Jump to content

DSGVO - Allgemeine Diskussion


Whiley

Recommended Posts

Für 2018 stehen ja einige Gesetzesänderungen an, die unmittelbar Auswirkungen auf den Betrieb unserer Online-Shops haben.

Besonders wichtig, am 25 Mai 2018 endet die zweijährige Übergangsfrist und es gilt dann endgültig die EU-Datenschutzgrundverordnung . Wer da noch Defizite hat sollte sich schnellsten informieren.

------------------------------------

Aber erstmal ganz aktuell: Gleich im Januar geht es los, am 18.1.2018 trit das "Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie“  in Kraft.

Grob zusammengefaßt: Für SEPA-Lastschriften und Master- und Visacardzahlungen dürfen keine Gebühren für die Zahlungsabwicklung mehr erhoben werden.

Für Paypal gilt dieses Gesetz zwar nicht, aber Paypal hat angekündigt bereits zum 9.1.2018 ein Surcharing-Verbot einzuführen, (Zitat: „Sie sind als Händler nicht berechtigt, ein Zahlungsmittelentgelt für die Nutzung der PayPal-Services als Zahlungsmethode in Ihrem Online-Shop zu erheben)

Das bedeutet für alle die es betrifft, noch ganz schnell die technischen Änderungen vorzunehmen und insbesondere auch an die Anpassung der AGBs denken und ggfs einen RA bezgl der Details befragen!

Grüsse
Whiley

 

 

Link to comment
Share on other sites

  • Whiley pinned this topic

Und um es noch kürzer zu machen: Sieht man mal vom Verbot der Zusatzgebühren für bestimmte Zahlungsmethoden ab, dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,  wenn er sich bisher schon an die gesetzlichen Vorgaben gehalten hat.

Die eigentlichen Neuerungen wie z.B. die umfangreiche Dokumentationspflichten gelten nur für Betriebe ab 250 Mitarbeitern (Artikel 30, Abschnitt 5). Und  es ist auch wenig wahrscheinlich, dass in einem Online-Shop der Artikel 9 greifen wird:

"Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeithervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt."

Also, Bangemachen gilt nicht! Lasst den Anwälten und selbsternannten Experten von Trusted Shops & Händlerbund & Co. ihre Spielweise und euch das Geld nicht aus den Taschen ziehen.

In diesem Sinne gute Geschäfte im neue  Jahr. :)

Link to comment
Share on other sites

vor 5 Stunden schrieb eleazar :

...dann ändert sich mit dem Inkrafttreten der DSGVO für den durchschnittlichen PrestaShop-Betreiber so gut wie  nichts,...

Hallo Rainer, das sollte ein Joke sein, oder?

Schau dir - als kleines Beispiel - nur mal den  umfangreichen Katalog über die Pflichtangaben in der Datenschutzerklärung an ( Art. 13 Abs. 1 DSGVO ) und vergleiche das mal mit einer x-beliebigen aktuellen Datenschutzerklärung oder z.B. mit deiner.;)

Ich bin überzeugt, daß auch dieses Mal einige Abmahnanwälte nur auf den 25.Mai warten und dann die Gelddruckmaschine, so wie bei vergangenen Gesetzesänderungen auch, auf Hochtouren laufen lassen werden.

Grüsse
Whiley

 

Link to comment
Share on other sites

Nein, Jörg, das war kein Scherz! Das heißt natürlich nicht, dass ich so blauäugig bin zu meinen, dass es irgendeine Abmahnkanzlei nicht versuchen wird, weil sie ja an die Großen der Branche nicht rankommen. Aber, ob sie auch damit durchkommt, sei mal dahingestellt:

Egal, dann werde ich also eben etwas ausführlicher ... ;)

Pars pro toto zitiere ich mal aus dem Artikel eines Fachmanns für Datenschutz in tn3 vom vergangenen Juli, der kurz und knapp die Dinge auf den Punkt bringt:

"Die bisherigen Grundprinzipien des Datenschutzes bleiben erhalten und werden im Gesetz besonders betont. Man muss sich diese Prinzipien als die Grundlagen des Gesetzes vorstellen, die bei der Auslegung unklarer Fälle herbeigezogen werden. Dazu gehören entsprechend Art. 5 DSGVO vor allem:

  • Rechtmäßigkeit – Sie dürfen Daten nur entsprechend dem Gesetz verarbeiten, was an sich selbstverständlich ist.  
  • Transparenz – Die Verarbeitung personenbezogener Daten muss für Betroffene nachvollziehbar sein, was zum Beispiel eine verständliche und vollständige Datenschutzerklärung erfordert. Die Informationspflichten wurden mit Art. 13 und 14 DSGVO erhöht und erfordern beispielsweise einen Hinweis auf die Rechtsgrundlage der Verarbeitung.
  • Verbot mit Erlaubnisvorbehalt – Das bedeutet, dass jede Verarbeitung personenbezogener Daten verboten ist, außer wenn sie per Gesetz erlaubt wurde.
  • Zweckbindung – Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Das heißt man muss sich bereits zu Beginn von Verarbeitungsprozessen Gedanken machen, wofür die Daten benötigt werden und dies dokumentieren. Eine nachträgliche Zweckänderung ist nur zulässig, wenn sie „mit dem ursprünglichen Zweck vereinbar ist“ (Art 6 Abs. 4 DSGVO).
  • Datenminimierung – Unternehmen müssen die Verarbeitung von personenbezogenen Daten auf das dem Verarbeitungszweck notwendige Maß beschränken. Eine „Datenerhebung auf Vorrat“ ist verboten (Art. 5 Abs. 1 lit. c DSGVO).
  • Integrität und Vertraulichkeit – Daten müssen durch technische und organisatorische Maßnahmen vor unbefugter Verarbeitung, Zerstörung, Veränderung oder Verlust geschützt werden.

(...)
Neu zu den vorgenannten Grundprinzipien des Datenschutzes, kommen im Artikel 25 DSGVO die Prinzipien „Privacy by Design“ und „Privacy by Default“ hinzu.

„Privacy by Design“ bedeutet, dass Datenschutzmaßnahmen nach dem Stand der Technik bereits in die konzeptionelle Entwicklung von Produkten und Verfahren einbezogen werden müssen.

„Privacy by Default“ bedeutet wiederum, dass zum Beispiel die Voreinstellungen bei Geräten oder bei Onlineplattformen standardmäßig die höchste Datenschutzstufe haben sollen.
(...)
Der Umsetzungsaufwand ist individuell, insgesamt eher hoch und betrifft vor allem Unternehmen, die sich bisher nicht um den Datenschutz gekümmert und zum Beispiel keine Verfahrensverzeichnisse geführt haben."

Und hier greift dann wiederum Absatz 5 des Artikels 30, wie der im Anhang der DSVGO befindliche "Erwägungsgrund Nr. 13" präzisiert:
"Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission¹ maßgebend sein."

Dort übrigens heißt es zu den Unternehmensgrößen:
"Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen

(1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft.

(2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt.

(3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet."
(Empfehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen - Amtsblatt Nr. L 124 vom 20/05/2003 S. 0036 - 0041)

Also, welcher Shop-Betreiber hier im Forum fühlt sich jetzt angesprochen? (Scherz!)

Aufpassen müssen natürlich diejenigen, die sich extensiv der Kundendaten für Marketing-Zwecke (Werbemails, Newsletter etc.) bedienen. Denn hier sind  jetzt wirklich die "vernünftigen Erwartungen der betroffenen Person" zu berücksichtigen. Welche Interessen überwiegen, hängt im Einzelfall u.a. davon ab, welche Daten von welchen Personen verarbeitet werden, welchen Zweck die Datenverarbeitung verfolgt, welche Grundrechte betroffen sind und mit welchen Massnahmen die Datensicherheit gewährleistet wird. Das betrifft aber nicht den normalen Shopbetrieb, wo Kundendaten zum Zwecken der Bestellbearbeitung erfasst werden.

Die üblichen "klassischen" Cookies, die nur der Nutzerfreundlichkeit dienen, dürften in den meisten Fällen wie bisher rechtmäßig sein. Also z.B. individuelle Einstellungen, die Erkennung von Nutzerinnen und Nutzer ohne erneute Passworteingabe oder Warenkörbe bei Shops. Alles andere wäre auch absurd.
Tracking-Cookies allerdings sollte man im Einzelfall prüfen. Im Hinblick auf die Datensparsamkeit wäre die Pseudonymisierung, z.B. in Form von Nutzer-IDs empfehlenswert. Und natürlich ein Double-Opt-In. Ob uns dann am Ende doch der Pflicht-Disclaimer für Cookies auch in Deutschland blüht, bleibt abzuwarten.  Denn wenn der Einsatz eines Cookies gem. Artikel 6 Abs. 1 der DSGVO zulässig ist, ist folglich keine Einwilligung erforderlich. Damit würde auch weiterhin jede Notwendigkeit für einen Cookie-Disclaimer entfallen - zumindest vorerst, solange die sog. ePrivacy-Verordnung der EU in Deutschland noch nicht gesetzlich umgesetzt wurde.

Ebenso absurd und technisch kaum zu realisieren, wäre es, aus der DSVGO die Forderung abzuleiten, Kundendaten, die mit Bestellungen verknüpft sind,  auf Wunsch aus der Datenbank zu löschen oder auch nur einen Löschzeitpunkt dafür festzulegen. Solche unsinnigen Befürchtungen wurden unlängst in diesem Zusammenhang im thirty-bees-Forum diskutiert. Dies würde nicht nur zu Inkonsistenzen führen, auch das Finanzamt hätte sicherlich etwas dagegen, wenn es mal zur Betriebsprüfung käme.

Hier gilt vielmehr das berechtigte Interesse des Online-Händlers, das sich aus Artikel 6, Absatz 1 der DSVGO ergibt: Ein berechtigtes Interesse ist bereits jedes nicht rechtswidrige rechtliche, wirtschaftliche oder ideelle Interesse. Dazu schreibt Jennifer Rost im Shopbetreiber-Blog:

"Das Kriterium der Erforderlichkeit lehnt sich an den Grundsatz der Datensparsamkeit an, nach dem Daten nur zu einem Zweck erhoben werden dürfen, wenn sie zu dessen Erfüllung auch tatsächlich erforderlich sind.

Dafür, wie die einzelnen Interessen zu gewichten sind, gibt Erwägungsgrund 47 der DSGVO weitere Anhaltspunkte. Demnach sind insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen, zum Beispiel dem Online-Händler, beruhen, zu berücksichtigen. Kann eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen dies erfolgt, vernünftigerweise absehen, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, so überwiegen ihre Interessen in diesem Fall nicht.

Die Abwägung unter Berücksichtigung der vernünftigen Erwartungen der Betroffenen ist neu und zeigt, dass sich der Datenschutz unter der DSGVO teilweise gegenüber neuen Technologien öffnet. Denn Erwartungen entwickeln sich weiter. So erwartet heute noch kein Webseitenbesucher die namentliche Ansprache bei erneutem Besuch – möglicherweise ändert sich dies in den nächsten Jahren, sodass ein entsprechender Cookie, der den Namen enthält, irgendwann in der Zukunft unter Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein könnte."

