DSVGO ThirtyBees Modul

[toplakd]

M4 modul is schon günstig. Aber ich bin leider nicht ein "fan" von diesen popups am alle seiten. Wenn du nur daten sammelst die du für bestellungen brauchst, dann ist "customerprivacy modul" m. M. n genug. Nur gutte einwilligung beim checkbox schreiben und dazu noch die seiten mit GDPR rechte erklärungen.

Ich bin kein anwalt :) die streitein sich noch immer über die ganze sache.

[JNJE]

Warnen ist gut. Tee trinken auch. Diese DSGVO ist schon etwas wie Weihnachten. Ganze Jahr hat jeder zeit und plötzlich ist er da. Der Weihnachtsmann. :-)

[JNJE]

Werden dann letztlich die folgende Punkte in 30Bz enthalten sein ? - Protokollierung von Einwilligungen - "Personenbezogene Daten exportieren" Funktion - "Personenbezogene Daten löschen" Funktion - "Passwort vergessen" Funktion mit neuem Ablauf - Anpassung von Pflichtfeldern in Formularen - Logging der Admin-Aktionen - Versionierung für Rechtstexte im Content Manager - Verbesserungen beim automatischen Löschen von Gastkonten - Datenschutzhinweise als PDF in Bestellbestätigung - Hinzufügen von Datenschutzhinweisen auf diversen Seiten

[Traumflug]

Protokollierung von Einwilligungen

Ist schon da. Dadurch, dass der entsprechende Cookie existiert, ist das "Protokoll" vorhanden. Beim Kontaktforumlar dadurch, dass der Besucher was schickt. Letzteres gilt ja dann auch nur für dieses eine Mal.

“Passwort vergessen” Funktion mit neuem Ablauf

Das im Shop gespeicherte Passwort ist nicht umkehrbar, ohne das Original also wertlos. Das Original kennt jedoch nur der Kunde.

Logging der Admin-Aktionen

Gibt's irgendwo in den Tiefen des Backoffice. Hat aber mit der DSGVO nichts zu tun, denn Kunden können keine Admin-Funktionen ausführen.

Versionierung für Rechtstexte im Content Manager

Hat mit der DSGVO auch nichts zu tun.

Der Rest ... naja, die Leute streiten sich ja immer noch darüber, was es tatsächlich braucht. Manche stellen sich ja mehr oder weniger auf den Standpunkt, dass sie die Daten nur im Sinne des Kunden verarbeiten, sich also gar nichts ändern muss. Auch wenn ich da ganz anderer Meinung bin.

[colorful-ant]

trotz vielem lesen und nachforschen - aber benötige ich wirklich für jeden schei.. eine zustimmung (checkbox oder so ein müll) vom kunden ?

beziehe mich hier bsp hauptsächlich auf die module von @SLiCK_303 - sendreviewrequest - birthdaygift

kann man das ggf auch anders lösen ohne checkbox und die module aktiv lassen? beide module versenden emails, was viele anwälte bzw gesetz als werbung auslegen -> bei stammkunden evtl ok aber neukunden ..... ?

als kleiner händler möchte man seine (stamm)kunden nicht wegen solchen kleinen aufmerksamkeiten etc nicht verlieren, sowie andere funktionale einstellungen, durch die man kunden verliert, weil man als händler module deaktivieren muss, weil diese nicht der gdpr(dsgvo) entsprechen

eine tatsächlich aktuelle info vom tb team wäre hilfreich - mit der letzten info von @Traumflug bin ich jetzt auch nicht viel schlauer, wie der derzeitige stand ist .....

[30knees]

@colorful-ant said in DSVGO ThirtyBees Modul:

trotz vielem lesen und nachforschen - aber benötige ich wirklich für jeden schei.. eine zustimmung (checkbox oder so ein müll) vom kunden ?

beziehe mich hier bsp hauptsächlich auf die module von @SLiCK_303 - sendreviewrequest - birthdaygift

kann man das ggf auch anders lösen ohne checkbox und die module aktiv lassen? beide module versenden emails, was viele anwälte bzw gesetz als werbung auslegen -> bei stammkunden evtl ok aber neukunden ..... ?

