Shopware und die DSGVO

Hallo,

ich bin gerade dabei mich mit den Auswirkungen der Datenschutzgrundverordnung (DSGVO), die zum 28.5.2018 in Kraft tritt, auseinander zu setzen. Hier ist es ja nicht mehr alleine mit Anpassungen in der Datenschutzerklärung und den AGBs getan, wie das in der Vergangenheit bei rechtlichen Änderungen oft der Fall war.

Mich würde sehr interessieren, ob es Seitens Shopware hier Unterstützung der Kunden geben wird. Ich denke dabei an die notwendige Dokumentation zum Umfang der gespeicherten personenbezogenen Daten, Aussagen über die Möglichkeiten zur rückstandfreien Löschung solcher Daten und wie das juristisch korrekt dokumentiert wird, Abdeckung des Rechtes auf Mitnahme der Daten (inkl. Bestellhistorie) zu einem anderen Shop usw.

Zudem würde micht interessieren, ob jemand Tipps bzgl. Dienstleistern hat, die einen bei der Umsetzung der DSGVO unterstützen können (und die man sich als kleiner Shop leisten kann).

Vielen Dank und viele Grüße
Alex

Ich habe mir den Thread gebookmarked.

Vermutlich möchte sich damit noch niemand vor Jahresende beschäftigen?

Gilt das für B2B oder nur B2C oder für beides?

Warum da ist noch zeit bis mai.

Und bis dahin sind die rechtstexte ja angepasst.

Mit shopware hat das ja nix zu tun.

Bei uns macht das die it recht Kanzlei. 

Also alles easy…

Hallo zusammen,

raymond, es geht primär um B2C, kann aber auch B2B betreffen.

malzfons, dass sehe ich anders. DSGVO ist ein extrem breites Thema. Das Shopware nichts mit den organisatorischen Themen wir Benennung eines Datenschutzbeauftragten, aufsetzen eines kontinuierlichen und dokumentierten Datenschutz Verbesserungsprozesses, verlässliche und dokumentierte Löschung aller personenbezogenen Daten, sobald es keine rechtliche Erfordernis für die Aufbewahrung mehr gibt usw., zu tun hat ist klar. Klar ist aber auch, dass es mit der Anpassung von Rechtstexten dieses Mal leider komplett nicht getan ist.

Was mir helfen würde, wären Aussage von Shopware als Herstellers eines zentralen Produktes meiner IT, welche personenbezogenen Daten gespeichert werden, und wie sich diese Daten bei Löschvorgängen verhalten, z.B. Kaskadieren der Löschung von Bestellungen wenn ich einen Kunden lösche. Auch wären Funktionen spannend, die eine Anonymisierung personenbezogener Daten ermöglichen um sie nicht komplett löschen zu müssen. Auch wäre es gut, wenn die Kunden bestimmte Dinge im Self-Service erledigen könnten. Weiterhin geht es um Plugins. Das ist dann zwar kein Thema mehr für Shopware selbst, aber z.B. eine Schnittstelle zu DHL wirft da einige Fragen auf.

Ich kann wirklich nur jedem Empfehlen sich damit rechtzeitig auseinander zu setzen. Am 28.5. ist Schluss mit lustig. Leider.

Viele Grüße
Alex

Das Thema haben wir natürlich auf der Agenda und werden - in den Bereichen die wir beeinflussen können - natürlich auch die jeweiligen Daten in Form eines Wiki-Artikels aufbereiten und zur Verfügung stellen. Aktuell ist das ein “Work in Progress” und es sollte in den nächsten Wochen auch die passenden Informationen von uns geben

@malzfons alleine Deine Antwort sagt, dass Du Dich mit dem Thema noch nicht beschäftigt hast. Da bist Du in Deutschland in guter Gesellschaft. Im Mai platzt eine echt fette Bombe. Die DSGVO ist schon inkraftgetreten, im Mai endet nur die Übergangsfrist. Mit der Anpassung der Rechtstexte ist es nicht getan! Im Mai geht dann wieder das Geheule los, wenn es teuer wird.

Naja. In meinem neuen it recht kanzlei newsletter steht dass kein grund zur panik besteht und dass die rechtstexte bis dahin in überarbeiteter form zur verfügung stehen. Dann passt doch alles? Vermutlich braucht man dann hald noch paar infos von shopware damit man die nötigen daten in die konfiguration des rechtstexte generators eintragen kann. Also was man wo löschen muss wenn ein kunde seine daten gelöscht haben will.

