Neu DSGVO der neueste Streich der EU-Technokraten

[wawi-dl]

... ... aber wohl erst Mitte 2018 ...

nö

 

[albi123]

nö

Scheit ein allgemeines Problem zu sein. Alle wissen dass sie was machen müssen aber keiner weiß so richtig was.
Zumindest kam bisher nichts konkretes.

 

[wawi-dl]

Gibt noch mehr solche Regelungen die kaum einer kennt.

 

[MichaelH]

ist zwar nur für Österreich, die Unterschiede sind aber gering.
Hier könnt ihr mal checken was ihr alles tun müsst: https://dsgvo.wkoratgeber.at/

Alles durchgehen, Infos / Begriffe gibt es bei den "?" zum Nachlesen und am Ende erhält ihr eine Zusammenfassung mit to-do Liste und diversen Links zum Nachlesen und Ablage als PDF.

Es geht wirklich um alle personenbezogenen Daten. Wichtig ist der Unterschied z.B. bei externer Buchhaltung und Lohnverrechnung, dass dies was ganz anderes ist als Datenweitergabe zu DPD, DHL & Co, denn diese Daten werden weitergegeben zur Auftragserfüllung des Kunden, also zur Abwicklung der Bestellung. Während aber ein Inkasso wiederum nicht Teil des Auftrages ist und wie ein externer Buchhalter zu sehen ist, womit man dafür einen Vertrag benötigt lt. DSGVO. Im Vertrag selber geht es darum, dass der Partner zusichert die Daten eben entsprechend der DSGVO zu handhaben.
DSGVO beinhaltet auch so was wie Backup und Ausfallsicherheit, denn auch das ist ein Teil der Datensicherheit, also die Daten müssen gesichert und zugänglich gehalten werden für den gesamten Zeitraum des DSGVO und danach müssen diese gelöscht werden - auch Kundenkonten, Bestellungen, etc. - gelöscht heißt gelöscht. Ausgenommen es gibt Fristen zur Aufbewahrung die etwas anderes verlangen (z.B. Bauunternehmer mit 30 Jahresfrist). Anonymisierung ist eine Alternative zur Löschung z.B. für statistische nicht personenbezogene Auswertungen, das gilt aber nicht für den Kundenstamm an dem die Daten dranhängen oder Adressdaten in der Rechnung.
Grundsätzlich muss man die Daten schon von Anfang an auf das Minimum reduzieren, so ist im Online-Handel die Frage nach dem Geburtsdatum nicht erlaubt, aber man darf fragen über 18 oder nicht oder ähnlich, das genaue Datum ist aber nicht erforderlich, weil es eben nicht notwendig ist und über das Minimum hinausgeht.
So muss jeder prüfen was für sein Geschäft nötig und erlaubt ist.

Das DSGVO ist also "umfassend", richtet sich zwar gegen die Großen (Google, Facebook, Amazon & co.), aber der Kleine muss es eben auch erfüllen. Dient also zum Schutz des Konsumenten, also auch uns selbst.

Prüfung der Umsetzung / Strafe: Erfolgt vermutlich nur im Anlassfalle = Beschwerde von Konsumenten oder Kunden oder ggf. Abmahnungen. Heißt also, wer DANN nichts hat, zieht die Arschkarte.

 

[holzpuppe]

Grundsätzlich muss man die Daten schon von Anfang an auf das Minimum reduzieren, so ist im Online-Handel die Frage nach dem Geburtsdatum nicht erlaubt, aber man darf fragen über 18 oder nicht oder ähnlich, das genaue Datum ist aber nicht erforderlich, weil es eben nicht notwendig ist und über das Minimum hinausgeht.
So muss jeder prüfen was für sein Geschäft nötig und erlaubt ist.

Da stell ich mir doch die Frage wie man Artikel die einem Mindestalter unterliegen anbieten darf? Erst mit dem Postboten mit einer Altersprüfung? Der wird aber auch im Zweifel das komplette Datum überprüfen müssen. (Jaja. Wenn ne schrumpelige alte Frau die Tür aufmacht, eher seltener.)
Ansonsten schade, ist eigentlich eine nette Statistik, um Überhaupt zu wissen wer die Zielgruppe ist, oder welche Altersgruppe bei einem einkauft.

 

[holzpuppe]

Aber hey. Wenigstens hört der Cookie-Bannermist auf. Und der extra Haken für Tracking Tools.
Ab da wird Google Analytics so wenig wie noch nie an verwertbaren Daten ausgeben. (Abhängig von den Voreinstellungen der Browser. Ich denke mal in Opera wird alles ausgeschaltet sein, Firefox 50%. Und in Edge muss der User wie gewohnt alles selbst ausschalten müssen. Und Google Chrome hat irgendwelche Schlupflöcher. )
Mal schauen wie "fit" die Browser bis dahin sind. xD

Nachtrag: Und man "darfmuss" bestimmt die Banner und Links zum Ausschalten der Analyticverfolgung entfernen, weil es mit Sicherheit abmahnfähig wäre.

