Umsetzung CH-DSG / EU-DSGVO
Einleitung
Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (EU-DSGVO) wirksam. Per 1. September 2021 tritt in der Schweiz das revidierte Datenschutzgesetz in Kraft. Das neue Regelwerk gilt für alle Unternehmen und Institutionen, welche personenbezogene Daten von Personen mit Sitz in der Schweiz bearbeiten. Was heisst das? Firmen, welche einen Sitz in der Schweiz haben, ihre Ware oder Dienstleistungen Bewohnern der Schweiz anbieten oder deren Verhalten beobachten, sind betroffen. Umgekehrt gilt dasselbe für die EU-DSGVO, die dann für Firmen gilt die den Sitz im EU-Gebiet haben, Waren und Leistungen an Bewohner der EU anbieten oder deren Verhalten beobachten.
Wann Sie betroffen sind
- CH-DSG:
- Sie haben eine Niederlassung, Zweigstelle oder Tochtergesellschaft in der Schweiz
- Sie bearbeiten personenbezogene Daten über ein Schweizer Unternehmen
- Sie bieten Leistungen bewusst an Personen mit Wohnsitz in der Schweiz an
- Sie beobachten das Verhalten von Schweizer Personen.1
- EU-DSGVO:
- Sie haben eine Niederlassung, Zweigstelle oder Tochtergesellschaft in der EU
- Sie bearbeiten personenbezogene Daten über ein EU-Unternehmen
- Sie bieten Leistungen bewusst an Personen mit Wohnsitz in der EU an
- Sie beobachten das Verhalten von EU-Personen.1
1 Hier stehen Google Analytics und ähnliche Tracking-Tools im Vordergrund.
Sollten Sie betroffen sein gibt es nun einige Punkte welche Sie einhalten müssen.
Einstellungen im Shop
Wir gehen nun auf die einzelnen Einstellungen in Ihrem Webshop ein.
Trusted Shops
Haben Sie eine Trusted Shops Zertifizierung, beachten Sie bitte auch die separate Anleitung zu Trusted Shops.
Analytics
Wenn Sie Tracking Tools wie Google Analytics einsetzen sollten Sie IP-Adressen anonymisiert übermitteln. Damit Sie Ihr Google Analytics Modul weiterhin konform nutzen können, bitten wir Sie in der Shop-Administration die Anonymisierung der IP-Adressen zu aktivieren.
Begeben Sie sich dafür in die Shop-Administration unter Module → Analytics
Wichtiger Hinweis: Die Nutzung von Analytics-Diensten müssen in Ihrer Datenschutzerklärung eingepflegt werden Dies übernimmt PepperShop für Sie. Verwenden Sie dazu die Standard Datenschutzerklärung via Inhalte - Seiten - Datenschutzerklärung (Ergänzung unterhalb Ihres Texts zur Laufzeit des Systems). Zudem verlangen die Datenschutzgesetze einen Auftragsdatenverarbeitungsvertrag. Für den Abschluss eines solchen Vertrags genügt es, in den Analytics-Einstellungen den Vertrag elektronisch zu bestätigen.
Cookies
Betreiber von Online Angeboten sind verpflichtet, die Besucher auf die Verwendung von Cookies hinzuweisen. Stellen Sie sicher, dass die Cookie-Meldung unter _Einstellungen → Allgemein → System-Konfiguration „Cookie Manager verwenden” aktiviert ist und auch die Einstellung “Standardmässig essentielle Cookies” um der Privacy by Default Prämisse gerecht zu werden.
Alternative: Externe Consent Manager
Alternativ zum in PepperShop integrierten Consent Manager können Sie auch via Modul oder manueller Integration externe Tools integrieren, z.B. ein professionelles Consent Management Tool wie z.B. usercentrics oder den Trusted Shops Consent-Manager. Sobald Sie den HTML/JS-Code für die Seitenintegration vom jeweilgen Consent-Manager haben, integrieren Sie diesen für jede Sprache in der Shop-Administration: ‘Einstellungen’ → ‘Sprachen’ → ‘Header-Variablen (z.B. Meta-Tags) anpassen’ → ‘Sprache wählen’ → Code einfügen im Textfeld mit Label HEADER VARIABLEN. Der Consent Manager ist dann nach dem Speichern aktiv. Ab PepperShop v.8 gibt es zudem das Consent Manager Modul, welches solche Einstellungen bequem automatisch steuert und zudem auch interne Abläufe unterdrückt, die dann via externem Tool umgesetzt werden. Hinweis: Über die Funktion und Integration der externen Tools können wir keine Verantwortung übernehmen.