Erst kürzlich hat ein kunde um löschung seines kundenkontos gebeten. Ich hab den dann hald im backend unter kunden gelöscht. Fertig. 

Dee kunde sagte aber noch als feedback dass es toll gewesen wäre wenn er selber sein kundenkonto hätte löschen können.

@malzfons, wir nutzen auch eine solche Kanzlei. Man muss, denke ich, sehr genau schauen, welche Leistungen man dort erhält. Wenn man einen Service nutzt, der die Anpassung der Rechtstexte zum Gegenstand hat, dann wird man diese auch in einer entsprechend angepassten Form für die DSGVO erhalten. Die Frage ist, ob die Kanzlei auch den Rest abdeckt. Vor allem geht es hier um die Dinge, die nichts mit dem im Shop direkt sicht- und prüfbaren Bereichen zu tun hat. Ich habe mit meiner Kanzlei versucht das zu klären, und bekomme auch eher ausweichende Antworten. Deshalb fange ich auch an, wie hier im Forum, selbst tätig zu werden. Würde mich freuen, wenn es zu einem Erfahrungsaustausch käme.

Nehmen Dir Deine Rechtstexte auch Deine Dokumentationspflichten zu “firmeninterne Maßnahmen, Abläufe, Speicherorte, wer hat Zugriff auf Daten” etc. ab? 
Zu “keine Panik”:
Neue EU-Datenschutzgrundverordnung: Vielen Firmen drohen böse Überraschungen | heise online
Studie: Unternehmen glauben nur, auf neuen Datenschutz vorbereitet zu sein | heise online
http://t3n.de/news/dsgvo-eu-datenschutzgrundverordnung-bussgelder-858957/

Ich sag mal so. Da wir auch vom elektrogesetz als hersteller und importeur, einiges an bürokratischem aufwand gewöhnt sind, wird auch diese hürde zu nehmen sein.

Wie schaut es denn mit dem Recht auf Übertragbarkeit der Shop-Daten aus? Dabei hat sich auch wieder niemand etwas dabei gedacht, wie das umzusetzen ist. Es gibt meines Wissens noch kein Standard-Export-Format zwischen den Online-Shops. Einen Export des Kundenkontos inkl. Bestellungen würde ich natürlich trotzdem realisieren. Lässt sich das eventuell über das Import/Export Tool realisieren? Da müsste man dann nur einen Kunden auswählen können. Wäre schön, wenn es da seitens Shopware ein Standardprofil geben würde, denn das wird eine rechtliche Anforderung an alle Shopbetreiber sein.

@kraeft21 schrieb:

 Wäre schön, wenn es da seitens Shopware ein Standardprofil geben würde, denn das wird eine rechtliche Anforderung an alle Shopbetreiber sein.

Zunächst muss ein Standard her. Dann ist eine Umsetzung ja wohl sehr einfach.

Ja stimmt wäre es nicht toll, wenn der Kunde seinen Account selbst löschen könnte (natürlich mit eindeutigen Bestätigungen und Texte, damit er das nicht mit ausloggen/abmelden verwechselt.

@raymond schrieb:

Ja stimmt wäre es nicht toll, wenn der Kunde seinen Account selbst löschen könnte (natürlich mit eindeutigen Bestätigungen und Texte, damit er das nicht mit ausloggen/abmelden verwechselt.

Das wäre nicht gut, denn wir verkaufen unsere Kundendaten an große Konzerne die gut dafür bezahlen.   

wohl oder übel muss sich wohl jeder damit befassen… ich hatte heute ein längeres telefonat mit trusted shops, die sich ebenfalls schon länger um die rechtlich sichere umsetztung kümmern. im rahmen des enterprice abmahnschutz paketes beraten die bei der umsetzung umfassen. nutzt das von euch jemand?

Nö wir haben it recht Kanzlei gebucht. Da gibts dann auch demnächst eine handlungsanleitung usw. zur korrekten Umsetzung.

beim Elektrogesetz damals hat uns das ebenfalls sehr geholfen. Das ist ja noch ne Nummer komplexer und umständlicher als die datenschutz Geschichte.

bezüglich compliance ce usw.

@malzfons ITRK kannste auch nicht einfach blind per Copy & Paste übernehmen und denken dann sei alles safe Aufpassen.

Es gibt natürlich auch neue firmeninterne Vorschriften mit der neuen Datenschutzverordnung einzuhalten. Das ist klar.

