Umsetzung DSGVO

Inhaltsverzeichnis

Einleitung

DSGVO ist momentan in aller Munde. Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) wirksam. Das neue Regelwerk gilt für alle Unternehmen und Institutionen, welche personenbezogene Daten von Personen mit Sitz in der EU bearbeiten. Was heisst das? Firmen, welche einen Sitz im EU-Gebiet besitzen, ihre Ware oder Dienstleistungen Bewohnern der EU anbieten oder deren Verhalten beobachten, sind betroffen.

Wann Sie betroffen sind

Sie haben eine Niederlassung, Zweigstelle oder Tochtergesellschaft in der EU
Sie bearbeiten personenbezogene Daten über ein EU-Unternehmen
Sie bieten Leistungen bewusst an Personen mit Wohnsitz in der EU an
Sie beobachten das Verhalten von EU-Personen. Hier stehen Google Analytics und ähnliche Tracking-Tools im Vordergrund.

Sollten Sie betroffen sein gibt es nun einige Punkte welche Sie einhalten müssen.

Wir weisen Sie darauf hin, dass Sie für Vertragsabschlüsse mit Dritten, den Inhalt Ihrer AGB und Datenschutzerklärung und für spezielle Einstellungen selbst verantwortlich sind. Wir sind kein Rechtsbeistand und übernehmen keinerlei Haftung. Für eine Rechtsberatung empfehlen wir Ihnen, einen Rechtsanwalt zu konsultieren.

Einstellungen im Shop

Wir gehen nun auf die einzelnen Einstellungen in Ihrem Webshop ein.

Trusted Shops

Haben Sie eine Trusted Shops Zertifizierung, beachten Sie bitte auch die separate Anleitung zu Trusted Shops.

Google Analytics

Seit dem 25.05.18 müssen die IP-Adressen anonymisiert übermittelt werden. Damit Sie Ihr Google Analytics Modul weiterhin konform nutzen können, bitten wir Sie in der Shop-Administration die Anonymisierung der IP-Adressen zu aktivieren.

Begeben Sie sich dafür in die Shop-Administration unter Module → Google Analytics

Abbildung 1: Google Analytics: Modul Konfiguration

Wichtiger Hinweis: Bitte vergessen Sie nicht die Nutzung von Google Analytics in Ihre Datenschutzerklärung / AGB einzupflegen. Zudem verlangt Google einen Datenverarbeitungsvertrag. Der Abschluss eines solchen Vertrages wird ab dem 25. Mai 2018 vereinfacht: Ab dann muss der Vertrag nicht mehr ausgedruckt und ausgefüllt per Post nach Irland versendet werden, sondern es genügt, in den Google-Analytics-Einstellungen den Vertrag elektronisch zu bestätigen.

Cookies

Shop-Betreiber sind ab dem 25.05.18 verpflichtet, die Shop-Besucher auf Cookies hinzuweisen. Aktivieren Sie die Cookie-Meldung unter Einstellungen → Allgemein → Shop-Konfiguration „Cookie Warnung anzeigen”

Abbildung 2: Aktivierung der Cookie Meldung in der Shop-Administration

Mit dem BGH Urteil vom 28. Mai 2020, in welchem die höchste richterliche Instanz in Deutschland die Meinung des EuGH Urteils von 2019 teilt ist es unbedingt erforderlich eine aktive und freiwillige Einwilligung des Besuchers einzuholen bevor nicht-notwendige Cookies auf einer Webseite verwendet werden. Am besten integrieren Sie hier einen professionelles Consent Management Tool wie z.B. usercentrics oder den Trusted Shops Consent-Manager. Sobald Sie den HTML/JS-Code für die Seitenintegration vom jeweilgen Consent-Manager haben, integrieren Sie diesen für jede Sprache in der Shop-Administration: ‘Einstellungen’ → ‘Sprachen’ → ‘Header-Variablen (z.B. Meta-Tags) anpassen’ → ‘Sprache wählen’ → Code einfügen im Textfeld mit Label HEADER VARIABLEN. Der Consent Manager ist dann nach dem Speichern aktiv. Ab PepperShop v.8 gibt es auch ein Consent Manager Modul, welches solche Einstellungen bequem automatisch steuert.

Bonitätsabfragen

Laut neuer Datenschutzverordnung müssen Sie Ihre Kunden informieren, sobald deren Daten an Dritte (in diesem Fall an einen Bonitätsprovider wie z.B. MF Group, SwissBilling, Billpay, Klarna o.Ä.) weitergegeben werden.

Abbildung 3: Bezahlungsarten

Neu bietet Ihnen der PepperShop drei Auswahlmöglichkeiten, Ihre Kunden darauf hinzuweisen:

Keine: Dem Kunden werden keine Informationen angezeigt, dass seine Daten an den Bonitätsprovider weitergeleitet werden.** **(Achtung: Diese Checkbox darf nur aktiviert werden, wenn Sie *nicht* von der DSGVO betroffen sind!)
Informieren: Der Kunde wird informiert, dass seine Daten an den Bonitätsprovider weitergeleitet werden.
Akzeptieren: Der Kunde muss bestätigen, dass seine Daten an den Bonitätsprovider weitergeleitet werden. (Achtung: Diese Checkbox ist Pflicht, wenn Sie von DSGVO betroffen sind!)

Wichtiger Hinweis: Klären Sie bitte ob Sie mit Ihrem Bonitätsprüfer auch einen Datenverarbeitungsvertrag abschliessen müssen.

E-Payment

Bieten Sie Bezahlungsarten über einen Payment Service Provider (z.B. Saferpay, Datatrans oder PostFinance) an, empfehlen wir Ihnen beim entsprechenden Payment Service Provider anzufragen, ob ein Datenverarbeitungsvertrag nötig ist.

