Neu DSGVO-Umsetzung: Logging der Newsletteranmeldung wo?

[ongnamo]

War zwar schon immer so, doch im Rahmen der Datenschutz-Grundverordnung wird nochmals betont, dass das Double-Opt-In zu protokollieren ist.

O-Ton IT-Recht-Kanzlei:

"(Eine Protokollierung der Einwilligung (Logfiles) zu Beweiszwecken im Rahmen eines Double-Opt-In-Verfahrens ist zwingend erforderlich.)"

Irgendwie stehe ich da auf dem Schlauch:
- Im Shop- Log (im Backend) oder in der access.log finde ich keine Logging-Informationen dazu.

- Nach etwas Suchen scheint die tnewsletterempfängerhistory-Tabelle des Shops einschlägig zu sein: Hier stehen Datum und Uhrzeit der Anmeldung sowie eine verkürzte IP.

Wäre das als im Falle des Falles die richtige Quelle, um das Double-Opt-In beweisen zu können?

Grüße
Thomas

Ergänzung, Falls die Antwort "Ja" lautet: Warum sind die cRegIP und cOptIP in vielen Fällen leer oder NULL, d.h. warum wird nicht immer eine verkürzte IP gespeichert?

 

[martinwolf]

Wer das Double-Optin bestätigt hat, sollte mit Datum unter den aktiven Abonnenten zu finden sein. Allerdings gibt es hier keine Speicherung der IP-Adresse.

 

[ongnamo]

Danke.

Frage an Dich als JTL Repräsentant: Es sind ja in der History-Tabelle die entsprechenden IP-Felder vorhanden. Deren Existenz muss ja einen Grund haben. Warum werden sie nicht konsequent gefüllt (nur in ca. 10 -20 % der Fälle)?


IT-Recht-Kanzlei schreibt zu dem Thema
(https://www.it-recht-kanzlei.de/newsletter-datenschutzgrundverordnung-dsgvo.html#abschnitt_15):
c. Nachweispflicht: Double-Opt-In und elektronische Protokollierung
Art. 7 DSGVO normiert darüber hinaus weitere formelle und materielle Anforderungen an eine wirksame Einwilligung. Nach Art. 7 Abs. 1 DSGVO muss der Webseitenbetreiber nachweisen, dass der Webseitenuser in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat (vgl. auch Erwägungsgrund 42 zur DSGVO).
...
Im Rahmen von E-Mail-Marketing sollte zudem weiterhin darauf geachtet werden, dass der Time-Stamp (Datum und Uhrzeit) und die IP-Daten der Eintragung protokolliert und so abgespeichert werden, dass das Protokoll jederzeit ausgedruckt und notfalls bei Gericht vorgelegt werden kann. Eine solche elektronische Protokollierung der Einwilligung dürfte den Anforderungen der Nachweispflicht genügen (Stemmer in: BeckOK Datenschutzrecht 2017, Art. 7 DSGVO Rn. 88).


-> Insofern ist es schade, dass die - technisch ja vorgesehene - IP-Protokollierung im Shop nicht sauber funktioniert.(auch wenn ich der Meinung bin, dass dieser IP-Kram völlig überzogen ist, denn letztlich sprechen wir hier nur von einer NL-Anmeldung).

 

[martinwolf]

Die IPs sollten eigentlich grundsätzlich geloggt werden, sofern Einstellung 1133 auf Ja steht.

 

[ongnamo]

Vielen Dank!

(es ist immer wieder erstaunlich, dass man nach Jahren des Shop-Betriebs auf unbekannte Einstellmöglichkeiten stößt....)

 

[holzpuppe]

Die IPs sollten eigentlich grundsätzlich geloggt werden, sofern Einstellung 1133 auf Ja steht.

Wat? Ist das neu? Oder verwechsel ich das jetzt mit dem "alten IP speichern", was ausgeschaltet sein sollte. Ich bin verwirrt.

 

[martinwolf]

Die Option heißt "IP Speichern" und beschreibt:

Sollen IPs von Benutzern bei z.b. Umfragen, Tags etc. als Floodschutz oder sonstigen Trackingmöglichkeiten gespeichert werden?

Daraus verstehe ich, dass IPs dann grundsätzlich für sämtliche Interaktionen wo eine IP relevant wäre, gespeichert werden. Ergo auch für den Newsletter.

 

[niba]

Ich habe das gerade mal getestet:

- Wenn Einstellung 1133 aktiviert ist, wird die komplette IP gespeichert (12.354.12.23)
- Wenn Einstellung 1133 deaktiviert ist, wird die IP anonymisiert (12.354.x.x)

Die Frage bleibt: wie können die Spalten cRegIp und cOptIp NULL werden? Das ist nämlich hier auch der Fall. Ist das beim Abonnieren während des Checkouts der Fall?
Und: wenn cOptIp NULL ist und cRegIp nicht, hat der Kunde nicht besätigt, oder?

Und: warum kann ich bei aktiviertem Double-Opt-In die Kunden aus dem Reiter "Inaktive Abonnenten" manuell freischalten? Soll das so!?

 

[JulianG]

Ich habe das gerade mal getestet:

- Wenn Einstellung 1133 aktiviert ist, wird die komplette IP gespeichert (12.354.12.23)
- Wenn Einstellung 1133 deaktiviert ist, wird die IP anonymisiert (12.354.x.x)

Die Frage bleibt: wie können die Spalten cRegIp und cOptIp NULL werden? Das ist nämlich hier auch der Fall. Ist das beim Abonnieren während des Checkouts der Fall?
Und: wenn cOptIp NULL ist und cRegIp nicht, hat der Kunde nicht besätigt, oder?

NULL ist der Standard für die beiden Felder. Korrekt, wenn cOptIp NULL ist und cRegIp nicht, hat er den Double-Opt-In nicht bestätigt.

Und: warum kann ich bei aktiviertem Double-Opt-In die Kunden aus dem Reiter "Inaktive Abonnenten" manuell freischalten? Soll das so!?

Die Funktion existiert noch von vor der "Double-Opt-In"-Zeit. Wir haben Sie bestehen lassen. Die letztendliche Entscheidung liegt da also bei euch. Je nachdem in welchem Land der JTL- Shop betrieben wird, müsst ihr wissen, ob ihr etwas dürft oder nicht und ob ihr es ggf. situationsabhängig trotzdem macht, obwohl ihr es eigentlich nicht dürft.