Umsetzung CH-DSG / EU-DSGVO

Inhaltsverzeichnis

Einleitung

Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Per 1. September 2021 tritt in der Schweiz das revidierte Datenschutzgesetz in Kraft. Das neue Regelwerk gilt für alle Unternehmen und Institutionen, welche personenbezogene Daten von Personen mit Sitz in der Schweiz bearbeiten. Was heisst das? Firmen, welche einen Sitz in der Schweiz haben, ihre Ware oder Dienstleistungen Bewohnern der Schweiz anbieten oder deren Verhalten beobachten, sind betroffen. Umgekehrt gilt dasselbe für die EU-DSGVO, die dann für Firmen gilt die den Sitz im EU-Gebiet haben, Waren und Leistungen an Bewohner der EU anbieten oder deren Verhalten beobachten.

Wann Sie betroffen sind

  • CH-DSG:
    • Sie haben eine Niederlassung, Zweigstelle oder Tochtergesellschaft in der Schweiz
    • Sie bearbeiten personenbezogene Daten über ein Schweizer Unternehmen
    • Sie bieten Leistungen bewusst an Personen mit Wohnsitz in der Schweiz an
    • Sie beobachten das Verhalten von Schweizer Personen.1
  • EU-DSGVO:
    • Sie haben eine Niederlassung, Zweigstelle oder Tochtergesellschaft in der EU
    • Sie bearbeiten personenbezogene Daten über ein EU-Unternehmen
    • Sie bieten Leistungen bewusst an Personen mit Wohnsitz in der EU an
    • Sie beobachten das Verhalten von EU-Personen.1

1 Hier stehen Google Analytics und ähnliche Tracking-Tools im Vordergrund.

Sollten Sie betroffen sein gibt es nun einige Punkte welche Sie einhalten müssen.

Einstellungen im Shop

Wir gehen nun auf die einzelnen Einstellungen in Ihrem Webshop ein.

Trusted Shops

Haben Sie eine Trusted Shops Zertifizierung, beachten Sie bitte auch die separate Anleitung zu Trusted Shops.

Analytics

Wenn Sie Tracking Tools wie Google Analytics einsetzen sollten Sie IP-Adressen anonymisiert übermitteln. Damit Sie Ihr Google Analytics Modul weiterhin konform nutzen können, bitten wir Sie in der Shop-Administration die Anonymisierung der IP-Adressen zu aktivieren.

Begeben Sie sich dafür in die Shop-Administration unter Module → Analytics

Abbildung 1: Google Analytics: Modul Konfiguration

Wichtiger Hinweis: Die Nutzung von Analytics-Diensten müssen in Ihrer Datenschutzerklärung eingepflegt werden Dies übernimmt PepperShop für Sie. Verwenden Sie dazu die Standard Datenschutzerklärung via Inhalte - Seiten - Datenschutzerklärung (Ergänzung unterhalb Ihres Texts zur Laufzeit des Systems). Zudem verlangen die Datenschutzgesetze einen Auftragsdatenverarbeitungsvertrag. Für den Abschluss eines solchen Vertrags genügt es, in den Analytics-Einstellungen den Vertrag elektronisch zu bestätigen.

Cookies

Betreiber von Online Angeboten sind verpflichtet, die Besucher auf die Verwendung von Cookies hinzuweisen. Stellen Sie sicher, dass die Cookie-Meldung unter _Einstellungen → Allgemein → System-Konfiguration „Cookie Manager verwenden” aktiviert ist und auch die Einstellung “Standardmässig essentielle Cookies” um der Privacy by Default Prämisse gerecht zu werden.

Abbildung 2: Aktivierung der Cookie Meldung in der Shop-Administration

Alternative: Externe Consent Manager

Alternativ zum in PepperShop integrierten Consent Manager können Sie auch via Modul oder manueller Integration externe Tools integrieren, z.B. ein professionelles Consent Management Tool wie z.B. usercentrics oder den Trusted Shops Consent-Manager. Sobald Sie den HTML/JS-Code für die Seitenintegration vom jeweilgen Consent-Manager haben, integrieren Sie diesen für jede Sprache in der Shop-Administration: ‘Einstellungen’‘Sprachen’‘Header-Variablen (z.B. Meta-Tags) anpassen’‘Sprache wählen’ → Code einfügen im Textfeld mit Label HEADER VARIABLEN. Der Consent Manager ist dann nach dem Speichern aktiv. Ab PepperShop v.8 gibt es zudem das Consent Manager Modul, welches solche Einstellungen bequem automatisch steuert und zudem auch interne Abläufe unterdrückt, die dann via externem Tool umgesetzt werden. Hinweis: Über die Funktion und Integration der externen Tools können wir keine Verantwortung übernehmen.

