Post by OSWorX » Mon May 21, 2018 6:03 pm

Mit 25. Mai 2018 tritt die sogenannte Datenschutzgrundverordnung (DSGVO) oder General Data Protection Regulation (GDPR) in Kraft.
Beschlossen am 24.5.2016 geht damit die 2-jährige Übergangsphase zu Ende.

Was bedeutet das?
Spätestens am 25. Mai 2018 muss jeder Webseiteninhaber - somit auch Webshopbetreiber - diese Verordnung umgesetzt haben.

Was wenn die DSGVO nicht umgesetzt wird/wurde?
Dann drohen hohe Geldstrafen welche bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen können.

Was ist die DSGVO?
Die Datenschutzgrundverordnung ist eine EU-Weite Verordnung welche automatisch in nationales Recht umgewandelt wird - die jeweiligen EU-Mitgliedsstaaten brauchen daher keine eigenen Gesetze / Verorrdnungen dazu erlassen.
Die Mitgliedsstaaten aber können Sanktionen daraus national anders behandeln, siehe Österreich (DSG - Datenschutzgesetz) wo z.B. Unternehmensklagen jetzt weitgehenst unmöglich sein werden oder das Auskunftsrecht bei öffentlichen Stellen defakto abgeschafft wurde (eine Klage vor dem EUGH dagegen ist möglich und wird gegen das DSG auch wahrscheinlich) oder Deutschland (BDSG) .

Was bedeutet die DSGVO?
Im Wesentlichen werden damit die persönlichen Rechte geschützt - war es bisher so dass im Prinzip jeder Webseitenbetreiber mit den gesammelten Daten machen konnte was er wollte, sieht es damit in Zukunft so aus (DSGVO Art. 6):

  1. die betroffene Person hat ihre Einwilligung gegeben
  2. die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich
Was sind die Grundsätze der DSGVO?
Es sind 6 Punkte welche für die Verarbeitung personenbezogener Daten gegeben sein müssen (DSGVO Art. 5):

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Was bedeutet die DSGVO für mich (als Webshopinhaber/-betreiber)?
  • Anpassung der Datenschutzrichtlinien
  • Deaktivierung aller Tracking- und Marketingtools sowie deren Cookies
  • Deaktivierung aller Social Media Plugins sowie deren Cookies
  • Einholung eines Einverständnis (Consent) des Besuchers/Kunden zur Verwendung von Cookies
  • Erstellen eines Verarbeitungsverzeichnisses
  • Installierung eines Datenschutzbeauftragten (intern oder extern) wenn mehr als 100 Mitarbeiter im Betrieb
  • Auftragsdatenverarbeitungverträge (z.B. mit dem Hostinganbieter oder wenn Google Analytics verwendet wird, mit Google)
  • Verfahrensverzeichnis
Wichtig in diesem Zusammenhang ist das Alter der Person in Bezug auf die Einwilligung (DSGVO Art. 8 )
Sicherstellung dass die Person über 16 Jahre ist (nationale Gesetze können diese Alter bis auf 13 Jahre herunter setzen, Östrreich z.B. gilt 14 Jahre)

Was wenn ich meinen Geschäftssitz nicht in der EU habe - aber Kunden aus der EU anspreche?
Generell gilt immer (wie schon bisher): es gilt das Gesetz des Landes aus welchem der Kunde / Besucher kommt (siehe dazu auch KSCHG - Konsumentenschutzgesetz).
Das heisst: sobald Personen aus der EU in meinem Webshop Produkte bestellen können, muss ich die DSGVO umsetzen.

Welche Rechte haben Kunden einer Webseite / meines Webshops (DSGVO Art. 18)?
  • das Recht auf Auskunft
  • das Recht auf Vergessen
  • das Recht auf Berichtigung
  • das Recht auf Portabilität
Wie kann ich die DSGVO / GDPR in meinem Webshop umsetzen?
Dies kann auf 2 Arten erfolgen:
1. Manuell - alle Anpassungen müssen im Code manuell erledigt werden
2. Automatisch - mit Hilfe der passenden Erweiterung

In Kürze wird die passende Erweiterung zur DSGVO / GDPR sowohl auf https://osworx.net als auch im OpenCart Extensionstore veröffentlicht.

