MODUL: DSGVO Export

[fishnet]

Hallo,

ich lese in letzter Zeit viel über die Datenschutzgrundverordnung. Da muss anscheinend viel im Hintergrund gemacht werden, an Zuständigkeiten gecheckt werden, Kommunikation mit Kunden vorbereitet werden etc. Nichts was einen Programmierer erst einmal interessiert.

Was ich gerne wissen möchte: hat jemand von Euch Erkenntnisse oder Anweisungen vom eigenen Anwalt, was im Shop alles technisch verändert werden muss?

Gerüchteweise(!) habe ich bisher folgende Dinge zusammengetragen:

- Datenschutzerklärung an die Bestellbestätigungsmail anhängen
- Datenschutzerklärung in der Kaufabwicklung anzeigen mit Checkbox "zur Kenntnis genommen" 
- Checkbox mit Einwilligung zur Datenspeicherung unter dem Kontaktformular
- die grobe Idee, Kundenanfragen zur Datenspeicherung über ein shopinternes Ticketsystem (ähnlich RMA Modul) abzufangen, das auch den aktuellen Bearbeitungsstand anzeigt

Hat jemand ergänzende oder gegenteilige Informationen? 


Update vom 01.03.2018:

Modul für Shopversion 1.06:

[ Für Gäste sind keine Dateianhänge sichtbar ]

Modul für Shopversion 2.x:

[ Für Gäste sind keine Dateianhänge sichtbar ]

[EDIT Tomcraft 01.03.2018: Modul für Shopversion 1.06 eingefügt, Danke an fishnet.]
[EDIT Tomcraft 01.03.2018: Modul für Shopversion 2.x eingefügt, Danke an kgd.]
[EDIT Tomcraft 26.03.2018: Module aktualisiert, Danke an kgd.]

Linkback: https://www.modified-shop.org/forum/index.php?topic=38159.0

[Roberto]

Hallo,

zu der Thematik gibt es leider viel Panikmache im Netz...
Das Magazin T3N hat dankenswerterweise eine Beitragsreihe verfasst, in der die Datenschutzgrundverordnung auch für Menschen ohne Jura-Studium verständlich erklärt wird: http://t3n.de/news/dsgvo-datenschutzgrundverordnung-aenderungen-837794/
Meines Erachtens sollte diese Beitragsreihe Pflichtlektüre für jeden Shopbetreiber sein. Oder man geht halt zum Anwalt.

Aus technischer Sicht muss nicht viel an Modified gemacht werden.

• Datenschutzerklärung an die Bestellbestätigungsmail anhängen -> steht bereits in der Roadmap, wird also umgesetzt 
• Datenschutzerklärung in der Kaufabwicklung anzeigen mit Checkbox "zur Kenntnis genommen" -> Ist bereits jetzt schon der Fall, hier muss nichts gemacht werden
• Checkbox mit Einwilligung zur Datenspeicherung unter dem Kontaktformular -> Ist bereits jetzt schon der Fall, hier muss nichts gemacht werden
• Kundenanfragen zur Datenspeicherung über ein shopinternes Ticketsystem (ähnlich RMA Modul) abzufangen, das auch den aktuellen Bearbeitungsstand anzeigt -> interessantes Feature, aber notwendig? Auf welchen Punkt in der Datenschutzgrundverordnung bezieht sich das?

Was auf jeden Fall noch gemacht werden muss, ist eine Checkbox mit Einwilligung zur Datenspeicherung unter der Newsletteranmeldung! Gibt es dazu schon einen Eintrag im Bug-Tracker?

Ansonsten fallen mir zur technischen Seite keine weiteren Punkte ein. Habt ihr noch Ergänzungen?

Grüße
Roberto

[hbauer]

Hallo Roberto,

Ich bin mir nicht sicher ob Deine Einschätzung zu den Checkboxen bei der Datenschutzerklärung stimmt.

Ich versuche jetzt mal wie ein Haarspalter und Abmahner zu denken.

Zitat aus Deinem Link
  

Das vor allem, weil nicht nur die Einwilligungserklärung nachgewiesen werden muss. Nachweisen muss man auch deren nachfolgend genannte Voraussetzungen, vor allem, dass die Nutzer hinreichend informiert wurden.

Eine reine Checkbox schafft diesen Nachweis nicht sondern es müsste in einer Datenbank nach gehalten werden das der Benutzer zum Zeitpunkt der Bestätigung auch wirklich diese Checkbox angeklickt hat. Der Nutzer kann ja behaupten das die Checkbox "damals" gar nicht vorhanden war.

