

So ganz habe ich den Teil deiner Frage nicht verstanden, Du möchtest also, daß derjenige, der über ein Kontaktformular mit die in Verbindung tritt über das Anklicken einer Checkbox bestätigt, daß du ihn auf die Datenschutzerklärung hingewiesen hast. Und du möchtest als Nachweis das Anklicken der Chekbox protokollieren? Richtig?

Das hat dann aber nichts mit der DSVGO zu tun, oder wo steht das, daß dies notwendig sei?

Oder fragst du in deinem Kontaktformular weitere Kundendaten ab, die zur weiteren Kommunikation mit dem Kunden  garnicht notwendig sind oder möchtest du die Daten anderweitig nutzen (newsletter)? Dann würde eine Checkbox mit dem Hinweis nicht ausreichen, du brauchst in diesem Fall eine Einwilligung des Kunden. Den Erhalt dieser Einwilligung müßtest du ggfs nachweisen können (aber wie?).

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites
  • 0

Hi Whiley,

erstmal Danke das Du versuchst hier Klarheit zu schaffen ;)

Das wenn ich google fonts, re-captcha, maps o.Ä. einbinde und somit google unter anderem die ip Adresse meines Besuchers erfährt ist mir schon bewusst. Abgesehen davon das der chrome mittlerweile so verbreitet ist und google damit meine Seite sicherlich nicht mehr benötigt um User Daten abzugreifen, kann es doch nicht sein das ich jetzt die fonts lokal einbinden muss. Bei eRecht/IT Kanzlei erzeugt der Datenschutzgenerator (schon klar die sind auch nicht allwissend) einen Absatz wo über die Verwendung der google fonts hingewiesen wird.

So gut wie jede zweite PS/WP Seite verwendet diese fonts und so gut wie keiner ist in der Lage das eigenständig - ohne Entwickler - zu ändern. Aber aus deiner Sicht muss das jetzt gemacht werden? Oder habe ich Dich da falsch verstanden?

Zwecks Checkbox, ja ich bin davon ausgegangen, oder hab das jedenfalls so verstanden das ich meiner Hinweispflicht nachweislich nachkommen muss. Dass der User der mich kontaktiert, sei es über das Kontaktformular oder anderweitigen Formularen über meine Datenschutzerklärung von mir informiert wurde. Bei protokolliert oder nachweislich dachte ich an einen Datenbank Eintrag. Abgesehen davon das dies auch Schwachsinn ist fällt mir aber keine andere Möglichkeit ein. Aber ehrlich gesagt liest man auch überall etwas anderes, aber schau z.B. mal hier www . lionbst.de/datenschutz-und-dsgvo/website-checkbox-im-kontaktformular-ja-oder-nein/

Danke und Gruß, Tom

PS: Warum muss das in D immer überzogen werden, in der Schweiz geht das doch auch ohne und in AT habe sie jetzt sogar das ganze wieder abgeschwächt.

Share this post


Link to post
Share on other sites
  • 0

Sie werden es wohl auch in Deutschland abschwächen bzw. In der EU auf Änderung drängen, denn im Moment ist jede Kirchengemeinde und jeder Kaninchenzüchterverein von diesem Albtraum betroffen. Aber das kann dauern ...

Share this post


Link to post
Share on other sites
  • 0

Hallo Tom,

über die Unsinnigkeit eines Datenbankeintrags als Nachweis für irgend etwas sind wir uns einig!

Ich habe mir deinen verlinkten Artikel durchgelesen und kann nur sagen, es wird wirklich viel Sinnvolles aber eben auch viel Unsinniges im Internet zum Thema geschrieben.

Der Autor (der auf der Seite seine kostenpflichtige Hilfe bei der Umsetzung anbietet) begründet seine Checkboxtheorie bei Kontaktformularen mit Art. 5 Abs. 2 DSGVO, den er selbst zitiert:

Der Verantwortliche ist für die Einhaltung des Absatzes 1 (Art. 5 Grundsätze) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftflicht“)
Art. 5. Abs. 2 DSGVO

Nun die Nachweispflicht, wie das ja auch in Art5 Abs 2 steht bezieht sich auf Art 5 Abs. 1

Ich erspare mir den  kompletten Art. 5 Abs  1 hier zu zitieren -->Link zum Art 5 DSGVO

finde aber in dem Art. 5 keinerlei Bezug zum Thema! Die Mitteilungspflicht (was man mit den eingegebenen Daten macht) ergibt sich aus Art 13 DSVGO, alle Beiträge, die ich aus Rechtsportalen kenne, gehen davon aus, daß die Infos in die Datenschutzerklärung hineingehören, diese muß allerdings jederzeit aufrufbar sein.

Ich meine man sollte sich hier eher auf die Publikation entsprechender Fachanwälte verlassen!

Wahrscheinlich kannst du schon - wenn du das denn unbedingt willst - eine Checkbox dort einbauen - müßtest dann aber auf eine "vorsichtige" Formulierung achten also Worte wie "akzeptieren" oder "einverstanden erklären" vermeiden, daß wäre mit Sicherheit abmahnbar.

 

Ich habe gerade noch einen Podcast von dem Flensburger Anwalt Stephan Hansen-Oest (datenschutz-guru.de) entdeckt, der mir aus der Seele spricht:

https://www.datenschutz-guru.de/datenschutzhinweise-bei-der-registrierung-im-online-shop/

 

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites
  • 0

Hi Whiley,

danke noch mal für deine Zeit!

Den Podcast kenne ich schon, der ist richtig angefressen von dem Thema :)

Von "wollen" kann kein Rede sein, beim Kontaktformular ist das ja kein großer Akt aber ich betreue eine Seite die ca. 30 verschiedene Formulare hat und wenn ich das jetzt bei jedem durchziehen muss - darf garnicht daran denken. Das die Datenschutzerklärung jederzeit aufrufbar sein muss kann ich ja noch verstehen und das wäre auch kein großer Aufwand aber die "Rechenschaftspflicht" ist ein unding.

Ja gut kann mir nicht noch mehr § durchlesen wo ich eh nur die hälfte davon verstehe oder wie ich finde, es einfach Auslegungssache ist. Ich lass das jetzt und halte mich an diejenigen die keine Checkbox empfehlen und hoffe das @eleazar  damit Recht hat und das Thema noch mal durchdacht wird.

Danke und noch ein schönes Wochenende,

Tom

So btw hat gestern die IT Kanzlei verschickt: "Lassen Sie sich von der allgemeinen Panikmache (und auch der vielen Falschmeldungen in Bezug auf die DSGVO) nicht verunsichern!"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×