 

[MichaelH]

Alter: Nein, das genaue Datum ist nicht wichtig, sondern die Angabe ob man das entsprechende Alter hat oder nicht. Und dafür braucht man eben kein Datum. So ist das gemeint.
Cookie: Weiß ich nicht. Vermute aber dass sich hier nichts ändert.
Analytics: Soweit ich weiß ist das schon heute abgedeckt, da Google die DSGVO erfüllen muss und nicht du. Du musst nur darauf hinweisen, wie auch heute schon.

So kann das dann aussehen:

Erklärung zur Informationspflicht
(Datenschutzerklärung)
Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. Wir verarbeiten Ihre Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, TKG 2003). In diesen Datenschutzinformationen informieren wir Sie über die wichtigsten Aspekte der Datenverarbeitung im Rahmen unserer Website.

Kontakt mit uns
Wenn Sie per Formular auf der Website oder per E-Mail Kontakt mit uns aufnehmen, werden Ihre angegebenen Daten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen sechs Monate bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.

Datenspeicherung
Wir weisen darauf hin, dass zum Zweck des einfacheren Einkaufsvorganges und zur späteren Vertragsabwicklung vom Webshop-Betreiber im Rahmen von Cookies die IP-Daten des Anschlussinhabers gespeichert werden, ebenso wie Name, Anschrift, Telefonnummer und Mailadresse des Käufers und dessen Lieferadresse sofern abweichend.

Darüber hinaus werden zum Zweck der Vertragsabwicklung folgende Daten auch bei uns gespeichert: Angaben über Mail, Texthinweis zur Bestellung.
Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können wir den Vertrag mit Ihnen nicht abschließen. Eine Datenübermittlung an Dritte erfolgt nicht, mit Ausnahme der Übermittlung der Kreditkartendaten an die abwickelnden Bankinstitute / Zahlungsdienstleister zum Zwecke der Abbuchung des Einkaufspreises (sofern sie diese Zahlungsart wählen), an das von uns beauftragte Transportunternehmen/Versandunternehmen zur Zustellung der Ware sowie an unseren Steuerberater zur Erfüllung unserer steuerrechtlichen Verpflichtungen.

Nach Abbruch des Einkaufsvorganges werden die bei uns gespeicherten Daten gelöscht. Im Falle eines Vertragsabschlusses werden sämtliche Daten aus dem Vertragsverhältnis bis zum Ablauf der steuerrechtlichen Aufbewahrungsfrist (7 Jahre) gespeichert.
Die Daten Name, Anschrift, gekaufte Waren und Kaufdatum werden darüber hinaus gehend bis zum Ablauf der Produkthaftung (10 Jahre) gespeichert. Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit a (Einwilligung) und/oder lit b (notwendig zur Vertragserfüllung) der DSGVO.

Cookies
Unsere Website verwendet so genannte Cookies. Dabei handelt es sich um kleine Textdateien, die mit Hilfe des Browsers auf Ihrem Endgerät abgelegt werden. Sie richten keinen Schaden an.

Wir nutzen Cookies dazu, unser Angebot nutzerfreundlich zu gestalten. Einige Cookies bleiben auf Ihrem Endgerät gespeichert, bis Sie diese löschen. Sie ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.

Wenn Sie dies nicht wünschen, so können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie dies nur im Einzelfall erlauben.

Bei der Deaktivierung von Cookies kann die Funktionalität unserer Website eingeschränkt sein.

Web-Analyse
Unsere Website verwendet Funktionen des Webanalysedienstes … [Name des Tools und Firma des Anbieters samt Unternehmenssitz einschließlich Information, ob Daten an ein (außereuropäisches) Drittland übertragen werden]. Dazu werden Cookies verwendet, die eine Analyse der Benutzung der Website durch Ihre Benutzer ermöglicht. Die dadurch erzeugten Informationen werden auf den Server des Anbieters übertragen und dort gespeichert.

Sie können dies verhindern, indem Sie Ihren Browser so einrichten, dass keine Cookies gespeichert werden.

Wir haben mit dem Anbieter einen entsprechenden Vertrag zur Auftragsdatenverarbeitung abgeschlossen.

Ihre IP-Adresse wird erfasst, aber umgehend (z.B. durch Löschung der letzten 8 Bit) pseudonymisiert. Dadurch ist nur mehr eine grobe Lokalisierung möglich.

Die Beziehung zum Webanalyseanbieter basiert auf „Privacy Shield“.

Die Datenverarbeitung erfolgt auf Basis der gesetzlichen Bestimmungen des § 96 Abs 3 TKG sowie des Art 6 Abs 1 lit a (Einwilligung) und/oder f (berechtigtes Interesse) der DSGVO.

Unser Anliegen im Sinne der DSGVO (berechtigtes Interesse) ist die Verbesserung unseres Angebotes und unseres Webauftritts. Da uns die Privatsphäre unserer Nutzer wichtig ist, werden die Nutzerdaten pseudonymisiert.

