Neu DSGVO der neueste Streich der EU-Technokraten

[Papierhaus]

Ich habe gerade die folgende Info bezüglich des 3er Shops von JTL erhalten:
der Shop 3 erhält wohl keine Funktionsupdates mehr, denn dieser ist ja bereits veraltet und es gibt nur noch Sicherheitsupdates.
Die entwickler geben dem Shop 4 entsprechend die aufmerksamkeit, auch was die Kommenden voraussetzungen angeht bezüglich DSGVO .

 

[boeco-gmbh]

Hi,
ein paar Gedanken.

Wir sind natürlich auch von diesem Thema betroffen. Ich lese auch schon eine weile Informationen aus allen möglich Quellen. Was mir ehrlich gesagt am meisten Kopfzerbrechen bereitet ist, daß wir als Shop Betreiber nicht wirklich wissen was der Shop und die Wawi mit den Daten macht. Ich habe natürlich in erster Linie eine Informationspflicht gegenüber dem Kunden. Wenn ich dem Kunden schreibe das unser System die Daten hier und da und dort speichert und am besten mit welchem Verschlüsselungsalgorithmus sie gesichert sind, bin ich ja erstmal auf der sicheren Seite. Das Problem ist, daß ich diese Informationen sehr wahrscheinlich von JTL nie bekommen werde. Wie soll ich sicherstellen, das die Kundendaten aus einer Sicherheitkopie, die JTL sicher von ihren Servern macht, gelöscht werden? Welche Daten speichert der Shop genau und wo?
Kann der root admin von JTL die Daten lesen oder nicht. Ich denke das wir als Unternehmen nur dann eine rechtskonforme Datenschutzerklärung anfertigen und gegenüber dem Kunden auch vertreten können, wenn unser Systembetreiber uns alle relevanten Daten zur Verfügung stellt.

Ich kann selbstverständlich ein Verarbeitungsverzeichnis anlegen mit größter Sorgfalt pflegen und trotzdem abgemahnt werden, wenn irgendjemand von der Shopbetreiberfirma Zugang zu den Daten hatte und ich wusste nichts davon. Ginge es nur um Word Dokumente die ich geschützt auf unseren PCs speichere, kann ich in einem Verarbeitungsverzeichenis natürlich alle Personen aufführen die damit arbeiten müssen.

Was denkt ihr darüber?

Robert

 

[david]

Hey Robert, ich denke du musst deinen Kunden weder erklären, in welchen Tabellen des Shops oder der Wawi personenbezogene Daten gespeichert werden, noch mit welchem Verschlüsselungsalgorithmus diese ggf. arbeiten. Was soll ein Kunde damit anfangen?
Wawi und Shop speichern Bestelldaten zur Auftragsverarbeitung in ihren Datenbanken. Zwischen den beiden Systemen findet Kommunikation über den Webshopabgleich statt. Es werden auf beiden Seiten auch E-Mails versendet. Ggf. kommen bei dir auch Plugins oder Erweiterungen zum Einsatz, welche personenbezogene Daten weiterverarbeiten.
Wenn du HTTPS/TLS für sämtliche Kommunikationswege nutzt (Wawi-Webshopeinstellungen, E-Mail-Einstellungen usw.), dann werden diese Daten sicher nach Stand der Technik übertragen.

Dass Systemadministratoren sich theoretisch sämtliche Befugnisse selbst erteilen können, ja das ist so - ganz egal mit welchem System du arbeitest.
Was du aber machen kannst: Gib keine Admin-Zugänge weiter und schränke den Personenkreis mit Admin-Rechten auf einen sehr kleinen Kreis ein.
Für Support-Zwecke erstelle eingeschränkte Zugänge bzw. entferne diese Zugänge nach Erledigung auch wieder.

Zur Erstellung einer Datenschutzerklärung würde ich dir empfehlen, dich an einen entspr. versierten IT-Recht-Partner zu wenden.