Just for the record: Mir geht schon der aktuelle, für kleinere und mittlere Shops oft realitätsferne Datenschutz gehörig auf den Keks, weil es die meisten Kunden nicht die Bohne interessiert. Ich bin allerdings pragmatisch genug zu glauben, dass sich im Alltagsgeschäft auch durch die Umsetzung der DSGVO nicht viel ändern wird.

Bei den Großen der Branche, die über ganz andere Möglichkeiten der Datenverknüpfung verfügen, die vermutlich die Bürokraten, die diese verschwurbelte und auslegungsbedürftige "Grundverordnung" ersonnen haben, nicht mal ansatzweise verstehen würden, wäre es dagegen wünschenswert, wenn man Ihnen in Sachen Datenschutz juristisch die Daumenschrauben anlegt.

Aber ob das mit solchen Verordnungen zu leisten ist, daran habe ich so meine Zweifel ...

Link to comment
Share on other sites

Und was soll das jetzt?

Es bestreitet ja niemand, daß es in der DSGVO auch Dinge gibt die bereits in den bisher geltenden Gesetzten geregelt waren und das es auch Vorschriften gibt die nur für Unternehmen ab einer gewissen Größenordnung gelten.

Wichtiger sind doch die Änderungen die alle betreffen und neu sind und da gibt es nunmal genug davon.

Bleib doch bei meinem Beispiel Art. 13 Abs. 1 DSGVO, der nun mal für alle gilt ünabhängig davon wie goß das Unternehmen ist und unabhängig davon wie bisher die Datenschutzerkärung formuliert war.

Da gibt es einen Katalog, der genau vorgibt was in der Datenschutzerklärung zwingend drin stehen muß (nicht kann und nicht soll sondern muß). Das sind also Pflichtangaben die, wenn sie nicht genau so wie vorgegeben ausgeführt sind, abgemahnt werden können (Ähnlich wie wir das von der Widerrufsrechtserkärung her kennen).

  • den Namen und die Kontaktdaten (Anschrift, E-Mail-Adresse, ggf. Telefon und Fax) des Verantwortlichen (sowie bei nicht in der Union niedergelassenen Verantwortlichen diejenigen des Vertreters)
  • sofern verpflichtend zu bestellen, die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (bei Weitergabe) und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 u. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO)
  • wenn die Verarbeitung auf einer wirksamen Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

So und nun vergleiche mal die ab Mai notwendigen Pflichtangaben mit deiner jetzigen Datenschutzerklärung!

Es wäre einfach töricht zu sagen, ich kümmere mich nicht darum;  gerade das Fehlen so einfacher Pflichtangaben wie z.B. die Kontaktdaten in der Datenschutzerklärung lassen sich kinderleicht über spider herausfiltern (Plausibilitätsprüfung PLZ) - ein wirklich gefundenes Fressen für einschlägige Abmahnerinnen und Abmahner.

Das war nur ein kleines Beispiel wie man in die Abmahnfalle tappen kann - mit etwas Zeitaufwand aber liesse sich dieser Punkt von jedem problemlos lösen!

Aber die Problematik zu verharmlosen und den Kopf in den Sand zu stecken und nichts zu tun,  das ist da sicherlich der ganz falsche Weg.

Grüsse
Whiley

 

PS Neben Textanpassungen gibt es natürlich noch technische Anpassungen die auch notwendig werden.

 

 

Link to comment
Share on other sites

Prima, dann haben wir hiermit ja schon ein Thema wo wir ggf. noch weiteres, hilfreiches zusammetragen können oder "sogar" Mustertexte zumindest verlinken oder einstellen könnten.

Hat jemand daran echtes Interesse so daß sich daraus dann ggf. auch weitere technische Umsetzungen entwickeln könnten für das Shopsystem?  Das Ding betrifft die gesamte EU und ich hoffe, das ist auch Entwicklern klar, die ja sonst immer gerne rummaulen daß das nur für die Deutschen zutrifft.   .....und die DSGVO schreibt "Bußgelder werden verhängt"  -  nicht mehr wie bisher "können verhängt werden",  das ist doch mal ein handfester Unterschied wo die Behörden nun auch gar nicht mehr anders können, grade auch für die Großen.

 

Link to comment
Share on other sites

Ihr seit nach wie vor wie ein 100 jähriges Ehepaar :D

Mal generell gefragt, im DevBlog fand ich dazu jetzt nichts.

Wie geht's weiter mit 1.7.x? Eigentlich war ja Mal 1.8.x im Gespräch U d das 1.7 nur das Vista der Systeme ist. Rechtssicher trotz vorverivizierung war ja nix. In Deutschland lief oder läuft man ja Gefahr durch Zahlreiche Gründe abgemahnt zu werden. Nicht zuletzt deswegen weil das Modul für den "kleinen" Binnenmarkt EU / Deutschland ja nicht nur den Cache Fehler aufweist den man laut github jetzt zwar behoben hat sondern auch generell vieles gefehlt hat bzw. falsch oder schlecht umgesetzt hat.

 

Ich habe jetzt nach etwas ruhenden Gewerbe langsam wieder die Zeit und Ressourcen wieder weiter zu machen. Daher hatte ich mich gezwungen nur lesend hier aktiv zu sein. Trotzdem konnte ich was die Deutsche Rechtssicherheit angeht kaum handfestes finden. Ebenso der Weiterentwicklung bzw. Roadmaps von 1.6.x oder 1.7.x.

 

Zuletzt wirkte das ganze Projekt "Prestashop für den deutschen Markt" nämlich wie ein ungewolltes Stievkind welches man wie Potter lieber unter der Treppe anspricht. Nur das hier eben auch nichtmal Magie im Spiel ist.

 

Habt ihr dies bezüglich etwas Lektüre die helfen kann? Besonders eine Einschätzung bezüglich 1.7 / 1.8 wäre toll.

 

Ich selbst werde wohl vorerst sowieso nur auf eBay  erkaufen und prestashop als Datenzentrale nutzen (eBay Modul) und die Abwicklung nur über eBay und das Prestashop Backoffice machen. Trotzdem soll an sich ja auch über prestashop selbst wieder was verkauft werden. Daher die Überlegung der roadmaps ob nun 1.6 oder 1.7 zum Einsatz kommt und 1.7 auf absehbare Zeit ein System ist welches man in Deutschland betreiben sollte.

 

1.6 wird ja sowieso nur noch gepatched und TB hatte im August letzten Jahres seinen letzten Release was angesichts des verwendeten Codes in meinen Augen merkwürdig erscheint.

 

Danke euch und frohes neues :)

 

PS Ich habe es mit Handy geschrieben, Fehler seinen mir bitte verziehen .

Link to comment
Share on other sites

Also von 1.8 wurde offiziell noch nie gesprochen. Korrigiert mich wenn ich mich irre.

Sicherlich hat 1.7 ein paar Macken rechtlich gesehen, die kann man aber teilweise auch selbst nachrüsten. Oder was genau hast du da im Sinn?

Roadmaps sind immer so die sache. Dann müsste man sich auch daran halten. Und die Leute von Presta denken (so scheint es mir) eigentlich immer nur von Update zu Update.

Natürlich darf hier keine Rechtsberatung stattfinden aber ein gesammelter Ort wo steht was man gegebenenfalls noch selbst einrichten muss oder vielleicht sogar Links zu Modulen oder Codeschnipsel die einem dabei helfen würde ich auch sehr begrüßen. Könnte da vielleicht auch das ein oder andere nachreichen.

Edited by Shad86 (see edit history)
Link to comment
Share on other sites

Naja 1.8 war eher unter der Hand bzw. deine Vermutung und Spekulation. Gewundert hätte es mich aber nicht bei diesem Desaster zu Beginn.

 

Das mit dem nachrüsten ist halt immer so eine Sache. Müsste ja alles Update fähig sein. Toll wäre ein besseres Framework bzw. Wie du schon sagst ein visual Scripting im Bereich Modul. In Sachen Game development sind wir bereits an einem Punkt wo das ganze hervorragend funktioniert. So könnte jemand mit know how ohne Ajax/PHP skills einen ganz hervorragenden Beitrag leisten.

 

Das Problem ist halt das das was wir uns ja eigentlich wünschen und du vorschlägst (was ich sehr begrüße) das AUEC sein sollte. Das ist aber so schlecht umgesetzt und so lieblos entwickelt das man da nicht eben einfach was einfügen kann. Echt schade.

 

Die Franzosen sind die neuen Italiener...roadmaps sind als Händler bzw. Endanwender eigentlich ganz essenziell. Aber stimmt. Daran hatten sie sich kaum gehalten schade.

Link to comment
Share on other sites

Ja natürlich, EIGENTLICH sollte man das AUEC installieren und sich dann im besten Fall keinen weiteren Kopf mehr über die rechtliche Seite machen müssen.

Aber da es nicht so ist könnte man hier im Forum ja davon ausgehen das jemand die neueste Shopversion installiert und das neueste AUEC, aber was muss er dann noch tun? Man kann demjenigen keine Texte zur verfügung stellen sonst heißt es, hat er ja aus dem offiziellen Forum, wieso steht da dies und das nicht drin aber man könnte ja sagen es gibt noch dieses oder jenes Modul das etwas nachrüstet das man benötigt.

Oder in den Datenschutzbestimmungen muss man jetzt ja auch ein opt-out für Google Analytics anbieten. Da die CMS Seiten aber kein Script zulassen kann man den Code den Google dafür vorgibt nicht verwenden. Also habe ich mir eine ganz simple HTML Seite gemacht di dieses Script ausführt und die man über einen Link im Datenschutz erreicht. Solche Dinge muss man erstmal wissen bzw. ein Workaround dafür haben. Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt. Da ist sicherlich auch noch mehr wo ich erstmal gucken müsste was ich an unserem Shop alles geändert habe. Und vielleicht hat ja auch noch der ein oder andere eine bessere Methode oder man merkt das man selber über irgendwas garnicht nachgedacht hat und "was auch immer" noch nicht in seinen eigenen Shop eingebaut hat.

Link to comment
Share on other sites

vor einer Stunde schrieb Shad86:

Ich wär aber bereit das auch mit der breiten Masse zu teilen wenn es einen passenden Bereich dafür gibt.

 

Das wäre auch schön, aber wir haben leider keinen Einfluss auf die Gestaltung der Foren. Ich war ja damals schon froh, dass wir dieses Subforum hier beim CM durchgekriegt hatten. Also solltest du solche Änderungen, die spezielle die Anpassung für den deutschen Markt betreffen, sinnigerweise auch hier veröffentlichen und nicht im Subforum "PrestaShop-Entwickler", dessen Name wir dem nur kurzzeitig tätigen Community Manager Sylvain Dermy verdanken.

