DSGVO + Bestellbestätigung

[MoSaG]

Hallo zusammen,

ich habe mich gefragt, ob es nicht reichen würde, (wenn es denn so möglich ist) in der Bestellbestätigung nur einen Link, mit der Artikelnummer als Linktext, auf die Bestellung unter "Mein Konto" mitzusenden, statt der kompletten Anschrift und den Bestelldetails des Kunden.
Für mich wären das eigentlich alles personenbezogene und somit schützenswerte Daten. Daten die im Shop ja noch SSL/TLS-verschlüsselt werden müssen, dann aber als "Postkarte" (Bestellbestätigung) unverschlüsselt übertragen werden ...

Ich habe nur herausgefunden, dass es eine Bestellbestätigung geben muss und, dass bestimmte Daten enthalten sein müssen (z.B. die Anschrift des Shopbetreibers) und Anhänge wie AGB, Widerrufsbelehrung, etc. falls diese nicht erst bei der Auslieferung mitgesendet werden. Aber ich habe nicht herausfinden können, ob auch die Anschrift des Kunden bzw. dessen bestellte Waren dort angegeben werden müssen.

Meine Quelle wäre diese Seite von Trusted Shops:
https://shop.trustedshops.com/de/rechtstipps/2016/10/17/was-gehoert-in-ihre-bestellbestaetigungs-mail

Was denkt ihr dazu?

Linkback: https://www.modified-shop.org/forum/index.php?topic=38890.0

[h-h-h]

Hallo,
sehr interessanter Gedanke, das ist natürlich ein Problem.
Da nützt es auch nichts, wenn der Shopbetreiber die Mails verschlüsselt gesendet bekommt oder diese auf dem selben Server liegen,  wenn der Kunde noch die Postkarte bekommt.
Und als PDF im Anhang mit Kundenkennwort verschlüsselt ist auch Quatsch, da ein unsicheres Passwort schnell per Brute-Force herauszufinden ist.
Ich mache mir dazu noch ein paar Gedanken, danke das du das Thema ansprichst.

Viele Grüße
h-h-h

[WeXsler]

Da wohl immer auch eine Gastbestellung möglich sein muß, fällt "Mein Konto" als "verschlüsselte" Datenquelle für die Daten in einer Bestellbestätigung wohl eher flach. Der Gastkunde hat ja nichts womit er sich einloggen kann. Ob ein Gastkonto überhaupt existieren darf, ist da auch noch mal eine andere Frage ... . Zumindest muß wohl irgendwie sichergestellt werden, dass es nach Abschluß einer Bestellung ohne Rückstände (automatisch) gelöscht wird - und das scheint dann auch im "Verzeichnis der Verarbeitungstätigkeiten" dokumentiert werden zu müssen ... .

Wenn es so ist wie im Trusted-Link geschrieben, dass man lediglich den Zugang der Bestellung unverzüglich auf elektronischem Wege zu bestätigen hat, reicht ggf. ein schlichter Satz, vielleicht noch mit der Bestell- und Kundennummer, ohne personalisierte Anrede plus ggf. sonstiger Anhänge die man meint mitsenden zu müssen.

Im Grunde müßte das alles automatisiert ablaufen. Ohne ein Modul, welches ja die meisten Daten aus der Datenbank ziehen und als "Verarbeitungsverzeichnis" zusammenfassen könnte, wird der Aufwand doch erheblich werden.

Wäre es nicht eine Idee alle Beiträge zur DSGVO in einer Rubrik im Forum zusammenzufassen? Irgendwie ist das Thema überall - auch in anderen Quellen - ziemlich zerfleddert. Ich gehe auch davon aus, dass uns das Thema doch noch eine Weile, auch über den 25. hinaus beschäftigen wird.

[manne35]

Hallo zusammen
Wieso stellen Adresse des Kunden und Bestell Positionen beim Email Versand an die Kunden email plötzlich sensitive Daten dar ? Es handelt sich ja nicht um eine Kreditkartennummer oder ähnlich ?
Dann ist die Passwort verloren Funktion ja genauso betroffen.-... kann das sein ?