Die DSGVO verlangt nicht stets eine Checkbox; die Einwilligung ist nur eine von vielen Rechtsgrundlagen (und muss nicht immer durch eine Checkbox erfolgen). Sie hat keinen Vorrang gegenüber den anderen Rechtsgrundlagen, wie zB berechtigtes Interesse.

Konkret zu den genannten Modulen:

• Sendreviewrequest betrifft eher das UWG, siehe auch: https://www.internetrecht-rostock.de/zulaessigkeit-aufforderung-bewertung-feedback.htm
• birthdaygift ist ebenfalls Werbung, würde ich sagen, sodass auch hier das UWG einschlägig ist.

Die konservativen TrustedShops Leute fordern da übrigens eine Einwilligung, andere nicht: TS: https://support.trustedshops.com/hubfs/1-TSMEM/lp/DE/dsgvo/ts1memdsgvofaqde.pdf?t=1527268370313 (Nummer 5, Seite 9 ff.) Andere: www.it-recht-kanzlei.de/newsletter-datenschutzgrundverordnung-dsgvo.html

Andere haben m.E. Recht. :)

[DRMasterChief]

Aaaaalso: Einwilligung per Haken oder sonstwie ist meistens eher blöd, da diese vom Kunden widerrufen werden kann wie er grad lustig ist. Wenn WIR eine Einwilligung einholen und der Kunde sie gibt, kann er die Einwilligung widerrufen, ob das dann technisch funktioniert und "wo überall" ist unser Problem, und vor allem muss es dann wasserdicht sein (was ja scheinbar technisch gar nicht machbar ist und rechtlich erstmal sowieso nicht) - also machen wir uns doch da gar kein Problem uns sehen wir uns das mal an:

Art. 6 – EU-DSGVO – Rechtmäßigkeit der Verarbeitung Finaler Text Rechtmäßigkeit der Verarbeitung 1. Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: a) Die betroffene Person hat ihre Einwilligung........ vergessen wirs....

weiter dann, und jetzt kommts: b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen; ....

somit: Wenn der Kunde bestellt, dann erfolgt das ja auf Antrag der betroffenen Person (das ist der Kunde ja selbst). Es ist also genau b) gegeben und als rechtliche Voraussetzung zutreffend.

Somit müssen "nur" noch andere Punkte der DSGVO beachtet werden (Datenportabilität, Recht auf Vergessen etc.), aber das kann der Kunde ja ggf. sowieso selbst machen im Konto, ggf. per Modul das es schon gibt oder das noch kommt. Meiner Meinung nach wäre im Shop nur eine saubere "Konto löschen" -Funktion notwendig. Die Datenportabilität muss nicht automatisiert erfolgen, d.h. der Kunde kann auch einfach eine mail schreiben und der Händler lässt ihm innerhalb von 4 Wochen eine CSV-Datei zukommen (wird wohl das geeignetste Format sein).

Der Händler MUSS auch keine Gastbestellungen zulassen (oder er muss sie ja nicht so nennen....), sofern er mindestens einen anderen Bestellweg ermöglicht (per email oder Telefon...). Daß die Bezeichnung der Gastbestellung dann ggf. blöd ist und im Hintergrund dennoch ein Konto angelegt wird ist halt im Shopsystem so und technisch nicht anders machbar. Die Art der Bestellung könnt ihr ja umbenennen (statt Gastkonto). Intern kann man diese Kunden dann, also die "Gastkunden", nach 6 Monaten löschen.

Mir ist es derzeit wirklich zu heiß und zu blöd irgendwelche Anmeldeformulare mit Haken oder sonstwelchen Texten zu versehen, die sich 1. nur als kompliziert zu programmieren/implementieren herausstellen, 2. den Kunden vom Checkout abbringen, da viel zu viel klickerei 3. rechtlich die ganze Sache unsicherer machen als nötig und gerade deswegen abgemahnt werden (!)

