Shopware und die DSGVO

lola · 27. März 2018 um 09:53

@gentlemedia schrieb:

https://de.shopware.com/news/dsgvo-und-shopware-das-wichtigste-im-ueberblick/

Also das hilft jetzt ehrlich gesagt nicht wirklich weiter. Das Whitepaper habe ich gelesen. Aber insbesondere das Verzeichnis aller Verarbeitungstätigkeiten (Artikel 30 DSGVO) klingt nach reinem Wahnwitz. Soll ich jetzt jedes Mal wenn ich Kundendaten anschaue, einen Eintrag in einer Protokollliste machen? Was wenn ich das mal vergesse? Heutzutage hantiert man als Händler doch permanent mit Kundendaten. Da sind wir doch den ganzen Tag nur noch mit Protokollieren beschäftigt.

Ob da eine Exceltabelle reicht?

Nachtrag: Hier, in Abschnitt (5) Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten - Datenschutz-Grundverordnung (DSGVO) las ich gerade, dass es in der Regel nur für Unternehmen über 250 Mitarbeiter gilt. Puhh…

gentlemedia · 27. März 2018 um 09:58

@lola schrieb:

Also das hilft jetzt ehrlich gesagt nicht wirklich weiter.

Mein Posting war auch keine Antwort auf deine individuelle, nicht Shopware-bezogene Frage. Hier im Thread geht es um „Shopware und die DSGVO“.

eWeniger · 27. März 2018 um 10:02

In den Import/Export Dateien steht jedoch nicht, wann sich der Kunde z. B. das erste Mal im Shop angemeldet hat, wann zum Newsletter und - ganz wichtig - wann er sich z.B. aus einem Newsletter wieder ausgetragen hat. Wo wird denn so etwas protokolliert? Wie kann ich nachweisen, dass ich einen Kunden auf seinen Wunsch hin tatsächlich gelöscht habe?

malzfons · 27. März 2018 um 10:07

Wird evtl. in den Backend Logs gespeichert? Dort steht ja der Vorgang, dass man Kunde blabla erfolgreich gelöscht hat. Genauso wie da steht, dass man einen Kunden angelegt hat oder eine PDF Rechnung erstellt oder einen Versandschein erstellt hat. Könnte ich mir zumindest vorstellen.

eWeniger · 27. März 2018 um 10:32

habe eben mal einen Kunden gelöscht - kein Eintrag im Backend Log

sonic · 27. März 2018 um 10:34

Was soll denn auch im Log eingetragen werden? Kunde will gelöscht werden, und danach steht im Log „Kunde xyz“ wurde gelöscht? Das würde ja das Löschen ad absurdum führen, weill dann ja wieder Daten vom „Kunden“ im Log stünden.

eWeniger · 27. März 2018 um 10:38

wie kann ich im Fall eines Falles jedoch nachweisen, das der Kunde von mir auch tatsächlich gelöscht wurde?

frimipiso · 27. März 2018 um 10:40

Eine automatische Email an den Kunden bei Löschung wäre gut und ein anonymisierter Eintrag im Backend Log. Aber ein Beweis für den Kunden ist das alles nicht. Shopware schreibt ja keine automatischen eidesstattliche Erklärungen

sonic · 27. März 2018 um 10:51

Dem Kunde versichern, dass gelöscht wurde. Wenn “Kunde” Zweifel hat, eine (eideststattliche) Erklärung abgeben - und wenn Kunde weiter Zweifel hat, soll er über Gericht einen Sachverständigen in die Datenbank gucken lassen. Der “Kunde” muss Dir schon den Gesetzesverstoß nachweisen, nicht Du Deine “Unschuld”.

artep · 27. März 2018 um 18:56

Hab hier eine Checkliste zur DSGVO vom Händlerbund, die evtl. hilfreich ist: Checkliste zur DSGVO

Toric · 28. März 2018 um 10:32

Verfahrensverzeichnis

Bei dieser Checkliste ist der letzte Punkt interessant: Ein Verarbeitungsverzeichnis wird erst ab 250 Mitglieder benötigt? So verstehe ich das zumindest.

Händlerbund: "Mit dem deutschen Datenschutzrecht, welches die DSGVO flankiert, besteht die Pflicht zur Führung eines Verarbeitungsverzeichnisses, welches die Datenverarbeitungsprozesse im Unternehmen katalogisiert, gilt nach der DSGVO für Unternehmen, die 250 oder mehr Mitarbeiter beschäftigen. Ein Muster finden Sie hier: https://www.haendlerbund.de/de/downloads/ebook-dsgvo.pdf"

Davon abgesehen ist für mich das Verfahrensverzeichnis vom Prinzip her ein universelles Dokument, das den Aufsichtsbehörden oder auch dem Kunden ausgehändigt werden kann. Es werden nur “Datenarten” genannt, aber keine Namen.

