Jump to content
  • 0
Whiley

2018 Gesetzesänderungen - Diskussionen

Question

Für 2018 stehen ja einige Gesetzesänderungen an, die unmittelbar Auswirkungen auf den Betrieb unserer Online-Shops haben.

Besonders wichtig, am 25 Mai 2018 endet die zweijährige Übergangsfrist und es gilt dann endgültig die EU-Datenschutzgrundverordnung . Wer da noch Defizite hat sollte sich schnellsten informieren.

------------------------------------

Aber erstmal ganz aktuell: Gleich im Januar geht es los, am 18.1.2018 trit das "Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie“  in Kraft.

Grob zusammengefaßt: Für SEPA-Lastschriften und Master- und Visacardzahlungen dürfen keine Gebühren für die Zahlungsabwicklung mehr erhoben werden.

Für Paypal gilt dieses Gesetz zwar nicht, aber Paypal hat angekündigt bereits zum 9.1.2018 ein Surcharing-Verbot einzuführen, (Zitat: „Sie sind als Händler nicht berechtigt, ein Zahlungsmittelentgelt für die Nutzung der PayPal-Services als Zahlungsmethode in Ihrem Online-Shop zu erheben)

Das bedeutet für alle die es betrifft, noch ganz schnell die technischen Änderungen vorzunehmen und insbesondere auch an die Anpassung der AGBs denken und ggfs einen RA bezgl der Details befragen!

Grüsse
Whiley

 

 

Share this post


Link to post
Share on other sites

24 answers to this question

Recommended Posts

  • 0

Und um es noch kürzer zu machen: Sieht man mal vom Verbot der Zusatzgebühren für bestimmte Zahlungsmethoden ab, dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,  wenn er sich bisher schon an die gesetzlichen Vorgaben gehalten hat.

Die eigentlichen Neuerungen wie z.B. die umfangreiche Dokumentationspflichten gelten nur für Betriebe ab 250 Mitarbeitern (Artikel 30, Abschnitt 5). Und  es ist auch wenig wahrscheinlich, dass in einem Online-Shop der Artikel 9 greifen wird:

"Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeithervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt."

Also, Bangemachen gilt nicht! Lasst den Anwälten und selbsternannten Experten von Trusted Shops & Händlerbund & Co. ihre Spielweise und euch das Geld nicht aus den Taschen ziehen.

In diesem Sinne gute Geschäfte im neue  Jahr. :)

Share this post


Link to post
Share on other sites
  • 0
vor 5 Stunden schrieb eleazar :

...dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,...

Hallo Rainer, das sollte ein Joke sein, oder?

Schau dir - als kleines Beispiel - nur mal den  umfangreichen Katalog über die Pflichtangaben in der Datenschutzerklärung an ( Art. 13 Abs. 1 DSGVO ) und vergleiche das mal mit einer x-beliebigen aktuellen Datenschutzerklärung oder z.B. mit deiner.;)

Ich bin überzeugt, daß auch dieses Mal einige Abmahnanwälte nur auf den 25.Mai warten und dann die Gelddruckmaschine, so wie bei vergangenen Gesetzesänderungen auch, auf Hochtouren laufen lassen werden.

Grüsse
Whiley

 

Share this post


Link to post
Share on other sites
  • 0

Nein, Jörg, das war kein Scherz! Das heißt natürlich nicht, dass ich so blauäugig bin zu meinen, dass es irgendeine Abmahnkanzlei nicht versuchen wird, weil sie ja an die Großen der Branche nicht rankommen. Aber, ob sie auch damit durchkommt, sei mal dahingestellt:

Egal, dann werde ich also eben etwas ausführlicher ... ;)

Pars pro toto zitiere ich mal aus dem Artikel eines Fachmanns für Datenschutz in tn3 vom vergangenen Juli, der kurz und knapp die Dinge auf den Punkt bringt:

"Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

  • Rechtmäßigkeit – Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.  
  • Transparenz – Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
  • Verbot mit Erlaubnisvorbehalt – Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  • Zweckbindung – Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  • Datenminimierung – Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
  • Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

(...)
Neu zu den vorgenannten Grundprinzipien des Datenschutzes, kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu.

„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen.

„Privacy by Default“ bedeutet wiederum, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.
(...)
Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben."

Und hier greift dann wiederum Absatz 5 des Artikels 30, wie der im Anhang der DSVGO befindliche "Erwägungsgrund Nr. 13" präzisiert:
"Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission¹ maßgebend sein."