@Wexsler
Ein Gastskonto existiert natürlich nicht für den Kunden, sonst wäre es ja kein Gastkonto.
Steht in der DSGVO wirklich dass eine Gastbestellung möglich sein muss, also ohne ein Konto anzulegen ?
Das kann ich kaum glauben... muss mal tiefer forschen.

lieben Gruss an alle
Manfred

[ EDIT **] Bei Gastkonten muss man nach einem bestimmten Zeitraum die Daten löschen, also werde ich weiterhin gar keine Gastbestellungen anbieten. ist zu kompliziert, weil auch Daten aus der WAWI gelöscht werden müssen - in anderem Zeitintervall wie Buchhaltung -

Nach meiner Kurzrecherche sollte es kein Problem sein dem Kunden per email eine Bestell Bestätigung zuzusenden. Aber was ist da schon sicher...?

[MasterChief]

Es müssen keine Gastbestellungen ermöglicht werden, siehe
https://www.it-recht-kanzlei.de/gastbestellungen-datenschutzgrundverordnung.html
und
http://www.law-blog.de/1414/zwingt-die-dsgvo-onlinehaendler-zu-gast-accounts/
und die DSGVO lesen....

...wenn mindestens ein anderer Weg der Bestellung für den Kunden ermöglicht wird.  Und bestellen kann der Kunde ja auch per Brief (oder ggf. auch Telefon),  man muss ihn aber über diese zusätzliche Bestellmöglichkeit hinweisen !

Beim anderen Gedanken aus dem 1. Post wird mir schlecht    Wem ist es denn zu verklickern daß er eine Bestellbestätigung mit ein paar Links, ohne seinen Namen etc. erhält?!

[WeXsler]

richtig MasterChief, dass mit dem alternativen Weg eine Bestellung machen zu können hatte ich damals zwar gelesen aber wohl wieder verdrängt ... . Andererseits gehen bei mir rund 90% aller Bestellungen über das "Gastkonto" ein, etwa 9,9% über Kundekonten und nahezu nichts über Telefon, Email, Fax. Auf das Gastkonto zu verzichten wäre zumindest für mich astreines Harakiri!

Vielleicht wäre in der Tat erst einmal zu klären, welche Daten/Dokumente bei der Übertragung zum Kunden zu verschlüsseln - vielleicht auch nur zu anonymisieren - sind und welche nicht. Fällt die Bestellbestätigungsmail nun darunter oder nicht? Wenn ja, muß ein Weg gefunden werden.

Wie funktioniert das in diesem Zusammenhang eigentlich mit der Druckversion der Bestellung, die man sich nach Abschluß der Bestellung über print_order.php ausdrucken kann? Geöffnet wird die generierte Datei ja noch unter SSL insofern man das eingerichtet hat. Wie ist aber der technische Überrtragungsvorgang zum Kunden? Gibt es da etwas zu beachten? Bin gerade etwas durch den Wind - wird die Datei dann irgendwo auf dem Server abgelegt wenn sie einmal generiert wurde? Dann wäre das im Verarbeitungsverzeichnis auch zu berücksichtigen. Ich meine aber, dass die Datei mit Schließen des Fensters auch wieder automatisch gelöscht wird. Weiß da jemand mehr?

[hpzeller]

Wie funktioniert das in diesem Zusammenhang eigentlich mit der Druckversion der Bestellung, die man sich nach Abschluß der Bestellung über print_order.php ausdrucken kann? Geöffnet wird die generierte Datei ja noch unter SSL insofern man das eingerichtet hat. Wie ist aber der technische Überrtragungsvorgang zum Kunden? Gibt es da etwas zu beachten? Bin gerade etwas durch den Wind - wird die Datei dann irgendwo auf dem Server abgelegt wenn sie einmal generiert wurde? Dann wäre das im Verarbeitungsverzeichnis auch zu berücksichtigen. Ich meine aber, dass die Datei mit Schließen des Fensters auch wieder automatisch gelöscht wird. Weiß da jemand mehr?