 

[Thomas]

Hi David,

im Zusammenhang mit der DSGVO würde mich interessieren, wann mit einem Double-opt in Verfahren bei bei der Funktion, "Benachrichtigen, wenn Artikel verfügbar" zu rechnen ist. Laut it-recht kann ich die aktuelle Version nicht einsetzen.
Für uns ist diese Funktion sehr wichtig. Allerdings stellt sich die Frage, ob diese Benachrichtigung vom Kunden mit dem Double-opt in Verfahren überhaupt noch benutzt wird.

Grüsse
Thomas

 

[david]

Hey Thomas,
das Thema Double-Opt-In für die Benachrichtigen-Mail-Funktion wurde letzte Woche im Issuetracker aufgenommen, wir haben es nun auf dem Schirm: https://issues.jtl-software.de/issues/SHOP-2240

 

[NewBuy]

Hallo,

da ja auch JTL Daten von unseren "Kunden" bearbeitet kommt die Frage von meinen Chef, ob JTL einen "Datenschutzverarbeitungsvertrag" zur Verfügung stellt?

 

[david]

Hallo,

da ja auch JTL Daten von unseren "Kunden" bearbeitet kommt die Frage von meinen Chef, ob JTL einen "Datenschutzverarbeitungsvertrag" zur Verfügung stellt?

Auftragsdatenverarbeitungs-Verträge für unsere Kunden sind in Arbeit, wie ich soeben erfahren habe. Hilft das erstmal weiter?

 

[NewBuy]

Ja danke

 

[schnitzel]

Servus...

ja danke,

könnt Ihr schon sagen ob diese dann per mail automatisch
kommen oder wo der ggf. der Download wäre....

 

[SaR]

Eine kleine Hilfe für Interessierte. Vor ein paar Tagen habe ich eine Schulung von www.consult24.at besucht. Dabei wurde die "DSGVO APP" der Firma www.dsgvoapp.at vorgestellt und geschult.

Vorweg - obwohl ich mich bereits seit einigen Monaten mit der DSGVO auseinandersetze, haben die von mir vorgefundenen Informationen eher für mehr Verwirrung, denn für Erleuchtung gesorgt. Erst seit der Schulung, auch wenn es "nur" ein Crashkurs war, ist bei mir das richtige Licht angegangen.

Erkenntnisse:

• No1: selbst wenn der Betrieb noch so klein ist, es ist ein Haufen Arbeit, ein brauchbares Datenschutzkonzept zu erarbeiten (das auch fürderhin gepflegt sein will).
• No2: Die vorgestellte App-Lösung hilft einem zumindest, nichts Wesentliches zu vergessen und ein gut strukturiertes Konzept aufzubauen.
• No3: es genügt eine einzige Datenanfrage von einem böswilligen Kunden, Mitarbeiter, Mitbewerber oder Rechtsanwalt, damit es kostspielig wird.

Ganz besonders Webshop-Betreibern möchte ich daher anraten, die DSGVO ernst zu nehmen. Es gibt praktisch noch keine Judikatur und die DSGVO ist schwammig formuliert. Ich glaube nicht, dass Ihr die Judikatur mitfinanzieren wollt...

 

[MichaelH]

No3

Ganz so extrem ist es nicht.

In welcher Frist ist die Auskunft zu erteilen?
Der Verantwortliche hat den Antrag unverzüglich zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Beantwortung des Antrages komplex und liegen mehrfache Anträge vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).
Lehnt der Verantwortliche die Auskunftserteilung ab, hat er dies der betroffenen Person spätestens binnen eines Monats mitzuteilen.

 

[SaR]

@MichaelH - klar, ich meine selbstverständlich wenn man dabei was falsch macht. Fristversäumnis, schlechte/falsche Auskunft usw., weil man es nicht besser wusste

 

[MichaelH]

Man darf also davon ausgehen dass man mind. bis Juli/August Zeit hat alles fertig zu machen und auch bei anderen "abschauen" kann. Ich erwarte mir schon bald auf Branche (Online- Shop) zugeschnittene Vorgangsweisen und Muster an denen man sich orientieren kann, also spezifischer als aktuell.