Allerdings muss man erstmal abwarten, wie die ePrivacy-Richtlinie in Deutschland rechtlich umgesetzt wird. Denn erst dann kommt so etwas zum Tragen. Und so, wie es aussieht, hast du dir möglicherweise die Arbeit umsonst gemacht, weil die Verordnungsbegründung in eine andere Richtung zielt:

Zitat

„Dank der Zentralisierung der Einwilligung in einer Software wie den Internet-Browsern und der Aufforderung an die Nutzer, ihre Einstellungen zur Privatsphäre zu wählen, sowie dank erweiterter Ausnahmen zu den Einwilligungsvorschriften in Bezug auf Cookies könnte ein beträchtlicher Anteil der Unternehmen auf Cookie-Banner und -Hinweise verzichten, was möglicherweise erhebliche Kosteneinsparungen und Vereinfachungen mit sich bringen würde.“

 

Denn das würde bedeuten, dass Verbraucher künftig anstatt über ein Banner im Shop über ihre Browser-Einstellungen ihre Einwilligung zu Cookies oder anderen Tracking-Tools erteilen sollen. Dann wären auch Cookie-Module, die wir im Moment in Deutschland ja sowieso noch nicht brauchen, überflüssig.

Link to comment
Share on other sites

Ja aber man könnte doch einen Thread im Bereich "Anpassung an deutsches Recht" anpinnen, den man als Sammelthread nutzt. Da könnte man ja alle relevanten Threads verlinken und vielleicht sogar eine art Checkliste/Linksammlung machen, was man zum EU-Modul noch ergänzen sollte. Und wenn da teilweise nur Links sind wo man sich informieren kann was noch nötig ist.

Ich versuche das ganze schon bestmöglich zu verfolgen, muss ich jetzt einen neuen Shop aufbauen weiß ich aber nicht ob ich noch alles zusammen bekomme.

 

Ich weiß, diese Seiten gibt es ohne Ende im Netz aber ich hatte mich bezügich des Analytics jetzt nach dieser gerichtet:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Und dachte mir das es definitiv nicht schaden kann. Denn so kann ein Nutzer sich dauerhaft vor Analytics verstecken. Natürlich hat er dann einen Cookie aber das wird das geringere Übel sein.

Edited by Shad86 (see edit history)
Link to comment
Share on other sites

Ja, nur fürchte ich, diese Lösung ist bald Schnee von gestern. Denn die Verantwortlichen der EU wollen ja gerade, dass jeder Internetnutzer sich künftig über seinen Browser individuell abschotten kann. Das ist vermutlich deren naive Vorstellung von Datensicherheit. Künftig geht es dann wahrscheinlich in erster Linie darum, wie man mit geeigneten Methoden solche Browsersperren umgehen kann. Vielleicht dann mit einem Pop-Up:

"Sie können leider in dieses Shop nichts einkaufen, da Ihr Browser das nicht zulässt."

Was den Sammelthread angeht, kein Problem! Du könntest ja mal vorpreschen, ich würde den Thread dann oben anpinnen.

In Sachen AEUC kann ich euch für 1.6 keine Hoffnungen mehr machen. Prestashop wird da nicht mehr drangehen, auch nicht an Bugfixes.  Hier sind also von denjenigen, die es können, eigene kreative Lösungen gefragt. Aber im Prinzip kann man auch jetzt schon ganz gut damit arbeiten. Und wenn man einen Blick über den großen Teich wagt, auch thirty bees tritt bei AEUC auf der Stelle und kann z.B. für das Cache-Problem entgegen anderslautenden Behauptungen keine brauchbare Lösung anbieten.

Link to comment
Share on other sites

Also Google hat schon ein Plugin mit dem man das Tracking unterbindet. Ob man sich das installieren will muss jeder selbst wissen. Was da für Lösungen kommen und ob die dann meine Lösung ablösen oder nicht ist dann die Frage.

 

Okay, werde ich morgen mal angehen. Mal sehen was ich so zusammenkratzen kann was ich so bei 1.7 ändern musste.

Link to comment
Share on other sites

  • Whiley changed the title to Diskussionen rund um Gesetzesänderungen 2018

Man sollte das etwas spezifizieren was jeder machen muss, wenn er rechtssicher den Shop mit prestashop betreiben will und das was man sollte. Dann vielleicht mein Thema Mal rauskramen zwecks Kleinunternehmer . Denke diese Zielgruppe kann man da jetzt ganz gut erreichen. 

Dann wäre ja allgemein noch wichtig wie die Daten auf dem Server geschützt werden. Man muss ja nicht nur den Shop absichern sondern auch das Gerüst auf dem er steht. Ob das rechtlich reicht Patches einzuspielen, wenn ein Bug einen relativ leichten unbefugten dem Zweck Manipulativen  Zugriff ermöglicht bleibt ja auch interessant als Frage offen. 

Ist der Server per "Admin" und "123456" "gesichert" wird diese "Sperre" wohl eher nicht als solche anerkannt werden. Das sollte man nie außer acht lassen, dass eben auch die Passwörter und Kundendatensätze eine ganz besondere Aufmerksamkeit Gebieten.

 

 

Link to comment
Share on other sites

Wie angedroht habe ich hier mal verfasst wie man den Analytics Code deaktivierbar machen kann.

https://www.prestashop.com/forums/topic/650367-anleitung-google-analytics-abschaltbar-machen/

Wenn was zu ergänzen ist, imme her damit.

 

Desweiteren habe ich bei unserer mobilen Ansicht die Links zu Datenschutz und Impressum leichter zugänglich gemacht. Die müssen ja immer "unmittelbar erreichbar und ständig verfügbar" sein. Im original 1.7er Theme sind diese aber erst sichtbar wenn man einen Reiter öffnet. Also habe ich die Links nochmal unter dem Footer eingefügt damit diese ohne Umwege anklickbar sind. Meint ihr das ist unnötig oder soll ich da auch ein How-To machen?

Die restlichen Änderungen waren mehr usability als Rechtsicher machen. (Artikelnummer in die Kurzbeschreibung, Mailadressen und Telefonnummern anklickbar, SEO Optimierungen, Anfragebutton, Produktbeschreigungen im Warenkorb, "Zurück" in Broadcrumb)

Folgenden Beitrag würde ich aber auf jeden Fall in die neue Rechtssicherheitssammlung packen:

https://www.prestashop.com/forums/topic/649875-brutto-und-netto-anzeige-prestashop-17/

Link to comment
Share on other sites

  • Whiley changed the title to 2018 Gesetzesänderungen - Diskussionen
  • 4 weeks later...
  • 2 weeks later...

Wie schon mehrfach erwähnt muß ab 28.5.2018 ja jedes Unternehmen das personenbezogene Daten verarbeitet - also auch jeder Online-Shop-Betreiber - ein sog. "Verzeichnis der Verarbeitigungstätigkeiten (Art. 30 DSGVO)" führen und auf Verlangen auch vorweisen können.

Nun hat diese Woche die "Konferenz der Datenschutzbeauftragten des Bundes und der Länder" ein brauchbares und verständliches PDF mit Hinweisen zum Verzeichnis von Verarbeitungstätigkeiten veröffentlicht:

https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Verzeichnis_der_Verarbeitungstaetigkeiten/Hinweise_zum_Verzeichnis_von_Verarbeitungstaetigkeiten.pdf

Die Ausnahmeregelung, daß dieses Verzeichnis erst ab einer Firmengröße mit mehr als 250 Mitarbeiter zu führen sei, würde bedingen, daß nicht regelmäßig Kundendaten verarbeitet werden würden., Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

Grüsse
Whiley

 

Link to comment
Share on other sites

vor einer Stunde schrieb Whiley:

Da bei Onlineshops vorausgesetzt werden kann, daß hier personenbezogene Daten  regelmäßig (bei jeder Bestellung), verarbeitet werden, greift die Ausnahme wohl nicht, d.h. beieits ein 1-Mann/Frau Betrieb wird wohl diese Verzeichnis führen müssen.

 

Sei mir ncht böse, Jörg, aber entscheidend ist hier wirklich nicht, was du meinst, da hinein interpretieren zu müssen, sondern einzig und allein Absatz 5 des Artikels 30 der DSGVO:

" 5.Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."

Und selbst auf die Gefahr, dass ich mich wiederhole und du die Formulierung "nicht nur gelegentlich" ins Feld führst:

§ 28 Abs. 1 Nr. 1 BDSG erlaubt das Erheben, Speichern und die Weitergabe personenbezogener Daten dann, wenn dies zur Erfüllung und Abwicklung eines Vertragsverhältnisses ( Beispiel: Kaufvertrages bei einem Online-Kauf) erforderlich ist. Solange die Abfrage der personenbezogenenDaten nur Mittel zum Zweck der Vertragserfüllung ist, bleibt das Ganze unproblematisch. Deshalb ist auch die Erhebung und Weitergabe der Adressdaten des Kunden an ein Versandunternehmen normalerweise unbedenklich, da die Ware sonst ja nicht zugestellt werden kann und eine Vertragserfüllung nicht möglich wäre.

Nochmal: Für solche personenbezogenen Daten benötigt der Shop-Betreiber keine ausdrückliche Einwilligung des Kunden und muss darüber auch kein gesondertes Verzeichnis führen. Es genügt, wenn man als Händler auf die Erhebung, Verarbeitung und Speicherung in der Datenschutzerklärung hinweist.

Link to comment
Share on other sites

Lieber Rainer,

die Sache ist doch ganz einfach, natürlich erlaubt dir das BDSG (§28 Abs. 1 Nr. 1) das das Erheben, Speichern und die Weitergabe personenbezogener Daten, - niemand bestreitet das - aber das ist doch hier überhaupt nicht relevant.

Ab Mai gilt europaweit die DSGVO und die verpflichtet dich - unabhängig ob das Verarbeiten nach BDSG erlaubt ist oder nicht - dazu ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Und das die Ausnahme (unter 250 Mitarbeitern) für Onlineshops nicht gilt hast du ja mit deinem Zitat( "nicht nur gelegentlich" ) oben selbst bestätigt.

Nochmal: Der Shopbetreiber darf personenbezogenen Daten die er für die Auftragsabwicklung benötigt ohne ausdrückliche Einwilligung des Kunden verarbeiten, wie bisher auch. Neu, ab Mai 2018 muß er darüber ein Verzeichnis der Verarbeitungstätigkeiten führen, dieses Verzeichnis muß er auf Verlangen vorzeigen können. Verstösse dagegen sind bußgeldbewehrt.

 

Link to comment
Share on other sites

Ich glaube, du verrennst dich hier.

Hier sind mal die Mustervorlagen für das von dir zitierte Verzeichnis für Verarbeitungstätigkeiten, aus denen schnell klar wird,  dass dies absolut nichts mit kleinen oder mittleren Online-Shops zu tun hat - schon gar nicht mit Ein-Mann-Betrieben.

Für Auftragverarbeiter: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Auftragsverarbeiter.pdf

Für Verantwortliche: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_Verantwortlicher.pdf

Für technische und organisatorische Maßnahmen: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungstätigkeiten_TOMs.pdf

Für den durchschnittliche Prestashop-Anwender gilt das überhaupt nicht - daher auch die Einschränkung für die kleinen und mittleren Unternehmen.

Link to comment
Share on other sites

Rainer, mir ist schon klar warum es zu dem Punkt unterschiedliche Meinungen -  auch im Netz - gibt.(mal aufs Datum achten). Aber jetzt in der endgültigen Formulierung ist der Art. 30 mehr als eindeutig.

