DSGVO: Gastkonto und Datenschutz - das passt nicht mehr zusammen

Das Thema Gastkonto wurde ja bereits an verschiedenen Stellen angerissen.
Nach internen Diskussionen sind wir der Meinung, dass das Gastkonto / Schnellbestellerkonto spätestens  mit der DSGVO zu einem “Datenschutzverstoß” wird.

Begründung:
Der Kunde wählt diese Option, um eben nur eine Bestellung zu tätigen. Alle Daten zu dieser Bestellung werden nur für den Zweck der Bestellung eingegeben.
Hier gibt es nun zwei Szenarien.

  1. Kunde schließt seine Bestellung ab. Alle für den Auftrag notwendigen Daten werden in der Bestellung gespeichert. Es gibt keinen Grund, ausserhalb der Bestellung weiter Daten zum Kunden vorzuhalten. Sobald eine Bestellung abschließend generiert wurde, gehört der Datensatz “Schnellbesteller” in den Kunden gelöscht, zumal der Kunde ja expliziet sagt: “Kein Konto anlegen”.

  2. Kunde gibt zwar seine Daten ein, es kommt aber nicht zu einer Bestellung. Gründe gibt es viele: Keine zusagende Zahlart gefunden, Versandkosten,… Fehler im Checkout. Spätestens wenn das “Gastkonto” die Zuordnug zur aktuellen Session verliert, ist der Kundendatensatz völlig nutzlos. Da die Bestellung nicht erfolgte, erfolgte auch kein Auftrag zur “Datenverarbeitung”, da der Kunde nur für den Zweck eben dieser einen Bestellung die Daten eingegeben hat. Es besteht keine gesetzliche Grundlage, diese Daten weiter vorzuhalten da kein Vertrag zustande gekommen ist!

Das “Aufräumen” im Backend wird auch noch erschwert, da ich in der Kundenübersicht nichts zu Bestellungen “0” angezeigt bekomme und keine Filter habe. in den Customer-Streams kann ich zwar filtern, kann in den Streams aber keine Aktion wie “Konto löschen” tätigen. Da darf man munter zwischen den Tabs umschalten.

Unsere Rechtsauffassung zum “Schnellbestellerkonto”:

  1. Der “Kunde” muss unverzüglich nach Bestellabschluß gelöscht werden
  2. Ein Cron müsste Schnellbestellerkonten mit “0” Bestellungen nach Ablauf der eingestellten Session-Zeit (wenn also eine Bestellung nicht mehr möglich ist) “unbenutzte” Gastkonten löschen.

Es besteht einfach keine Grundlage, Kundendaten ausserhalb der Bestellung in einem “Gastkonto” vorzuhalten.

Meinungen?

Spontan würde ich sagen, dass sich dabei quasi nichts ändert, denn du hast die Daten ja auch in der Bestellung. Die Daten die du gesammelt hast sind ja identisch zum kundenkonto. Ob du das nun löschst oder nicht, ändert nichts an den Daten. Der Kunde kann sich ja nicht einloggen, d.h. nach meinem Empfinden sind das nur Daten einer Bestellung, die sind dann ggf. redundant.

Mi der 5.4.4 kommt ein Cron zum löschen von schnellbestellern ohne Bestellungen und abgebrochen Warenkörben. Der Anwalt empfahl die Daten nicht länger als ein Jahr vorzuhalten. Der Zeitraum wird dann einstellbar.

1 Like

Lag ich ja mit Punkt 2 richtig :wink:

Zu Punkt 1)
Ich muss nicht zwingend die Bestellungen im Backend archivieren, Rechnungen etc. erstellen wir extern und das Archivieren der Bestellemails reicht. Räume ich also irgendwann “Bestellungen” mit Alter X weg, muss ich noch zusätzlich an den Kundendatensatz denken.

Warten wir mal ab, was der Cron so alles kann  Wink

Aber was ist denn mit dem Gewährleistungsrecht bei Bestellungen über ein Gastkonto? 

§ 438 BGB enthält zudem besondere Regelungen zur Verjährung im Gewährleistungsrecht des Kaufvertrages. In der Regel verjähren die Mängelrechte nach § 438 I Nr. 3 BGB in zwei Jahren.

