Hallo zusammen, hallo JTL-Team,
im Release-Post zur Version 5.7.0 wird unter dem Punkt „Telemetrie" angekündigt, dass JTL- Shop für JTL- Hosting-Shops eine systematische Telemetrie-Datenerfassung einführt, um „datengestützte Entscheidungen zu ermöglichen und die Produktstrategie kontinuierlich zu validieren".
Als Shopbetreiber bin ich nach DSGVO Verantwortlicher für sämtliche Datenverarbeitungen, die in oder über meinen Shop laufen. Das gilt auch dann, wenn die Erhebung durch die eingesetzte Software selbst erfolgt. Bevor ich das Update einspiele, benötige ich daher belastbare Informationen, um meine Pflichten nach Art. 13/14, Art. 28, Art. 30 und Art. 35 DSGVO erfüllen zu können.
Konkret bitte ich um Beantwortung der folgenden Punkte:
**1. Umfang der Datenerhebung**
* Welche Daten werden konkret erhoben? (Bitte vollständige Liste der Datenfelder und Events)
* Werden personenbezogene oder personenbeziehbare Daten erhoben (z. B. IP-Adressen, User-Agents, Shop-URL, Kunden- oder Bestelldaten, Admin-Logins, Plugin-Listen, Lizenzschlüssel)?
* Werden Daten der Shop-Besucher (Endkunden) erfasst oder ausschließlich technische Metriken des Shops selbst?
* Werden Daten aggregiert bzw. anonymisiert übertragen oder mit eindeutigen Kennungen (Shop-ID, Lizenz-ID, Domain)?
**2. Empfänger und Verarbeiter**
* An welche Empfänger werden die Daten übermittelt? (Bitte konkreter Empfänger und Endpoint-URL)
* Wer verarbeitet die Daten? Die JTL-Software-GmbH selbst oder Dritte bzw. Sub-Dienstleister?
* Findet eine Übermittlung in Drittländer außerhalb der EU bzw. des EWR statt? Falls ja, auf welcher Rechtsgrundlage (Standardvertragsklauseln, Angemessenheitsbeschluss)?
* Wo werden die Daten gespeichert (Standort der Server)?
**3. Rechtsgrundlage und Einwilligung**
* Auf welche Rechtsgrundlage nach Art. 6 DSGVO stützt JTL die Verarbeitung?
* Wo und wie wird die Zustimmung des Shopbetreibers vor dem Aktivieren der Telemetrie eingeholt? Ist Opt-in oder Opt-out vorgesehen?
* Lässt sich die Telemetrie vollständig und dauerhaft deaktivieren? Wo genau im Backend?
* Bleibt die Deaktivierung auch nach zukünftigen Updates bestehen?
**4. Auftragsverarbeitung**
* Sofern personenbezogene Daten verarbeitet werden: Wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereitgestellt bzw. ergänzt?
* Falls ja: Wo finde ich diesen, und ist eine Anpassung des bestehenden AVV nötig?
**5. Speicherdauer und Betroffenenrechte**
* Wie lange werden die erhobenen Daten gespeichert?
* Wie kann ich als Shopbetreiber Auskunft, Berichtigung oder Löschung der Daten meines Shops verlangen?
**6. Transparenzpflichten**
* Stellt JTL einen vollständigen Text zur Verfügung, den ich in meine Datenschutzerklärung übernehmen kann?
* Gibt es eine offizielle Datenschutz-Folgenabschätzung (DSFA) oder eine Stellungnahme des Datenschutzbeauftragten von JTL zu dieser Funktion?
**7. Hinweis zur Formulierung im Release-Post**
Der Satz „JTL-Shop führt in der 5.7.0 für JTL-Hosting-Shops systematische Telemetrie-Datenerfassung ein" lässt offen, ob die Erfassung ausschließlich JTL-Hosting-Kunden betrifft oder ob die entsprechenden Code-Bestandteile auch in selbst gehosteten Shops aktiv sind und ggf. nur nicht senden. Bitte um Klarstellung, da dies für die rechtliche Bewertung wesentlich ist.
Ich halte das Anliegen einer datengestützten Produktentwicklung grundsätzlich für nachvollziehbar. Allerdings muss ein solches Feature von Anfang an DSGVO-konform, transparent und mit klarer Opt-in-Logik ausgestaltet sein. Andernfalls riskieren sowohl JTL als auch die Shopbetreiber Bußgelder und Abmahnungen.
Ich würde mich über eine ausführliche, schriftliche Stellungnahme freuen, idealerweise an einer Stelle, die auch andere Shopbetreiber später nachlesen können ( Guide-Eintrag o. ä.).
Vielen Dank im Voraus.