Dort übrigens heißt es zu den Unternehmensgrößen:
"Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.

(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet."
(Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen - Amtsblatt Nr. L 124 vom 20/05/2003 S. 0036 - 0041)

Also, welcher Shop-Betreiber hier im Forum fühlt sich jetzt angesprochen? (Scherz!)

Aufpassen müssen natürlich diejenigen, die sich extensiv der Kundendaten für Marketing-Zwecke (Werbemails, Newsletter etc.) bedienen. Denn hier sind  jetzt wirklich die "vernünftigen Erwartungen der betroffenen Person" zu berücksichtigen. Welche Interessen überwiegen, hängt im Einzelfall u.a. davon ab, welche Daten von welchen Personen verarbeitet werden, welchen Zweck die Datenverarbeitung verfolgt, welche Grundrechte betroffen sind und mit welchen Massnahmen die Datensicherheit gewährleistet wird. Das betrifft aber nicht den normalen Shopbetrieb, wo Kundendaten zum Zwecken der Bestellbearbeitung erfasst werden.

Die üblichen "klassischen" Cookies, die nur der Nutzerfreundlichkeit dienen, dürften in den meisten Fällen wie bisher rechtmäßig sein. Also z.B. individuelle Einstellungen, die Erkennung von Nutzerinnen und Nutzer ohne erneute Passworteingabe oder Warenkörbe bei Shops. Alles andere wäre auch absurd.
Tracking-Cookies allerdings sollte man im Einzelfall prüfen. Im Hinblick auf die Datensparsamkeit wäre die Pseudonymisierung, z.B. in Form von Nutzer-IDs empfehlenswert. Und natürlich ein Double-Opt-In. Ob uns dann am Ende doch der Pflicht-Disclaimer für Cookies auch in Deutschland blüht, bleibt abzuwarten.  Denn wenn der Einsatz eines Cookies gem. Artikel 6 Abs. 1 der DSGVO zulässig ist, ist folglich keine Einwilligung erforderlich. Damit würde auch weiterhin jede Notwendigkeit für einen Cookie-Disclaimer entfallen - zumindest vorerst, solange die sog. ePrivacy-Verordnung der EU in Deutschland noch nicht gesetzlich umgesetzt wurde.

Ebenso absurd und technisch kaum zu realisieren, wäre es, aus der DSVGO die Forderung abzuleiten, Kundendaten, die mit Bestellungen verknüpft sind,  auf Wunsch aus der Datenbank zu löschen oder auch nur einen Löschzeitpunkt dafür festzulegen. Solche unsinnigen Befürchtungen wurden unlängst in diesem Zusammenhang im thirty-bees-Forum diskutiert. Dies würde nicht nur zu Inkonsistenzen führen, auch das Finanzamt hätte sicherlich etwas dagegen, wenn es mal zur Betriebsprüfung käme.

Hier gilt vielmehr das berechtigte Interesse des Online-Händlers, das sich aus Artikel 6, Absatz 1 der DSVGO ergibt: Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse. Dazu schreibt Jennifer Rost im Shopbetreiber-Blog:

"Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte."

Just for the record: Mir geht schon der aktuelle, für kleinere und mittlere Shops oft realitätsferne Datenschutz gehörig auf den Keks, weil es die meisten Kunden nicht die Bohne interessiert. Ich bin allerdings pragmatisch genug zu glauben, dass sich im Alltagsgeschäft auch durch die Umsetzung der DSGVO nicht viel ändern wird.

Bei den Großen der Branche, die über ganz andere Möglichkeiten der Datenverknüpfung verfügen, die vermutlich die Bürokraten, die diese verschwurbelte und auslegungsbedürftige "Grundverordnung" ersonnen haben, nicht mal ansatzweise verstehen würden, wäre es dagegen wünschenswert, wenn man Ihnen in Sachen Datenschutz juristisch die Daumenschrauben anlegt.

Aber ob das mit solchen Verordnungen zu leisten ist, daran habe ich so meine Zweifel ...

Share this post


Link to post
Share on other sites
  • 0

Und was soll das jetzt?

Es bestreitet ja niemand, daß es in der DSGVO auch Dinge gibt die bereits in den bisher geltenden Gesetzten geregelt waren und das es auch Vorschriften gibt die nur für Unternehmen ab einer gewissen Größenordnung gelten.

