stimmt. Derzeit habe ich keine anderen Sorgen. bzw. Sorgen bereitet mir die neue DSGVO nicht.
kann man ja alles so machen wie die wollen. beim elektrogesetz dachte ich damals auch, dass man das nicht einhalten kann. aber es geht wunderbar, wenn man mal mit der materie eine zeit lang arbeitet. dann ist das alles kein schreckgespenst mehr.
Viele Grüße
Matthias
Auch interessant:
“Auch Google, Facebook und andere Tech-Giganten werden unmittelbar zur Beachtung des europäischen Datenschutzrechts verpflichtet. Die DSGVO betrifft nicht nur Unternehmen, die in der EU sitzen. Betroffen sind Unternehmen aus sogenannten „Drittstaaten“ außerhalb der EU, die Daten der EU-Bürger verarbeiten. Damit werden vor allem auch US-Anbieter wie Google oder Facebook der DSGVO unterfallen.”
Ich denke mal, dass bei der DSGVO jetzt Panik entsteht, weil sich einige Unternehmen um Datenschutz bisher kaum Gedanken gemacht und auch das BDSG nicht wirklich umgesetzt haben (ähnlich wie mit dem VerpackG und dem ElektroG, die ja auch beide schon Vorläufer hatten, wo vielleicht nicht so streng kontrolliert wurde).
Wer bisher schon Strategien für den Datenschutz im Unternehmen entwickelt hatte, sprich weiß wo und wie Daten gespeichert werden und fließen und wer Zugang und Zutritt zu den Daten hat, wie mit Lösch bzw. Sperranfragen umgegangen wird etc., der wird mit der DSGVO nicht so viel Probleme haben. Wer allerdings jetzt erst im Unternehmen sich einen Überblick verschaffen muss und dazu dann noch Lösch-, Sperr- und Auskunftsstrategien entwickeln muss, der hat da einiges vor sich. 
Die Frage, ob der Kundenaccount oder die Online-Bestellung im Shop aus handels- oder steuerrechtlichen Gründen behalten werden muss, muss jeder selbst mit seinem Rechtsbeistand klären (Datenschutzbeauftragter, IT Recht Kanzlei, Trusted Shops, Händlerbund…), insbesondere wenn man ohnehin die Bestellungen in eine ERP-Software importiert und dort die handels- und steuerrechtlichen Dokumente dort vorliegen hat.
Das Kundenkonto lässt sich ja bereits im Backend löschen, ohne das die Bestellungen dadurch verloren gehen, d.h. wenn ein Kunde sein Kundenkonto gelöscht haben will, dann sollte dies in der Regel kein Problem darstellen. Die Bestellungen bleiben ja im System. Ich würde mir aber auch eine Funktion wünschen, wie ich Bestellungen filtern und aus der Stapelverarbeitung dann alle markierten löschen kann, denn spätestens nach 10 Jahren ist der Grund für das Speichern der Bestelldaten definitiv abgelaufen und die Daten müssten gelöscht werden.
Die Übertragbarkeit von Daten ist, wie schon früher geschrieben, eine Anforderung seitens der DSGVO, die wenig durchdacht ist. Dafür müsste ja erstmal ein Standardformat definiert werden, hiert würde ich mir zumindest erstmal einen einfachen XML-Export eines Kunden mit seinen Daten wünschen. Allerdings ist hier auch wieder die Frage, ob das Shopware überhaupt leisten muss oder nicht die angeschlossene ERP/CRM-Lösung (wenn man denn eine nutzt).
eben. so isses. alles pillepalle… 
vor 2 jahren hat es geheissen dass die behörden unser lager bezüglich elektroartikel ausmessen würden, ob wir unter der 400 qm grenze sind. bisher kam hier noch keiner. auch wenn, dann werden sie feststellen, dass wir darunter sind. also alles pillepalle…
im groben denke ich, dass man mit der neuen dsgvo eben nur ärger bekommen kann, wenn mal grober unfug mit daten als indiz bestehen würde. hier wäre dann die sicherheit der daten das erste gebot. also alles tun, damit nicht hacker oder sonstige spackos deine kundendaten klauen können.