Ich zitiere hier mal noch Rechtsanwalt Thomas Schwenke, einen der führenden Experten auf dem Gebiet des Datenschutzes, der zum Thema einen eigenen Blog betreibt und auf diversen Foren vertreten ist:

Zitat
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Befreiung bei weniger als 250 Mitarbeitern kommt äußerst selten infrage

Die Befreiung kommt praktisch nur für kleine Offline-Unternehmen infrage.

Viele Unternehmen verweisen darauf, dass das Gesetz Unternehmen mit weniger als 250 Mitarbeitern von den Rechenschaftspflichten befreit (Art. 30 Abs. 5 DSGVO). Allerdings gilt diese Ausnahme bereits dann nicht, wenn die Verarbeitung personenbezogener Daten „nicht nur gelegentlich“ erfolgt.

Da moderne Unternehmen Daten, sei es via Website, Shop, CRM-Systeme, Lohnabrechnungssysteme etc. permanent verarbeiten, wird diese Befreiung äußerst selten zur Anwendung kommen. ...

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

oder ich zitiere mal Sabine Heukrodt-Bauer, Rechtsanwältin und Dozentin für IT-Recht im Masterstudiengang Medienrecht (LL.M.) des Fachbereichs Rechts- und Wirtschaftswissenschaften der Johannes Gutenberg-Universität Mainz.

Zitat
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Shopbetreiber werden leider nicht von der Ausnahme des Art. 30 Abs. 5 DSGVO profitieren können. Diese sieht vor, dass Verantwortliche mit weniger als 250 Mitarbeitern von der Pflicht befreit sind.  Allerdings nur, wenn die Verarbeitung personenbezogener Daten nur gelegentlich erfolgt. Da Shopbetreiber regelmäßig personenbezogene Daten im Rahmen von Bestellprozessen verarbeiten, kann die Ausnahme für sie wohl nicht gelten.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

und so könnte es jetzt mit Zitaten weitergehen....

Der Text des Art. 30 ist eindeutig und wird mitlerweile in allen aktuellen Kommentaren auch so interpretiert

 

Link to comment
Share on other sites

  • 2 months later...

An sich schöner Artikel, auch wenn ich nur teilweise seiner Meinung bin. Voll und ganz stimme ich Ihm zu das es für kleinere Unternehmen wesentlich schwerer wird als für Große. Aber die ganze Facebook Sache mit der Gesichtserkennung ist doch stark aus der Luft gegriffen. Ich habe dem z.B. nicht zugestimmt nur weil es als Pop-up auftaucht. Man muss halt schon lesen was man akzeptiert aber dort stand eindeutig das die eine Gesichtserkennung aktivieren wollen.

Und die ganze Sache hat meiner Meinung nach nichts mit der DSGVO zu tun. Klar akzeptieren die Leute momentan eher weil eh schon im Kopf ist das sich jetzt viel ändert aber das liegt ja an den Leuten und nicht an den Unternehmen.

Andererseits finde ich aber momentan sehr schlimm das niemand so richtig weiß was zu tun ist. Es sprießen jetzt irgendwelche Datenschutzbeauftragte aus dem Boden, die ihre Dienste an Unternehmen verkaufen um angeblich alles "in Ordnung zu bringen", kleinere Unternehmen gucken da aber mal wieder in die Röhre.

Ich bin echt gespannt was das noch so wird und was bis zum 25. noch alles passiert...

Link to comment
Share on other sites

Ich finde es halt bemerkenswert, daß es in der Öffentlichkeit auch mal kritische Anmerkungen zum Regulierungswahnsinn  mit dem wir aus Brüssel beschenkt werden, gibt. Und ich meine das nicht mal unbedingt aus Sicht des Shopbetreibers sondern vielmehr aus Sicht des Konsumenten, der ich nunmal ja auch bin.

[Shad86: Andererseits finde ich aber momentan sehr schlimm das niemand so richtig weiß was zu tun ist. ]

Ich hoffe, daß mitlerweile (14 Tage vor Ablauf der Übergangsfrist) alle ihre Hausaufgaben gemacht haben. Zeit genug war ja nun.

Bzgl. möglicher Abmahnungen sind es ja zunächst nur ein paar einfache Umstellungen:

- Datenschutzerklärungen erstellen darauf achten, daß diese nicht über Google & CO gefunden werden können (robots.txt) und falls noch alte im Netz indexiert sein sollten, die Löschung beantragen (Google searchconsole), im letzteren Fall den Link unbedingt auf eine 404 Seite leiten!

- Newsletteranmeldung, falls hier Unsicherheit über die zukünftige Ausgestaltung besteht zunächst einfach herausnehmen u. die Entwicklung abwarten.

- Soziale Medien gleich wie bei Newsletteranmeldung

- Kundenanmeldung darauf achten daß keine unnötigen Daten wie z.B. das Geburtsdatum abgefragt werden

- Link zu externen (Google)-Schriften entfernen und durch lokal gespeicherte Schriften (Lizenzbedingungen beachten) ersetzen. Das betrifft auf jeden Fall alle die die Prestashop Standard-Themes benutzen, bei Fremdthemes sollte man das ebenfalls  prüfen .

Abmahnungen wird es diemal sicher auch dort geben wo falsch verstandene Umsetzungen der DSVGO nun echte Abmahngründe liefern. Teils grotesk anmutende "Lösungen" kann man da inzwischen finden. Ich wollte gestern in einem Onlineshop (kein Prestashop) etwas einkaufen, und hätte da am Schluß sage und schreibe 4 Checkboxen anklicken müssen, eine davon :"Ich stimme der Datenschutzerklärung zu und akzeptiere sie" !  Auch hier im Forum wurden schon Lösungsansätze für die DSGVO diskutiert, deren Umsetzung sich eher bedenklich auswirken könnten.  Da gibts reichlich Futter für die Abmahnerinnen und Abmahner.

Neben den  Umsetzungen die das Risiko einer Abmahnung verringern sollen, gibt es natürlich noch die anderen gesetzlich vorgegeben (bußgeldbewerten) Pflichten wie z.B. das Abschließen neuer Auftragsverarbeitungs-Verträge mit allen Dienstleistern,  und insbesondere das zeitaufwändige Anlegen des Verzeichnises der Verarbeitungstätigkeiten.

Letzteres scheint mir mitlerweile extrem wichtig zu sein, beim Anlegen dieses Verzeichnisses erkennt man recht schnell die Schwachstellen und Risiken der eigenen Datenverarbeitung und fragt sich wie mache ich das mit dem "Recht auf Vergessen"(also Löschen der Kundendaten)  und den  Backups oder wie mache ich das mit den Bestell-Bestätigungsmails die ich da unverschlüsselt mit zusammengeführten Daten (Kundendaten und Bestelldaten) an irgendeine Email-Adresse schicke ....

Grüsse
Whiley

 

 

Link to comment
Share on other sites

- Wieso darf die Datenschutzerklärung nicht von Google gefunden werden? Klar das man zusehen sollte das keine alten Versionen mehr im Netz rumschwirren aber wenn diese auf die aktuelle leiten sollte es doch kein Problem geben. Generell sind 404 Seiten immer zu vermeiden also wieso sollte ich mir die absichtlich einbauen?

- Newsletteranmeldung: ich glaube nicht das sich da irgendwas ändert was man abwarten könnte. Man muss halt im Zweifelsfall beweisen können wann die Leute sich zum Newsletter angemeldet haben. Wenn man das nicht kann, denjenigen lieber entfernen. Der Rest sollte eh schon lange vorhanden sein.

- Soziale Medien: Die sich selbst anmeldenen Buttons sind ja schon lange in der Kritik und auf der Liste der Abmahner. Deshalb ersetze ich generell solche Buttons immer durch normale Grafiken mit Verlinkung.

- Schriften: Das ist wirklich ein guter Hinweis. Soweit ich weiß sind die im 1.7er verwendeten Schriften nicht extern gelagert. Oder hast du einen Hinweis wo ich mal explizit gucken könnte?

Und ja, genau dieses Voreilige wird bei vielen genau das Gegenteil bewirken. Einmal schreckt man mit 4 Checkboxen sicherlich den einen oder anderen Kunden ab (wird ja schon immer von dem Cookie Banner behauptet) und bei den momentan angebotenen Modulen muss man auc hsehr vorsichtig sein. Habe letztens ein Modul gesehen, für "das Recht des vergessen werdens" das den angewählten Kunden (+ Adresse und alles was dazu gehört) mit "Unknown" überschreibt. Ich glaube nicht das das so funktioniert. Zum vergessen werden vielleicht aber was sagen alle anderen Rechte dazu?

Link to comment
Share on other sites

Hi Shad86,

[- Wieso darf die Datenschutzerklärung nicht von Google gefunden werden? ]

Die DSE bringt dir ja aus SEO-Sicht eh nichts, wenn aber bestimmte Absätze, die möglicherweise nicht rechtskonform sind über Google einfach geortet werden können machen wirs den Abmahnern besonders leicht (das gab es schonmal bei den Änderungen der Widerrufsfristen)

401 Seite macht ja nichts wenn keine shopinternen Verlinkungen darauf zeigen und Google die Seite nicht mehr crawlen kann, sie signalisiert sowohl Google als auch jemanden der die Seite anschauen möchte eindeutig, daß die Seite nichtmehr da ist.

[- Newsletteranmeldung: i...Man muss halt im Zweifelsfall beweisen können wann die Leute sich zum Newsletter angemeldet haben. ]

Es gibt Leute, die behaupten, daß man im Zweifel den Nachweis über die Einwilligung zur Datenverarbeitung erbringen müsse  ... wenn das so stimmt dürfte die tech. Realisierung mehr als schwierig werden.

[Schriften]

Das hängt natürlich vom Theme ab,  ich meine das ich auch mal gelesen habe, daß beim 1.7 classic nicht extern geladen wird. Beim Standardtheme der 1.6. Version wird allerdings definitiv von Google geladen. Im Zweifel kannst du einen Suchlauf über eine lokale Shopkopie laufen lassen nach "fonts.googleapis.com ".

Grüsse
Whiley

 

Link to comment
Share on other sites

Fast alle neueren Templates nutzen Webfonts, und ganz besonders gern Google-Fonts. Wer sich also beispielsweise nicht traut, den Code umzuschreiben und Angst vor Abmahnungen hat, der darf ab dem 25.5. auch die beliebten Templates von Sunnytoo, allen voran das Transfomer Theme nicht mehr einsetzen. :P

Und für 1.7 gibt es sogar ein kostenloses Modul von Sunytoo, um diese Beschränkung des Classic Themes aufzuheben. Alles für die Katz?

 

Link to comment
Share on other sites

Danke Whiley für die Info der Schriften. Bei 1.7 kann ich aber tatsächlich nichts davon finden.

Und wegen des Nachweises, es wird sicherlich irgendwelche Infos im Netz geben (früher oder später) welche Möglichkeiten es gibt um den Nachweis zu erbringen. Und ab dann kann man sich gedanken machen wie man es technisch umsetzen kann. Da lasse ich mich nicht stressen.