Desweiteren sind ergänzend dazu diese Arbeiten zu erledigen (z.B. Anonymisierung):
3. Anpassung der Codezeilen von Auswertungstools wie z.B. Matomo
4. Anpassung der Codezeilen von Google Analytics (z.B. über die GA Verwaltung oder den Tagmanager)
5. Überprüfung aller zusätzlichen Erweiterungen auf das Absetzen von Cookies und Unterbindung solcher wenn kein Einverständnis vorliegt
6. Überprüfung aller zusätzlichen Erweiterungen auf das Erfassen von Benutzerdaten

Was mache ich in Bezug auf Newsletterabonnenten?
Wurden die Abonnenten bisher schon auf ihr Einverständnis gefragt und dieses auch gespeichert, ist keine weitere Aktion notwendig.
Haben aber diese Abonnenten bisher nur eine einfache Checkbox markiert und wurde dieses Einverständnis nicht gespeichert, dann muss eine Newsletterlösung mit DoubleOptin installiert werden welche die Einwilligungen nachweislich speichert.
Dazu ergänzend müssen alle bisherigen Abonnenten angeschrieben werden - Achtung: nur Schreiben, darf keine Werbung enthalten! - und um deren Einwilligung zum weiteren Erhalt des Newsletters gebeten werden.
Siehe dazu das Recht auf Auskunft

Verfahrensverzeichnis (DSGVO Art. 30)
Dabei handelt es sich um eine Übersicht (elektronisch oder schriftlich) welche Verarbeitungstätigkeiten der Händler in Bezug auf die personenbezogenen Daten seiner Kunden selbst oder mittels eines weisungsgebundenen Auftragsverarbeiters ausführt.
Diese Übersicht ist nur für den internen Gebrauch und auf Verlangen einer Behörde dieser vorzulegen - nicht gedacht zu Weitergabe an (End)Kunden.
Es dient letztendlich der Überprüfbarkeit der Einhaltung von Datenschutzgrundsätzen gemäß DSGVO.
So ist es ein Verzeichnis für aller Verarbeitungstätigkeiten im Unternehmen (z.B. Prozesse der Buchhaltung, des Lagers, usw.)

DGSVO Art 30. Abs.1 bestimmt, dass der Verantwortliche bzw. dessen Vertreter u.a. folgenden Angaben enthalten muss:
  • Name & Kontaktdaten des Verantwortlichen, Vertreter und ggf. Datenschutzbeauftragten
  • Verarbeitungszweck: wofür werden welche personenbezogene Daten erhoben und verarbeitet
  • Beschreibung der Kategorien der betroffenen Personen (z.B. Kunden, Mitarbeiter)
  • Wer aller empfängt diese Daten (In- & Ausland) - siehe Auftragsverarbeitung
  • Datenübermittlungen Drittländer doer int. Organisation (DGSVO Art. 49 Abs 1 / 2)
  • Löschungsfristen
Im Prinzip gilt die Verzeichnispflicht für Unternehmen ab 250 Mitarbeiter.
Die wenigsten hier werden diese Anzahl an Mitarbeitern haben.
Aber (!!) sobald die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffen betrifft, zudem regelmässig erfolgt und eine Verarbeitung besonderer Datenkategorien (DGSVO Art. 9 Abs 1) betrifft, ist das Verfahrensverzeichnis zu führen.
Aus dem Grund, dass eben eine regelmässige Datenverarbeitung von Kundendaten stattfindet (1x / Woche, 1x Monat 6 x / Jahr wäre schon regelmässig).
Zudem betrifft es die Daten der Kunden bzgl. Name, Adresse, usw.

Das heisst, dass auch kleine Webshops und Onlinehändler nicht von der Führung eines Verfahrensverzeichnisses befreit sind.

Sicherheit
Unter dieses Kapitel fällt so manches, hier aber ist die Sicehrheit in Bezug auf die Webseite und den Emailtransport gemeint.
Wer bisher den Webshop nicht verschlüsselt - als per https - hat, der sollte schnellstens ein SSL-Zertifikat installieren und im Shop umsetzen!
Was bringt das u.a.?
Zum einen dass der gesamte Verkehr zu und von der Webseite gesichert abläuft.
Zum anderen 'belohnt' Google solche Seiten mit einem besseren Ranking - heisst es zumindest.
Auf alle Fälle profitieren die Shopkunden davon wenn sie in der Browserleiste ein grünes Symbol sehen - es zeigt auch dass der Shopinhaber Sicherheit Ernst nimmt.

Es gibt aber noch eine weitere Sicherheit welche zu beachten - und umzusetzen ist (lt. DGSVO): der gesamte Emailverkehr muss ebenfalls gesichert übertragen werden.
Entweder per SSL oder TLS, Port 465 wird am öftesten verwendet.
Hier gegebenfalls den Provider fragen welche Einstellungen anzuwenden sind (und schriftlich bestätigen lassen) damit auch dieser Punkt der DSGVO erfüllt ist.

