1.619
Bearbeitungen
Änderungen
Zur Navigation springen
Zur Suche springen
Ein passendes Allgemeines Muster für ein Verarbeitungsverzeichnis, welches alle in Ihrem Onlineshop stattfindenden Datenverarbeitungen umfasst, finden Sie hier: HHGGDD[https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis/]
Allgemeines Muster: [https://www== Datenschutzbeauftragter == In der Regel muss kein Datenschutzbeauftragter benannt werden.activemind<br><br>Ein Datenschutzbeauftragter muss nur benannt werden, wenn Sie mehr als 9 tätige Personen beschäftigt haben, die an der Verarbeitung personenbezogener Daten beteiligt sind oder Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA) bedarf. Letzeres ist beispielsweise bei automatisierten Bonitätsprüfung oder Profiling der Fall und dürfte i.d.R. nicht auf Sie zutreffen ; Zudem würde Ihr Datenverarbeitungsfall dann der bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle unterliegen, d.h. Sie wären auch beim aktuell gültigen Datenschutzrecht mit einem Sonderfall in Kontakt gekommen.de/datenschutz/dokumente/verfahrensverzeichnis/]
→Neue Datenschutzerklärung
Die Datenschutz-Grundverordnung (DSGVO) tritt ab dem 0525.05.2018 in Kraft und soll vor allem Endverbraucher einen besseren Datenschutz gewährleisten. Diese beschreibt die schon lange überfälligen Regelungen zum Datenschutz und zur Datenverarbeitung und muss Ihnen als ShopbetreiberIn keine Ängste bereiten, denn auch vorher erfüllte Ihr Shopsystem schon die meisten der in den neuen Datenschutzbestimmungen geforderten Regelungen.<br><u>Ihr Shopsystem bietet alle Sicherheiten und Möglichkeiten, die Anforderungen der DSGVO zu erfüllen.</u><br>
Im Folgenden werden alle relevanten Aspekte der DSGVO für Sie zusammengefasst.
* Gebot der Datensparsamkeit
* Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung
== Neue Datenschutzerklärung ==
Eine neue Datenschutzerklärung ist das Kernthema (das Wichtigste) an der DSGVO, denn grundsätzlich können nur Umstände der neuen DSGVO abgemahnt werden, die nach außen hin sichtbar sind.<br>
Dies ist i.d.R. nur die Datenschutzbestimmung, denn nach außen hin weiß niemand, ob Sie einen [[#Datenschutzbeauftragter|Datenschutzbauftragten]] benötigen, ob Sie [[#Auftragsverarbeitungsvertrag|Auftragsverarbeitungsverträge]] abschließen müssten und diese auch abgeschlossen haben oder ob Sie ein [[DSGVO#Verarbeitungsverzeichnis|Verarbeitungsverzeichnis]] angelegt haben.<br>
Sie sollten in Ihrer Datenschutzerklärung alle personenbezogenen Datenverarbeitungsprozesse transparent und in klaren Worten aufführen. <br>
Hier finden Sie eine <b><u>Musterdatenschutzerklärung</u></b>, die wir auf die grundlegenden Bestimmungen für Ihr Shopsystem angepasst haben:<br>
PDF: [[Datei:Musterdatenschutzerklärung.pdf]]<br>
WORD: [[Datei:Musterdatenschutzerklärung.docx]] (Formatierung bleibt beim Kopieren des Textes erhalten, kann also aus dem WORD-Dokument heraus in den Editor der Administration kopiert werden.)<br>
== Ihr Shopsystem ==
<u>Ihr Shopsystem erfüllt alle Vorgaben der DSGVO</u>, die diese an den Umgang mit personenbezogenen Daten stellt. Dazu zählen folgende Punkte:
* Ein registrierter Kunde kann nun seinen Account löschen. Die Accountdaten des Kunden werden dabei vollständig gelöscht und alle etwaigen unter diesem Account getätigten Bestellungen werden als Gast-Bestellungen verbucht. (Die jeweiligen Bestelldaten bleiben dabei natürlich vollständig erhalten).