wenn du aber ein sicherheitssystem wie das FBI hast und trotzdem gehackt wirst, dann wird der richter entscheiden wie es um deine zukunft bestimmt ist.
ich hör mich mal in den elektromärkten usw. um, wie die bezüglich des neuen gesetzes reagieren. gilt ja nicht nur für online händler.
beim Elektrogesetz damals brauchte ich 2 Monate, bis alles gepasst hat. bzw. haben sich die Behörden der anderen EU Länder bis zu 6 Monate zeit gelassen, bis man da mal die Register Nummer erhalten hat. Die Gänge zum Notar waren das schlimmste und teuerste an der ganzen Geschichte.
nichts desto trotz habe ich immer noch das gefühl, dass ich so ziemlich einer der wenigen bin, der sich tatsächlich beim Verkauf von Elektroartikeln in andere EU Länder an die Regeln hält. Wenn ich die Register durchforste, wo ja jeder einblick hat, stehen von meinen konkurrenten fast keine bis gar keine da mit drin. zumindest nicht bei den jeweiligen Geräteklassen. Ich zahle aber immer am Jahresende die Entsorgungsgebühren und muss meine Mengenmeldungen dort einreichen. Zusätzlich noch den jeweiligen Entsorgungsbeauftragten bezahlen. Das geld fliesst dann vermutlich in irgendeinen Briefkasten…
Hab jetzt schon sehr viel dazu gelesen, aber der Punkt mit der Datenübertragung ist mir erst hier untergekommen. Was ist damit gemeint? Eine Möglichkeit, die Kundendaten des Kundenkontos nebst Bestellungen und Rechnungen zu exportieren? Wer soll mit den Daten dann was anfangen? Mir will wohl niemand zukünftig seine alten Bestellungen aus dem Shop des Mitbewerbers zusenden oder?
Artikel 20, DSGVO
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukurierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln […]
Über Sinn oder Unsinnigkeit kann man hier natürlich streiten, denn bei einem Online-Shop handelt es sich ja in der Regel „nur“ um Name und Anschrift(en) und ggf. Zahlungsdaten. Mit denen hat man sich ja schneller in einem anderen Shop registriert, als die Daten von einem Händler angefordert. Mehr Sinn macht das vielleicht, wenn man siene Wohngebäudeversicherung oder KFZ von einem Unternehmen zu einem anderen umziehen möchte, da hier mehr Daten verknüpft sind.
Technisch wird es sich hier wohl am ehesten um eine XML-Datei handeln, weil strukturiert und maschinenlesbar. Ob der Händler mit XT:Commerce aber etwas mit dem Export aus Shopware anfangen kann, steht natürlich auf einem anderen Blatt. 
Ich denke auch, kein Mensch wird bei mir die Adressdaten anfordern, weil er abends um 20 Uhr in einem neuen Shop bestellen möchte und wartet dann bis ich die am nächsten Werktag frühestens zur Verfügung stelle. Die Email für die Datenanforderung hat ja mehr Zeichen als die Adresse bei Neuanlage eines Kundenaccounts. Meine Produktdaten aus einer Bestellung kann er ja in dieser Form nicht wollen. Rechnungen ebenfalls. Das kann er aber alles gerne per pdf erhalten.