Bonitätsabfragen
Laut neuer Datenschutzverordnung müssen Sie Ihre Kunden informieren, sobald deren Daten an Dritte (in diesem Fall an einen Bonitätsprovider wie z.B. Intrum, Creditreform, MF Group, SwissBilling, Klarna, oder andere) weitergegeben werden.
Neu bietet Ihnen der PepperShop drei Auswahlmöglichkeiten, Ihre Kunden darauf hinzuweisen:
- Nein: Dem Kunden werden keine Informationen angezeigt, dass seine Daten an den Bonitätsprovider weitergeleitet werden.** **(Achtung: Diese Checkbox darf nur aktiviert werden, wenn Sie *nicht* von der CH-DSG / EU-DSGVO betroffen sind!)
- Informieren: Der Kunde wird informiert, dass seine Daten an den Bonitätsprovider weitergeleitet werden.
- Bestätigen: Der Kunde muss bestätigen, dass seine Daten an den Bonitätsprovider weitergeleitet werden. (Achtung: Diese Checkbox ist Pflicht, wenn Sie von CH-DSG / EU-DSGVO betroffen sind!)
Wichtiger Hinweis: Klären Sie bitte ob Sie mit Ihrem Bonitätsprüfer auch einen Datenverarbeitungsvertrag abschliessen müssen.
E-Payment
Bieten Sie Bezahlungsarten über einen Payment Service Provider (z.B. Worldline Saferpay, Datatrans, Wallee oder PostFinance) an, empfehlen wir Ihnen beim entsprechenden Payment Service Provider anzufragen, ob ein Datenverarbeitungsvertrag nötig ist.
Formulare: Abfrage der Datenschutzerklärung und AGB
Wenn Sie personenbezogene Daten in ihrem System bearbeiten, sollte eine entsprechende Einwilligung eingeholt werden. Bei entsprechenden Eingabeformularen in Ihrem Onlinesystem werden je nachdem die AGB und/oder die Datenschutzerklärung inkl. Checkbox zur Akzeptanz angezeigt.
Empfohlene Einstellungen
Die AGB werden im Bestellprozess inkl. Checkbox zur Akzeptanz angezeigt.
Formulare im System
An folgenden Orten gibt es nun die Möglichkeit, die Datenschutzerklärung und die AGB vom Kunden bestätigen zu lassen:
- Kontaktformular
- Newsletter-Anmeldung
- Neukundenanmeldung
- Direkt zur Kasse ohne Anmeldung (beim Bestellprozess)
- Registrierung einer Firma (beim B2B-/Händlermodus)
- Login Post Connector (Modul)
Wie Sie die Abfrage der AGB und der Datenschutzerklärung aktivieren, sehen Sie im folgenden Kapitel.
Allgemeine Konfiguration der Abfragen von Datenschutzerklärung und AGB
Sie können die Abfragen von Datenschutzerklärung und AGB neu wie folgt differenziert aktivieren: Einstellungen → Allgemein → Kundeninfos/Widerruf/AGB
Für die CH-DSG bei den Allgemeinen Geschäftsbedingungen empfehlen wir nur den untersten Haken zu verwenden.
Newsletter
Es ist nicht mehr erlaubt, ohne Erlaubnis des Empfängers einen Newsletter zu versenden. Meldet sich der Besucher / die Besucherin für den Newsletter an, wir ihm / ihr ein Verifizierungslink per Mail gesendet. Erst nach dieser Bestätigung ist es erlaubt, ihm Newsletter zuzusenden (Double-Opt-In Verfahren).
Ausserdem muss die Vorauswahl für die Newsletter-Anmeldung standardmässig auf „Nein” gesetzt werden.
Diese Einstellungen finden Sie in der Shop-Administration unter Marketing → Newsletter → Einstellungen / Export Link
Als Pflichtfelder dürfen nur die minimal benötigten Daten abgefragt werden, was bereits umgesetzt ist.