* Die Abmeldung vom Newsletter bewirkt die vollständige Löschung der personenbezogenen Daten
* Sämtliche IPs (Piwik, Google Analytics, Newsletteranmeldungen, Bestellungen, Kundenregistrierungen, Kommentare, Suchbegriffe) werden anonymisiert gespeichert
* Das im Shop eingesetzt Social-Media Plugin ist das Shariff-Plugin und somit legal (mit den DSGVO-Regelungen vereinbar), da erst nach aktivem Klick durch den Nutzer die Verbindung zur jeweiligen Social-Media-Plattform hergestellt wird, nicht jedoch vorher. Alle anderen Social-Media-Plugins und -Anbindungen sind nicht mehr legal und müssen von Ihnen entfern werden (bswp. ein Facebook-Widget).
* Im Kontaktformular ist, im Kontext der personenbezogenen Daten, nur die Email ein Pflichtfeld. Die Datenschutzbestimmungen sind verlinkt innerhalb der Einwilligung, dass diese Formular-Daten im Zuge der Beantwortung der Anfrage verarbeitet werden. Genauso verhält es sich auch im Falle eines Reviews, einer Newsletter-Anmeldung und einer Kundenaccount-Registrierung.
* Produktreviews / - kommentare können nur eingefügt werden, wenn die Datenschutzbedingungen akzeptiert werden.
* Im Falle der Nutzung des Moduls 'Manuelle Bestelleingabe' ist es nun möglich, diese per Gast anzulegen, ohne das ein bestehender Kundenaccount benötigt wird.
* Die Datenschutzerklärung muss nun per Opt-In (aktives anklicken einer Checkbox) vor Bestellabsendung akzeptiert werden.
* Wenn Sie die Weitergabe der Kunden-Email-Adresse an den Versanddienstleister über einen externen Service (z.B. [[Versand_-_Shipcloud|Shipcloud]]) ermöglichen, dann können Sie die Genehmigung dafür im Bestellablauf abfragen lassen ({{Pfad_einstellungen_versand_sonstiges}} unter 'Abfrage für Weitergabe der Kunden-Email-Adresse an Versanddienstleister').
== Gastbestellung ermöglichen? ==
Mehr zum Thema: [https://www.it-recht-kanzlei.de/gastbestellungen-datenschutzgrundverordnung.html], [https://shopbetreiber-blog.de/2018/03/08/online-shop-kundenkonto-gastbestellung/]
== Neue Datenschutzerklärung == Eine neue Datenschutzerklärung ist das Kernthema AVV (das Wichtigste) an der DSGVO, denn grundsätzlich können nur Umstände der neuen DSGVO abgemahnt werden, die nach außen hin sichtbar sind. Dies ist i.d.R. nur die Datenschutzbestimmung, denn nach außen hin weiß niemand, ob Sie einen Datenschutzbauftragten benötigen, ob Sie Auftragsverarbeitungsverträge abschließen müssten und diese auch abgeschlossen haben oder ob Sie ein Verarbeitungsverzeichnis angelegt haben. - Benennung des datenschutzrechtlich Verantwortlichen (natürliche Person (z.B. Einzelunternehmer) oder auch ein rechtsfähiges Unternehmen (z.B. GmbH als juristische PersonAuftragsverarbeitungsvertrag), welche wesentliche Entscheidungsbefugnis für die Verarbeitung von personenbezogenen Daten hat) == Datenschutzbeauftragter == In der Regel muss kein Datenschutzbeauftragter benannt werden.<br><br>Ein Datenschutzbeauftragter muss nur benannt werden, wenn Sie mehr als 9 tätige Personen beschäftigt haben, die an der Verarbeitung personenbezogener Daten beteiligt sind oder Datenverarbeitung vorgenommen wird, die einer sogenannten Datenschutz-Folgeabschätzung (DSFA). Letzeres ist beispielsweise bei automatisierten Bonitätsprüfung oder Profiling der Fall und dürfte i.d.R. nicht auf Sie zutreffen ; Zudem würde Ihr Datenverarbeitungsfall dann der bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle unterliegen, d.h. Sie wären auch beim aktuell gültigen datenschutzrecht mit einem Sonderfall in Kontakt gekommen. == Auftragsverarbeitungsvertrag ==
Wenn Sie als Online-Händler einen Dienstleister beauftragen, personenbezogene Daten zu verarbeiten, dann müssen Sie nach der künftigen Datenschutzgrundverordnung mit diesem Dienstleister einen Vertrag abschließen, der jedoch nicht zwingend schriftlich, sondern auch elektronisch erfolgen kann.<br>
Zu Ihren Auftragsverarbeitern zählen primär wir, denn wir als Anbieter und Hoster Ihres Webshops verarbeiten personenbezogene Daten. Dazu zählen nicht nur die Kundendaten Ihrer Bestellungen, sondern vieles mehr, was unter die Auftragsverarbeitung der DSGVO fällt: E-Mail-Verwaltung, E-Mail Archivierung, Backup-Sicherheitsspeicherung usw. ; Wir bieten Ihnen jedoch eine einfache, elektronische Möglichkeit, dieser DSGVO-Anforderung nachzukommen: [XXYYZZ Mustervertrag]Loggen Sie sich dazu im Kundencenter ein (http://kunde.serverspot.de) und folgen Sie den Hinweisen direkt auf der Startseite.
