Neue DSGVO Verordnung

[Netagent]

Hallo zusammen,

Thema DSGVO (ich weiß, ich kann es auch schon nicht mehr hören oder lesen ;-) )

Ich stelle mal ganz unbedarft und naiv die Frage an die Insider hier, ob es seitens Prestashop geplant ist diesbezüglich die Versionen 1.6xxx und/oder 1.7xxx zu aktualisieren.

Zu diesem Thema gibt es ja nun doch allerlei zu optimieren, bzw. zu ändern und es betrifft ja nicht nur ausschließlich Good old Germany sondern die ganze EU. Und Prestashop ist nunmal in der EU ansässig...

Bevor ich jetzt anfange alle Shops umzukrempeln, frag ich lieber mal ;-)

 

[Whiley]

Mir ist nicht bekannt, daß da etwas geplant ist.

Die wichtigsten Änderungen sind ja betriebsintern durchzuführen bzw betreffen die Datenschutzerkärung.

Die amerikanischen Fork-Konkurrenten haben mal angekündigt AEUC  umzubauen - allerdings ohne Details bekannt zu geben, desweiteren gibt es mitlerweile ein Kauf-Modul auf dem Markt (ich habe das aus Zeitgründen bisher noch nicht getestet).

An welche Optimierungspunkte denkst du denn konkret?

Grüsse
Whiley

[DRMasterChief]

Hi,

für ein Shopsystem würde es ja eher banale Dinge betreffen, wie  ein Hinweis auf die Datenspeicherung im Kontaktformular  (also reiner Text, wenn ein Shopbetreiber meint daß er das nicht braucht kann er ja einfach "keinen" Text eingeben),  ggf. mit Checkbox zum anhaken....

 

Ich habe z.B. dazu das hier gelesen:

Frage:  Ist es bei Kontaktformularen erforderlich, dass der Kunde bezüglich der Datenschutzvereinbarungen vor der Übermittlung durch z.B. eine Checkbox einwilligen muss? Oder reicht der Hinweis in Textform und mit Link auf die Datenschutzerklärung aus? Es geht mir dabei um die Neuerungen ab Mai mit der DSGVO. Danke

Antworten:

Stellt ein Webseitenbetreiber ein Kontaktformular zu Verfügung, um leichter mit allen Webseitenbesuchern kommunizieren zu können, liegt eine Verarbeitung personenbezogener Daten vor. Eine Solche muss sowohl nach dem aktuellen BDSG, als auch der kommenden DSGVO von einer Rechtsgrundlage gedeckt sein. Ohne sämtliche in Frage kommenden Rechtsgrundlagen aufzuführen, muss im Ergebnis davon ausgegangen werden, dass eine Einwilligung des Webseitenbesuchers bei Nutzung des Kontaktformulars notwendig ist. Technisch ist hierfür das sog. Double Opt-In Verfahren anerkannt. Nur so kann sicher gegangen werden, dass der Befüller des Formulars mit dem Inhaber der angegeben E-Mail Adresse identisch ist und in die Datenverarbeitung eingewilligt wurde. Eine reine Checkbox (Opt-In), als auch reiner Hinweis mit Link sind nicht ausreichend.

von hier: https://www.datenschutzbeauftragter-info.de/fachbeitraege/datenschutzerklaerung-was-muss-drin-sein/#comment-81674
 

Genauso sollte wohl der Hinweis im Checkout angepasst werden, nicht nur AGB und Widerrufsrecht sonder auch noch was bezügl. Datenschutz.

Das sind halt ggf. viele so kleine Dinge die man aber entweder gern übersieht oder technisch einfach oftmals nicht selbst machen traut (ohne halbwegs gute Anleitung).

 

Edited March 20, 2018 by DRMasterChief (see edit history)

[Netagent]

vor 2 Stunden schrieb Whiley:

An welche Optimierungspunkte denkst du denn konkret?

 

Ich dachte da vor allem an den Registrierungsvorgang als Kunde (sollte zukünftig ja mit OptIn und dem zuzuordneten Zeitstempel festgehalten werden), dem leidigen Newsletterantrag und wie oben schon erwähnt das Kontaktformular und evtl. was beim Checkout. Ich bin mir aber fast sicher, dass da noch ein paar kleine Details fehlen...

VG Netagent

[Whiley]

vor 38 Minuten schrieb DRMasterChief:

muss im Ergebnis davon ausgegangen werden, dass eine Einwilligung des Webseitenbesuchers bei Nutzung des Kontaktformulars notwendig ist.

 

Natürlich gibt es zu all diesen Fragen noch keine Urteile, aber gerade beim Kontaktformular, greift m.E. Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO danach wird eine Interessenabwägung zwischen den Persönlichkeitsrechten des Kunden und den wirtschaftlichen Interessen des Shop-Betreibers gefordert.

Beim Kontaktformular hat zweifelsfrei der Kunde, der eine Frage stellt, seine Daten ganz bewußt eingibt, und absehen kann wofür seine Daten verwendet werden (Kontaktaufnahme), ein höheres Interesse seine Daten aktiv zur Verfügung zustellen als im Gegensatz der Shopbetreiber, der die Daten halt zum Beantworten der Anfrage baucht.

Alle aktuellen Rechts-Kommentare die ich kenne, gehen im Moment davon aus, daß bei einem Kontaktformular (soweit nur die email-Adresse verlangt wird, und die Verwendung in der Datenschutzerklärung dokumentiert ist), es keiner besonderen Einwilligung zur Datenverarbeitung bedarf. z.B. hier:

https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html

 

Grüsse
Whiley

 

[Whiley]

vor 22 Minuten schrieb Netagent:

Ich dachte da vor allem an den Registrierungsvorgang als Kunde (sollte zukünftig ja mit OptIn und dem zuzuordneten Zeitstempel festgehalten werden),

 

Aus welchen Bestimmungen der DSGVO sollte sich das ergeben? Das würde ja eigentlich sogar dem Grundsatz der Datenminimierung widersprechen. Hast du dazu irgendwo einen Rechts-Kommentar?