Bonitätsabfragen

Laut neuer Datenschutzverordnung müssen Sie Ihre Kunden informieren, sobald deren Daten an Dritte (in diesem Fall an einen Bonitätsprovider wie z.B. Intrum, Creditreform, MF Group, SwissBilling, Klarna, oder andere) weitergegeben werden.

Abbildung 3: Bezahlungsarten

Neu bietet Ihnen der PepperShop drei Auswahlmöglichkeiten, Ihre Kunden darauf hinzuweisen:

  • Nein: Dem Kunden werden keine Informationen angezeigt, dass seine Daten an den Bonitätsprovider weitergeleitet werden.** **(Achtung: Diese Checkbox darf nur aktiviert werden, wenn Sie *nicht* von der CH-DSG / EU-DSGVO betroffen sind!)
  • Informieren: Der Kunde wird informiert, dass seine Daten an den Bonitätsprovider weitergeleitet werden.
  • Bestätigen: Der Kunde muss bestätigen, dass seine Daten an den Bonitätsprovider weitergeleitet werden. (Achtung: Diese Checkbox ist Pflicht, wenn Sie von CH-DSG / EU-DSGVO betroffen sind!)

Wichtiger Hinweis: Klären Sie bitte ob Sie mit Ihrem Bonitätsprüfer auch einen Datenverarbeitungsvertrag abschliessen müssen.

E-Payment

Bieten Sie Bezahlungsarten über einen Payment Service Provider (z.B. Worldline Saferpay, Datatrans, Wallee oder PostFinance) an, empfehlen wir Ihnen beim entsprechenden Payment Service Provider anzufragen, ob ein Datenverarbeitungsvertrag nötig ist.

Formulare: Abfrage der Datenschutzerklärung und AGB

Wenn Sie personenbezogene Daten in ihrem System bearbeiten, sollte eine entsprechende Einwilligung eingeholt werden. Bei entsprechenden Eingabeformularen in Ihrem Onlinesystem werden je nachdem die AGB und/oder die Datenschutzerklärung inkl. Checkbox zur Akzeptanz angezeigt.

Empfohlene Einstellungen

Abbildung 4: Empfohlene Konfiguration für Formulare

Die AGB werden im Bestellprozess inkl. Checkbox zur Akzeptanz angezeigt.

Formulare im System

An folgenden Orten gibt es nun die Möglichkeit, die Datenschutzerklärung und die AGB vom Kunden bestätigen zu lassen:

Abbildung 5: Beispiel: Abfrage der AGB/Datenschutzerklärung bei der Neukundenanmeldung

  • Kontaktformular
  • Newsletter-Anmeldung
  • Neukundenanmeldung
  • Direkt zur Kasse ohne Anmeldung (beim Bestellprozess)
  • Registrierung einer Firma (beim B2B-/Händlermodus)
  • Login Post Connector (Modul)

Abbildung 6: Abfrage AGB / Datenschutzerklärung Login Post Connector

Wie Sie die Abfrage der AGB und der Datenschutzerklärung aktivieren, sehen Sie im folgenden Kapitel.

Allgemeine Konfiguration der Abfragen von Datenschutzerklärung und AGB

Sie können die Abfragen von Datenschutzerklärung und AGB neu wie folgt differenziert aktivieren: Einstellungen → Allgemein → Kundeninfos/Widerruf/AGB

Abbildung 7: Abfrageort der AGB definieren

Für die CH-DSG bei den Allgemeinen Geschäftsbedingungen empfehlen wir nur den untersten Haken zu verwenden.

Abbildung 8: Abfrageort der Datenschutzerklärung definieren

Newsletter

Es ist nicht mehr erlaubt, ohne Erlaubnis des Empfängers einen Newsletter zu versenden. Meldet sich der Besucher / die Besucherin für den Newsletter an, wir ihm / ihr ein Verifizierungslink per Mail gesendet. Erst nach dieser Bestätigung ist es erlaubt, ihm Newsletter zuzusenden (Double-Opt-In Verfahren).

Ausserdem muss die Vorauswahl für die Newsletter-Anmeldung standardmässig auf „Nein” gesetzt werden.

Abbildung 9: Anmeldung für Newsletter im Bestellprozess: Standardmässig auf ‘Nein’

Diese Einstellungen finden Sie in der Shop-Administration unter Marketing → Newsletter → Einstellungen / Export Link

Abbildung 10: Vorwahl für die Newsletter-Anmeldung auf ‘Nein’ stellen

Als Pflichtfelder dürfen nur die minimal benötigten Daten abgefragt werden, was bereits umgesetzt ist.