<u>Keine</u> Auftragsverarbeiter (nach [https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf]):
Auftragsverarbeiter (in diesen Fällen <u>muss also ein Auftragsverarbeitungsvertrag</u> geschlossen werden):
* Anbieter Onlineshop-Hosting (also mit uns, Serverspot) ; <u>Wir bieten unseren Kunden die Möglichkeit, einen AVV-Vertrag elektronisch mit uns zu schließen.</u> Loggen Sie sich dazu im Kundencenter ein ([XXYYZZ Mustervertrag]http://kunde.serverspot.de)und folgen Sie den Hinweisen direkt auf der Startseite.
* Tracking mit Google (auch Google bietet die Möglichkeit der elektronischen Zustimmung des Vertrages unter "Kontoeinstellungen -> Zusatz zur Datenverarbeitung" nach Login in Ihr Analytics-Konto.)
Einen allgemeinen Mustervertrag zum Thema Auftragsverarbeitung finden Sie [https://www.lda.bayern.de/media/muster_adv.pdf hier (Link)].
== TOM (Technische und organisatorische Maßnahmen) ==
Kurz gesagt ist TOM ein Dokument, welches darlegt, was für Maßnahmen getroffen wurden und werden, um sensible personenbezogene Daten adäquat zu schützen.<br>
Das Wichtigste für Sie als OnlineshopbetreiberIn ist es, mit Ihrem Hoster (also uns) einen AVV abzuschließen. Dies stellt für Sie sicher, dass wir zusichern, mit personenbezogenen Daten DSGVO-konform umzugehen und diese zu sichern. Unser TOM finden Sie in unserem AVV-Dokument als Anlage 1, den Sie über das Kundencenter (http://kunde.serverspot.de) einsehen und abschließen können.<br>
Zudem müssen alle Daten, die über Ihr Shopsystem / Ihre Domain laufen, verschlüssel sein. Dazu wird Ihre Domain SSL verschlüsselt. Die Standarddomain, über die Ihr Shopsystem erreichbar ist (webXX.cologneXXX.serverspot.de) ist von uns standardmäßig SSL verschlüsselt. Bei einer dazugebuchten Domain (bspw. www.mein-shop.de) müssen Sie eine SSL-Verschlüsselung über unser Kundencenter (http://kunde.serverspot.de) hinzubuchen. Sollte eine Domain, über die Ihr Shop aufrufbar ist, nicht SSL verschlüsselt sein, erhalten Sie in Ihrer Shop-Administration einen Hinweis.
== Verarbeitungsverzeichnis ==
Für Onlinehändler gilt generell, dass ein Verarbeitungsverzeichnis erstellt werden muss, da regelmäßig (durch die Besucher und Bestellungen in Ihrem Onlineshop) personenbezogene Daten verarbeitet werden.
== Auskunftsrecht ==
Auch bisher hatten die Kunden/Besucher in Ihrem Onlineshop ein Auskunftsrecht. Dieses stand auch so in unserer Standard-Datenschutzbestimmung (letzter Punkt). Dieses Auskunftsrecht wurde in der DSGVO konkretisiert:<br>Kunden haben ein Recht darauf, sich über die von Ihnen verarbeiteten Daten zu informieren. Daraus folgt entweder eine "positive Auskunft" (mit allen notwendigen Informationen der Datenverarbreitung) oder eine "negative Auskunft" (falls keine Daten von der anfragenden Person verarbeitet wurden).<br><br>AABBCCAABBCC