Wichtiger sind doch die Änderungen die alle betreffen und neu sind und da gibt es nunmal genug davon.

Bleib doch bei meinem Beispiel Art. 13 Abs. 1 DSGVO, der nun mal für alle gilt ünabhängig davon wie goß das Unternehmen ist und unabhängig davon wie bisher die Datenschutzerkärung formuliert war.

Da gibt es einen Katalog, der genau vorgibt was in der Datenschutzerklärung zwingend drin stehen muß (nicht kann und nicht soll sondern muß). Das sind also Pflichtangaben die, wenn sie nicht genau so wie vorgegeben ausgeführt sind, abgemahnt werden können (Ähnlich wie wir das von der Widerrufsrechtserkärung her kennen).

  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
  • sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

So und nun vergleiche mal die ab Mai notwendigen Pflichtangaben mit deiner jetzigen Datenschutzerklärung!

Es wäre einfach töricht zu sagen, ich kümmere mich nicht darum;  gerade das Fehlen so einfacher Pflichtangaben wie z.B. die Kontaktdaten in der Datenschutzerklärung lassen sich kinderleicht über spider herausfiltern (Plausibilitätsprüfung PLZ) - ein wirklich gefundenes Fressen für einschlägige Abmahnerinnen und Abmahner.

Das war nur ein kleines Beispiel wie man in die Abmahnfalle tappen kann - mit etwas Zeitaufwand aber liesse sich dieser Punkt von jedem problemlos lösen!

Aber die Problematik zu verharmlosen und den Kopf in den Sand zu stecken und nichts zu tun,  das ist da sicherlich der ganz falsche Weg.

Grüsse
Whiley

 

PS Neben Textanpassungen gibt es natürlich noch technische Anpassungen die auch notwendig werden.

 

 

Share this post


Link to post
Share on other sites
  • 0

Ich will mich mit dir doch gar nicht streiten, Jörg. Und ich stecke auch nicht den Kopf in den Sand. Ganz im Gegenteil! Ich versuche einfach nur, einen klaren Kopf zu behalten.

Share this post


Link to post
Share on other sites
  • 0

Prima, dann haben wir hiermit ja schon ein Thema wo wir ggf. noch weiteres, hilfreiches zusammetragen können oder "sogar" Mustertexte zumindest verlinken oder einstellen könnten.

Hat jemand daran echtes Interesse so daß sich daraus dann ggf. auch weitere technische Umsetzungen entwickeln könnten für das Shopsystem?  Das Ding betrifft die gesamte EU und ich hoffe, das ist auch Entwicklern klar, die ja sonst immer gerne rummaulen daß das nur für die Deutschen zutrifft.   .....und die DSGVO schreibt "Bußgelder werden verhängt"  -  nicht mehr wie bisher "können verhängt werden",  das ist doch mal ein handfester Unterschied wo die Behörden nun auch gar nicht mehr anders können, grade auch für die Großen.

 

Share this post


Link to post
Share on other sites
  • 0

Ihr seit nach wie vor wie ein 100 jähriges Ehepaar :D

Mal generell gefragt, im DevBlog fand ich dazu jetzt nichts.

Wie geht's weiter mit 1.7.x? Eigentlich war ja Mal 1.8.x im Gespräch U d das 1.7 nur das Vista der Systeme ist. Rechtssicher trotz vorverivizierung war ja nix. In Deutschland lief oder läuft man ja Gefahr durch Zahlreiche Gründe abgemahnt zu werden. Nicht zuletzt deswegen weil das Modul für den "kleinen" Binnenmarkt EU / Deutschland ja nicht nur den Cache Fehler aufweist den man laut github jetzt zwar behoben hat sondern auch generell vieles gefehlt hat bzw. falsch oder schlecht umgesetzt hat.

 

Ich habe jetzt nach etwas ruhenden Gewerbe langsam wieder die Zeit und Ressourcen wieder weiter zu machen. Daher hatte ich mich gezwungen nur lesend hier aktiv zu sein. Trotzdem konnte ich was die Deutsche Rechtssicherheit angeht kaum handfestes finden. Ebenso der Weiterentwicklung bzw. Roadmaps von 1.6.x oder 1.7.x.

 

Zuletzt wirkte das ganze Projekt "Prestashop für den deutschen Markt" nämlich wie ein ungewolltes Stievkind welches man wie Potter lieber unter der Treppe anspricht. Nur das hier eben auch nichtmal Magie im Spiel ist.