Link to comment
Share on other sites

vor 37 Minuten schrieb Shad86:

Danke Whiley für die Info der Schriften. Bei 1.7 kann ich aber tatsächlich nichts davon finden.

 

Wirst du auch nicht, denn die Schriften sind tatsächlich in der Datei themes/classic/_dev/css/partials/_fonts.scss eingebettet. Das Prestashop-"Urgestein" @rocky (Adrian Nethercott) hat die Besonderheiten des Classic Themes hier mal aufgedröselt:

https://www.nethercottconstructions.com/content/190-prestashop-17-classic-theme

Link to comment
Share on other sites

Also von extern scheint da keine Schrift zu kommen wenn ich mir die _fonts.scss ansehe:

@font-face {
  font-family: 'Noto Sans';
  src: url(~notosans-fontface/fonts/NotoSans-Regular.eot);
  src: local('Noto Sans Regular'),
  local('NotoSans-Regular'),
  url(~notosans-fontface/fonts/NotoSans-Regular.eot) format('embedded-opentype'),
  url(~notosans-fontface/fonts/NotoSans-Regular.woff2) format('woff2'),
  url(~notosans-fontface/fonts/NotoSans-Regular.woff) format('woff'),
  url(~notosans-fontface/fonts/NotoSans-Regular.ttf) format('truetype'),
  url(~notosans-fontface/fonts/NotoSans-Regular.svg) format('svg');
  font-weight: 400;
  font-style: normal;
}

Das und andere Varianten davon aber mehr ist da nicht drin.

Bei der von dir geposteten Seite bin ich echt beeindruckt wieviel Arbeit sich der Author gemacht hat. Werde ich mir in einer ruhigen Minute mal genauer ansehen.

Link to comment
Share on other sites

  • Whiley changed the title to 2018 DSVGO - Diskussionen

[Und wegen des Nachweises, es wird sicherlich irgendwelche Infos im Netz geben (früher oder später) welche Möglichkeiten es gibt um den Nachweis zu erbringen. Und ab dann kann man sich gedanken machen wie man es technisch umsetzen kann. Da lasse ich mich nicht stressen. ]

Aber deshalb eben der Rat, im Zweifel den Newsletter ganz entfernen! Sicher ist der Newsletter eh manchmal (branchenabhängig) überflüssig, insbesondere dann wenn sich vorwiegend Wettbewerber eingetragen haben;).

Trotzdem nochmal nachgefragt:
Gibt es denn irgendwo bereits Hinweise wie man eine durch einen Kunden gegebene "Einwilligung zu einer Verarbeitung seiner Daten", rechtssicher abspeichern könnte, um dann den Nachweis, daß der Kunde diese Einwilligung gegeben hat, zu erbringen.

Ich hatte bisher keine (realisierbare) Idee!

Grüsse
Whiley

 

 

 

Link to comment
Share on other sites

Irgendwer schrieb ja mal das das Anmeldedatum der Nachweis wär wenn es beim Anmelden eine Checkbox gibt oder das ganze mit in die AGB aufgenommen wird. Aber da gab es auch wieder genug die dagegen sprachen. Und im Endeffekt muss uns sowas auch eher ein Anwalt sagen.

Ich bin mal gespannt, wir haben jetzt eine Datenschutzbeauftragte und die müsste sich ja irgendwann mal mit mir auseinander setzen damit auch der Shop dahingehend Rechtssicher wird. Ich werde dann auf jeden Fall berichten.

Link to comment
Share on other sites

Ich denke, daß es zunächst eine rein technische Frage ist. Anwalt meinte, IP mit Zeitstempel (ev noch Screenshot) und das dann manipulationssicher gespeichert. Aber an letzterem hakt es dann eben.

Wir haben uns schon die wildesten Konstrukte überlegt um das hinzubekommen. z.B. Daten verschlüsseln und mail an ein eigenes Postfach bei einem Provider schicken, auf dessen Server wir keinen Zugriff haben (der müsste die Mails aber dann für immer speichern oder zumindest für sehr lange Zeit) - das erscheint mir aber wenig praxistauglich!

Link to comment
Share on other sites

Zitat

- Link zu externen (Google)-Schriften entfernen und durch lokal gespeicherte Schriften (Lizenzbedingungenbeachten) ersetzen.

Könnte mir jemand das näher erklären? Wir haben ein Onlinedesigntool das mit Googlefonts arbeitet, das könnte ich dann ja nicht mehr benutzen wenn man keine Google-Schriften mehr benutzen darf. Ich habe dahingehend auch noch nichts gelesen obwohl ich viel im Netz gestöbert habe. Ohne diesen Onlinedesigner kann ich den Shop schließen.

Danke und Gruß, Werner

Link to comment
Share on other sites

Hallo Werner,

beim Zugriff auf die Googlefonts wird die IP des Kunden zu Google übertragen. Bei der Ip handelt es sich um personenbezogene Daten (Gerichtsurteile) die Google sammelt oder zumindest sammeln könnte.

Also müsstest du dir (nach DSGVO) eine Einwilligung des Kunden dazu holen (so einen Lösungsansatz habe ich tatsächlich schon gesehen???) oder halt lokal gespeicherte Schriften verwenden, dabei natürlich die lizenzrechtlichen Bestimmungen des Schriftenurhebers beachten oder ersatzweise auf die Browserschriftarten zurückfallen (Unterschiedliche Darstellung aber beachten!)

Grüsse

Whiley

 

Link to comment
Share on other sites

Zitat

so einen Lösungsansatz habe ich tatsächlich schon gesehen???

Danke Whiley für deine Antwort, weißt du vielleicht noch wo du diesen Lösungsansatz gesehen hast? Denkst du eine Checkbox beim Onlinedesigner würde genügen? Lokal gespeicherte Schriften zu verwenden ist im Modul leider nicht vorgesehen, ich als Laie weiß auch nicht ob das so einfach zu ändern wäre. Als kleiner Einzelkämpfer wird es langsam unmöglich noch einen Onlineshop zu betreiben.

Edit: Sorry Whiley, ich habe nochmal nachgeschaut und gesehen dass das Modul keine Google Schriftarten verwendet sondern Lokal gespeicherte. Das erste Designmodul das ich hatte hat diese Googlefonts verwendet, darum hatte ich das noch im Kopf.

Edited by knecht2020 (see edit history)
Link to comment
Share on other sites

Hi, zu den Webfonts von Google gibts hier viel zu lesen:  https://github.com/google/fonts/issues/1495 

https://www.blog.google/topics/google-europe/gdpr-europe-data-protection-rules/ 

 

Die wollen also bis zum Stichtag eine Lösung haben,  :) naja mal gucken.  Derzeit meint G daß sie rechtskonform wären, Behörden in USA würden das bestätigen, ja klar,  aber um die dreht sich halt nicht die Welt....

 

Und für die Schriftarten ist das hier gut:  https://google-webfonts-helper.herokuapp.com/fonts  ,  es erzeugt auch gleich den Code um die geladene Schrift zu ersetzen mit der am Server lokal gespeicherten. 

Link to comment
Share on other sites

Zitat

Da hast du bezgl des Moduls ja Glück gehabt, aber generell verwendet dein Shop trotzdem Google Webfonts.

Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern. Leider bin ich als Laie nicht in der Lage das zu ändern, ist das sehr aufwendig?  Mit dem Link von DRMasterchief kann ich mangels wissen leider auch nichts anfangen, trotzdem Danke dafür.

Link to comment
Share on other sites

[Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern.]

Ich hoffe mal, daß du mit deinen 90% nicht wirklich richtig liegst:) aber dennoch betrifft das Thema ja auch viele Fremdtemplates.

Ich halte die Änderungen der Fonts für äußerst wichtig, da dieser Link über einen sehr einfachen Crawler problemlos entdeckt werden kann.

Diese Anpassung dürfte wesentlich dringender sein, als alle möglichen Anpassungen an irgendwelchen Checkboxen und Einwilligungen an denen viele rumbasteln.

Heute habe ich wieder einen Shop gesehen, in dem man "die Datenschutzerklärung akzeptieren" muß???

Leute, lest euch Art. 12 u. 13 der DSVGO durch. Die Datenschutzerklärung ist eine einseitige Kommunikation. ihr erklärt dort wie ihr mit dem Datenschutz umgeht, diese Info sollte jeder Betroffene lesen können - mehr aber auch nicht. Eine Einwilligung oder Akzeptanz zur Datenschutzerklärung ist an keiner Stelle der DSVGO vorgesehen oder gar gefordert. Im Gegenteil, eine solche Aufforderung dürfte wahrscheinlich wettbewerbswidrig (§7 UWG) sein oder zumindest bewirken, daß eure Datenschutzerklärung zu AGBs werden, mit allen sich daraus ergebenden Konsequenzen.

Grüsse
Whiley

 

 

Link to comment
Share on other sites

Sehe ich genauso. Die "neuen" Punkte müssen aufgeführt werden aber da ist nichts was wirklich bestätigt werden muss.

Aber Whiley, gerade bezogen auf etwas weiter oben. wo du fragtest ob jemand einen konkreten Lösungsansatz gesehen hat:

Hat sich schon jemand das neue Modul von Presta angesehen was es für 1.7 kostenlos (ab Version 1.7.4.x sogar integriert) und für 1.6, 1.5 kostenpflichtig geben soll? Da sind wohl ein paar Punkte behandelt was die Löschung von Daten oder Checkboxen usw. angeht. Kann jemand berichten ob das Modul wirklich gut ist und ob das Modul + die Änderungen der Datenschutzvereinbarung so ausreichen?

Klar was den firmeninternen Ablauf angeht, sind da noch einige Punkte aber die müssen mich persönlich jetzt erstmal nicht groß kümmern. Da gibt es zumindest hier andere Zuständige.

 

Ich kümmere mich jetzt mal endlich um eine Shopkopie um Updates testen zu können und werde dan nauch mal das Modul ausgiebig testen.

Link to comment
Share on other sites

6 hours ago, Whiley said:

[Ich denke mal 90% der Bnutzer von 1.6.xx haben das Standardtemplate, die müssten dann ja alle ihr Theme wechseln oder abändern.]

Ich hoffe mal, daß du mit deinen 90% nicht wirklich richtig liegst:) aber dennoch betrifft das Thema ja auch viele Fremdtemplates.

Ich halte die Änderungen der Fonts für äußerst wichtig, da dieser Link über einen sehr einfachen Crawler problemlos entdeckt werden kann.

Diese Anpassung dürfte wesentlich dringender sein, als alle möglichen Anpassungen an irgendwelchen Checkboxen und Einwilligungen an denen viele rumbasteln.

Heute habe ich wieder einen Shop gesehen, in dem man "die Datenschutzerklärung akzeptieren" muß???

......

Grüsse
Whiley

 

 

 

Hi Whiley,

muss jetzt noch mal nachfragen, dass Thema ist echt besch... :)

Die Checkbox bei einem Kontakformular o.Ä. ist ja eigentlich nicht für den User gedacht sondern für mich als Nachweis, daß ich den User auf die Erklärung hingewiesen habe oder nicht? Und genau diesen Nachweis geht es doch?