Viele Grüße,
ams
im Release-Post zur Version 5.7.0 wird unter dem Punkt „Telemetrie" angekündigt, dass JTL- Shop für JTL- Hosting-Shops eine systematische Telemetrie-Datenerfassung einführt, um „datengestützte Entscheidungen zu ermöglichen und die Produktstrategie kontinuierlich zu validieren".
Als Shopbetreiber bin ich nach DSGVO Verantwortlicher für sämtliche Datenverarbeitungen, die in oder über meinen Shop laufen. Das gilt auch dann, wenn die Erhebung durch die eingesetzte Software selbst erfolgt. Bevor ich das Update einspiele, benötige ich daher belastbare Informationen, um meine Pflichten nach Art. 13/14, Art. 28, Art. 30 und Art. 35 DSGVO erfüllen zu können.
Konkret bitte ich um Beantwortung der folgenden Punkte:
**1. Umfang der Datenerhebung**
* Welche Daten werden konkret erhoben? (Bitte vollständige Liste der Datenfelder und Events)
* Werden personenbezogene oder personenbeziehbare Daten erhoben (z. B. IP-Adressen, User-Agents, Shop-URL, Kunden- oder Bestelldaten, Admin-Logins, Plugin-Listen, Lizenzschlüssel)?
* Werden Daten der Shop-Besucher (Endkunden) erfasst oder ausschließlich technische Metriken des Shops selbst?
* Werden Daten aggregiert bzw. anonymisiert übertragen oder mit eindeutigen Kennungen (Shop-ID, Lizenz-ID, Domain)?
**2. Empfänger und Verarbeiter**
* An welche Empfänger werden die Daten übermittelt? (Bitte konkreter Empfänger und Endpoint-URL)
* Wer verarbeitet die Daten? Die JTL-Software-GmbH selbst oder Dritte bzw. Sub-Dienstleister?
* Findet eine Übermittlung in Drittländer außerhalb der EU bzw. des EWR statt? Falls ja, auf welcher Rechtsgrundlage (Standardvertragsklauseln, Angemessenheitsbeschluss)?
* Wo werden die Daten gespeichert (Standort der Server)?
**3. Rechtsgrundlage und Einwilligung**
* Auf welche Rechtsgrundlage nach Art. 6 DSGVO stützt JTL die Verarbeitung?
* Wo und wie wird die Zustimmung des Shopbetreibers vor dem Aktivieren der Telemetrie eingeholt? Ist Opt-in oder Opt-out vorgesehen?
* Lässt sich die Telemetrie vollständig und dauerhaft deaktivieren? Wo genau im Backend?
* Bleibt die Deaktivierung auch nach zukünftigen Updates bestehen?
**4. Auftragsverarbeitung**
* Sofern personenbezogene Daten verarbeitet werden: Wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO bereitgestellt bzw. ergänzt?
* Falls ja: Wo finde ich diesen, und ist eine Anpassung des bestehenden AVV nötig?
**5. Speicherdauer und Betroffenenrechte**
* Wie lange werden die erhobenen Daten gespeichert?
* Wie kann ich als Shopbetreiber Auskunft, Berichtigung oder Löschung der Daten meines Shops verlangen?
**6. Transparenzpflichten**
* Stellt JTL einen vollständigen Text zur Verfügung, den ich in meine Datenschutzerklärung übernehmen kann?
* Gibt es eine offizielle Datenschutz-Folgenabschätzung (DSFA) oder eine Stellungnahme des Datenschutzbeauftragten von JTL zu dieser Funktion?
**7. Hinweis zur Formulierung im Release-Post**
Der Satz „JTL-Shop führt in der 5.7.0 für JTL-Hosting-Shops systematische Telemetrie-Datenerfassung ein" lässt offen, ob die Erfassung ausschließlich JTL-Hosting-Kunden betrifft oder ob die entsprechenden Code-Bestandteile auch in selbst gehosteten Shops aktiv sind und ggf. nur nicht senden. Bitte um Klarstellung, da dies für die rechtliche Bewertung wesentlich ist.
Ich halte das Anliegen einer datengestützten Produktentwicklung grundsätzlich für nachvollziehbar. Allerdings muss ein solches Feature von Anfang an DSGVO-konform, transparent und mit klarer Opt-in-Logik ausgestaltet sein. Andernfalls riskieren sowohl JTL als auch die Shopbetreiber Bußgelder und Abmahnungen.
Ich würde mich über eine ausführliche, schriftliche Stellungnahme freuen, idealerweise an einer Stelle, die auch andere Shopbetreiber später nachlesen können ( Guide-Eintrag o. ä.).
Vielen Dank im Voraus.
Viele Grüße,
ams