Newsletter
Sie haben die Möglichkeit, über unsere Website unseren Newsletter zu abonnieren. Hierfür benötigen wir Ihre E-Mail-Adresse und ihre Erklärung, dass Sie mit dem Bezug des Newsletters einverstanden sind.

Sobald Sie sich für den Newsletter angemeldet haben, senden wir Ihnen ein Bestätigungs-E-Mail mit einem Link zur Bestätigung der Anmeldung.

Das Abo des Newsletters können Sie jederzeit stornieren. Senden Sie Ihre Stornierung bitte an folgende E-Mail-Adresse: xyz. Wir löschen anschließend umgehend Ihre Daten im Zusammenhang mit dem Newsletter-Versand.

Ihre Rechte
Ihnen stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch zu. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist dies die Datenschutzbehörde.

Sie erreichen uns unter folgenden Kontaktdaten:
....

 

[holzpuppe]

https://www.onlinehaendler-news.de/recht/rechtsfragen/29385-dsgvo-9-cookies.html

Der letzte Absatz.

 

[Shop-Schmied]

Da stellt sich mir die Frage ob das gröbste heute schon per Workflow regelbar ist. Für die Kundendaten bedeutet das folgendes benötigt wird:
Erstelldatum bzw. Datum des letzten Einkaufs/Datenänderung
Um daraufhin bei überschreiten der Aufbewahrungsfrist eine Löschung der Kundenbezogenen Daten in der Shopdatenbank und Wawi anzustoßen.

Wir sind ja noch nicht lange dabei... Hat das schon jemand so oder ähnlich automatisiert?

 

[wawi-dl]

Von einer Löschung per Workflow rate ich ab, da die "Workflow-Queue" unendlich lange wird, da diese "Workflow-Jobs" ja gesammelt und nach X-Zeit abgearbeitet werden.

Es muss eine Datenbereinigung implementiert werden, direkt in der " JTL-Wawi Datenbankverwaltung".

 

[albi123]

@Shop-Schmied

Bei JTL ist das Thema seit einiger Zeit in der Umsetzung und wir werden die Anforderungen auch erfüllen.

Ich schätze JTL ist da dran und wird bis Mai wohl auch dafür eine Lösung implementieren.

 

[exe]

@Shop-Schmied
Ich schätze JTL ist da dran und wird bis Mai wohl auch dafür eine Lösung implementieren.

JTL wird entsprechende "Schalter" anbieten, womit man aber nicht automatisch DSGVO-Konform ist.

 

[Papierhaus]

ich nutze zur Zeit noch den 3er Shop, werde ich auf den 4er updaten müssen, oder wird auch der 3er in einer Version angeboten werden die DSGVO konform ist?

 

[wawi-dl]

Eigentlich ist 3er tot in Sachen Support ... man sollte sich mal darauf einstellen auf 4 zu wechseln.

@exe
Vielleicht kannst du eine Info dazu geben?

 

[MichaelH]

@wawi-dl ,,, und verwendet selber einen 3er Shop ...

 

[wawi-dl]

Jepp, ich hab mich schon drauf eingestellt, dass ich updaten muss ... daher habe ich Subscription schon lange abgesetzt

 

[exe]

@wawi-dl Ich kann nicht über noch nicht gelegte Eier sprechen und vor allem nicht aus anderen Abteilungen - die würden mich nicht nur lynchen ...

Das einzige was ich sagen kann ist, das wir das Thema auf dem Schirm haben und daran arbeiten. Ich habe Angst davor das man glaubt, wenn wir einen DSGVO konformen Shop und Wawi vorstellen, das man als Händler damit allein schon konform sei - das ist man dann definitiv nicht.

 

[wawi-dl]

Das ist schon klar, es ging nur darum zu erfahren, ob ein Update auch für den 3er Shop noch folgen wird.
Dann soll doch bitte ein Kollege dazu evtl. ein Statement abgeben.

 

[SaR]

Was ich zur Konzepterstellung in Sachen DSGVO empfehlen kann, ist die Seite www.temt.at. Bin zufällig durch eine Bekannte darauf gestoßen. Der Mann - zertifizierter Datenschutzbeauftragter - bietet sein eigenes Konzept als "Lernhilfe" im PDF-Format an (Startseite, 1.Datenschutz, Link im ersten Absatz).

Wer sich ernsthaft die 38 Seiten durchackert, kann sich organisatorisch und technisch schon mal sehr gut vorbereiten bzw. wird die Materie DSGVO viel besser verstehen. Dinge, wie eine richtig gestaltete Datenschutzerklärung im Webshop, sind nur die Endprodukte der innerbetrieblichen Umsetzung.

 

[holzpuppe]

Seit ein paar Tagen gibt es auch einen Leitfaden des Händlerbundes: https://www.haendlerbund.de/de/downloads/ebook-dsgvo.pdf