Shopware und die DSGVO

@kraeft21 schrieb:

Da der Zugriff auf personenbezogene Daten auf dem Server, der Datenbank, in Backups und E-Mails nicht auszuschließen ist (z.B. bei Wartung und Support), wird wohl ein AV-Vertrag notwendig sein. Mittwald stellt z.B. einen AV-Vertrag im Kundencenter zur Verfügung, den man anpassen und mit Mittwald abschließen kann.

Wichtig ist der Vertrag auch mit der Reinigungsfirma im Büro. Es ist nicht auszuschließen, dass die  Reiningungskräfte beim Reinigen auf den Bildschirmen personenbezogene Daten sehen.

Nein mal ernst: Verarbeitet der Hoster für Euch Personenbezogene Daten oder vermietet er nur einen Server? Meines Wissens nach ist eine theorethische Einsichtmöglichkeit nicht ausreichend für die Erfordernis eines Vertrages über Auftragsdatenverarbeitung. Aber alles Umstritten. Wie immer

LG

Ich hatte diesbezüglich beim Händlerbund angefragt, weil ich mir auch nicht sicher war ob man da wirklich was braucht.  Das bekam ich zur Antwort:

Bei der Übermittlung der Daten an die Server von XXX  handelt sich um eine so genannte Auftragsverarbeitung. Das heißt ein Dritter übernimmt die Verarbeitung Ihrer Daten in Ihrem Auftrag ausschließlich nach Ihrer Weistung. Dabei bleiben Sie verantwortlich für den rechtmäßigen Umgang mit den Daten. Klassische Anwendungsfälle sind bspw. Dienstleister, die den Versand von Newslettern oder das Webhosting übernehmen.

Erforderlich ist dabei stets der Abschluss eines Vertrag zur Auftragsdatenverarbeitung mit dem Dienstleister nach § 11 Bundesdatenschutzgesetz (BDSG) bzw. ab 25.05.2018 gem. Art. 28 Datenschutzgrundverordnung (DSGVO). In diesem ist detailliert zu regeln welche Daten übermittelt werden und wie diese verarbeitet werden. Zusätzlich sind Vereinbarungen zu den so genannten technisch-organisatorischen Maßnahmen zum Schutz der Daten zu treffen.

Mit Wirksamwerden der DSGVO im Mai müssen Sie Ihre Kunden über diese Auftragsverarbeitung innerhalb Ihrer Datenschutzerklärung informieren. Eine entsprechende Klausel werden wir in die neue Datenschutzerklärung aufnehmen.

Beim Webhosting wird allgemein eine Auftragsverarbeitung angenommen.

Meinen Hoster habe ich angeschrieben und die Antwort… Wir haben derzeit einen neuen Datenverarbeitungsvertrag in Bearbeitung und dieser wird ab Mai in Deutsch zur Verfügung stehen.

Darf ich fragen, wer dein Hoster ist? Ich wurde im März auf Mitte April vertröstet, ggf. spare ich mir dann nächste Woche eine Anfrage

Ob man hier jetzt eine Auftragsdatenverarbeitung annimmt oder nicht, ist wohl Auslegungssache. IT-Recht-Kanzlei meint nein. Aber von mir aus, hefte ich auch so einen Vertrag ab. Etwas zweideutig ist mir die Formulierung zum Hinweis in den Datenschutzbestimmungen. Man muss sicher nicher nicht darüber informieren, dass man mit einem Hoster einen Auftragsdatenverarbeitungsvertrag hat, sondern nur allgmein, dass Daten erfasst werden und welche (bei Bestellung, Newsletterabbo) und die allgemeinen Daten wie Browser, IP etc. beim reinen Webseitenbesuch.

Ich habe schon die neue Datenschutzerklärung im Shop. Da erfolgt kein Hinweis, ob beim Hoster oder bei mir gespeichert wird.