Persistenter Warenkorb

Der persistente Warenkorb ist ein Zusatzmodul, welches den Warenkorb (mit den entsprechenden Artikeln) nicht löscht auch wenn der Kunde sich ausloggt.

Eine Wiederherstellung des Warenkorbs ist anhand des Logins oder eines Cookies möglich. Bitte stellen Sie die Wiederherstellung des Warenkorbs maximal bis zu einem Jahr ein. Die Speicherung dieser Daten über ein Jahr ist gemäss neuer CH-DSG / EU-DSGVO nicht erlaubt.

Die Einstellung zum persistenten Warenkorb tätigen Sie in der Shop-Administration unter Module → Persistenter Warenkorb.

Versandoptionen

Haben Sie das Modul Versandoptionen im Einsatz, so muss ein Datenverarbeitungsvertrag mit der Schweizerischen Post abgeschlossen werden. Denn auch hier fliessen Ihre Kundendaten an einen Drittanbieter (Schweizerische Post).

IP Adresse verschleiern

Für einen CH-DSG / EU-DSGVO konformen Verkauf müssen Sie die IP Adresse Ihres Kunden verschleiern. Dafür gehen Sie in die Einstellungen → Allgemeine → System-Konfiguration → IP Adresse verschleiern

Abbildung 11: IP Adresse bei Bestelleingang verschleiern

Kundeninformationen

Gespeicherte Daten ansehen, exportieren oder anonymisieren

Es ist Pflicht, auf Verlangen des Kunden, seine Daten zu exportieren und ihm zur Verfügung zu stellen.
Rufen Sie dazu den gewünschten Kunden über das Kundenmanagement auf und „bearbeiten” Sie diesen. Scrollen Sie bis zum Schluss der Seite. Hier sehen Sie nun die Maske CH-DSG / EU-DSGVO-Datenverwaltung.

Abbildung 12: Verwaltung der gespeicherten Daten über den Kunden

Gespeicherte Daten exportieren/herunterladen

Möchte der Kunde die Daten einsehen, können Sie diese hier exportieren.

Diese werden als .json-Datei exportiert und lassen sich mit einem geeigneten Editor oder Browser öffnen.

Abbildung 13: Verwaltung der gespeicherten Daten über den Kunden

Gespeicherte Daten anonymisieren

Abbildung 14: Verwaltung der gespeicherten Daten über den Kunden

Abbildung 15: Löschhinweis

Sollte der Kunde all seine Daten löschen wollen und somit von seinem Recht des Vergessenwerden Gebrauch machen, können Sie das tun. Bitte beachten Sie, dass danach keine Wiederherstellung möglich ist und alle Daten unwiderruflich gelöscht werden!

Die Daten des Kunden werden im Shop anonymisiert, das heisst, die Daten des Kunden sind nicht mehr vorhanden. Jedoch bleibt Ihnen als Shop Besitzer z.B noch die Bestellung vorhanden.

Hinweis: Bitte lesen Sie den Text vor der Löschung gründlich durch um sich allen Folgen klar zu sein. Vergewissern Sie sich, dass Sie alle Accounts Ihres Kunden gelöscht haben. Ihr Kunde hat die Möglichkeit mehrere Accounts zu haben, welche auf einmaliges Verlangen alle gelöscht werden müssen. PepperShop ist keine Buchhaltung! Bitte bedenken Sie, dass Sie Daten welche der gesetzlichen Aufbewahrungspflicht unterstehen zuerst auslesen, bevor Sie alle Daten löschen! Haben Sie die Daten erst einmal gelöscht können Sie diese nicht mehr zurückholen!

Kundendaten anonymisieren

Neu ab der Version 10 steht Ihnen im Kundenmangement das Register “Kundendaten anonymisieren” unter “Kunden/Bestellungen” zur Verfügung. Hier können Sie eine automatische Anonymisierung einrichten, einmalig die Daten anonymisieren oder die betroffenen Datensätze herunterladen. Genauere Informationen zu den Funktionen finden Sie im Hilfetext.

Abbildung 16: Kundendaten anonymisieren

Hilfe

Wir möchten Sie bitten, bei Fragen diese ausschliesslich per Mail an compliance@glarotech.ch zu senden. Sobald wir Ihre Anfrage erhalten, werden wir diese schnellst möglich bearbeiten.

🌶️
🔥
🌶️