 

Habt ihr dies bezüglich etwas Lektüre die helfen kann? Besonders eine Einschätzung bezüglich 1.7 / 1.8 wäre toll.

 

Ich selbst werde wohl vorerst sowieso nur auf eBay  erkaufen und prestashop als Datenzentrale nutzen (eBay Modul) und die Abwicklung nur über eBay und das Prestashop Backoffice machen. Trotzdem soll an sich ja auch über prestashop selbst wieder was verkauft werden. Daher die Überlegung der roadmaps ob nun 1.6 oder 1.7 zum Einsatz kommt und 1.7 auf absehbare Zeit ein System ist welches man in Deutschland betreiben sollte.

 

1.6 wird ja sowieso nur noch gepatched und TB hatte im August letzten Jahres seinen letzten Release was angesichts des verwendeten Codes in meinen Augen merkwürdig erscheint.

 

Danke euch und frohes neues :)

 

PS Ich habe es mit Handy geschrieben, Fehler seinen mir bitte verziehen .

Share this post


Link to post
Share on other sites
  • 0

Also von 1.8 wurde offiziell noch nie gesprochen. Korrigiert mich wenn ich mich irre.

Sicherlich hat 1.7 ein paar Macken rechtlich gesehen, die kann man aber teilweise auch selbst nachrüsten. Oder was genau hast du da im Sinn?

Roadmaps sind immer so die sache. Dann müsste man sich auch daran halten. Und die Leute von Presta denken (so scheint es mir) eigentlich immer nur von Update zu Update.

Natürlich darf hier keine Rechtsberatung stattfinden aber ein gesammelter Ort wo steht was man gegebenenfalls noch selbst einrichten muss oder vielleicht sogar Links zu Modulen oder Codeschnipsel die einem dabei helfen würde ich auch sehr begrüßen. Könnte da vielleicht auch das ein oder andere nachreichen.

Edited by Shad86

Share this post


Link to post
Share on other sites
  • 0

Naja 1.8 war eher unter der Hand bzw. deine Vermutung und Spekulation. Gewundert hätte es mich aber nicht bei diesem Desaster zu Beginn.

 

Das mit dem nachrüsten ist halt immer so eine Sache. Müsste ja alles Update fähig sein. Toll wäre ein besseres Framework bzw. Wie du schon sagst ein visual Scripting im Bereich Modul. In Sachen Game development sind wir bereits an einem Punkt wo das ganze hervorragend funktioniert. So könnte jemand mit know how ohne Ajax/PHP skills einen ganz hervorragenden Beitrag leisten.

 

Das Problem ist halt das das was wir uns ja eigentlich wünschen und du vorschlägst (was ich sehr begrüße) das AUEC sein sollte. Das ist aber so schlecht umgesetzt und so lieblos entwickelt das man da nicht eben einfach was einfügen kann. Echt schade.

 

Die Franzosen sind die neuen Italiener...roadmaps sind als Händler bzw. Endanwender eigentlich ganz essenziell. Aber stimmt. Daran hatten sie sich kaum gehalten schade.

Share this post


Link to post
Share on other sites
  • 0

Ja natürlich, EIGENTLICH sollte man das AUEC installieren und sich dann im besten Fall keinen weiteren Kopf mehr über die rechtliche Seite machen müssen.

Aber da es nicht so ist könnte man hier im Forum ja davon ausgehen das jemand die neueste Shopversion installiert und das neueste AUEC, aber was muss er dann noch tun? Man kann demjenigen keine Texte zur verfügung stellen sonst heißt es, hat er ja aus dem offiziellen Forum, wieso steht da dies und das nicht drin aber man könnte ja sagen es gibt noch dieses oder jenes Modul das etwas nachrüstet das man benötigt.

Oder in den Datenschutzbestimmungen muss man jetzt ja auch ein opt-out für Google Analytics anbieten. Da die CMS Seiten aber kein Script zulassen kann man den Code den Google dafür vorgibt nicht verwenden. Also habe ich mir eine ganz simple HTML Seite gemacht di dieses Script ausführt und die man über einen Link im Datenschutz erreicht. Solche Dinge muss man erstmal wissen bzw. ein Workaround dafür haben. Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt. Da ist sicherlich auch noch mehr wo ich erstmal gucken müsste was ich an unserem Shop alles geändert habe. Und vielleicht hat ja auch noch der ein oder andere eine bessere Methode oder man merkt das man selber über irgendwas garnicht nachgedacht hat und "was auch immer" noch nicht in seinen eigenen Shop eingebaut hat.