Bin bei OVH 

Ich war mir recht sicher, dass hier heute Morgen noch ein weiterer Kommentar stand bzgl. wer wohl alles einen Auftragsverarbeitungsvertrag braucht oder nicht…

Wir der Name schon sagt, benötigt man den Vertrag, wenn jemand in unserem Auftrag die Daten „verarbeitet“, erklärt sich logisch mit Callcenter, Newsletterdienst usw.

Rein von der Logik her ist das für mich was ganz anderes, als geannte Beispiele wie Reinigungskräfte die unautorisiert/zufällig Einblick nehmen könnten, Hoster oder IT-Service die zwar theoretisch die Möglichkeit des Zugriffes hätten, aber nicht beauftragt sind, die Daten irgendwie zu verarbeiten.

Hier spielt dann wohl eher das Verarbeitungsverzeichnis sowie die Erklärung des Unternehmers eine Rolle, wie dieser die Daten vor den unautorisierten Zugriffen schützt.

Wie gesagt - meine Logik. Deckt sich allerdings mit der Erklärung der IT-Recht-Kanzlei, wobei hier beim Hoster nur das reine Hosting genannt wird. Gibt es weitergehende Dienste, ist der ADV auch notwendig. Etwas schwer ist zu erkennen, wo an dieser Stelle „weitergehend“ anfängt. Emailpostfächer z.B.?

Aber so gibt es zwischen der Ansicht genannter Kanzlei und der des Händlerbundes in diesem und einem weiteren Punkt völlig gegensätzliche Einschätzungen.

Der weitere Punkt ist die Dokumentation des Optin. Lt. IT-Recht zwingend erforderlich, lt. Händlerbund genügt das Vorhandensein einer Checkbox.

Was mir aber völlig unklar ist, ist der Auftragsdatenverarbeitungsvertrag mit google analytics. 2011 habe ich das schriftlich mit denen per Post gemacht, also hingeschickt und unterschrieben zurück bekommen. Da ist ja sicherlich ein neuer erforderlich. Per Email gab es Hinweise auf neue Einstellungsmöglichkeiten im Account, aber irgendwie nichts was nach ADVV aussieht. Da die IP nur gekürzt erfasst wird, frage ich mich, ob man das überhaupt braucht. Ist ja keiner Person zuzuordnen.

Im Zweifel einfach beim Hoster nach einer Bescheinigung fragen. Dauert 10 Minuten. Bevor man Tage damit verbringt, die Rechtslage zu interpretieren …

Das hab ich schon vor Wochen. Es hieß nur, es wird dran gearbeitet. Aber was es denn für ein Dokument wird, bleibt abzuwarten.

Ich lese mal mit.

pffff…

Noch ein Thema, das ich einfach mal so mit den Topf werfe damit es nicht langweilig wird:

Aus dem Positionspapier vom 26.4.18 geht hervor, dass Tracking generell erst nach vorheriger Einwilligung möglich sein soll. Es genügt also nicht der Cookiehinweis der zur Datenschutzerklärung mit dem Link zum Deaktivieren führt. Denn zu diesem Zeitpunkt hat bereits ein Tracking stattgefunden.

Es muss quasi beim Besuch der Seite sofort angezeigt werden, welche Daten genau wofür getrackt werden und erst wenn der Kunde den Haken setzt/einwilligt, darf getrackt werden. Technisch eine Herausforderung und so besucherunfreundlich, dass man das Tracking besser ganz sein lässt. Auf Analytics könnte man ja verzichten zur Not. Es gibt aber sicher auch Trackings, die unbedingt benötigt werden.

Die nächste Frage stellt sich ja dann zu den SW-Auswertungen intern. Fallen die auch darunter?

Dem Shop eine Seite vorschalten über die man nur in den Shop gelangt, wenn man den Haken zum Tracking setzt fällt aus (Kopplungsverbot).

Probleme werden hier vermutlich gerade die Seiten haben, die von Affiliatelinks leben und in der Folge dann auch die Shopsysteme, zu denen diese Links führen.

Das Positionspapier ist höchst umstritten.