 

[schnitzel]

ich finde auch das es nicht ganz einfach ist oder mal eben so erstell ist... wenn eine Anfrage kommt.

Daher fände ich eine Info von JTL ganz gut wie der Stand ist... was, wie und wielange genau auf den Severn gespeichert wird.
Da wir selber ja dokumentieren müssen wer wann welche Daten und wieso erhält...

 

[SaR]

@schnitzel - Was JTL betrifft - die Datenverarbeitung erfolgt jeweils nach dem Prinzip von "Treu und Glauben". JTL wird gem. Art. 28 DSGVO (https://www.jusline.at/gesetz/dsgvo/paragraf/28) für seine Hostingkunden und für den lokalen Zugriff im Supportfall einen Vertrag als "Auftragsdatenverarbeiter" vorlegen. Der Kunde darf sich also per Gesetz darauf verlassen, dass JTL die für dieses Unternehmen geltenden Vorschriften und Richtlinien einhält. Der JTL-Kunde muss jedoch in der Datenschutzerklärung, allenfalls auch in seinen AGB, JTL als Auftragsdatenverarbeiter anführen.

@MichaelH - was Du Dir wünschst wird es bis auf weiteres nicht geben. Abschauen nützt auch nichts, da Du nicht weißt, ob es der andere richtig macht. Schaust Du bei einem "Großen" ab, stimmt es garantiert nicht. Zu unterschiedlich ist der Aufbau von Firmen. Aber Du kannst Dir ja mal die 14-Tage-Testversion von dsgvoapp.at herunterladen. Anhand von Beispielen werden in der App Vorgangsweisen behandelt. Löschen, ändern, hinzufügen in den einzelnen Abschnitten ist dann kein Problem mehr

 

[MichaelH]

Ja, das gibt es aber auch kostenlos: https://dsgvo.wkoratgeber.at/
Oder was ist der genaue Unterschied ?

Ich sage ja nicht man soll nichts tun, aber man hat noch ausreichend Zeit und auch von JTL kommt noch Information und auch Information von z.B. Hostern - Hetzner hat einen Teil der Arbeit schon erledigt (liegt mir vor) und der Rest von Hetzner kommt noch. All-inkl hat noch gar nichts gemacht.
Also man sieht - auch die Großen lassen sich Zeit ... ... und man sollte nicht in Panik verfallen oder sich zu früh mit Kosten belasten die dann umsonst sind - denn wie schon erwähnt, selbst wenn man sich einen Fachmann nehmen wollen würde, so viele Fachmänner wie es aktuell benötigen würde gibt es gar nicht.

Ich erwarte mir für Shop-Betreiber spezifischere Information im Sinne einer
To-Do Liste
Formularvorlagen
Sichherheitsvorlagen
Änderungen für den Shop

denn letztlich machen fast alle das Gleiche (inkl. Mitarbeiter, Buchhaltung, Externe Server, Inkasso, Zahlungsanbieter, Versanddienstleister, etc.)!

Wenn ich aktuelle Info lese dann werden immer alle Möglichkeiten / Varianten aufgeführt womit das Ganze fast undurchschaubar wird, weil man sich mit Vorgaben befasst von denen man tatsächlich gar nicht betroffen ist und ich mir denke da hat wieder mal einer alles zusammenfasst ohne es wirklich zusammenzufassen, also, es steckt kein Mehrwert dahinter, sondern es ist nur eine komplexe Reduktion.
Somit: Ziel verfehlt.

 

[SaR]

@MichaelH - der Ratgeber der WKO ist eine Hilfe, aber keine Arbeitsanleitung. Alleine um die Fragen richtig zu beantworten, braucht es schon nähere Kenntnisse der DSGVO - Begriffsbestimmungen etc. Ich habe den Ratgeber gerade mit einfachen Situationen (überwiegend JA bzw. positiv) durchgespielt und erhalte am Ende auch nur die Standard-Musterdokumente und das Anraten, mich mit der Fachabteilung in Verbindung zu setzen. So gesehen kein Vergleich mit der App.