Es ist wie mit der USt. , wer (falsch) ausweist, muss diese auch abführen ans Finanzamt. Also schauen wir doch und wenn wir per Art. 6 schon die Möglichkeit haben - hey, ruhen wir uns darauf aus !

Es wäre nun schön wenn ein Entwickler oder sonstwie Nahestehender diese Thematik auch an die Programmierer von tb weiterleiten würde, denn ich hoffe nicht daß wir dann ein riesen aufgeblasenes DSGVO-Modul bekommen indem die Hälfte eigentlich unnötig ist. Das könnte ja passieren, da sich in anderen Ländern nicht ganz so viel drum gekümmert wird und man dann gerne versucht alles zu erschlagen was man meint mit so einem Modul erschlagen zu können.

Zumindest müsste vieles dann ein-/ausschaltbar sein, um auf die unterschiedlichen Shops dann auch wirklich zu passen. Ganz viele nutzen keine Tracking-dinge, Analyzing usw, und ich möchte daher keinen Pflichtbanner haben der auf Cookies hinweist die es in unserem Shop dann gar nicht gibt oder geben wird. Das gleiche gilt natürlich auch für Haken usw. die man aus o.g. Gründen gar nicht setzen muss.... usw.

Ende, fertig

[Pedalman]

Bei mir hat sich die erste Kundin gemeldet, die Ihr Konto (kein Gastkonto) gelöscht haben will, eine Bestätigung einfordert und Ihre Daten.

Na toll...

Ich besitze zwar das tollte datakick Modul, weiß aber nicht, wie es mit helfen kann beim Datenexport eines Kunden bezüglich GDPR. Wie ich es sonst hinbekommen könnte? Keine Ahnung. Wahrscheinlich muss ich ein Presta Modul kaufen. Aber mal ehrlich, mit kommt das Wort mit P. nun schon viel zu häufig hier im Forum vor. Ich möchte eine Biene sein und weiterhin stolz, dass ich Thirtybees nutze. Aber jetzt bin ich erst mal aufgeschmissen und weiß nicht was ich machen soll.

Ich habe Rechtstexte von der ITKanzlei und das kostenfreie artfreegdpr1.0.7.zip Modul.

Was sind denn die bevorzugten Möglichkeiten, die Ihr anwendet für die DSGVO? Das M4 Modul ist sicherlich toll, aber eine POPup Lösung mag ich nicht und hat auch wirklich keiner. Aber vielleicht macht es Sinn, das Modul zu kaufen, um die Daten exportieren zu können? Das Recht auf dieses kann man mittels des PrestaShop Free GDPR compliance [RGPD 2016/679] (artfreegdpr1.0.7.zip) dem Kunden darstellen.

Wie der DRMasterchief schreibt: "Somit müssen “nur” noch andere Punkte der DSGVO beachtet werden (Datenportabilität, Recht auf Vergessen etc.), aber das kann der Kunde ja ggf. sowieso selbst machen im Konto, ggf. per Modul das es schon gibt oder das noch kommt."

Ich widerhole meine Frage, um auf technischer und sachlicher Ebene eine Lösung zu verwirklichen mit ThirtyBees, die mir nicht noch mehr Nerven, Zeit und Geld kostet: Was sind denn die bevorzugten Möglichkeiten, die Ihr anwendet für die DSGVO?

[DRMasterChief]

Hmm klar, erstmal blöd und überraschend oder beides, aber mal ehrlich: du weißt doch selbst am besten welche Daten du von Kunden im Shop speicherst. Das wären wohl die personenbezogene Daten, die Bestellungen, ggf. Zahlungsarten und was wann wohin übermittelt wurde (Infos vom Paypal-Auszug). Wenn du noch separat im Büro was speicherst das gleiche (ggf. benutzt ihr eine Wawi oder ähnliches). Zuletzt nochmal mehr oder wenigen die gleichen Daten wenns an einen Steuerberater geht (natürlich ohne Bestellungen/Artikel etc.).