Da ich keine Anbindung zu Zahlungs- und Paketdienstleistern habe, exportiere ich die Kundendaten für das Paketportal. Nix anderes wäre es bei einer Adressdatenübermittlung wie hier gewünscht wohl auch. Also auch kein Hexenwerk. Das wird nie ein Kunde anfordern in meinem Bereich - höchstens ein Testkäufer 
Hat hier jemand schon mal ein Verfahrensverzeichnis gesehen, das offiziell gültig ist? Ich hab zwar inhaltlich alles in einem Dokument - wie ich meine auch sehr ausführlich, bei meiner geringen Nutzung - aber so von der Aufbereitung her würde ich das schon Interessieren. Tabelle oder Fließtext usw. Hab z.B. eines von einem RA gefunden, der seine Lektüre dazu verkaufen möchte. Das Verzeichnis wirft so viele Fragen auf, dass man natürlich Beratung braucht. Das kann wie im Muster niemals ausreichen.
Solange die BRD selbst Adresshandel betreibt, was soll man da noch ernst nehmen?
Das Thema haben wir natürlich auf der Agenda und werden - in den Bereichen die wir beeinflussen können - natürlich auch die jeweiligen Daten in Form eines Wiki-Artikels aufbereiten und zur Verfügung stellen. Aktuell ist das ein „Work in Progress“ und es sollte in den nächsten Wochen auch die passenden Informationen von uns geben
Hallo Moritz,
gibt es was neues bzgl. eures Wiki-Beitrags?
Danke und Gruß,
Frank
Zum Thema gefunden: DS-GVO wird Pflicht im E-Commerce / Afterbuy Blog
… und dieser Absatz fällt mir auf:
“Einwilligungen von Minderjährigen
Bisher kannte das Gesetz keine klaren Altersgrenzen ab der Kinder und Jugendliche selbst in die Verarbeitung ihrer Daten einwilligen können. Die Festlegung der Altersgrenze bleibt künftig den einzelnen Mitgliedsstaaten überlassen, die DS-GVO nennt aber ein Mindestalter von 13 Jahren. Online-Händler müssen die Einhaltung des Mindestalters dokumentieren und nachweisen. Wir empfehlen Händlern daher, rechtzeitig geeignete Altersverifikationssysteme (z.B. durch Eingabe der Nummer des Personalausweises) einzurichten.”
Diesen Inhalt findet man etwas anders formuliert auch hier:
Hoffe das gilt nur für den Newsletter Versand… und nicht generell auch für den Kaufabschluß…weil sonst wird es spannend …
Aktuell gibt es ja viele solcher Meldungen, zum Teil trotz EU Verordnung mit nationalen Unterschieden, d.h. was wirklich umzusetzen sein wird, wird vermutlich wie bei der “Buttonlösung” und dem FAAG noch bis zum Schluß teilweise unklar bleiben.
LG Klaus
Ich vermute mal, das gilt hauptsächlich dort, wo mit den Daten Geld verdient wird (soziale Netze, Marketing bzw. Werbung -> Newsletter) und nicht dort, wo die Daten für die Erfüllung des Auftrages zwingend notwendig sind (Versand- und Rechnungsadresse). Alles andere wäre doch unverhältnismäßig und würde auch der gebotenen Datensparsamkeit wiedersprechen, denn eine Personalausweisnummer oder ein Geburtsdatum ist für die Verarbeitung einer Bestellung in einem Online-Shop (wenn nicht gerade jugendgefährdende Medien, Tabak, Alkohol etc. verkauft werden) in der Regel nicht nötig.
Wenn wir erst eine Altersverifikation für eine Shop-Bestellung benötigen, dann sehe ich die Conversions schon in den Keller gehen, ich selbst bestelle auch nicht bei zu neugierigen Shops, bzw. ist es nachgewiesen, dass Kunden bei zu neugierigen Shops bei Feldern wie Geburtsdatum oder Telefonnummer Quatsch reinschreiben.
