Shopware und die DSGVO

Aber was ist, wenn der Kunde oder Interessent keine feste IP hat oder ein Anonymisierungstool nutzt? Darf man die vollständige IP überhaupt in die Finger kriegen? Bei Bestellungen sind die letzten 3 Stelle ja geixt. xxx

Hinterlegt oder speichert Shopware die IPs zu folgenden Vorgängen? Wenn ja in welcher Datenbanktabelle?

  1. Newsletteranmeldung

  2. Artikelbewertung

  3. Blogkommentar

  4. Kontaktanfrage Formular

  5. Frage zum Artikel Formular

Das wären so die 5 Möglichkeiten im Frontend, bei denen der Kunde was in ein Formular eintragen kann.

Da stellt sich mir aber die Frage:

Ich frage im Bewertungsformular für Artikel und für Blogkommentare keine Emailadresse ab oder sonstige Daten des Kunden. Das einzige was der Kunde über sich dort eintippen kann, ist der Name. Aber da kann jeder ja jeden x-beliebigen Namen eingeben. Double opt in verlange ich daher auch nicht. Es wird ja keine Emailadresse abgefragt, an die ich irgendwann mal was schicke, wie z.B. einen Newsletter.

Viele Grüße

Matthias

 

Seit wann dürfen denn IP-Adressen gespeichert werden, um etwas beweisen zu können?

Hab hier was gelesen:  Datenschutzerklärung: DSGVO-konform gestalten | Recht | Haufe

  • In Art. 6 DSVGO finden sich diese Ausnahmen, bei denen die Verarbeitung der Daten gestattet ist. So ist dies etwa der Fall, wenn die Daten zur Erfüllung eines Vertrags mit dem Betroffenen benötigt werden. Aber auch die  „Wahrung der berechtigten Interessen“  des Datenverarbeitenden gehören zu diesen Ausnahmen. Im ersten Fall ist es naheliegend, dass ein Anbieter für die Lieferung von Waren bzw. die Bereitstellung kostenpflichtiger Dienste Daten wie Name und Adresse sowie evtl. Kontendaten benötigt. 
  • Mit der Wahrung der berechtigten eigenen Interessen kann etwa die  temporäre Speicherung der IP-Adressen der Website-Besucher  begründet werden, sofern dies notwendig ist, um etwa die Sicherheit der Website gegenüber Angriffen zu gewährleisten. Üblicherweise sollte diese Speicherung von IP-Adressen zu diesen Zwecken jedoch nicht länger als 14 Tage dauern. 

Dann noch von woanders:

Ist die Speicherung von IP-Adressen in Access- und Errorlogs des Webservers unbedenklich?
Jein. IP-Adressen sind personenbezogene Daten, das heißt die Speicherung in Log-Dateien bedarf grundsätzlich einer Rechtfertigung nach DSGVO. Logfiles können statistisch ausgewertet werden und dienen daher der Verbesserung der Stabilität und Funktionalität der Website. Dies begründet ein überwiegendes berechtigtes Interesse des Online-Händlers an deren Speicherung und macht sie insoweit unbedenklich.

Auf die Speicherung von Accers- und Errorlogs ist allerdings unter Angabe der Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) und Nennung des berechtigten Interesses zwingend in der Datenschutzerklärung zu informieren.

@simplybecause schrieb:

Seit wann dürfen denn IP-Adressen gespeichert werden, um etwas beweisen zu können?

Klingt sehr merkwürdig, aber ich denke als spezialisierte Kanzlei wissen sie wovon sie reden. 

Ohje, da blickt ja bald niemand mehr durch.
Die Datenschutzinfos im Shop liest doch eh kein Kunde.
Und wenn sich jemand dranwagt, macht er sie nach einem Absatz wieder zu.

Kunden lesen ja nicht mal die Widerrufsbelehrung.

1 „Gefällt mir“

Das ist die Krux an der ganzen Geschichte. Auf der einen Seite müssen so viele rechtlichen Vorgaben eingehalten und die Kunden darüber (ausführlich) informiert werden, auf der anderen Seite sollen die Texte aber auch übersichtlich und verständlich bleiben. 

Ne, bis jetzt blickt da überhaupt keiner wirklich durch. Diese ganze - was darf ich und was darf ich nicht Politik - ist einfach nur zum ko…

3 „Gefällt mir“

Ich denke die Auslegung bzw. Umsetzung der DSGVO wird nach den ersten Abmahnungen und Gerichtsentscheiden viel klarer sein.  Sticking-out-tongue

@artep schrieb:

Ne, bis jetzt blickt da überhaupt keiner wirklich durch. Diese ganze - was darf ich und was darf ich nicht Politik - ist einfach nur zum ko…

Die Einzigen, die davon profitieren sind die Abmahner. Die haben ihre automatischen Crawler schon in Stellung, um Fehler zu finden … 

Neues Thema - da dazu nix im WIKI steht:
Für Tracking (piwik/Matomo, analytics…) muss nach mancher Rechtsauffassung vorab die Erlaubnis (OptIn) vom Seitenbesucher eingeholt werden. Soweit kein Problem, da ich alle Schnüffelsoftware rausgeschmissen habe.