Wir haben eine Zwischenlösung mit cookieless Matomo und Analytics fliegt raus. Dann ein Cookiebanner ohne aktives Optin. Ist so halblegal aber wird hoffentlich nicht  direkt abgemahnt.

Ich finde man sollte das Positionspapier auch in niedergelassenen Geschäften umsetzen: Man darf den Kunden erst ins Gesicht sehen, wenn diese eine Zustimmung unterschrieben haben.

Zumindest geht hieraus hervor, dass es bisher noch keine rechtliche Bindung hat http://zaw.de/zaw/aktuelles/meldungen/Anlagen/Analyse-ZAW-DSK.pdf

würde ich so verstehen.

Der Cookiebanner mit Link zur Datenschutzerklärung bzw. zur Seite mit dem Optout-Verfahren wurde uns zumindest so empfohlen. Wird auch nicht falsch sein, so lange die Idee aus dem Positionspapier nicht irgendwo bindend umgesetzt wird. Bei unseren Seiten trifft es nur Analytics. Allerdings können wir das externe Partnerprogramm ggf. wohl einstampfen…

Ich glaube nach der „vor DSK“ Auffassung kann man Analytics und Matomo mit Cookies nach einem Cookiebanner mit Link zur Datenschutzerklärung inklusive Optout legal einsetzen.

Wir haben jetzt halt Trackingcookies rausgeschmissen und tracken im stillen in Matomo per Javascript. Ein Optin Banner bevor das Tracking startet wie von der DSK gefordert, deaktiviert de fakto alles Tracking, da nahezu kein Besucher dem Tracking zustimmen wird.

Wenn die ersten Abmahnwellen abgeklungen sind, werden wir das neu bewerten. 

Der Statistik-Call in Shopware ist kein Cookie, die Daten werden per Ajax gezählt (Besucherzähler). Alles andere kommt direkt aus der Datenbank (bspw. aktive Warenkörbe, Bestellungen, …).

@frimipiso schrieb: 

Wir haben eine Zwischenlösung mit cookieless Matomo und Analytics fliegt raus.

Gibt es dafür eine doku, wie man das für seinen eigenen Shop / seine eigene Seite realisiert? 

@frimipiso schrieb: 

Dann ein Cookiebanner ohne aktives Optin. Ist so halblegal aber wird hoffentlich nicht  direkt abgemahnt.

Wenn Matomo cookieless betrieben wird, wofür dann noch der Cookiebanner? Für die Shopware eigenen Cookies?

Danke & Gruß
Marco

@hhmarco73 schrieb:

@frimipiso schrieb: 

Wir haben eine Zwischenlösung mit cookieless Matomo und Analytics fliegt raus.

Gibt es dafür eine doku, wie man das für seinen eigenen Shop / seine eigene Seite realisiert? 

@frimipiso schrieb: 

Dann ein Cookiebanner ohne aktives Optin. Ist so halblegal aber wird hoffentlich nicht  direkt abgemahnt.

Wenn Matomo cookieless betrieben wird, wofür dann noch der Cookiebanner? Für die Shopware eigenen Cookies?

Danke & Gruß
Marco

Hier ist die Matomo Doku dazu:

https://matomo.org/faq/general/faq\_157/

Du kannst Dir in Matomo auch den Trackingcode generieren lassen. Unter den Advanced Einstellungen kannst Du cookies ausschalten.

Das Cookiebanner habe ich für die Sw Cookies dringelassen. Und ich hoffe, dass ich damit den Abmahnern mit Ihren Crawlern nicht sofort auffalle. 

Ich habe auch in den Wordpress Blogs das Cookiebanner eingefügt, obwohl keinerlei Cookies gesetzt werden, nur um nicht in den Fokus der Abmahner zu gelangen (Text: „Diese Seite KANN Cookies verwenden …“). 

Also es ist ja immer die große Frage, wie man das Begehr der Eurokraten interpretieren mag. Für mich geht es bei dem Positionspapier zumindest darum, dass ein Tracking des Besucherverhaltens nicht ohne vorherige Zustimmung erfolgen darf. Es spielt dabei sicher keine Rolle, ob mit oder ohne Cookie getrackt wird.