Wenn wir erst eine Altersverifikation für eine Shop-Bestellung benötigen, dann sehe ich die Conversions schon in den Keller gehen,
Stimme ich Dir voll zu … so eine Altersprüfung könnte ggf. jedoch bei Zeitschriften Abos durchaus Pflicht sein… wie sonst soll der Händler wissen, dass der Käufer „vertragsmündig“ ist. Ich frage Geburtsdatum auch nicht ab im Shop, wie Du sagst, gibt das ja kaum wer ehrlich an. 01.01.1950 oder ähnliche Daten kommen dann raus…
LG Klaus
Wenn wir erst eine Altersverifikation für eine Shop-Bestellung benötigen, dann sehe ich die Conversions schon in den Keller gehen,
Stimme ich Dir voll zu … so eine Altersprüfung könnte ggf. jedoch bei Zeitschriften Abos durchaus Pflicht sein… wie sonst soll der Händler wissen, dass der Käufer „vertragsmündig“ ist. Ich frage Geburtsdatum auch nicht ab im Shop, wie Du sagst, gibt das ja kaum wer ehrlich an. 01.01.1950 oder ähnliche Daten kommen dann raus…
LG Klaus
Und trotzdem hast Du Dich damit abgesichert, wenn jemand über sein alter Täuscht. ;-)
Das Thema haben wir natürlich auf der Agenda und werden - in den Bereichen die wir beeinflussen können - natürlich auch die jeweiligen Daten in Form eines Wiki-Artikels aufbereiten und zur Verfügung stellen. Aktuell ist das ein „Work in Progress“ und es sollte in den nächsten Wochen auch die passenden Informationen von uns geben
Gibt es hierzu schon Neuigkeiten?
Das Thema haben wir natürlich auf der Agenda und werden - in den Bereichen die wir beeinflussen können - natürlich auch die jeweiligen Daten in Form eines Wiki-Artikels aufbereiten und zur Verfügung stellen. Aktuell ist das ein „Work in Progress“ und es sollte in den nächsten Wochen auch die passenden Informationen von uns geben
Hallo Moritz,
es wäre hier super, wenn @Shopware hierzu noch mal etwas sagen könnte.
Grüße
Vielleicht etwas Offtopic: gibt’s schon einen kostenfreien und DSGVO kompatiblen Datenschutz-Generator für Webseiten?
Hallo zusammen,
ich habe ein sehr gutes Seminar zur DSGVO besucht, habe nun etwas mehr Einblick in die Vorgaben und kann euch hier nun berichten, dass die wenigsten Aktivitäten im Shop selbst vorgenommen werden müssen, gegenüber der sonstigen „Bürokratie“, die die DSGVO sonst noch auslöst. Ich schätze 5 % der Maßnahmen betreffen Textänderungen im Shop, wobei dies nahezu alles mit „On-board-Mittel“ bereits jetzt erledigt werden kann. Shopware muß hier vermutlich kaum etwas verändern, vielleicht die eine oder andere Checkbox hinzufügen. Zumindest für die österreichische Regelung (DSGVO weicht länderspezifisch in manchen Punkten etwas ab, zB Altersgrenzen, Löschungsfristen etc.) Habe diese 5 % bei mir zum Teil schon umgesetzt und es waren nur Änderungen an Textblöcken bei Anfrageformular, Newsletter, Registrierung.
Was wir dennoch von Shopware brauchen würden:
Im Kern der neuen DSGVO geht es auch wesentlich um Datenminimierung, Speicherbegrenzung. Hier müsste uns Shopware bitte im Backend eine Funktion bereitstellen, wo man zB. alle Schnellbesteller nach einer frei definierbaren Frist selektiert und per Cronjob einfach löscht. Die Frist ergibt sich durch der DSGVO übergeordneten gesetzlichen Bestimmung, der gesetzlichen Aufbewahrungspflicht von finanzrechtlichen Unterlagen, das wäre zB in Österreich 7 Jahre. Daher Cronjob einrichten, der nach 7 Jahren die "Schnellbesteller löscht. Diese Löschungen dürfen aber aus meiner Sicht nicht auf Statistiken im Shop negative Einflüsse haben. Also Bestellung und Kunde löschen aber unter Erhalt einer anonymisierten Statistik für unsere Lager- und Verkaufsstrategien. Mit dieser Löschung erfüllt man dann die beiden Punkte Datenminimierung und Speicherbegrenzung.