Wie willst Du also nachweisen das ein Benutzer zu einem bestimmten Zeitpunkt auch wirklich den Haken gesetzt hat?

[fishnet]

Meine Lieblings IT Kanzlei teilt mir mit, das nach aktuellem Wissensstand weder eine Datenschutzerklärung an der Bestellbestätigungsmail, noch ein Anhaken der Datenschutzerklärung in der Kaufabwicklung notwendig ist.

Kundenanfragen zur Datenspeicherung über ein shopinternes Ticketsystem (ähnlich RMA Modul) abzufangen, das auch den aktuellen Bearbeitungsstand anzeigt -> interessantes Feature, aber notwendig? Auf welchen Punkt in der Datenschutzgrundverordnung bezieht sich das?

Das war einfach nur eine Idee. Es ist nicht wirklich notwendig. Notwendig ist nur, das ein Kunde der eine Anfrage zu seinen Daten einreicht, zeitnah eine Antwort über den Bearbeitungsstand erhält. Mein Gedanke geht dahin, das zu automatisieren. Das Problem sind hier aber Ebay- und Amazonkäufe 

[Roberto]

Hallo hbauer,

du hast recht. Ich bin wohl etwas naiv an das Thema ran gegangen... 

Rein technisch muss dann eine weitere Spalte in die Tabelle "newsletter_recipments" hinzugefügt werden, in der die Markierung der Checkbox dokumentiert wird. Zusätzlich würde ich in der Bestätigungsmail noch den Zusatz in der Art "mit dem Bestätigen Ihrer E-Mail-Adresse, nehmen Sie unsere Datenschutzhinweise zur Kenntnis" einsetzen.

Unabhängig davon ist mir heute eingefallen, dass die Modified-Shopsoftware doch durch Trustedshops zertifiziert ist. Gibt es von deren Seite keine Auskunft zu dieser Thematik?

@fishnet: Ja, das wäre ein nettes Feature, da gebe ich dir Recht. Hast du es schon als Feature-Wunsch in den Projektplan eingetragen?

[Trailsurfrin]

Ich beschäftige mich auch gerade intensive damit und solperte nun übe folgende Verordnung:

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Der Kunde hat also das Recht seine Bestellhistorie mitzunehmen, aber wie? Und, welches Format soll man denn nutzen? wenn jede sein eigenes macht, klappt das doch hinten und vorn nicht.

Das nächste:

 Nachweisbarkeit:

Sie müssen nachweisen können, dass Ihnen die Einwilligung zur Datenverarbeitung erteilt wurde! Denken Sie hier im Zusammenhang mit der EU-Datenschutzgrundverordnung immer auch an eine  umfassende Dokumentation.

Soll nach Jahren noch nachweisbar sein! Dann muss ich den Kunden bitten einen Verag zu unterschreiben.

[fishnet]

zum Thema Stolpern hab ich auch noch was beizutragen.
Der Händler wird in Zukunft verpfichtet sein dafür zu sorgen das der Shop bei Bedarf schnell wiederhergestellt werden kann - also Backups zu machen.
Die Endverbraucher jedoch haben das Recht auf Löschung ihrer Daten.

Backups sind irgendwie nicht so richtig dafür gedacht oder geeignet, Daten aus ihnen herauszulöschen... 

Und nun noch etwas für die Dienstleister unter Euch.
Bisher war eine Vereinbarung zur Auftragsdatenverarbeitung eine Bringschuld des Händlers. Euch als Dienstleister konnte das quasi egal sein, wenn ein Händler sich nicht drum gekümmert hat. Das ändert sich ab Mai. Dann sind bei Verstößen nämlich BEIDE Parteien dran.
Bedeutet: Alle aktuellen Vereinbarungen werden im Mai wohl ihre Gültigkeit verlieren (wegen diverser Formulierungen die fehlen) und MÜSSEN alle neu vereinbart werden. Für die Händler bedeutet das Gerenne zu Programmierer, Newsletterversender oder Analyseanbieter, für Dienstleister bedeutet das Gerenne zu JEDEM EINZELNEN KUNDEN.
Ach wat freu ick mich schon.... *seufz*

[fishnet]

@fishnet: Ja, das wäre ein nettes Feature, da gebe ich dir Recht. Hast du es schon als Feature-Wunsch in den Projektplan eingetragen?

Nein, weil ich den Wunsch noch nicht richtig ausformulieren kann. Wie gesagt - spätestens bei externen importierten Bestellungen (Magnalister) kippt alles wieder.