Persistenter Warenkorb
Der persistente Warenkorb ist ein Zusatzmodul, welches den Warenkorb (mit den entsprechenden Artikeln) nicht löscht auch wenn der Kunde sich ausloggt.
Eine Wiederherstellung des Warenkorbs ist anhand des Logins oder eines Cookies möglich. Bitte stellen Sie die Wiederherstellung des Warenkorbs maximal bis zu einem Jahr ein. Die Speicherung dieser Daten über ein Jahr ist gemäss neuer CH-DSG / EU-DSGVO nicht erlaubt.
Die Einstellung zum persistenten Warenkorb tätigen Sie in der Shop-Administration unter Module → Persistenter Warenkorb.
Versandoptionen
Haben Sie das Modul Versandoptionen im Einsatz, so muss ein Datenverarbeitungsvertrag mit der Schweizerischen Post abgeschlossen werden. Denn auch hier fliessen Ihre Kundendaten an einen Drittanbieter (Schweizerische Post).
IP Adresse verschleiern
Für einen CH-DSG / EU-DSGVO konformen Verkauf müssen Sie die IP Adresse Ihres Kunden verschleiern. Dafür gehen Sie in die Einstellungen → Allgemeine → System-Konfiguration → IP Adresse verschleiern
Kundeninformationen
Gespeicherte Daten ansehen, exportieren oder anonymisieren
Es ist Pflicht, auf Verlangen des Kunden, seine Daten zu exportieren und ihm zur Verfügung zu stellen.
Rufen Sie dazu den gewünschten Kunden über das Kundenmanagement auf und „bearbeiten” Sie diesen. Scrollen Sie bis zum Schluss der Seite. Hier sehen Sie nun die Maske CH-DSG / EU-DSGVO-Datenverwaltung.
Gespeicherte Daten exportieren/herunterladen
Möchte der Kunde die Daten einsehen, können Sie diese hier exportieren.
Diese werden als .json-Datei exportiert und lassen sich mit einem geeigneten Editor oder Browser öffnen.
Gespeicherte Daten anonymisieren
Sollte der Kunde all seine Daten löschen wollen und somit von seinem Recht des Vergessenwerden Gebrauch machen, können Sie das tun. Bitte beachten Sie, dass danach keine Wiederherstellung möglich ist und alle Daten unwiderruflich gelöscht werden!
Die Daten des Kunden werden im Shop anonymisiert, das heisst, die Daten des Kunden sind nicht mehr vorhanden. Jedoch bleibt Ihnen als Shop Besitzer z.B noch die Bestellung vorhanden.
Hinweis: Bitte lesen Sie den Text vor der Löschung gründlich durch um sich allen Folgen klar zu sein. Vergewissern Sie sich, dass Sie alle Accounts Ihres Kunden gelöscht haben. Ihr Kunde hat die Möglichkeit mehrere Accounts zu haben, welche auf einmaliges Verlangen alle gelöscht werden müssen. PepperShop ist keine Buchhaltung! Bitte bedenken Sie, dass Sie Daten welche der gesetzlichen Aufbewahrungspflicht unterstehen zuerst auslesen, bevor Sie alle Daten löschen! Haben Sie die Daten erst einmal gelöscht können Sie diese nicht mehr zurückholen!
Kundendaten anonymisieren
Neu ab der Version 10 steht Ihnen im Kundenmangement das Register “Kundendaten anonymisieren” unter “Kunden/Bestellungen” zur Verfügung. Hier können Sie eine automatische Anonymisierung einrichten, einmalig die Daten anonymisieren oder die betroffenen Datensätze herunterladen. Genauere Informationen zu den Funktionen finden Sie im Hilfetext.
Hilfe
Wir möchten Sie bitten, bei Fragen diese ausschliesslich per Mail an compliance@glarotech.ch zu senden. Sobald wir Ihre Anfrage erhalten, werden wir diese schnellst möglich bearbeiten.
Wir weisen Sie darauf hin, dass Sie für Vertragsabschlüsse mit Dritten, den Inhalt Ihrer AGB und Datenschutzerklärung und für spezielle Einstellungen je nach Einsatzzweck und Kundensegmente selbst verantwortlich sind. Wir sind kein Rechtsbeistand und übernehmen keinerlei Haftung. Für eine Rechtsberatung empfehlen wir Ihnen, einen Rechtsanwalt zu konsultieren.