Die IT-Rechtkanzlei schreibt: 

Tätigen Kunden, die kein Kundenkonto angelegt haben, eine Bestellung, so sollte der Händler die online erhobenen Kundendaten grundsätzlich nach ca. 6 Monaten  aus dem Shop  löschen. Dies deshalb, weil die Löschung zu erfolgen hat, wenn der Zweck der Verarbeitung entfällt. Kundendaten nicht registrierter Kunden werden für die Vertragsdurchführung verarbeitet. Der 6-Monats-Zeitraum stellt hinreichend sicher, dass etwaige nachvertragliche Mängelanzeigen und damit verbundene Rechtsausübungen meist noch auf Basis der erhobenen Daten bearbeitet werden können. Dies fällt noch unter den Zweck der Vertragsdurchführung. Das Begrenzen der Speicherdauer auf die Widerrufsfrist wäre zu kurz. Benötigt der Händler die Daten länger als 6 Monate, etwa für einen Jahresabschluss oder Jahresabrechnungen, kann die Frist verlängert werden.

Dann wiederrum: 

Kundendaten, die in Unterlagen oder Dateien der Warenwirtschaft gespeichert sind und die die Rückverfolgbarkeit von Warenbewegung sowieso die Zuordnung von Käuferidentitäten im Gewährleistungs- und Garantiefall sicherstellen, sollten dahingegen so lange aufbewahrt werden, wie die regelmäßige Gewährleistungszeit läuft. Das sind 2 Jahre nach Lieferung der bestellten Ware.

Daten von Kunden mit Kundenkonto können demgegenüber so lange gespeichert werden, wie das Kundenkonto bestehen bleibt.

Das finde ich wiedersprüchlich. Gewährleistung ist Gewährleistung ob mit oder ohne Kundenkonto. Und was hat die Speicherung mit der Warenwirtschaft zu tun? Ich muss diese auch im Shop rückverfolgen können. Bei Bestellungen mit und ohne Gastkonto sollte man meines Erachtens Kundendaten aufbewahren bis etwaige Gewährleistungsrechte (2 Jahre) abgelaufen sind. Auch nach 6 Monaten können noch Gewährlstungsansprüche geltend gemacht werden.

Hallo, einfach nicht zu genau nehmen. Die meisten Kunden nerven diese zusätzlichen Klicks sowieso. Ich schalte sogar ab und zu den Cookie Hinweis im Shop ab. Alles nur vergebliche Klicks.

1 Like

@artep‍ der „Kaufvertrag“ hat doch nichts mit dem „Kundenkonto“ zu tun. Der „Kaufvertrag“ hängt mit der Bestellung zusammen. Das Gastkundenkonto hat nichts, aber auch rein gar nichts mit der Bestellung zu tun. Alle relevanten Kundendaten sind auch ohne Kundenkonto im Bestelldatensatz enthalten.

Ist hier die Funktion gastbestellung beim Plugin backend Bestellungen gemeint?

oder wenn der Kunde beim registrieren den Haken setzt damit das passwortfeld entfernt wird?

wenn ich im backend unter Bestellungen meine alten Bestellungen erhalten kann, dann kann man ja jederzeit den Kunden dieser Bestellung im Menü Kunden löschen oder? Hauptsache die Bestellung bleibt erhalten.

wo alle grade so schön vom löschen reden: ich hatte letztes Jahr einen Brief von der Steuerfahndung bekommen. Dort wurde ich aufgefordert, binnen 14 Tagen, Unterlagen einer Bestellung eines Kunden von vor über 5 Jahren auszuhändigen. Der Kunde, der vor 5 Jahren bei uns was kaufte, hatte vermutlich Ärger mit dem Finanzamt. Ich musste dem steuerfahnder alle Belege, Bestellbestätigung, emailverkehr usw. per Post ausgedruckt zuschicken.

das hab ich auch getan. Weil ich nichts davon gelöscht hatte. 

Wenn man jetz da alle 2 Jahre alles löschen würde dann habe die Ehre…

ich lösch jedenfalls Nix unter den 10 Jahren Aufbewahrungspflicht.

und wenn wir schon dabei sind - bitte auch schnell noch alle whatsapp plugins/kontakt abschalten und visitenkarten wegschmeissen:

ihr lasst euch echt alle verrückt machen. da die dsgvo und ganz besonders die auslegung mancher spezialisten sowas von schwammig ist wird es eh wieder auf gerichte ankommen

hoffentlich folgen bald die ersten schmarotzer rechtsanwaltsabmahnungen damit hier für euch ein wenig rechtssicherheit folgen wird - erinnert an das hin und her mit dem widerrufsrecht 

in der zwischenzeit nicht in panik verfallen - krank ist das sowieso

ps. glaubt ihr ernsthaft, der restaurantbesitzer in griechenland oder spanien hat die dsgvo umgesetzt (ist ja eu gesetz) - der schnappt sich seinen frischen tintenfisch und haut’ euch damit was auf die ohren. diese dsgvo panik ist wieder typisch deutschland.