Insofern der Shop verschlüsselt ist, ist die Übertragung der Druckversion zum Browser des Kunden natürlich auch verschlüsselt. Die Daten zur Generierung der Druckversion stammen aus der Datenbank.

Gruss
Hanspeter

[WeXsler]

Danke Hanspeter! Man wird hier ja inzwischen schon ganz wuschig.

Tatsächlich hätte ich nicht für möglich gehalten, dass die DSGVO mit jeder gelesenen Seite mehr Fragen aufwirft als Antworten zu finden sind. Im Grunde kann man bei der intensiveren Beschäftigung mit der Thematik erkennen, dass Umstände erkennbar werden, die bereits nach anderen und älteren Gesetzen/Bestimmungen schon lange zu klären gewesen wären ... . Aber gut. Man tut ja was man kann.

Ich habe jetzt vorerst mal zwei Infolinks gefunden und insbesondere der zweite bringt zumindest mir etwas mehr Klarheit und demnach würde es für die meisten wohl auch akut Handlungsbedarf bzgl. der Bestellbestätigungsmail geben. Wenn man die Bestellbestäigungs-Mail, außer der Kunden-Email selbst, ohne weiteren personenbezogenen Daten versendet, müßte es im Grunde doch passen? Also nur Name, Anschrift, ggf. Bankdaten etc. rausnehmen. Ob die Listung und Preisgestaltung der bestellten Artikel auch rausgenommen werden sollten, würde ich dann gerne nochmal diskutieren. Es gibt ja nun auch gewisse Gewohnheiten bzw. eine gewissen Informationserwartung beim Verbraucher.

https://shopbetreiber-blog.de/2017/11/02/bestellbestaetigung-verschluesselung/

https://www.taylorwessing.com/newsletter/commercial/newsletter-commercial-maerz-2012/datenschutzrisiken-bestellbestaetigung-per-e-mail.html

Hat vielleicht jemand noch aussagekräftige Quellen zum Thema?

[manne35]

Gastkonto geht aber gar nicht, wenn du da nach 2 Jahren die Daten aus dem onlineshop löschen musst und bei anderen konten natürlich nicht. Das klappt doch nie...immer nur einen Teil der Daten zu löschen...
Dann besser den Kunden ganz klar darauf hinweisen dass ein Konto erstellt wird.

[WeXsler]

Bei uns klappt das mit dem Löschen der Gastkonten wunderbar. Nachdem das Versandaviso raus ist, ist der nächste Schritt in der Routine das Gastkonto zu löschen. Gastkonten ohne Umsatz werden sowieso direkt gelöscht. Das wird so schon immer und auch absolut zuverlässig gemacht und genauso dem Kunden auch bereits bei der Anmeldung kommuniziert. Ich denke, dass das so auch in Ordnung ist. Das Problem welches sich jetzt ergibt, ist der nicht unerhebliche Mehraufwand bei der Doku. Das vorzulegende Löschkonzept müßte hier wie auch bei anderen zeitlichen Löschvorgaben ggf. auch eine Automatik nachweisbar haben - das muß ich nochmal nachlesen. Im Augenblick habe ich bei der ganzen Sache inzwischen derart viel Input und es fehlt bei einigen Sachen noch das "Wie" der möglichst korrekten praktischen Umsetzung. Aber das ist jetzt auch alles etwas OT - ursprünglich sollte es ja um die Bestellbestätigungsemail gehen.

[Viol]

Hab ich hier etwas mißverstanden? Man kann im Backend einstellen, dass Gastkonten gelöscht werden.
Die Bestellungen mit Daten müssten doch 10 Jahre aus steuerrechtlichen Gründen aufbewahrt werden.