Share this post


Link to post
Share on other sites
  • 0
vor einer Stunde schrieb Shad86:

Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt.

 

Das wäre auch schön, aber wir haben leider keinen Einfluss auf die Gestaltung der Foren. Ich war ja damals schon froh, dass wir dieses Subforum hier beim CM durchgekriegt hatten. Also solltest du solche Änderungen, die spezielle die Anpassung für den deutschen Markt betreffen, sinnigerweise auch hier veröffentlichen und nicht im Subforum "PrestaShop-Entwickler", dessen Name wir dem nur kurzzeitig tätigen Community Manager Sylvain Dermy verdanken.

Allerdings muss man erstmal abwarten, wie die ePrivacy-Richtlinie in Deutschland rechtlich umgesetzt wird. Denn erst dann kommt so etwas zum Tragen. Und so, wie es aussieht, hast du dir möglicherweise die Arbeit umsonst gemacht, weil die Verordnungsbegründung in eine andere Richtung zielt:

Zitat

„Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

 

Denn das würde bedeuten, dass Verbraucher künftig anstatt über ein Banner im Shop über ihre Browser-Einstellungen ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen sollen. Dann wären auch Cookie-Module, die wir im Moment in Deutschland ja sowieso noch nicht brauchen, überflüssig.

Share this post


Link to post
Share on other sites
  • 0

Ja aber man könnte doch einen Thread im Bereich "Anpassung an deutsches Recht" anpinnen, den man als Sammelthread nutzt. Da könnte man ja alle relevanten Threads verlinken und vielleicht sogar eine art Checkliste/Linksammlung machen, was man zum EU-Modul noch ergänzen sollte. Und wenn da teilweise nur Links sind wo man sich informieren kann was noch nötig ist.

Ich versuche das ganze schon bestmöglich zu verfolgen, muss ich jetzt einen neuen Shop aufbauen weiß ich aber nicht ob ich noch alles zusammen bekomme.

 

Ich weiß, diese Seiten gibt es ohne Ende im Netz aber ich hatte mich bezügich des Analytics jetzt nach dieser gerichtet:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Und dachte mir das es definitiv nicht schaden kann. Denn so kann ein Nutzer sich dauerhaft vor Analytics verstecken. Natürlich hat er dann einen Cookie aber das wird das geringere Übel sein.

Edited by Shad86

Share this post


Link to post
Share on other sites
  • 0

Ja, nur fürchte ich, diese Lösung ist bald Schnee von gestern. Denn die Verantwortlichen der EU wollen ja gerade, dass jeder Internetnutzer sich künftig über seinen Browser individuell abschotten kann. Das ist vermutlich deren naive Vorstellung von Datensicherheit. Künftig geht es dann wahrscheinlich in erster Linie darum, wie man mit geeigneten Methoden solche Browsersperren umgehen kann. Vielleicht dann mit einem Pop-Up:

"Sie können leider in dieses Shop nichts einkaufen, da Ihr Browser das nicht zulässt."

Was den Sammelthread angeht, kein Problem! Du könntest ja mal vorpreschen, ich würde den Thread dann oben anpinnen.

In Sachen AEUC kann ich euch für 1.6 keine Hoffnungen mehr machen. Prestashop wird da nicht mehr drangehen, auch nicht an Bugfixes.  Hier sind also von denjenigen, die es können, eigene kreative Lösungen gefragt. Aber im Prinzip kann man auch jetzt schon ganz gut damit arbeiten. Und wenn man einen Blick über den großen Teich wagt, auch thirty bees tritt bei AEUC auf der Stelle und kann z.B. für das Cache-Problem entgegen anderslautenden Behauptungen keine brauchbare Lösung anbieten.

Share this post


Link to post
Share on other sites
  • 0

Also Google hat schon ein Plugin mit dem man das Tracking unterbindet. Ob man sich das installieren will muss jeder selbst wissen. Was da für Lösungen kommen und ob die dann meine Lösung ablösen oder nicht ist dann die Frage.

 

Okay, werde ich morgen mal angehen. Mal sehen was ich so zusammenkratzen kann was ich so bei 1.7 ändern musste.