Der Kunde muss zusätzlich auf Nachfrage die Info erhalten, welche Daten von ihm beim Shopbetreiber aktuell gespeichert sind. Das muss natürlich für jeden Kunden individuell zusammen gestellt werden. Ist bei uns überschaubar und wohl einfach zu Papier zu bringen, bei konkreter Anfrage.

Fortlaufende Dokumentation der Verabeitung für jeden Kunden?

Nun habe ich gehört, dass man bei jedem Kunden fortlaufend dokumentieren muss, wann was mit den Daten gemacht wurde, wer sie aufgerufen hat etc. Ich hoffe, da hat jemand etwas falsch verstanden. Weiß da jemand von Euch was dazu?

Dokumentation der Einwilligunen

Ein größeres Problem stellt für mich dar, wie ich Einwilligungen belegen soll. Es geht ja immer um Einwilligungen die per Häkchen gemacht werden oder per opt-in beim Newsletter, wobei hier zusätzlich ein freiwilliges Häkchen vorausgeht.

Das wurde oben auch schon mal angesprochen, ob man hier im Logfile etwas sichern muss.

Händlerbund dazu: “Über den Aktivierungslink beim Opt-In-Verfahren kann nachvollzogen und belegt werden, dass der Adressat die Einwilligung für den Newsletter-Versand gegeben hat. Bitte stellen Sie sicher, dass ein Nachweis zur Newsletter-Anmeldung vorliegt, um rechtlich abgesichert zu sein.”

Also reicht es aus, dass es techn. im Shop ohne Einwilligung nicht möglich ist, bestimmte Dinge zu tun?

artep · 28. März 2018 um 11:37

Leider gibt es im Standard keinen Nachweis wer sich an- oder abgemeldet hat. Ich benutze das Plugin Log des eMail-Ausgangs und dort sind alle ausgehenden Mails in der Übersicht. Somit auch die Mail „Bitte bestätigen Sie Ihre Newsletter-Anmeldung“ und „Vielen Dank für Ihre Newsletter-Anmeldung bei…“. Auch erhält man diese Mails in Kopie und wäre somit ein Nachweis für mich. Aber das alles jetzt zu dokumentieren wer wie wo was bekommen hat etc. - blicke da auch noch nicht so ganz durch.

SW bietet ja die Möglichkeit bei der Registrierung die Datenschutzbestimmung als Checkbox anzuzeigen. Wer diese nicht anklickt kann sich nicht registrieren. Für Bestandskunden müsste die Checkbox AGB auf der Kassenseite aktiviert werden, die dann die Datenschutzbestimmungen auch als Link enthält. Wäre jetzt mal so meine Idee.

Ein Verarbeitungsverzeichnis wird erst ab 250 Mitglieder benötigt? Jeder muss das führen, da die Verarbeitung ja nicht gelegentlich erfolgt.

Toric · 28. März 2018 um 12:32

@artep schrieb:

Ein Verarbeitungsverzeichnis wird erst ab 250 Mitglieder benötigt? Jeder muss das führen, da die Verarbeitung ja nicht gelegentlich erfolgt.

Das ist ja nur das, was ich bei der Checkliste des Händlerbundes so verstehe, die du verlinkt hast. Sonstwo hab ich das auch noch nie gesehen. Im Gegenteil, keine Ausnahmen für kleine Betriebe, ist die gängige Aussage.

Die Checkboxen habe ich überall, wo eine Einwilligung notwendig ist. Wenn das als Nachweis reichen würde, wäre ja ok.

Wenn du die Kopie der Bestätigungsmails aufheben würdest, hättest du eine riesen Datenmenge. Abgesehen davon, dass das dann auch in s Verarbeitungsverzeichnis müsste. Wenn du Löschungen dann auch so dokumentierst, hast du wieder den Kunden genannt, also nicht alle Daten gelöscht.

Zur Auftragsdatenverarbeitung habe ich jetzt gelesen, dass ein Hoster diese nicht unbedingt braucht:

Ist mit solchen Dienstleistungen nur der bloße Internet-Zugangsdienst ohne Verarbeitung von personenbezogenen Daten verbunden, dann liegt keine Auftragsverarbeitung vor. Übernehmen solche Webshoster allerdings auch Aufgaben, die mit der Verarbeitung von personenbezogenen Daten verbunden ist wie z.B. E-Mail-Verwaltung, E-Mail Archivierung, dann liegt eine Auftragsverarbeitung vor.

Bei einem reinen SW-Hosting wohl nicht. Aber Aixpro ist da was am ausarbeiten. Ich soll diesbezüglich Mitte April nochmal nachfragen.