Und zwecks den google fonts reicht laut eRecht ein Absatz in der Datenschutzerklärung wo erklärt wird, daß man google fonts einsetzt und wiederum auf die Datenschutzerklärung von google verweist?

Danke und Gruß, Tom

Link to comment
Share on other sites

vor 9 Stunden schrieb wmunich:

zwecks den google fonts reicht laut eRecht ein Absatz in der Datenschutzerklärung

Hallo Tom,

ich kenne jetzt nicht alle Kommentare zum Thema (stell mal einen Link ein) aber laut DSVGO ist die Verarbeitung von personenbezogenen Daten, die ncht zur Auftragsabwicklung notwendig sind, nur mit einer (nachweisbaren)  Einverständniserklärung der betroffenen Person erlaubt. Das es sich bei einer IP (diese wird ohne Wissen des Besuchers deiner Webseite nicht anonymisiert und ohne Grund und nicht notwendig an Google übertragen) um personenbezogene Daten handelt, wurde in der Vergangenheit immer wieder von Gerichten festgestellt.

vor 9 Stunden schrieb wmunich:

Die Checkbox bei einem Kontakformular o.Ä. ist ja eigentlich nicht für den User gedacht sondern für mich als Nachweis, daß ich den User auf die Erklärung hingewiesen habe oder nicht? Und genau diesen Nachweis geht es doch?

So ganz habe ich den Teil deiner Frage nicht verstanden, Du möchtest also, daß derjenige, der über ein Kontaktformular mit die in Verbindung tritt über das Anklicken einer Checkbox bestätigt, daß du ihn auf die Datenschutzerklärung hingewiesen hast. Und du möchtest als Nachweis das Anklicken der Chekbox protokollieren? Richtig?

Das hat dann aber nichts mit der DSVGO zu tun, oder wo steht das, daß dies notwendig sei?

Oder fragst du in deinem Kontaktformular weitere Kundendaten ab, die zur weiteren Kommunikation mit dem Kunden  garnicht notwendig sind oder möchtest du die Daten anderweitig nutzen (newsletter)? Dann würde eine Checkbox mit dem Hinweis nicht ausreichen, du brauchst in diesem Fall eine Einwilligung des Kunden. Den Erhalt dieser Einwilligung müßtest du ggfs nachweisen können (aber wie?).

Grüsse
Whiley

 

 

Link to comment
Share on other sites

Hi Whiley,

erstmal Danke das Du versuchst hier Klarheit zu schaffen ;)

Das wenn ich google fonts, re-captcha, maps o.Ä. einbinde und somit google unter anderem die ip Adresse meines Besuchers erfährt ist mir schon bewusst. Abgesehen davon das der chrome mittlerweile so verbreitet ist und google damit meine Seite sicherlich nicht mehr benötigt um User Daten abzugreifen, kann es doch nicht sein das ich jetzt die fonts lokal einbinden muss. Bei eRecht/IT Kanzlei erzeugt der Datenschutzgenerator (schon klar die sind auch nicht allwissend) einen Absatz wo über die Verwendung der google fonts hingewiesen wird.

So gut wie jede zweite PS/WP Seite verwendet diese fonts und so gut wie keiner ist in der Lage das eigenständig - ohne Entwickler - zu ändern. Aber aus deiner Sicht muss das jetzt gemacht werden? Oder habe ich Dich da falsch verstanden?

Zwecks Checkbox, ja ich bin davon ausgegangen, oder hab das jedenfalls so verstanden das ich meiner Hinweispflicht nachweislich nachkommen muss. Dass der User der mich kontaktiert, sei es über das Kontaktformular oder anderweitigen Formularen über meine Datenschutzerklärung von mir informiert wurde. Bei protokolliert oder nachweislich dachte ich an einen Datenbank Eintrag. Abgesehen davon das dies auch Schwachsinn ist fällt mir aber keine andere Möglichkeit ein. Aber ehrlich gesagt liest man auch überall etwas anderes, aber schau z.B. mal hier www . lionbst.de/datenschutz-und-dsgvo/website-checkbox-im-kontaktformular-ja-oder-nein/

Danke und Gruß, Tom

PS: Warum muss das in D immer überzogen werden, in der Schweiz geht das doch auch ohne und in AT habe sie jetzt sogar das ganze wieder abgeschwächt.

Link to comment
Share on other sites

Hallo Tom,

über die Unsinnigkeit eines Datenbankeintrags als Nachweis für irgend etwas sind wir uns einig!

Ich habe mir deinen verlinkten Artikel durchgelesen und kann nur sagen, es wird wirklich viel Sinnvolles aber eben auch viel Unsinniges im Internet zum Thema geschrieben.

Der Autor (der auf der Seite seine kostenpflichtige Hilfe bei der Umsetzung anbietet) begründet seine Checkboxtheorie bei Kontaktformularen mit Art. 5 Abs. 2 DSGVO, den er selbst zitiert:

Der Verantwortliche ist für die Einhaltung des Absatzes 1 (Art. 5 Grundsätze) verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftflicht“)
Art. 5. Abs. 2 DSGVO

Nun die Nachweispflicht, wie das ja auch in Art5 Abs 2 steht bezieht sich auf Art 5 Abs. 1

Ich erspare mir den  kompletten Art. 5 Abs  1 hier zu zitieren -->Link zum Art 5 DSGVO

finde aber in dem Art. 5 keinerlei Bezug zum Thema! Die Mitteilungspflicht (was man mit den eingegebenen Daten macht) ergibt sich aus Art 13 DSVGO, alle Beiträge, die ich aus Rechtsportalen kenne, gehen davon aus, daß die Infos in die Datenschutzerklärung hineingehören, diese muß allerdings jederzeit aufrufbar sein.

Ich meine man sollte sich hier eher auf die Publikation entsprechender Fachanwälte verlassen!

Wahrscheinlich kannst du schon - wenn du das denn unbedingt willst - eine Checkbox dort einbauen - müßtest dann aber auf eine "vorsichtige" Formulierung achten also Worte wie "akzeptieren" oder "einverstanden erklären" vermeiden, daß wäre mit Sicherheit abmahnbar.

 

Ich habe gerade noch einen Podcast von dem Flensburger Anwalt Stephan Hansen-Oest (datenschutz-guru.de) entdeckt, der mir aus der Seele spricht:

https://www.datenschutz-guru.de/datenschutzhinweise-bei-der-registrierung-im-online-shop/

 

Grüsse
Whiley

 

 

Link to comment
Share on other sites

Hi Whiley,

danke noch mal für deine Zeit!

Den Podcast kenne ich schon, der ist richtig angefressen von dem Thema :)

Von "wollen" kann kein Rede sein, beim Kontaktformular ist das ja kein großer Akt aber ich betreue eine Seite die ca. 30 verschiedene Formulare hat und wenn ich das jetzt bei jedem durchziehen muss - darf garnicht daran denken. Das die Datenschutzerklärung jederzeit aufrufbar sein muss kann ich ja noch verstehen und das wäre auch kein großer Aufwand aber die "Rechenschaftspflicht" ist ein unding.

Ja gut kann mir nicht noch mehr § durchlesen wo ich eh nur die hälfte davon verstehe oder wie ich finde, es einfach Auslegungssache ist. Ich lass das jetzt und halte mich an diejenigen die keine Checkbox empfehlen und hoffe das @eleazar  damit Recht hat und das Thema noch mal durchdacht wird.

Danke und noch ein schönes Wochenende,

Tom

So btw hat gestern die IT Kanzlei verschickt: "Lassen Sie sich von der allgemeinen Panikmache (und auch der vielen Falschmeldungen in Bezug auf die DSGVO) nicht verunsichern!"

Link to comment
Share on other sites

Zitat

Ich halte die Änderungen der Fonts für äußerst wichtig, da dieser Link über einen sehr einfachen Crawler problemlos entdeckt werden kann.

Hätte vielleicht jemand der sich damit auskennt, lust eine Anleitung für die nötige Änderung zu schreiben? Mit dem Link von Dr MasterChief  https://google-webfonts-helper.herokuapp.com/fonts kann man sich den CSS Code und die Ordner erstellen lassen, nur leider hab ich keine Ahnung wie ich das einbinden soll. Wenn sich jemand findet, könnte man das vielleicht auch unter den Benutzerleitfäden posten, es betrifft ja doch einige Shops.

Sollte man dann besser auch das re-capatcha aus dem Kontaktformular wieder entfernen?

Danke

Edited by knecht2020 (see edit history)
Link to comment
Share on other sites

Hallo,

so schwierig ist das ändern der Webfonts nicht.  Unter dem Link lädst du dir die Schriften,  das was eingebunden werden soll wird dir ja auch schon angezeigt bzw. glaube ich das es im Download auch nochmal enthalten ist.  Sowas in der Art kommt für jede Schrift dabei raus:

/* abel-regular - latin */
@font-face {
  font-family: 'Abel';
  font-style: normal;
  font-weight: 400;
  src: url('../fonts/abel-v8-latin-regular.eot'); /* IE9 Compat Modes */
  src: local('Abel Regular'), local('Abel-Regular'),
       url('../fonts/abel-v8-latin-regular.eot?#iefix') format('embedded-opentype'), /* IE6-IE8 */
       url('../fonts/abel-v8-latin-regular.woff2') format('woff2'), /* Super Modern Browsers */
       url('../fonts/abel-v8-latin-regular.woff') format('woff'), /* Modern Browsers */
       url('../fonts/abel-v8-latin-regular.ttf') format('truetype'), /* Safari, Android, iOS */
       url('../fonts/abel-v8-latin-regular.svg#Abel') format('svg'); /* Legacy iOS */
}

Statt dem Link zu den Webfonts   fonts.googleapi....  passt du den Link für jede Schrift entsprechend an  und speicherst  die Font-Dateien natürlich lokal aufm Server,  wie oben angegeben wäre das halt einfach in  /fonts/ 

 

Wenn du das alles nicht möchtest,  passt du die Schriftart einfach auf eine Systemschriftart an,  die also jeder Browser/PC "kann" ohne das was geladen werden muss,  z.B. Arial, Courier, Tahoma, Helvetica  usw.  such mal selbst danach was da am besten passt und natürlich zu deinem Theme passt.  Schau auch mal nach CSS Web Safe Fonts .... und Tablets etc. dabei nicht vergessen.

Die größte Arbeit dabei ist wohl alle Links die zu fonts.googleapi....   führen, herauszufinden.  Das kleine Programm SearchMyFiles kann dabei helfen.

 

Am reCaptcha bin ich auch grade dran,  aber ich denke daß ich das drin lasse und entsprechend in der Datenschutzerklärung darauf hinweise  >  bzw.:   Ich mache mir für das Kontaktformular eine extra kleinere DSE, die dann den Hinweis zum reCaptcha beinhalten wird und ich weise vor dem absenden des Kontaktformulars einfach per Text auf diese DSE hin.  Der Hintergrund ist hier beschrieben und ich kann da nur zustimmen,   ich meine daß das aktuell die beste Lösung ist und genau die Anforderungen der DSGVO trifft:  https://www.prestashop.com/forums/topic/821283-cms-content-in-kontaktformular-einbinden-per-iframe-wegen-dsgvo/ 

Das ist sehr simpel und schnell eingefügt ins  contact-form.tpl   und wenn ich nicht ganz dumm bin beim lesen erfüllt es exakt die Anforderungen.  Zum Hinweis für reCaptcha findest du per Suchmaschinen schon sehr viel fertige Hinweise die du in deine DSE einbauen kannst. 