Die it recht Kanzlei sagt uns dann schon wie der Ablauf ist. War ja beim elektrogesetz auch so. Da muss ich monatlich für Deutschland mengenmeldungen einreichen. Für Österreich auch noch zusätzlich. Dann alle Elektrogeräte mit siegelaufklebern bestücken. Dann drauf achten welche Elektrogeräte Klassen registriert sind. Dann die ce Erklärungen und Betriebsanleitungen pflegen. Die Belege für die anderen EU Länder notariell beglaubigen lassen. Entsorgungsbevollmächtigte im jeweiligen EU Land stellen und bezahlen usw.

ich bin also sehr viel diesbezüglich gewöhnt.

ich denke aber dass das neue Datenschutz Gesetz umso aufwändiger wird je mehr Mitarbeiter ein Unternehmen hat die mit den sensiblen Kundendaten in Kontakt kommen. Auch Angaben zur Speicherung und Sicherung der Kundendaten wird man machen müssen. Usw.

es geht ja auch nur darum dass im Falle eines Falles mehr Klarheit herrscht und ggf. verantwortliche bei einer datenpanne ermittelt werden können. So seh ich das.

das es anfangs kompliziert erscheint ist klar. Das ist immer so. Wenn ich mich an die damalige Einführung des widerrufrechts zurückerinnere und an die damalige Panik denke dann kann ich heute nur drüber lachen.

und so wird’s hier dann auch sein. Wenn die erste Hürde mal genommen ist dann spielt sich das auch ein.

naja, dann wirds hald wohl bald kommen bis mai 

Das Schreckgespenst. Datenschutz bla bla bla… müll verordnung.

Ich warte also immer noch gespannt auf die Rechtstexte und Verfahrenanleitungsvorlage von IT Recht Kanzlei. Kommt bestimmt rechtzeitig. Also bezüglich der IT Recht Kanzlei habe ich bisher noch nie Probleme gehabt, was die Zuverlässigkeit angeht. Könnten die sich auch gar nicht leisten. Die sind schliesslich die renommiertesten auf dem Gebiet. Da zuckt sogar der Händerbu… zusammen denke ich.

Heute habe ich einen Kumpel getroffen, der in einem Hotel in der Buchhaltung arbeitet. Ich fragte ihn ob die im Hotel schon was wegen der neuen DSGVO gemacht haben? Er wusste davon noch gar nix. Weil ich zu Ihm sagte, wenn er die Kundenrechnungen buchen muss, sieht er ja die Adresse des Kunden. Also müsste er in die Verfahrensanweisung mit rein. Oder?

Bezüglich des Datenschutzbeauftragten haben wir derzeit kein Problem, weil wir unter 10 Mitarbeiter sind.

Es geht also nur um die Verfahrensanweisung und der neuen Datenschutzerklärung.

Und um die Umsetzung im Onlineshop.

Ich müsste wissen:

Wie kann ich Kundendaten in Shopware löschen auch ohne Programmierkenntnisse (auch in der Datenbank)?

was ist vertretbar für eine Laien und was nicht?

Welche Cookies genau werden mit Shopware gespeichert?

Wie ist das mit Freelancern und Plugin Support, wenn diese deine Login Daten brauchen, um einen Fehler in der Datenbank zu beheben?

Muss auf der Seite „Newsletter“ auch eine Checkbox sein wo steht " ich bestätige, dass meine Daten im Rahmen von blablabla verwendet werden dürfen".?

Alles wieder mal ein Panikmache Müll.

Als damals das Elektrogesetz rauskam hat allen voran der Händlerbu… gehetzt, wie ich meine Meinung sage. Die messen jeden Quadratmeter in deinem Lager aus wo du deine Elektrogeräte gelagert hast haben die gesagt. Wehe du bist über 400 qm, dann gehörst du der katz…

bisher ist noch niemand zu uns gekommen, um unsere Lagerflächen auszumessen. Wir bezahlen die monatlichen Mengenmeldungen zum Versand von Elektrogeräten in den EU Ländern und warten immer noch, bis uns mal jemand besucht.

Genauso wie die Verpackungsentsorgung in den EU Ländern.

Wir brauchen also Daten von Shopware, die wir in unseren Verfahrensanleitungen angeben können. Mehr nicht. Alles andere ist ja betriebsintern. Und nicht zu verallgemeinern.

Viele Grüße

Matthias

Ihr habt echt keine anderen Sorgen.