Grüsse
Whiley

[Netagent]

vor einer Stunde schrieb Whiley:

Hast du dazu irgendwo einen Rechts-Kommentar?

 

Jain ;-)

Ich habe die letzten Tage massig Seiten studiert und irgendwo stand auch das mal. Aber ich gebe Dir in soweit Recht, dass eine Double OptIn Löung bei Registrierung lt. IT-Recht wohl NICHT zwingend erforderlich ist: https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html#abschnitt_48

Bisher war es ja so, dass entweder gar keine Mail bei Registrierung versendet werden sollte, oder aber eben die Double-OptIn Lösung. Wobei mir die Double OptIn Lösung wesentlich logischer erscheint, wenn ich mir die Nachweispflichten anschaue. Eben weil ich die ich bei einem Problemfall dann auch nachweisen können muss. Und schließlich wird diese Lösung ja auch seitens des Händlerbundes (lt. einer mir vorliegenden Mail) und auch bei https://www.datenschutzbeauftragter-info.de  seit 2015 ausdrücklich empfohlen.

Aber mit dem Grundsatz der Datenminimierung hat ein Double OptIn m.E. eigentlich gar nichts zu tun...

Also halten wir fest: Bei Registrierung ist KEIN Double OptIn zwingend vorgeschrieben, bei dem Kontaktformular ist auch keine gesonderte Einwilligung erforderlich (vorausgesetzt es werden keine zusätzlichen Daten angefordert und es ist in der Datenschutzerklärung ausfühlich hinterlegt). Bleibt also nur noch das (alte) Problem der Newsletterregistrierung innerhalb des Kundenaccounts. Und diese ist ja relativ einfach zu deaktivieren.

Bleibt also unter dem Strich z.Zt. kein Handlungsbedarf, was Codeänderungen / Optimierungen an Dateien angeht.

Korrekt? 

[Whiley]

vor 10 Minuten schrieb Netagent:

Aber mit dem Grundsatz der Datenminimierung hat ein Double OptIn m.E. eigentlich gar nichts zu tun...

Es geht darum, daß die exakte Zeit zu der sich der Kunde angemeldet hat mitgespeichert werden soll - aber die Information wann der Kunde deinen Shop besucht geht niemand etwas an und ist für den Zweck der Datenspeicherung (Verkaufsabwicklung) unerheblich! Es dürfen immer nur und ausschließlich die Daten, die für den dokumentierten Zweck zwingend notwendig sind gespeichert werden - was ja auch irgendwie Sinn macht!

vor 14 Minuten schrieb Netagent:

Bleibt also unter dem Strich z.Zt. kein Handlungsbedarf, was Codeänderungen / Optimierungen an Dateien angeht.

Korrekt? 

Bezgl. der hier angesprochenen Punkte sehe ich das auch so.

Aber es gibt ja eine ganze Menge an neuen Rechten, die dem Kunden eingeräumt werden müssen, bei denen es notwendig bzw. zumindest vorteilshaft wäre eine automatische Lösung im Shop vorzuhalten:

- Recht der Datenportabilität

- Recht auf Vergessenwerden

-Recht auf Anonymität

- Recht auf Auskunft über die gespeicherten Daten

- Recht auf Datenkorrektur

und noch ein paar weitere mehr.

Trotzdem, die Hauptaufgabe wird bei der korrekten Erstellung der Datenschutzerklärung und den intern zu erstellenden Protokollen/Dokumentationen (z.B. TOM) liegen.

Grüsse
Whiley

 

 

 

 

[Shad86]

So sehe ich es auch. Programmiertechnisch muss man eigentlich nichts ändern. Man sollte darauf achten das man im Rechtssicherheitsmodul alles richtig eingestellt hat und das Datenschutz und alle anderen rechtlichen Texte korrekt sind.

Und sehe ich es falsch das die meisten anderen Dinge auch schon integriert sind?

- Recht auf Datenportabilität: Ich kann ja einen Export nur von einem bestimmten Kunden machen. Klar nicht automatisiert aber wie oft wird das vor kommen?

- Recht auf Vergessenwedrdens: Wenn man einen Kunden löscht müsste man den halt komplett löschen was soweit zwar geht, seine Rechnungen usw muss man aber aufbewahren. also kann es dabei nur um die Kundendaten an sich gehen. Ebenfalls nicht automatisiert aber die kann man ja auch problemlos löschen.

- Recht auf Anonymität: Dafür habe ich auf die Datenschutzseite etwas mit dem sich der Kunde bei Analytics deaktivieren kann.

- Auskunft über gespeicherte Daten: Da reicht in meinen Augen ein Punkt beim Datenschutz was erhoben wird, wieso, usw. Dazu gibt es genug Texte im Netz zu finden.

- Datenkorrektur: Kann der Kunde in seinem Kontrollcenter selbst erledigen wenn ich mich nicht täusche, ansonsten macht man es händisch im Backend.

Also ich denke technisch gegeben ist eigentlich alles bis auf das Anonymisieren. Aber man muss halt ein paar Texte überarbeiten und sich darüber im Klaren sein das mal soeine Anfrage kommen kann. Bei der ganzen Protokollierungsthematik sehe ich da eher Probleme, die müssen zwar nur außerhalb des Shop geklärt werden aber ich denke aus dem Shop heraus ist aus auf zu viele Punkte verteilt. Man müsste jetzt bei allen Mails eine Backup Mail in CC setzen.

Oder sehe ich das falsch?