ps2. noch ein tipp - damit das rechtsanwalt abmahnpack sich nicht durch einfache google suche bereichern kann, einfach in eurer robots.txt einen Disallow: /datenschutz setzen. so taucht eure datenschutzerklärung nicht mehr im suchmaschinen index auf (das grosse futtermahl für die abmahn schmarotzer)

2 Likes

Selbst meine Eltern haben nun Post bezüglich DSGVO vom Landratsamt bekommen. Die wussten noch gar nix davon. Die haben eine kleine Ferienwohnung. :slight_smile:

Da müssen die nun den Ordner mit den Rechnungen der Feriengäste vom Wohnzimmerschrank wohl in einen Tresor legen. :slight_smile:

betrifft ja alles nicht nur onlinepräsenzen.

selbst ne Anwaltskanzlei könnte ja von der zuständigen Behörde geprüft werden.

oder die Hinterhof 1 Mann Autowerkstatt in Ungarn.

Wieso haben eigentlich so viele Angst vor Massenabmahnern? :slight_smile:

wundert mich sehr. Wenn ich mir das Ergebnis der Petition gegen massenabmahner ansehe, kann ich nur in schallendes Gelächter ausbrechen. Anscheinend ist der Großteil mit den massenabmahnern vollkommen zufrieden.:wink:

 

1 Like

@sonic schrieb:

@artep‍ der „Kaufvertrag“ hat doch nichts mit dem „Kundenkonto“ zu tun. Der „Kaufvertrag“ hängt mit der Bestellung zusammen. Das Gastkundenkonto hat nichts, aber auch rein gar nichts mit der Bestellung zu tun. Alle relevanten Kundendaten sind auch ohne Kundenkonto im Bestelldatensatz enthalten.

Das Gastkundenkonto ist nach einer erfolgten Bestellung doch nur eine zweite Tabelle zusätzlich zur sOrder in der die Daten der Bestellung gespeichert werden. Woraus leitest Du ab, dass es nur eine physikalische Speicherung der Daten geben darf? Wie Du deine Datenhaltung organisierst schreibt dir auch zukünftig die DSGVO nicht vor. Es entsteht den Kunden kein „Schaden“ , wenn Du die Daten in zwei Tabellen speicherst. Und damit kannst Du das meiner Ansicht nach als berechtigtes Interesse ansehen. Bei deiner Argumentation wäre auch heute schon das Prinzip der Datensparsamkeit nicht erfüllt. 

Ich stimme dir allerdings vollkommen zu, dass das Verwaltungssystem von Shopware an dieser Stelle im Backend schlecht ist, genau wie die Rechnungserzeugung an sich.

 

 

1 Like

Vielleicht könnte Shopware das System noch bisschen verbessern. Ich nutz das Backend System bei 3 Shops. Wenn man mal drin ist, gehts ja recht einfach damit zu arbeiten. Am Rechner selber möchte ich keine Bestellungs und kundensoftware mehr installieren. Daher gefällt mir das über das shopware backend so gut.

Müsst Ihr eigentlich jedes Thema zur DSGVO mit Unwissen und Halbwissen zublubbern ?
Was hat ein Bußgeld bei einem  Datenschutzverstoß mit ner popeligen Abmahnung zu tun?

Ich hab lediglich eine technische Frage gestellt. Ich “mache mir auch nicht ins Hemd” wegen einer “Abmahnungen”.
Das größere Problem bei der DSGVO sind bei Verstößen nämlich nicht die “Abmahnungen” (dagegen sind wir eh versichert).
Das Problem mit den Kundendatensätzen wäre nämlich ggf. ein echter Datenschutzverstoß - und dafür gibt es Dank DSGVO saftige BUßGELDER - und das kommt nicht von bösen Abmahnern, sondern von Aufsichtsbehörden oder nach Widerspruch vom Gericht…

@malzfons‍ Ich meine *NICHT* Backendbestellungen (Plugin). Ich meine wirklich das Frontend, wenn der Kunde den Haken bei " Kein Kundenkonto anlegen" setzt.
Und genau dieses Konto ist für die “Archivierung” nicht relevant, da alle relevanten Vertragsinformationen im Bestelldatensatz vorhanden sind.
Selbst wenn ich also nach 10 Jahren (wer bleibt 1: 10 Jahre bei SW und 2: schleppt 10 Jahre eine Datenbank mit) die Bestellungen lösche, besteht an der Stelle keine Verbindung zum Gastkonto und wird nicht mit gelöscht.

@hth‍ weil der Kundendatensatz eben nichts mit der Bestellung zu tun hat, nicht verbunden ist, und der Kunde angegeben hat, er möchte kein Konto anlegen. Was ist daran so schwer zu verstehen? Somal das Konto bisher auch nicht gelöscht wird, wenn der Kunde nichts bestellt.

 

1 Like