Nachtrag: Zu den 250 Mitarbeitern hat lola oben schon was geschrieben und dies verlinkt Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten - Datenschutz-Grundverordnung (DSGVO)

Vitago_GmbH · 28. März 2018 um 20:52

Immer wenn mal Zeit ist, schau ich in dieses Forum. Warum? Weil es hier immer was zu lachen gibt.

sid6581 · 2. April 2018 um 12:42

Shopware sagt ja, dass sie bestens auf die DSGVO vorbereitet sind. Das Whitepaper liefert tatsächlich eine schöne Übersicht.

Wie ist Shopware auf folgende Implikationen vorbereitet?

§76 BDSG neu: https://dsgvo-gesetz.de/bdsg-neu/76-bdsg-neu/

Inwieweit wird den Protokollierungspflichten seitens Shopware Rechnung getragen? Kann ich nachvollziehen, welcher Mitarbeiter, wann welche Daten im Backend verändert oder gelöscht hat?

Trennungsgebot: Technische und organisatorische Maßnahmen – Datenschutz-Wiki

Werden Newsletter-Daten innerhalb der sonstigen Nutzerdaten gespeichert oder als eigene Datensätze? Die Herkunft der Daten muss nachvollziehbar sein bzw. müssen diese mit einem Zweckattribut versehen sein.

Verzeichnis der Verarbeitungstätigkeiten: Art.30 - EU-DSGVO - Verzeichnis von Verarbeitungstätigkeiten - EU-Datenschutz-Grundverordnung (EU-DSGVO)

Da inzwischen jedem klar sein sollte, dass dieses Verzeichnis für so ziemlich alle Shopbetreiber benötigt wird - bietet Shopware dafür eine Vorlage?

Benachrichtungspflicht: Art. 34 DSGVO – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person | Datenschutz-Grundverordnung (DSGVO)

Bietet Shopware die Möglichkeit, sämtliche Daten verschlüsselt in der Datenbank zu halten, um der Benachrichtigungspflicht nach Datenverlust zu entgehen?

artep · 4. April 2018 um 16:32

Hier könnt Ihr Euch Muster runterladen: https://www.bvdnet.de/muster-fuer-verzeichnisse-gemaess-art-30/

Toric · 4. April 2018 um 16:39

Ehrlich gesagt, blicke ich bei diesen ganzen Vorlagen nicht durch, wie ich die mit meinen Daten füllen sollte. Bei mir ist das so wenig, weiß gar nicht, wie ich das da eintragen soll. Bisher habe ich eine selbstgemacht Aufstellung im Ordner, in der alles genau beschrieben ist und das sicher verständlicher und ausführlicher als mit diesen Formularen.

Bin mal auf die Vorlage meines RA gespannt…

frimipiso · 5. April 2018 um 10:37

Diese Seite beantwortet viele Fragen:

https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html

kraeft21 · 5. April 2018 um 10:42

Ein (ausgefülltes) Beispiel für einen Online-Shop gibt es beim LDA Bayern zum Download (https://www.lda.bayern.de/media/muster_9_online-shop_verzeichnis.pdf), sowie ein paar Hinweise dazu (https://www.lda.bayern.de/media/muster_9_online-shop.pdf)

frimipiso · 5. April 2018 um 10:52

Zur Dokumentation der Einwilligungen: laut it Recht Kanzlei muss eine Einwilligung mit folgenden Daten dokumentiert werden:

Text der Einwilligung
Zeitstempel
vollständige ip Adresse des Geräts von dem aus zugestimmt wurde
Nutzername

Scheint so als bräuchte man ein neues Plugin, dass beim Häkchensetzen diese Daten protokolliert.

Dokumentation der Einwilligunen

Ein größeres Problem stellt für mich dar, wie ich Einwilligungen belegen soll. Es geht ja immer um Einwilligungen die per Häkchen gemacht werden oder per opt-in beim Newsletter, wobei hier zusätzlich ein freiwilliges Häkchen vorausgeht.

Das wurde oben auch schon mal angesprochen, ob man hier im Logfile etwas sichern muss.

Händlerbund dazu: „Über den Aktivierungslink beim Opt-In-Verfahren kann nachvollzogen und belegt werden, dass der Adressat die Einwilligung für den Newsletter-Versand gegeben hat. Bitte stellen Sie sicher, dass ein Nachweis zur Newsletter-Anmeldung vorliegt, um rechtlich abgesichert zu sein.“

Also reicht es aus, dass es techn. im Shop ohne Einwilligung nicht möglich ist, bestimmte Dinge zu tun?

Thema		Antworten	Aufrufe
DSGVO und Shopware Stand? Allgemein	38	4634	23. Mai 2018
SHOPWARE nach Update DSGVO konform? Allgemein	5	738	24. Mai 2018
Shopware komplett rechtssicher für alle Länder? Allgemein	4	460	16. Juni 2017
DSGVO / Datenschutz-Update von Shopware - Checkbox Bewertungsemail fehlt! Allgemein	3	877	7. April 2019
Shopseiten Allgemein	7	555	30. April 2019

Shopware und die DSGVO

Verwandte Themen