[Trailsurfrin]

Ich beschäftige mich auch gerade intensive damit und solperte nun übe folgende Verordnung:

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Der Kunde hat also das Recht seine Bestellhistorie mitzunehmen, aber wie? Und, welches Format soll man denn nutzen? wenn jede sein eigenes macht, klappt das doch hinten und vorn nicht.

Zur Ergänzung:
"Betroffener muss selbst seine Daten herunterladen können
Wichtig ist auch, dass der Betroffene ein Recht erhalten soll, seine Daten selbst zu downloaden und selbst an eine andere verantwortliche Stelle zu üebrtragen"
Aber: "Die Bereitstellung von Daten in einem “strukturierten, gängigen und maschinenlesbaren Format” gestaltet sich schon deshalb als schwierig, da bislang unbestimmt ist, was als solches interoperables Format gelten kann und welche Schnittstellen/APIs und Tools dabei zum Einsatz kommen sollen."

Wie sollen dann wir wissen wie?

Ich wette, die Abmahnanwälte setzen schon Musterabmahnungen auf..........

[longchuan]

@Roberto
Rein technisch muss dann eine weitere Spalte in die Tabelle "newsletter_recipments" hinzugefügt werden, in der die Markierung der Checkbox dokumentiert wird. Zusätzlich würde ich in der Bestätigungsmail noch den Zusatz in der Art "mit dem Bestätigen Ihrer E-Mail-Adresse, nehmen Sie unsere Datenschutzhinweise zur Kenntnis" einsetzen.

Ich finde diese Idee eigentlich ganz gut. Gibt es dafür schon einen Ansatz um dies auch so umzusetzen?

Danke

[MasterChief]

hmmm schade daß das hier eingeschlafen ist  -  alle mal bitte wieder aufwachen     und weiter Ideen und Beiträge bringen!!

Zur Datenportabilität:  Ich würde die Kundendaten einfach als CSV zur Verfügung stellen, wenn ein Kunde da mal wirklich anfragen sollte.  Das ist lt. Stand der Technik ein gängiges Format und somit wäre für mich damit alles getan.

[Bonner]

Alleine wenn man sich mit dem Thema der Dokumentationspflicht der Datenverarbeitungsvorgänge befasst, bleibt dir als kleiner Shopbetreiber eigentlich nur Schluss übrig: MACH DEN LADEN DICHT!

Sorry, aber diese Sesself..rzer in Brüssel machen unter dem Vorwand des Datenschutzes systematisch den Klein- und Mittelstand platt. Nicht das einer auf die Idee käme, die großen Player hätten darauf Einfluss genommen 

Bonner

[gerdvomabbruch]

In den aktuellen DAtenschutzerklärungen heißt es seit ca. 10? 15? 20 Jahren "Sie haben jederzeit das Recht auf Auskunft der bei uns gespeicherten... blabla"

Das ein Kunde das anfragt erlebt man höchstens 1 x im Shopleben. Also wenn sich die Leute hinter modified da jetzt an die Arbeit machen und Zeit investieren für ein Ticketsystem oder sonst etwas wegen Anfragen zur Datenspeicherung

[p3e]

Bereitstellung von Daten in einem strukturierten, gängigen und maschinenlesbaren Format

klingt für mich nach XML.
Spontan fallen mir folgende Daten, die mit dem Kunden in Verbindung stehen, ein:

• die Kundendaten die beim Registrieren erfasst werden
• Rechnungs- und Lieferadressen
• Daten zur Newsletteranmeldung
• Bestellungen inklusive eventueller Zahlungsdaten wie Bankdaten bei Lastschrift (falls noch nicht gelöscht)
• Rezensionen die von den Kunden erfasst wurden

Da fällt euch bestimmt noch mehr ein.

[Trailsurfrin]

Ich beschäftige mich auch gerade intensive damit und solperte nun übe folgende Verordnung:

c) Recht auf Datenübertragbarkeit (Datenportabilität)

Auch neu ist das Recht auf Datenübertragbarkeit, das jetzt in Artikel 20 geregelt ist.
Aber was können Nutzer damit erreichen? Das neue Recht gibt ihnen die Möglichkeit, ihre Daten zu einem anderen Anbieter "mitzunehmen". Die Nutzer können danach von dem Datenverantwortlichen verlangen, ihre personenbezogenen Daten in einem ´gängigen Format´ an einen anderen Verantwortlichen weiterzugeben.

Es wurde CSV von irgendeiner offiziellen Seite vorgeschlagen, das ist als ´gängiges Format´ anerkannt.