Was ich aber ein wenig nutze - und hier wird es aus meiner Sicht zum Problem mit Shopware: Der Partnerlink „sPartner=“
Wenn also ein Shopbesucher über einen Link mit „sPartner=“ in den Shop kommt, bekommt er als allererstes ein Cookie verpasst (im Partner konfiguriert - default 1 Monat Lebensdauer).
Hier haben wir schon das erste Problem - ein technisch nicht notwendiges Trackingcookie wird ohne Erlaubnis gesetzt.
Kauft Kunde nun etwas im Shop, wird dem Bestelldatensatz auch noch der „Partner“ eingefügt (auch dem Kundendatensatz?)
[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ da ich beim Überfliegen im Wiki nichts zum Partnerlink gefunden habe:
Ist diese Funktion überhaupt noch rechtskonform einsetzbar unter dem Schwert der DSGVO ?

1 „Gefällt mir“

Kann mir bitte jemand zeigen, wo ich  „Double-Opt-In für Bewertungen“  aktivieren kann?

Hallo,

unter „Einstellungen“ -> „Grundeinstellungen“ -> „Storefront“ -> „E-Mail-Einstellungen“ -> „Double-Opt-In für Artikelbewertungen“ auf „Ja“ stellen (betrifft dann Artikel und Blogeinträge), wenn es aktiviert sein soll.

Grüße

Sebastian

1 „Gefällt mir“

Würde ich aber lieber nicht machen weil man somit noch mehr Daten sammelt, für die man Verantwortung übernehmen muss. In dem Fall dann die E-Mail-Adresse des Bewerters Oder Kommentators. Gasp

weiss jemand ob und wo ip Adressen für Bewertung, Blog Kommentar, Kontaktanfragen und frage zum Artikel gespeichert werden?

@sonic schrieb:

Neues Thema - da dazu nix im WIKI steht:
Für Tracking (piwik/Matomo, analytics…) muss nach mancher Rechtsauffassung vorab die Erlaubnis (OptIn) vom Seitenbesucher eingeholt werden. Soweit kein Problem, da ich alle Schnüffelsoftware rausgeschmissen habe.

Was ich aber ein wenig nutze - und hier wird es aus meiner Sicht zum Problem mit Shopware: Der Partnerlink „sPartner=“
Wenn also ein Shopbesucher über einen Link mit „sPartner=“ in den Shop kommt, bekommt er als allererstes ein Cookie verpasst (im Partner konfiguriert - default 1 Monat Lebensdauer).
Hier haben wir schon das erste Problem - ein technisch nicht notwendiges Trackingcookie wird ohne Erlaubnis gesetzt.
Kauft Kunde nun etwas im Shop, wird dem Bestelldatensatz auch noch der „Partner“ eingefügt (auch dem Kundendatensatz?)
[@Moritz Naczenski](http://forum.shopware.com/profile/14574/Moritz Naczenski „Moritz Naczenski“)‍ da ich beim Überfliegen im Wiki nichts zum Partnerlink gefunden habe:
Ist diese Funktion überhaupt noch rechtskonform einsetzbar unter dem Schwert der DSGVO ?

Also ich hatte diesbezüglich schon mit dem Datenschutzspezialisten gesprochen. Generell ändert sich das erstmal mit der DSVGO nicht - es ist weiterhin gängig hier ein „Opt-Out“ (Cookie Hinweis) zu nutzen.  Trotzdem ist halt die Empfehlung möglichst wenig „technisch nicht notwendige“ Cookies vorab zu setzen. Wir haben das nochmal auf dem Prüfstand - allerdings wird es beim Partnertracking natürlich auch ziemlich aufwendig, dies komplett umzubauen. Der Partner wird nur an der Bestellung gespeichert - nicht am Kunden.

1 „Gefällt mir“

@Toric schrieb:

Wenn du die Kopie der Bestätigungsmails aufheben würdest, hättest du eine riesen Datenmenge. Abgesehen davon, dass das dann auch in s Verarbeitungsverzeichnis müsste. Wenn du Löschungen dann auch so dokumentierst, hast du wieder den Kunden genannt, also nicht alle Daten gelöscht.

 

Um nochmal hierauf (Aufbewahrungspflicht) zurückzukommen:  Alle Korrespondenz die zum Abschluß eines Vertrages führen sind aufzubewahren! Auch die E-Mail Bestätigungen inkl. Versandbestätigung die als Nachweis dient. (6 Jahre) Hier zu lesen: Rechnungen, Lieferscheine & Co: Aufbewahrungspflichten im Online-Handel