[WeXsler]

Hallo Viol,

ja, das ist im Backend unter Konfiguration - Kundendetails einstellbar. Vermutlich werde ich das dann künftig auch nutzen insofern der Löschvorgang tatsächlich automatisiert werden muß. Bisher lag mir daran, das Gastkonto erst mit Abschluß der kompletten Bestellung zu löschen. So wie das aktuell konfiguriert ist, wird das Gastkonto aber bereits mit Auslösen der Bestellung gelöscht.

Wie dem auch sei - das Anlegen des Gastkontos scheint mir doch ein Speichervorgang personenbezogener Daten zu sein, der im Verzeichnis der Verarbeitungstätigkeiten inkl. Löschstrategie usw. wohl dokumentiert werden müßte. Bei entsprechend hohem Aufkommen ist das mit den Kontendokus, völlig gleich ob Gast- oder Kundenkonto, reichlich aufwändig ... . Ein Tool, welches die gestellten Aufgaben für das Verzeichnis meistern kann und vielleicht auch für nicht so gewinnträchtige Unternehmungen bezahlbar bliebe, wäre da sicher ein Segen. Vielleicht gibt es da ja auch schon etwas?

Ich muß mal schauen, ob ich meine Kundeninfo bei der Anmeldung zum Gastkonto etwas umtexte um hier noch besser zu informieren. Vielleicht so: "Bestellen ohne Kundenkonto - Legen Sie sich hier ein Gastkonto an. Dieses wird nach Abschluß der Bestellung (automatisch) gelöscht." So etwas in der Art sollte eigentlich genügen. Oder hat jemand noch eine bessere Idee?

[manne35]

..."Bestellen ohne Kundenkonto - Legen Sie sich hier ein Gastkonto an. "...
Ehrlich ?... Das check ja nicht mal ich was ein Gastkonto eigentlich ist. Wenn der Kunde eben KEIN Konto anlegen will erscheint es mir seltsam ihm ein "gastkonto" aufzudrücken. Vielleicht besser nix davon schreiben ?  
Ein Gastkonto wird nicht gespeichert - fertig aus die Maus. Soll Dir mal einer ein Gastkonto zeigen. Wie das im Shop funktioniert weisst Du nicht, wenn mal einer fragt.

[MoSaG]

Da nützt es auch nichts, wenn der Shopbetreiber die Mails verschlüsselt gesendet bekommt oder diese auf dem selben Server liegen,  wenn der Kunde noch die Postkarte bekommt.

Ich habe bei der Suche nach DSGVO und Mails verschlüsseln eine Websseite gefunden, die auch zu diesem Thema geschrieben hat, bis ich irgendwann festgestellt habe, dass die einen Service anbieten, der Mails verschüsseln soll, auch wenn der Shopkunde bisher keine Verschlüsselung per Mail unterstützt.

Genau verstanden habe ich das Prinzip noch nicht aber hier ist mal der Name der Webseite "zertificon" (wenn es direkt verlinkt werden darf, bitte Bescheid sagen, dann mach ich das noch) unter "Lösungen" gibts ein "EMail-Verschlüsselungs"-Gateway ... ich denke das wird irgendwie dazwischen geschaltet. Was der Shopkunde für eine E-Mail erhalten wird, ist mir aber gerade ein Rätsel, ob es so eine Mail wird wie "Sie haben eine verschlüsslte E-Mail erhalten, klicken Sie hier um sie zu lesen"? ... andererseits, wenn diese Mail dann auch unverschlüsselt übertragen wird, könnte ja jeder wieder auf den Link klicken ...

Prima, dass sich hier aus dem einen Thema mit der Bestellbestätigung, auch noch das mit den Gastkonten entwickelt hat, was mir jetzt Kopfzerbrechen bereitet 

[MoSaG]

https://www.taylorwessing.com/newsletter/commercial/newsletter-commercial-maerz-2012/datenschutzrisiken-bestellbestaetigung-per-e-mail.html

also dem Fazit dieser Seite nach, dürften in der Bestellbestätigung ja nur die Shopdaten und bestellten Produkte auftauchen, nicht aber Rechnungs- und Lieferanschrift, oder sehe ich das falsch?