Behelfsweise kannst du sowas doch per einfachem copy&paste machen, in ein leeres Blatt rein, als CSV oder PDF speichern und fertig ists. Dazu hast du max. 4 Wochen Zeit. Ob oder wie die Module sowas machen und in welchem Umfang weiss ich nicht, und das wäre dann ja auch noch nicht abschliessend, denn wenn eben noch Wawi und Steuerberater etc. hinzukommen musst du ggf. darüber auch informieren (das kann das Modul ja nicht wissen).

[30knees]

@Pedalman Ich würde der Kundin zunächst fragen, ob sie also eine Übersicht über ihre Bestellungen haben will. Vermutlich (hoffentlich) sagt sie ja, dann hast Du weniger Arbeit. Du könntest dann sämtliche Bestellungen ausdrucken, zB als Rechnung. Da hätte sie die Bestellung plus Namen, Anschrift, usw. Dann noch Email-Adresse dazu und die Kerndaten dürften erfasst sein.

Oft wollen Kunden nicht sämtliche Daten, nur die Kerndaten. Es kann helfen, die Kunden durch entsprechende Fragen in die richtige Richtung zu lenken. :)

[Pedalman]

Danke Euch beiden für die guten Hinweise. Ich werde versuchen die Dame Richtung Kerndatenauskunft zu lenken und Ihr dann die genannten versuchen mitzuteilen. Gleichzeitig lege ich schon einmal eine vorgefertige Anwort auf diese Fragen im System an.

Was die Details der Auskünfte betrifft, die DRMasterChied erwähnt bin ich mir nicht so sicher, da ich es ehrlich gesagt gar nicht so genau weiß, was das TB System so speichert. Aber ehrlich gesagt, diese personenbezogenen Daten liegen ja auf der Hand. Die Bestellungen (hier nur eine) ebenfalls. Wie weiter diese dann wieder mit einem Zeitstempel versehen sind muss ich mal sehen. Zahlart/en ebenfalls.

[Traumflug]

aber mal ehrlich: du weißt doch selbst am besten welche Daten du von Kunden im Shop speicherst.

Naja, eigentlich schon. Doch gleichzeitig werden die meisten Daten ja vom Kunden selbst eingegeben oder automatisch zusammen gestellt und wo thirty bees was hin speichert, ähm, weiss wohl niemand so 100% genau. Ein bisschen peinlich, aber so ist das eben im Moment.

Ich würde mal mit Backoffice -> Customers -> Customers anfangen. Da kann man einen Kunden anklicken, dann werden alle Sachen bezüglich dieses Kunden aufgelistet, das ist schon mal ein guter Anfang. Diese Seite in ein PDF drucken.

Dann kann man die einzelnen Orders anklicken und sie ebenfalls in ein PDF drucken.

Dann kann man den Kunden löschen (nicht aber die Orders, wegen der Buchhaltungs-Archivierungspflicht) und ihm all die PDFs zuschicken. Zusammen mit der Mitteilung, dass die Orders noch 10 Jahre für das Finanzamt aufbewahrt werden müssen. Das sollte eigentlich genügen.

Wenn dann noch ein paar Daten in den Tiefen der Software herum geistern ist das eben so. Was der Kaufmann nicht kennt, kann er auch nicht missbrauchen (bei der DSGVO geht es ja weniger um die Speicherung selbst, mehr um die Verwendung der gespeicherten Daten). Wenn solche Daten je auftauchen, kann man sie dann immer noch löschen.

[colorful-ant]

keine ahnung ob diese news nur ein scherz sind - keine zeit zum nachforschen!

info aus den news des händlerbundes:

US-Regierung will eigene Datenschutzregeln – DSGVO für die USA? https://www.onlinehaendler-news.de/handel/internationales/32140-us-regierung-datenschutzregeln-dsgvo-usa.html?utmsource=Newsletter&utmmedium=Link&utm_campaign=Daily

ich lass mich mal überraschen - verzögert sich evtl deswegen das tb-gdpr-modul?

[toplakd]

Naah, sicher keine verzögerung. Modul wird ja im paar tagen fertig sein.

[DRMasterChief]

Ein paar Tage... ja wäre schön, damit man mal endlich damit testen kann usw.