Ich träume schon von der DSGVO.  Undecided

Nachtrag:

e.) Begriff des Handelsbriefes

Der Begriff des Handelsbriefes wird in Abgrenzung zum Begriff des Geschäftsbriefes benutzt, wobei inhaltlich das gleiche gemeint ist, Handelsbriefe jedoch nur bei Kaufleuten, Geschäftsbriefe bei Landwirten und Freiberuflern vorkommen. Die Form der Handelsbriefe ist gleichgültig. Auch Fernschreiben, Telegramme, Telefaxe oder  E-Mails  fallen unter die geschäftliche Korrespondenz. Wesentlich für die Beurteilung des Vorliegens eines Handelsbriefes ist der Inhalt, der sich auf ein zustande gekommenes Handelsgeschäft beziehen muß. Ein Handelsgeschäft ist betroffen, wenn ein Schriftstück seine Vorbereitung, seinen Abschluß, seine Durchführung oder seine Rückgängigmachung zum Gegenstand hat. Zu den empfangenen Handelsbriefen gehören insbesondere

  • Angebote, die angenommen wurden,
  • Aufträge, einschließlich Änderungen und Ergänzungen,
  • Auftragsbestätigungen,
  • Versandanzeigen,
  • Lieferschein,
  • Frachtbriefe,
  • Rechnungen und
  • Zahlungsbelege sowie
  • alle gegenseitigen schriftlichen Vereinbarungen (Verträge).

Quelle: Aufbewahrungspflichten, digitale Archivierung und Datenschutzrecht - DS Law

Ich würde mir wirklich noch eine Funktion wünschen, Bestellungen älter als 10 Jahre im Backend bequem zu löschen. Man kann zwar bei den Bestellungen filtern, muss aber dann jede Bestellung einzeln löschen. Direkt über die Datenbank würde das zwar auch gehen, aber da hängt ja auch mehr als eine Tabelle dran. 

Leute - vieles, was Ihr jetzt der DSGVO zuschreibt, galt auch schon früher - wie eben die “Aufbewahrungspflichten”.
Die DSGVO fällt ja nun nicht gerade aus dem heiteren Himmel, wie man ja an diesem inzwischen 5 Monate alten Thread sieht.
Hätte man die Zeit genutzt, wäre die DSGVO nur halb so wild - aber vor 5 Monaten bekam man hier als Antwort ja nur “brauch ich mich nicht drum kümmern, bekomme ja rechtzeitig von xyz meine neuen Rechtstexte”.

Jetzt hilft nicht mehr Jammern, sondern nutzt die Zeit, und kniet Euch rein. Ihr seid doch alle (Zwangs-)Mitglieder zumindest bei der IHK - die haben ein gutes Whitepaper.
Ich persönliche finde die DSGVO gut - und sie bezieht sich auch und gerade auf die neue (noch in Arbeit befindliche) ePrivacy-Verordnung - die wohl 2019 kommen wird  - dann gibt es noch mal Arbeit - und es wird manches leichter!

Wenn Ihr Euch mal rechtzeitig intensiv mit der DSGVO beschäftigt hättet, hättet Ihr auch gemerkt, dass Sie Euch in vielen Bereichen das Leben sogar leichter macht!
Unter gewissen Voraussetzungen wird es sogar “legaler”, Stammdaten für Marketing - wie Newsletter - zu nutzen.

Ihr solltet Euch mehr selber Informationen einholen, als den halbgaren Panik-Kram der it-recht-wir-zocken-euch-ab-kanzlei als Bibel für die DSGVO zu betrachten.

Ich denke mit einem Update der Rechtstexte fliegt man erst einmal einr Zeit lang unter dem Radar der Abmahner, denn die werden erst einmal nur automatisiert die Datenschutzinfos der Shops crawlen und die Sünder abmahnen (low hanging fruits).

 

So Dinge wie zeitige Löschung oder das Verarbeitungsverzeichnis oder der Einwilligungsnachweis werden erst einam sicher nicht abgemahnt werden, denn das erfordert Aufwand für die Abhmahner.

Deshalb sehe ich den 25.5. vor allem für die Rechtstexte als kritisch an. Beim Rest kommt es wahrscheinlich auf ein paar Tage mehr oder weniger nicht an.

 

Ps. sorry für die Typos. Auf dem Handy kann ich nicht so doll tippen.

Also die Rechtstexte sehe ich weniger als Problem an, eher die technische Umsetzung bzgl. Dokumentationen und Nachweise. Aber ich denke das kriegen wir auch in den Griff.  Wink

Mittlerweile gibt es so viele Vorlagen für die Datenschutzbestimmung und auch stellen Händlerbund, Trustedshops & Co. diese auch zur Verfügung. Die muss man dann nur halt auf sich anpassen. 

Also was die Aufbewahrungspflichten angeht, warte ich mal den Rückruf der Rechtsabteilung der IHK ab. Bin nicht sicher, ob da irgendwas durcheinander gerät. Dass Rechnungen archiviert werden müssen, ist klar bzw. alles was mit der Buchhaltung und Steuern zusammen hängt.

Dass ich eine Bestelleingangsemail archivieren muss, kann ich mir nicht vorstellen. Bei mir hängt die Bestellung ausgedruckt an der Rechnung im Ordner. Wenn jemand hier aufkreuzt, der etwas kauft und bar bezahlt, hab ich nichtmal die Bestätigungsmail oder so, sondern nur ne Rechnung.