Google schrieb dazu ja, daß es DSGVO-konform ist und sich daran auch nichts ändert.  Wenn wir darauf hinweisen in der Art  "Hierfür gelten die abweichenden Datenschutzbestimmungen von Google Inc. Weitere Informationen zu den Datenschutzrichtlinien von Google Inc. finden Sie unter http://www.google.de/intl/de/privacy oder https://www.google.com/intl/de/policies/privacy/ "  sollte das passen.

 

zu guter Letzt noch was:  https://www.drweb.de/seitenbetreiber-bleib-ruhig-abmahnungen-dsgvo-risiko-check/

 

Edited by DRMasterChief (see edit history)
Link to comment
Share on other sites

Hallo Whiley

Leider gibt es keinen "Für oder Wieder", es ist alles sehr Eindeutig geregelt von Datenschutz bis Plugin muss alles Einwilligung eingeholt werden,

ja selbst für Plugins Braucht man eine Einwilligung, Das habe ich hier gelesen.

Quelle Artikel: Zeit-Online

wen ich mir vorstelle wieviele manche Prestashops Plugins installiert haben ...na dann Prost.

Aber, ich habe einen sehr schönen Beispiel auf einer seite gefunden wie es aussehen könnte.

Gehe auf HIERHIN Es erscheint ein Cookie Popup ,Nicht auf ok drücken sondern Rechts unter ok auf Details drücken es erscheint eine Tabelle mit allen angaben für die DSVGO.

 

Und Hier gibt es Kostenlosen DSVGO Generator beim Datenschutzbeauftragter ,

oder direkt zum Generator

Edited by SliderFlash (see edit history)
Link to comment
Share on other sites

Danke für deine Antwort, ich werde es einfach mal probieren. Wenn ich aus der  header.tpl den link zu google fonts herausnehme müsste doch eine Systemschrift dafür verwendet werden oder? Auch wenn diese dann vielleicht nicht zum Theme passt wäre doch so da Problem gelöst.

Link to comment
Share on other sites

Ich meine es könnte hilfreich sein sich die Verordnung selbst durchzulesen bzw darauf zu hören was die Rechtsanwälte zu dem Thema sagen als sich auf eine jounalistische Online-Publikation einer Tageszeitung zu verlassen.

Link to comment
Share on other sites

vor 9 Minuten schrieb Whiley:

Ich meine es könnte hilfreich sein sich die Verordnung selbst durchzulesen bzw darauf zu hören was die Rechtsanwälte zu dem Thema sagen als sich auf eine jounalistische Online-Publikation einer Tageszeitung zu verlassen.

 

Ja sicher auch das sowieso :)

Link to comment
Share on other sites

Brauche hilfe wegen Logfiles ,

welche von den Punkten Speichert Prestashop von hause aus im System egal ob User Registriert oder nicht. PSVersion1.6

Dieser Teil ist entsprechend anzupassen. Nicht zutreffende Daten sind zu entfernen, fehlende zu ergänzen.

  1. Informationen über den Browsertyp und die verwendete Version

  2. Das Betriebssystem des Nutzers

  3. Den Internet-Service-Provider des Nutzers

  4. Die IP-Adresse des Nutzers

  5. Datum und Uhrzeit des Zugriffs

  6. Websites, von denen das System des Nutzers auf unsere Internetseite gelangt

  7. Websites, die vom System des Nutzers über unsere Website aufgerufen werden

Edited by SliderFlash (see edit history)
Link to comment
Share on other sites

Sehe ich auch so, ich verlasse mich auf keine Dritten mehr die irgendwas vermuten.

Und ich glaube auch nicht das man jedes Modul des Shops auf der Datenschutz Seite auflisten muss. Wofür auch? Es muss nur aufgelistet werden wenn irgendwas mit den Kundendaten gemacht wird. wenn du ein Modul für Analytics nutzt, klar dann musst du das erwähnen. Hast du aber ein Modul um den Preis rot blinken zu lassen interessiert das niemanden. Und ich glaube auch nicht das man für alles explizit eine Einwilligung benötigt. Man muss den Kunden genauestens aufklären was mit seinen Infos passiert und man muss ihm auch die Möglichkeit geben das Google Tracking zu deaktivieren aber soweit ich da raus gelesen habe war es das auch.

Das ist gerade eine schwierige Phase, jeder der irgendeine Lösung hat meint das es DIE Lösung ist und alle anderen gucken es sich ab (Cookie Banner, super Beispiel) aber ob die Lösungen teilweise nicht vielleicht sogar schlimmer sind als es vorher war... Who knows.

Anwälte und Datenschutzbeauftragte sollten das wissen. Und auf deren Antworten warte ich definitiv.

Link to comment
Share on other sites

Von Privat oder nicht habe ich nicht geschrieben aber die DSGVO gilt für jeden gleich. Ob dein Kegelclub eine Website hat, deine Oma eine Fansite ihrer Katze oder ob dir Amazon gehört (wenn alles in der EU angesiedelt ist) macht keinen unterschied. Gehe ich auf die Fansite der Katze und dort wird ein Cookie geschrieben oder mein IP an Google per Analytics übertragen, hat das unter Datenschutz zu stehen.

Das ist ja noch einmal ein ganz anderes Problem, große Firmen können sich jetzt Datenschutzbeauftragte leisten die genau sagen was zu tun ist, einen Programmierer der das ganze umsetzt und alles ist gut. Aber was macht die Oma mit ihrer Fansite? Oder der kleine Dorfbäcker der eigentlich nur seine Angebote und Öffnungszeiten publik machen wollte? ALLE müssen die DSGVO umsetzen. Ohne Ausnahme.

Link to comment
Share on other sites

Beispiel, bei der Registrierung möchte der Kunde  Newsletter erhalten und hackt bei Newsletter ein.

Dem Kunden wird eine Bestätigungsmail geschickt in dem er/sie das Bestätigen mus das er/sie Newsmail erhalten möchte.

Frage:

ist das so bei Prestashop das bei Registrierung und Newsletter Abo im Bestätigungsmail ein Link für Newsletter Bestätigung gesendet wird oder kann man das irgendwo einstellen ?

Link to comment
Share on other sites

Hallo,

super das es diesen Thread gibt, der ein wenig als Fels in der Brandung fungiert ;)

Hätte noch zwei Punkte, bei denen ich mir jetzt noch nicht 100% sicher bin.
1. Muss mit Prestashop ein Vertrag zur Auftragsverarbeitung geschlossen werden? Ich vermute nicht, bin mir aber auch nicht 100% im Klaren, ob und wenn ja welche Daten an Prestashop gehen.

2. Wenn ich das mit den WebDev Tools richtig sehe, setzt unser Shop zwei Prestashop Cookies. Weiß zufällig jemand, was deren Inhalt ist? Bei Prestashop finde ich aber nur Erklärungen zu Cookies die auf deren Webseite genutzt werden.

Vielen Dank.

Link to comment
Share on other sites

 Hi Claudio,

1. Vertrag mit dem Serverhoster ist abgeschlossen. Aber dann hab ich ja hier richtig vermutet.
2. Was genau meinst du damit? Eventuell über den Klick auf das SSl Schloss und dann dort in den Informationen?

Gruß

Link to comment
Share on other sites

vor 23 Stunden schrieb TeilerD:

 Hi Claudio,

1. Vertrag mit dem Serverhoster ist abgeschlossen. Aber dann hab ich ja hier richtig vermutet.
2. Was genau meinst du damit? Eventuell über den Klick auf das SSl Schloss und dann dort in den Informationen?

Gruß

Ja, in den Seiteninfos kann man ja die Cookies anzeigen lassen, das wäre dann mal ein erster Ansatz.

Link to comment
Share on other sites

Also ich habe da jetzt mal eine ganz blöde Frage zum Thema DSGVO, weil mir von den ganzen Publikationen zum Thema langsam etwas schwindelig ist:

Im Bezug auf die umfangreichen Dokumentationspflichten nach Art. 30 Abs. 5 dürfte ja klar sein, dass es nicht so ist, wie Eleazar eingangs behauptete, nämlich, dass wir als "kleine" Shopbetreiber davon ausgenommen sind. Denn die Dokumentationspflicht gilt auch und gerade für Shopbetreiber, egal ob das Unternehmen weniger als 250 Mitarbeiter hat oder nicht.

Die Ausnahme von der Dokumentationpflicht gilt ja eben nur, wenn die Datenverarbeitung nur gelegentlich erfolgt. Genau das dürfte bei einem Onlineshop nicht der Fall sein!

Bei der Frage, wie diese Dokumentationspflicht auszusehen hat, stelle ich mich aber gerade etwas blöd an.

Ich habe die ganze Zeit gedacht, dass ich ich quasi für jeden meiner Kunden eine Datei anlegen muss, die

1. seine Zustimmung zur Datenverarbeitung dokumentiert (wenn ja, wie?) und

2. die Datenverarbeitung jedes einzelnen Kunden beschreibt und dokumentiert.

Nun habe ich versucht, das eine oder andere Muster für ein Verzeichnis der Verarbeitungstätigkeiten zu bekommen, um mir ein Bild von dem Aufwand zu machen. Dabei ist mir aufgefallen, dass dieses "Verzeichnis" eigentlich nichts anderes ist, als ein Dokument, das beschreibt, welche Art von Datenverarbeitung in welchem Umfang und von Wem in meinem Betrieb erfolgt. Dieses Dokument braucht aber, wenn ich es richtig verstanden habe, nur einmal angefertigt und zur Seite gelegt werden, denn an den Verarbeitungsprozessen ändert sich ja pro Kunde nichts. Es würde also keinen Sinn machen, für jeden Kunden ein und dasselbe Dokument immer wieder neu anzulegen und aufzubewahren.

Also habe ich die Dokumentationspflicht nun die ganze Zeit falsch verstanden und ich muss doch keine Kundendatei anlegen??

Oder wie ist das Ganze gemeint?

Sorry, wenn gerade dermaßen auf dem Schlauch stehe ...

Gruß Richie

Link to comment
Share on other sites

ICH denke es mir so:

Auf der Datenschutzseite musst du halt deine komplette Auflistung machen, welche Daten gehen an wen und wieso und überhaupt...

Wenn der Kunde zustimmt (falls wirklich richtig zugestimmt werden muss) denke ich mir das eine Excel-Tabelle reichen würde die dann erstellt wird und einfach auflistet wer, wann zugestimmt hat. Also quasi bei betätigen einer Checkbox (falls das wirklich nötig ist) wird einfach nur ein Timestamp gemacht.

Würde ja theoretisch bei Anmeldung im Shop reichen. Vorher werden ja keine Daten erhoben ausser evtl. IP die aber anonymisiert werden sollte. Und auch dafür gibt es dann ja einen opt-out Button um beispielsweise nicht mehr getrackt zu werden.