Weitere Punkte der DSGVO sind: Schutz der Daten vor Verlust…d.h. was wir alle ja schon immer machen, regelmäßige Backups der Datenbank und diese Backups aber so speichern bitte, dass keiner Zugriff darauf hat. (Verschlüsselung)
Weitere Punkte wie Protokollierung, Logging, Einspielen von Sicherheitsupdates, Zugriffbegrenzung mittels Passwort und Rollen, allg. IT Sicherheitsrichtlinien, Verschlüsselung bei der Übertragung im Unternehmen sollten eigentlich bereits in jedem Unternehmen selbstverständlich sein. Oder? Aber auch das will die DSGVO dokumentiert haben, in der DSFA soll/muss eine detailierte Dokumentation der IT Sicherheit vorhanden sein.
Das bedeutet euer Hauptschwerpunkt bis zum Inkrafttreten der DSGVO wird die Erstellung der Dokumentation aller datenschutzrelvanten Abläufe im Unternehmen sein.
Verzeichnis von Verarbeitungstätigkeiten + die Betroffenenrechte
d.h. WAS wird gespeichert, WARUM wird es gespeichert, WO wird es gespeichert, WIE LANGE wird es gespeichert …= das Verzeichnis von Verarbeitungstätigkieten und darüber müsst Ihr euren Kunden in der Datenschutzerklärung aufklären.= die Betroffenenrechte. d.h. Ich halte nichts von Gratis online erstellten Datenschutzerklärungen …weil die oben gestellten W-Fragen, sind in jedem Unternehmen anders.
Und hierzu zusätzlich, müsst Ihr euch überlegen (und dokumentieren!!), was passiert wenn Daten verloren gehen, welche Daten sind das, was kann mit diesen Daten ausserhalb des Unternehmens für Schaden angerichtet werden …weil darüber müsst Ihr berichten, wenn im Unternehmen etwas passiert… könnt ihr da nichts an Dokumenation vorweisen wird es wohl Strafen geben… Stichwort Data-Brach-Notification
Also Ihr seht, kaum etwas von der MEGA Schreib- und Doku- Arbeit findet im Shop selbst statt, alles dreht sich mehr um die Erfassung und Dokumentation aller datenschutzrelevanten Abläufe im Unternehmen.
Und wichtig!!! Es geht nicht nur um digitale Daten … es geht auch um auf Papier gedruckte Kundendaten …also Auftragsunterlagen, Etiketten, Packlisten wo Adressen, Geburtsdatum, Rufnummer von Kunden oben stehen werdet Ihr wohl in einen Reisswolf stecken müssen…nur mal so in den Papierkorb werfen, wäre bereits ein Verstoß gegen die DSGVO.
Für Shopbetreiber/Händler in Österreich , gibt es hier einen sehr guten Link zur WKO, wo man ausfüllbare ein Tool-Set an Listen und Anleitungen findet.
https://www.wko.at/branchen/noe/handel/datenschutzgrundverordnung-in-handelsunternehmen.html
Abschließend noch die Info, dass dieser Post eine ggf. nicht vollständige Auflistung ist, alle Infos ohne Gewähr, da auch persönliche Einschätzungen der DSGVO enthalten sind, die ggf. nicht vollständig oder richtig von mir interpretiert wurden. Aber ich denke ich konnte dennoch etwas „Licht ins Dunkle“ bringen, mit meiner Schilderung und den Wahrnehmungen in diesem besuchten Seminar.
LG Klaus
Eine Sache bereitet mir allerdings Kopfzerbrechen: https://dsgvo-gesetz.de/bdsg-neu/76-bdsg-neu/ - Wie soll diese Protokollierung denn erfolgen? Und wie sollte ich ein solches Protokoll ggf. herausgeben können?