Darf ich noch Cookies absetzen?
Diese DSGVO behandelt Cookies nur am Rande, die EU plant für 2019 / 2020 dazu ein eigenes ePrivcy Gesetz / Verordnung.
Aber durch die DSGVO ergibt sich für Cookies, dass diese in 3 Gruppen aufgeteilt werden:

A. Systemcookies (z.B. Session, Sprache, Währung)
B. Analyse / Marketing
C. Soziale Netzwerke


Cookies der Gruppe A dürfen nach wie vor bedenkenlos im Browser des Besuchers gespeichert werden.
Cookies der Gruppe B nur dann, wenn eine berechtigtes Interesse besteht. Das ist etwas dehnbar, um aber Probleme zu vermeiden, sollte Cookies dieser Art nur nach voriger Einverständniserklärung des Seitenbesuchers verwendet werden
Cookes der Gruppe C sind bisher schon problematisch gewesen (siehe dazu diverse Urteile des EUGH, BGH & VGH). Sie (und Werkzeuge dazu) sollten sofort abgeschaltet werden und erst nach voriger Einverständniserkärung des Seitenbesuchers aktiviert werden.

Cookiebanner - Erlaubnis der Cookieverwendung
Es ist ratsam wenn Cookies der Gruppen B & C verwendet werden sollen, dass der Webseitenbesucher darum um Erlaubnis (= Consent) gefragt wird.
Darin sind die einzelnen Gruppen anzuführen - der Besucher muss aktiv entscheiden ob Cookies verwendet dürfen.
Vorherige Einscheidungen sind in dieser Abfrage zu berücksichtigen.

Das Ergebnis dieser Erlaubnis kann in einem weiteren Cookie am Besucherbrowser gespeichert werden. Eine lokale Speicherung (Datenbank) kann dazu ebenfalls erfolgen, nur ist hier die Frage der Verhältnismässigkeit zu überprüfen da wenn die Entscheidung als Cookie vorliegt, dieses in der Folge auch berücksichtig wird bzw. berücksichtigt werden muss.

Werden keine Cookies der Gruppen B & C verwendet, braucht es auch keiner Einwilligung, ein Hinweis dazu genügt.
Dieser Hinweis kann auch in den Datenschutzbestimmungen enthalten sein, es muss kein 'Banner' im Shop verwendet werden.

Der Einsatz der sogenannten Cookiebanner basiert auf einer Entscheidung von Grossbritannien wo diese Art der Anzeige vorgeschrieben ist (Cookielaw).
Andere Länder haben das dann der Reihe nach übernommen, obwohl dazu keine Notwendigkeit bestand (ausgenommen man hatte Besucher aus UK).

Mit der DGSVO (und kommenden ePrivacy Verordnung) und dem Einsatz von Cookies der Gruppen B & C ist es aber ratsam diese Entscheidungen über einen Cookiehinweis mit Auswahlmöglichkeit anzuzeigen.

Verneint der Besucher den Einsatz von Cookies der Gruppe B und C, dann dürfen diese auch nicht verwendet werden!

Wenn die verwendete Erweiterung diese Entscheidung nicht berücksichtig, dann im Zweifelsfall lieber die Funktionen dafür im Code deaktivieren.

Ist nicht sicher ob die Erweiterung Cookies und anderen Nachverfolgungs- bzw. Werbecode verwendet, den Anbieter vor dem Einsatz fragen.

Wo finde ich dazu weitere Informationen?
Das Netz ist mittlerweile voll damit (Suchbegriff DSGVO oder GDPR), hier ein paar Links:
http://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04 (das Original der EU)
https://dsgvo-gesetz.de/ (Deutsch & Englisch)
https://de.wikipedia.org/wiki/Datenschu ... verordnung
https://www.datenschutz-grundverordnung.eu/
https://www.parlament.gv.at/PAKT/VHG/XX ... ndex.shtml (DSG DSAG-VIT Österreich)

Weitere Namen/Bezeichnungen der DGSGVO
International: GDPR (General Data Protection Regulation)
Belgien, Frankreich, Italien, Luxemburg (fr), Portugal, Spanien: RGPD (in jeweiliger Landesprache)
Litauen: BDAR (Bendrasis duomenų apsaugos reglamentas)
Alle anderen Ländern der EU haben aktuell (noch) keine Abkürzung bzw. ist diese nicht bekannt

Die oben angeführten Punkte stellen keine Rechtsberatung dar - sie sollen nur eine Hilfe zur Umsetzung sein!

Bei weiteren Fragen zu diesem Thema und deren Umsetzung stehe ich gerne zur Verfügung.

22.5.2018 + Verfahrensverzeichnis, + Sicherheit (https, email)

Image


User avatar
Expert Member

Posts

Joined
Mon Jan 11, 2010 10:52 pm
Location - Austria
Who is online

Users browsing this forum: No registered users and 5 guests