Wobei das ja eigentlich schwachsinnig ist. Denn anhand der Googleanalytics-Daten festzustellen, WELCHER Besucher/Kunde das nun war, ist ja kaum möglich. Es sei denn, man hat nur einen Besucher am Tag und der bestellt auch noch…

Da warte ich doch entspannt ab, bis da was verbindliches veröffentlicht wird.

@Toric schrieb:

Also es ist ja immer die große Frage, wie man das Begehr der Eurokraten interpretieren mag. Für mich geht es bei dem Positionspapier zumindest darum, dass ein Tracking des Besucherverhaltens nicht ohne vorherige Zustimmung erfolgen darf. Es spielt dabei sicher keine Rolle, ob mit oder ohne Cookie getrackt wird.

Wobei das ja eigentlich schwachsinnig ist. Denn anhand der Googleanalytics-Daten festzustellen, WELCHER Besucher/Kunde das nun war, ist ja kaum möglich. Es sei denn, man hat nur einen Besucher am Tag und der bestellt auch noch…

Da warte ich doch entspannt ab, bis da was verbindliches veröffentlicht wird.

Ich sehe auch so, dass es rechtlich unerheblich ist, ob mit Cookie oder Javascript getrackt wird. Cookie Tracking ist für den gemeinen Abmahner allerdings schnell sichtbar. Wenn direkt auf der ersten Seite ein ga oder pk Cookie gesetzt wird, ohne ein Opt-In per Banner abzuwarten, ist die DSGVO nach DSK Interpretation nicht erfüllt. Das kann man schnell über einen Crawler checken. 

Bei Javascript Tracking muss man schon etwas genauer hinsehen und bleibt eventuell unter dem Radar der Abmahner.

Wenn man das Tracking streng nach DSK implementiert, kann man es auch gleich lassen. Welcher Besucher wird schon aktiv dem Tracking zustimmen?

@frimipiso schrieb:

@simplybecause schrieb:

Seit wann dürfen denn IP-Adressen gespeichert werden, um etwas beweisen zu können?

Klingt sehr merkwürdig, aber ich denke als spezialisierte Kanzlei wissen sie wovon sie reden.

Im Falle des Falles können über den ISP weitere Informationen zur strafrechtlichen Verfolgung angefordert werden. 

Ich greife das Thema auch mal noch auf. Wir haben uns jetzt dazu entschlossen, erst einmal das Tracking komplett abzuschalten, um auf Nummer sicher zu gehen und dann in ein paar Wochen wieder zu starten, wenn klar ist, ob das Positionspapier wirklich Realität wird oder nicht.

Momentan finde ich fast keinen Shop, der über ein Opt In beim 1. Aufruf auf Cookies und Tracking hinweist, außer bspw. hier: https://www.activemind.de/ Ist aber auch ein Anwaltsverein, kein Shop…

Aber selbst dann dürfte man ja nur ohne Opt In agieren, wenn man ausschließlich für den Shopbetrieb notwendige Cookies setzt wie session cookies und selbst ein csrf token cookie zählt schon nicht mehr dazu und man müsste sich vorab das ok einholen. 

Andere wiederum sagen, noch nicht mal ein Banner Hinweis sei zur Zeit Pflicht, obwohl das mittlerweile fast jeder Shop macht. Mich würde mal interessieren, wie ihr das alle macht, weiterhin nur Hinweis, Tracking komplett raus oder wirklich über Opt In?

Die beiden wichtigsten Dinge sind aus unserer Sicht wohl eine neue passende Datenschutzerklärung und in allen Formularen und bei sonstigen Eingabemöglichkeiten der Hinweis oder noch besser das Kontrollkästchen mit dem Link zur Datenschutzerklärung. Wenn das sauber ist, sollte man nach außen schon mal ganz gut aufgestellt sein, oder habt ihr weitere Punkte?