Share this post


Link to post
Share on other sites
  • 0

Man sollte das etwas spezifizieren was jeder machen muss, wenn er rechtssicher den Shop mit prestashop betreiben will und das was man sollte. Dann vielleicht mein Thema Mal rauskramen zwecks Kleinunternehmer . Denke diese Zielgruppe kann man da jetzt ganz gut erreichen. 

Dann wäre ja allgemein noch wichtig wie die Daten auf dem Server geschützt werden. Man muss ja nicht nur den Shop absichern sondern auch das Gerüst auf dem er steht. Ob das rechtlich reicht Patches einzuspielen, wenn ein Bug einen relativ leichten unbefugten dem Zweck Manipulativen  Zugriff ermöglicht bleibt ja auch interessant als Frage offen. 

Ist der Server per "Admin" und "123456" "gesichert" wird diese "Sperre" wohl eher nicht als solche anerkannt werden. Das sollte man nie außer acht lassen, dass eben auch die Passwörter und Kundendatensätze eine ganz besondere Aufmerksamkeit Gebieten.

 

 

Share this post


Link to post
Share on other sites
  • 0

Wie angedroht habe ich hier mal verfasst wie man den Analytics Code deaktivierbar machen kann.

https://www.prestashop.com/forums/topic/650367-anleitung-google-analytics-abschaltbar-machen/

Wenn was zu ergänzen ist, imme her damit.

 

Desweiteren habe ich bei unserer mobilen Ansicht die Links zu Datenschutz und Impressum leichter zugänglich gemacht. Die müssen ja immer "unmittelbar erreichbar und ständig verfügbar" sein. Im original 1.7er Theme sind diese aber erst sichtbar wenn man einen Reiter öffnet. Also habe ich die Links nochmal unter dem Footer eingefügt damit diese ohne Umwege anklickbar sind. Meint ihr das ist unnötig oder soll ich da auch ein How-To machen?

Die restlichen Änderungen waren mehr usability als Rechtsicher machen. (Artikelnummer in die Kurzbeschreibung, Mailadressen und Telefonnummern anklickbar, SEO Optimierungen, Anfragebutton, Produktbeschreigungen im Warenkorb, "Zurück" in Broadcrumb)

Folgenden Beitrag würde ich aber auf jeden Fall in die neue Rechtssicherheitssammlung packen:

https://www.prestashop.com/forums/topic/649875-brutto-und-netto-anzeige-prestashop-17/

Share this post


Link to post
Share on other sites
  • 0

Wie schon mehrfach erwähnt muß ab 28.5.2018 ja jedes Unternehmen das personenbezogene Daten verarbeitet - also auch jeder Online-Shop-Betreiber - ein sog. "Verzeichnis der Verarbeitigungstätigkeiten (Art. 30 DSGVO)" führen und auf Verlangen auch vorweisen können.

Nun hat diese Woche die "Konferenz der Datenschutzbeauftragten des Bundes und der Länder" ein brauchbares und verständliches PDF mit Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten veröffentlicht:

https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Verzeichnis_der_Verarbeitungstaetigkeiten/Hinweise_zum_Verzeichnis_von_Verarbeitungstaetigkeiten.pdf

Die Ausnahmeregelung, daß dieses Verzeichnis erst ab einer Firmengröße mit mehr als 250 Mitarbeiter zu führen sei, würde bedingen, daß nicht regelmäßig Kundendaten verarbeitet werden würden., Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

Grüsse
Whiley

 

Share this post


Link to post
Share on other sites
  • 0
vor einer Stunde schrieb Whiley:

Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

 

Sei mir ncht böse, Jörg, aber entscheidend ist hier wirklich nicht, was du meinst, da hinein interpretieren zu müssen, sondern einzig und allein Absatz 5 des Artikels 30 der DSGVO:

" 5.Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Und selbst auf die Gefahr, dass ich mich wiederhole und du die Formulierung "nicht nur gelegentlich" ins Feld führst:

§ 28 Abs. 1 Nr. 1 BDSG erlaubt das Erheben, Speichern und die Weitergabe personenbezogener Daten dann, wenn dies zur Erfüllung und Abwicklung eines Vertragsverhältnisses ( Beispiel: Kaufvertrages bei einem Online-Kauf) erforderlich ist. Solange die Abfrage der personenbezogenenDaten nur Mittel zum Zweck der Vertragserfüllung ist, bleibt das Ganze unproblematisch. Deshalb ist auch die Erhebung und Weitergabe der Adressdaten des Kunden an ein Versandunternehmen normalerweise unbedenklich, da die Ware sonst ja nicht zugestellt werden kann und eine Vertragserfüllung nicht möglich wäre.