Was Du baw. erwarten kannst, sind Verträge Deiner Vertragsdatenverarbeiter (Hoster, Steuerberater etc.). Für Dein bzw. das nötige Verständnis, wie Du die DSGVO in Deinem Unternehmen umsetzt, musst Du als Verantwortlicher selbst sorgen. Denn Du entscheidest, welche Anwendungen im Unternehmen personenbezogene Daten (PBD) und in welchem Ausmaß verarbeiten, wie Deine Mitarbeiter mit PBD umgehen, welches das erforderliche Minimum von PBD für z.B. Vertragserfüllung sind usw. Darum versuchen z.B. die Informationsanbieter auch, Dir als Betroffener möglichst viele Antwortvarianten anzubieten, damit Du nichts auslässt. Einarbeiten musst Du Dich allerdings selbst. Kann Dir niemand abnehmen

Ich verstehe schon, Du wünschst Dir, was sich wohl die Meisten wünschen. Ein Bausteinsystem, wo Du Dir die benötigten Module zusammenklicken kannst und nur noch Deine Daten einträgst. Das wird es jedoch noch einige Zeit nicht spielen, da sicher niemand die Haftung dafür übernehmen will. Das sagt man Dir übrigens auch auf jeder seriösen Schulung - die Schulung ersetzt keine Rechtsberatung!

 

[MichaelH]

Mir sagt das vor allem Eines: Diejenigen die schulen haben keinen Plan, denn wer einen Plan hat der kann auch reduzieren und vereinfachen auf das Nötige !
Das sind m.E. keine Analytiker und Strukturierer sondern Verkomplizierer.

"Denn Du entscheidest, welche Anwendungen im Unternehmen personenbezogene Daten (PBD) und in welchem Ausmaß verarbeiten, wie Deine Mitarbeiter mit PBD umgehen, welches das erforderliche Minimum von PBD für z.B. Vertragserfüllung sind usw. Darum versuchen z.B. die Informationsanbieter auch, Dir als Betroffener möglichst viele Antwortvarianten anzubieten, damit Du nichts auslässt."

Falsch - das entscheide nicht ich, sondern das ist in der DSGVO vorgegeben.
Falsch - Antwortvarianten braucht es nicht, weil es vorgegeben ist, wenn dann ist es ein strukturierter Entscheidungsbaum, den eben ein Analytiker erstellt hat.
Verwenden sie Mail mit Kundendaten (Name, Mailadresse, etc.) ?
Ja Nein
Wo sind diese Mails gespeichert ?
Lokal am PC - WebMail eines Hosters - Lokal mit WebMail - Cloud-Dienst (z.B. Outlook365)
etc.

"Einarbeiten musst Du Dich allerdings selbst. Kann Dir niemand abnehmen"

Jein - es gibt sicherlich 10.000 Shops und somit Firmen die absolut vergleichbar sind in dem was sie tun. Und wenn die alle einen Berater brauchen, dann sag mir wo die sind.
Und wenn sich die ganzen Berater und Vortragenden mal strukturiert mit dem Thema befasst hätten, anstatt zu schwafeln, wäre das alles schon erledigt.
Doch ich denke das kommt noch ....

Wenn ich mich umsehe wer schon wie weit ist, dann ist die Umsetzung zum Termin wohl nicht mehr möglich und wie hier schon mal gepostet wurde: Ich erwarte mir eine Verschiebung der Einführung des DSGVO.

 

[_simone_]

Soviel ich gelesen habe, ist doch schon fast alles in der bisherigen DSVO geregelt; incl. Verfahrensdokumentation, etc.... und das haben wir doch alle schon seit ewiger Zeit^^.
Geändert haben sich doch mehr oder weniger nur die Strafen.

 

[MichaelH]

Tatsächlich ist es so, aber kein Stein bleibt auf dem Anderen.

Zusammenfassung: Mir kommt es aktuell so vor wie beim Bau des BER, alle wollen, alle machen, alle werkeln, aber keiner hat einen Plan - inkl. Fachleute ! Eine Schande !
Aber zahlen dafür soll man ?