Also ich hätte es mir so gedacht das man bei Anmeldung (nicht Login) keine Checkbox hat sondern das dort steht das man sich bei Registrierung damit einverstanden erklärt. Dann hättest du den Timestamp der Anmeldung, der eh gemacht wird. Ein OK Dafür von unserer Datenschutzbeauftragten habe ich aber noch nicht.

Link to comment
Share on other sites

Ich denke, dass das letzte Wort noch nicht gesprochen ist und die Unklarheit des schwammigen Ausdrucks "not occasional processing", das nach Meinung vieler Überängstlicher die Verfahrendokumention selbst für Minishops zu fordern scheint,  dringend der Präzisierung durch die Rechtsprechung bedarf. Und so, wie es aussieht, wird dies auch stattfinden, denn länderübergreifend laufen viele Organisationen, Vereine und Verbände Sturm dagegen.

Es gibt jetzt ein weiteres Modul für schlappe 29 €, das die erforderlichen Dokumentationspflichten und sonstigen Auflagen sehr schön und übersichtlich  für alle Prestashop-Versionen ab 1.5 erledigt. Der Entwickler tuk66 kennt Prestashop in und auswendig und ist für seine solide Arbeit bekannt: M4 GDPR Compliance Toolkit

Das Modul ist sehr flexibel konfigurierbar und besticht durch eine kundenfreundliche Darstellung im Frontend. 

Link to comment
Share on other sites

vor 10 Stunden schrieb richie45:

Also habe ich die Dokumentationspflicht nun die ganze Zeit falsch verstanden und ich muss doch keine Kundendatei anlegen??

So ist es.

Es gibt überhaupt keinen Zweifel daran, daß jeder Onlineshop-Inhaber dieses Verarbeitungsverzeichnis der Veratbeitungstätigkeiten nach Art. 30 DSGVO führen muß. Daran wird sich auch nichts ändern, das ist ja einer der wenigen vernünftigen Bestimmungen der neuen Verordnung und bei dieser Aufgabe hilft dir auch kein GDPR-Toolkit.

Abmahngefahr besteht keine, Das Verzeichnis muß firmenintern vorliegen, bei Anforderung muß es der zuständigen Behörde vorgelegt werden, kann man das nicht, droht Bußgeld.

Mit irgendeiner Kundendatei hat das Ganze nichts zu tun.

Grüsse
Whiley

 

Link to comment
Share on other sites

Hallo,

so umfangreich ist es meistens nicht das Verarbeitungsverzeichnis anzulegen.  Man geht damit ja seine Schritte durch, was man vornimmt wenn ein neuer Kunde z.B. bestellt,  also wie wird der Auftrag erhalten, gespeichert, ggf. ins Büro in eine Wawi abgeholt, weitergegeben und bis dann beim Versand evtl. ein Mitarbeiter nochmal die Daten erhält (Versandschein, Packliste etc.).

Das ist eigentlich ein sinnvoller Vorgang, da man sich die Abläufe nochmal vor Augen führt,  manchmal dadurch merkt wo´s noch hakt und wo man ansetzen muss um die DSGVO zu erfüllen und wo ggf. noch Verträge eingeholt werden müssen.

Ich kenne einige die sich dafür einfach ein großes Blatt Papier genommen haben und erstmal angefangen haben alles zu notieren und immer wieder ergänzt haben.  Das ganze kann man dann auch so lassen, in Reinform bringen und fertig.  Verarbeitungsverzeichnis auf DIN A0  :) 

Ihr braucht bitte nicht eine Kartei zu machen wo jeder Kunde drinsteht mit Bestellung, e-mail-Kontakt oder sonstwas,  das wäre ja schrecklich und natürlich wäre sowas auch nicht zu machen wenn man richtig viele Kunden hat.

 

Ich hätte noch eine Frage zur Datenschutzerklärung im Onlineshop:  muss ich dort irgendwo angeben den Provider (mi Adresse etc.), der die Seite technisch hostet und die e-mails transportiert? 

Vor einigen Wochen waren dazu noch Infos online zu finden, jetzt finde ich irgendwie nichts mehr, wohl auch weil nun endgültig "das ganze Internet" mit DSGVO-Infos zugemüllt ist....  

 

Link to comment
Share on other sites

On 26.5.2018 at 1:43 AM, Whiley said:

Mit irgendeiner Kundendatei hat das Ganze nichts zu tun.

Schon klar, mich hatte nur der Begriff "Verzeichnis" irritiert.

Ein Verzeichnis ist, von der Begrifflichkeit her gesehen, eine Liste bzw. Auflistung der Verarbeitungstätigkeiten und ich hatte es so interpretiert, dass diese "Liste" auf die Gruppe der "Betroffenen", also die Kunden bezogen ist, da man ja irgendwie auch deren Zustimmung zur Datennutzung einholen und dokumentieren muss. Du schreibst ja selbst, dass dieses Verzeichnis von jedem Shopbetreiber "geführt" werden muss. Das klingt für mich nach einer fortlaufenden Tätigkeit und nicht nach einer einmaligen Aktion.

Mir stellt sich also immer noch die Frage, wie das mit der Zustimmung und Dokumentation funktionieren soll?

Manche sagen, man könne dies durch eine Art Buttonlösung bewerkstelligen, d.h. die Anmeldung im Shop oder auch im Kontaktformular, Blog etc. kann nur erfolgen, wenn der Kunde durch einen Klick der Datenschutzerklärung zugestimmt hat.

Andere wiederum sagen, dass das nicht nötig sei. Aber wie soll es denn dann funktionieren?

 

Gruß Richie

Link to comment
Share on other sites

  • 4 weeks later...
5 hours ago, SliderFlash said:

Ich glaube wer einen telefonservice anbietet oder sein Telefonnummer im shop für Kundenservice zur Verfügung stellt mus vorher auch eine ansage abspielen lassen was mit dem Daten die am Telefon genannt werden müssen (z.B Kunden Daten) passiert

Ist heute der 1. April oder hast du dafür seriöse Quellen?

Das wäre ja auch für Kunden unerträglich, wenn diese bei einem Anruf erst eine mehrere Minuten lange (und ggf. auch teure) Ansage über sich ergehen lassen müßten ...

Link to comment
Share on other sites

wen man größere firmen anruft hört man immer zuerst eine ansage was mit den Daten passiert, daher ist mir das eingefallen.

Wenn Kunde anruft musst du ja auch seine Daten fragen woher weist du sonst was der Kunde will, und das betrifft ja dsgvo weil du die Daten verlangst.

Du musst eine aufnahme erstellen in dem erklärt wird ob die Daten gespeichert werden oder nicht, wenn ja wo wofür und wie lange.

Als Beispiel wie so eine Ansage sich anhört (nur einer von vielen)

rufe mal DHL an und hör dir die Ansage an Kundenservice DHL Paket: + 49 (0) 228 4333112

Edited by SliderFlash (see edit history)
Link to comment
Share on other sites

Wenn mich jemand anruft und Informationen über ein Produkt haben möchte, frage ich ihn nicht nach persönlichen Daten, sofern er sich nicht deutlich mit Namen meldet und seine Telefonnummer unterdrückt, ist er völlig anonym.

Gerade mal DHL ausprobiert, da kommen 10 Sekunden reine Werbung und 20 Sekunden Info über Datenspeicherung. Wenn das wirklich vorgeschrieben ist, weiß ich nicht, wohin das führen soll, das nervt und fördert nur die Ablehnung der EU.

Link to comment
Share on other sites

vor einer Stunde schrieb rictools:

Wenn das wirklich vorgeschrieben ist, weiß ich nicht, wohin das führen soll, das nervt und fördert nur die Ablehnung der EU.

 

Ich weiss es auch nicht ob das vorgeschrieben ist , ich wollte nur darauf hinweisen , wehre aber gut wen man das klären würde.

Aber mir ist aufgefallen das selbst Behörden Hotlein darauf hinweisen auf Datenschutz.

Wen du eine Behörde anrufst da Labert auch eine Aufnahme wegen Datenschutz.

Edited by SliderFlash (see edit history)
Link to comment
Share on other sites

vor 13 Stunden schrieb rictools:

Ich habe ein wenig gegoogelt und recht wenig gefunden, vor allem Anbieter von professionellen Telefonansagen, wo aber auch erwähnt wird, das das Thema rechtlich völlig unklar ist.

Unter Daten erhebung Art. 13 DSGVO

https://dsgvo-gesetz.de/art-13-dsgvo/

Hier ein Beispiel, Hör dir das Podcast an auf der seite an.

https://www.datenschutz-notizen.de/telefonieren-unerwuenscht-informationspflichten-nach-der-dsgvo-3720111/

Edited by SliderFlash (see edit history)
Link to comment
Share on other sites

14 minutes ago, SliderFlash said:

Unter Daten erhebung Art. 13 DSGVO

https://dsgvo-gesetz.de/art-13-dsgvo/

Darin stehen eben keine näheren Auslegungen. Wenn eine Vorabinformation per Telefonansage tatsächlich erforderlich sein sollte, dann würde eine 20-Sekunden-Ansage nicht reichen, diese würde mehrere Minuten dauern und wäre aufgrund der Informationsfülle unzumutbar für den Anrufer, niemand ist in der Lage, soviel Sprach-Information mit Adressen etc. in so kurzer Zeit zu erfassen. Und das müßten auch Bestandskunden über sich ergehen lassen (das dürfte bei Hotlines die große Mehrheit sein), die über die Informationen bereits verfügen und deshalb gar nicht mehr informiert werden müssen.

Und für formlose E-Mails, die Firmen erhalten sowie für Briefe müßte das dann auch gelten (man müßte dann z. B. den Kunden erst schriftlich informieren und dürfte den Brief erst anschließend öffnen oder sich überhaupt die Absenderadresse anschauen, was praktisch unmöglich ist).

Klar dürfte sein, daß man die so erhaltenen Daten nicht einfach zu Werbezwecken etc. verarbeiten darf. Und nachvollziehen kann ich es, wenn man einen Anrufer, der etwas telefonisch bestellen möchte, dann zumindest kurz auf die Datenverarbeitung hinweisen muß z. B. verbunden mit der Frage, ob er nähere Informationen dazu wünscht.

Link to comment
Share on other sites

  • Whiley changed the title to DSGVO - Allgemeine Diskussion

[OFF TOPIC] **************************************************

Beim Versuch Teile eines threads ("Erste DSGVO-Abmahnungen") die sich nicht mit Abmahnungen beschäftigt haben hier in diesen allgem. thread zu verschieben wurden nun beide threads komplett zusammengefasst und ich bekomme sie momentan nicht mehr getrennt.

Dazu muß man sagen, daß die Forensoftware seit Monaten "bearbeitet und verbessert" wird. Das dafür zuständige "Team"  überrascht  allerdings mit immer neu eingabauten Fehlern.

Auch unsere Moderatoren-Arbeit leidet stark darunter!

Falls die Forensoftware dies zulässt werde ich den thread natürlich wieder splitten.

[/OFF TOPIC] **************************************************

Grüsse
Whiley (Moderator)

 

EDIT: threads sind wieder gesplittet!

Link to comment
Share on other sites

  • Whiley pinned this topic

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...