Nochmal: Für solche personenbezogenen Daten benötigt der Shop-Betreiber keine ausdrückliche Einwilligung des Kunden und muss darüber auch kein gesondertes Verzeichnis führen. Es genügt, wenn man als Händler auf die Erhebung, Verarbeitung und Speicherung in der Datenschutzerklärung hinweist.

Share this post


Link to post
Share on other sites
  • 0

Lieber Rainer,

die Sache ist doch ganz einfach, natürlich erlaubt dir das BDSG (§28 Abs. 1 Nr. 1) das das Erheben, Speichern und die Weitergabe personenbezogener Daten, - niemand bestreitet das - aber das ist doch hier überhaupt nicht relevant.

Ab Mai gilt europaweit die DSGVO und die verpflichtet dich - unabhängig ob das Verarbeiten nach BDSG erlaubt ist oder nicht - dazu ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Und das die Ausnahme (unter 250 Mitarbeitern) für Onlineshops nicht gilt hast du ja mit deinem Zitat( "nicht nur gelegentlich" ) oben selbst bestätigt.

Nochmal: Der Shopbetreiber darf personenbezogenen Daten die er für die Auftragsabwicklung benötigt ohne ausdrückliche Einwilligung des Kunden verarbeiten, wie bisher auch. Neu, ab Mai 2018 muß er darüber ein Verzeichnis der Verarbeitungstätigkeiten führen, dieses Verzeichnis muß er auf Verlangen vorzeigen können. Verstösse dagegen sind bußgeldbewehrt.

 

Share this post


Link to post
Share on other sites
  • 0

Ich glaube, du verrennst dich hier.

Hier sind mal die Mustervorlagen für das von dir zitierte Verzeichnis für Verarbeitungstätigkeiten, aus denen schnell klar wird,  dass dies absolut nichts mit kleinen oder mittleren Online-Shops zu tun hat - schon gar nicht mit Ein-Mann-Betrieben.

Für Auftragverarbeiter: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Auftragsverarbeiter.pdf

Für Verantwortliche: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Verantwortlicher.pdf

Für technische und organisatorische Maßnahmen: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_TOMs.pdf

Für den durchschnittliche Prestashop-Anwender gilt das überhaupt nicht - daher auch die Einschränkung für die kleinen und mittleren Unternehmen.

Share this post


Link to post
Share on other sites
  • 0

Rainer, mir ist schon klar warum es zu dem Punkt unterschiedliche Meinungen -  auch im Netz - gibt.(mal aufs Datum achten). Aber jetzt in der endgültigen Formulierung ist der Art. 30 mehr als eindeutig.

Ich zitiere hier mal noch Rechtsanwalt Thomas Schwenke, einen der führenden Experten auf dem Gebiet des Datenschutzes, der zum Thema einen eigenen Blog betreibt und auf diversen Foren vertreten ist:

Zitat
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Befreiung bei weniger als 250 Mitarbeitern kommt äußerst selten infrage

Die Befreiung kommt praktisch nur für kleine Offline-Unternehmen infrage.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen. ...

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

oder ich zitiere mal Sabine Heukrodt-Bauer, Rechtsanwältin und Dozentin für IT-Recht im Masterstudiengang Medienrecht (LL.M.) des Fachbereichs Rechts- und Wirtschaftswissenschaften der Johannes Gutenberg-Universität Mainz.

Zitat
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Shopbetreiber werden leider nicht von der Ausnahme des Art. 30 Abs. 5 DSGVO profitieren können. Diese sieht vor, dass Verantwortliche mit weniger als 250 Mitarbeitern von der Pflicht befreit sind.  Allerdings nur, wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Da Shopbetreiber regelmäßig personenbezogene Daten im Rahmen von Bestellprozessen verarbeiten, kann die Ausnahme für sie wohl nicht gelten.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

und so könnte es jetzt mit Zitaten weitergehen....

Der Text des Art. 30 ist eindeutig und wird mitlerweile in allen aktuellen Kommentaren auch so interpretiert

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×