Formulare: Abfrage der Datenschutzerklärung und AGB

Neu müssen Ihre Kunden auch bei Formularen in Ihrem Webshop die AGB, sowie die Datenschutzerklärung akzeptieren.

An folgenden Orten gibt es nun die Möglichkeit, die Datenschutzerklärung und die AGB vom Kunden bestätigen zu lassen:

Abbildung 4: Beispiel: Abfrage der AGB/Datenschutzerklärung bei der Neukundenanmeldung

Kontaktformular
Newsletter-Anmeldung
Neukundenanmeldung
Direkt zur Kasse ohne Anmeldung (beim Bestellprozess)
Registrierung einer Firma (beim B2B-/Händlermodus)
Login Post Connector

Abbildung 5: Abfrage AGB / Datenschutzerklärung Login Post Connector

Wie Sie die Abfrage der AGB und der Datenschutzerklärung aktivieren, sehen Sie im Punkt 2.6.1.

Aktivierung der Abfrage der Datenschutzerklärung und AGB

Sie können die Abfragen der Datenschutzerklärung und der AGB neu wie folgt aktivieren: Einstellungen → Allgemein → Kundeninfos/Widerruf/AGB

Abbildung 6: Abfrageort der AGB definieren

Abbildung 7: Abfrageort der Datenschutzerklärung definieren

Seit dem 25.05.2018 ist es nicht mehr erlaubt, ohne Erlaubnis des Empfängers einen Newsletter zu versenden. Meldet sich der Kunde für den Newsletter an, wir ihm ein Verifizierungslink per Mail gesendet. Erst nach dieser Bestätigung ist es erlaubt, ihm Newsletter zuzusenden.

Ausserdem muss die Vorauswahl für die Newsletter-Anmeldung standardmässig auf „Nein” gesetzt werden.

Abbildung 8: Anmeldung für Newsletter im Bestellprozess: Standardmässig auf ‘Nein’

Diese Einstellungen finden Sie in der Shop-Administration unter Marketing → Newsletter → Einstellungen / Export Link

Abbildung 9: Vorwahl für die Newsletter-Anmeldung auf ‘Nein’ stellen

Persistenter Warenkorb

Der persistente Warenkorb ist ein Zusatzmodul, welches den Warenkorb (mit den entsprechenden Artikeln) nicht löscht auch wenn der Kunde sich ausloggt.

Eine Wiederherstellung des Warenkorbs ist anhand des Logins oder der Cookies möglich. Bitte stellen Sie die Wiederherstellung des Warenkorbs maximal bis zu einem Jahr ein. Die Speichern dieser Daten über ein Jahr ist gemäss neuer DSGVO nicht erlaubt.

Die Einstellung zum persistenten Warenkorb tätigen Sie in der Shop-Administration unter Module → Persistenter Warenkorb.

Versandoptionen

Haben Sie das Modul Versandoptionen im Einsatz, so muss ein Datenverarbeitungsvertrag mit der Schweizerischen Post abgeschlossen werden. Denn auch hier fliessen Ihre Kundendaten an einen Drittanbieter (Schweizerische Post).

IP Adresse verschleiern

Für einen DSGVO konformen Verkauf müssen Sie die IP Adresse Ihres Kunden verschleiern. Dafür gehen Sie in die Einstellungen → Allgemeine → Shop-Konfiguration → IP Adresse verschleiern

Abbildung 10: cookie

Kundeninformationen

Gespeicherte Daten ansehen, exportieren oder löschen

Es ist Pflicht, auf Verlangen des Kunden, seine Daten zu exportieren und ihm zur Verfügung zu stellen.
Rufen Sie dazu den gewünschten Kunden über das Kundenmanagement auf und „bearbeiten” Sie diesen. Scrollen Sie bis zum Schluss der Seite. Hier sehen Sie nun die Maske DSGVO-Datenverwaltung.

Abbildung 11: Verwaltung der gespeicherten Daten über den Kunden

Gespeicherte Daten exportieren/herunterladen

Möchte der Kunde die Daten einsehen, können Sie diese hier exportieren.

Diese werden als .json-Datei exportiert und lassen sich mit Notepad++ öffnen.

Abbildung 12: Verwaltung der gespeicherten Daten über den Kunden

Gespeicherte Daten löschen

Abbildung 13: Verwaltung der gespeicherten Daten über den Kunden

Abbildung 14: Löschhinweis

Sollte der Kunde all seine Daten löschen wollen und somit von seinem Recht des Vergessenwerden Gebrauch machen, können Sie das tun. Bitte beachten Sie, dass danach keine Wiederherstellung möglich ist und alle Daten unwiderruflich gelöscht werden!

Hinweis: Bitte lesen Sie den Text vor der Löschung gründlich durch um sich allen Folgen klar zu sein. Vergewissern Sie sich, dass Sie alle Accounts Ihres Kunden gelöscht haben. Ihr Kunde hat die Möglichkeit mehrere Accounts zu haben, welche auf einmaliges Verlangen alle gelöscht werden müssen. PepperShop ist keine Buchhaltung! Bitte bedenken Sie, dass Sie Daten welche der gesetzlichen Aufbewahrungspflicht unterstehen zuerst auslesen, bevor Sie alle Daten löschen!
Haben Sie die Daten erst einmal gelöscht können Sie diese nicht mehr zurückholen!

Hilfe

Wir möchten Sie bitten, bei Fragen diese ausschliesslich per Mail an compliance@glarotech.ch zu senden. Sobald wir Ihre Anfrage erhalten, werden wir diese schnellst möglich bearbeiten.

Wir möchten nochmals betonen, dass wir keinerlei Haftung übernehmen. Bei Rechtsfragen empfehlen wir Ihnen, einen Rechtsanwalt zu konsultieren.