Nachtrag Datenschutz / Newsletter

Nachtrag zu unserer DSGVO-Serie

Politik

Es ist ruhig geworden nach der ersten Aufregung. Zwar ist das gut, wenn man an den oft sinnlosen Aktivismus denkt (gut das Ihr Eure Shops nicht gleich abgeschaltet habt), aber eher nicht so gut, wenn man an die Gewöhnung an schlechte Datenschutzerklärungen denkt. Oft wird die DSGVO auch als Bürokratiemonster verurteilt, was unserem allgemeinem Wunsch nach Datenschutz andererseits aber nicht förderlich ist. Nach wie vor nehmen es viele nicht ernst und verwenden z.B.  (leider auch von Euch Lesern) Tracker, ohne die Einhaltung der Regeln zu hinterfragen.

Haben wir zu viel Wichtigeres zu tun?

DSGVO bei uns

Den Vertrag zur Auftragsverarbeitung mit Ökobox-Online haben über 84% zugestimmt. Einige habe es wohl vergessen, zwei Anwender wollten einen eigenen Vertrag…der ist aber nicht so ausführlich und niemals so aktuell wie unser Vorschlag; zudem ist die Aktualisierung unklar und zeitaufwändig.

Wir haben unsere interne Prozessliste und auch die Dokumentation weiter vervollständigt (Anwender können die z.B. zum Anwendertreffen einsehen). Mittlerweile haben wir auch mit allen unseren Zulieferern einen sinnvollen und gültigen AV Vertrag.

Weitere Anwender sind auf unser Datenschutz-konformes und vor allem vereinfachendes Google-Tracking-Plugin umgestiegen – wir haben dies mittlerweile auch um die e-Commerce Kennzahlen erweitert.

Wie bekomme ich Neukunden in den Newsletter?

Bei der Neumeldung in den Shop ist der Kunde nun aufgefordert, den Haken für den Newsletter aktiv zu setzen. Das „vergessen“ die Kunden natürlich öfters. Was tun?

Naturgemäß befinden wir uns im Online Shop in einer Grauzone, was das Zusenden von Emails betrifft. Solange der Inhalt eindeutig mit dem Kauf – oder in unserem Fall- mit einem Abo zu tun hat, und es sich ausschließlich um unser eigenes Geschäft bzw. Produkte handelt, sollte eine Einwilligung des Kunden unterstellt werden können. Auch auf das „berechtigte Interesse“ im Rahmen der Geschäftsbeziehungen mit dem Kunden könnte man sich berufen. Wenn das auch so in der Datenschutzerklärung beschrieben ist, sollte man die Kundin auch ohne eine explizite Newsletter-Einwilligung anschreiben dürfen.

Anders ist es, wenn das Abo beendet ist oder der Kunde explizit kündigt – hier bietet es sich an, bei der Bearbeitung der Kündigung explizit nach einer weiteren Erlaubnis zu fragen.

Man könnte also auch das Häckchen anders beschriften:  „Ich erlaube die Zusendung von gelegentlichen Werbenachrichten in eigener Sache auch nach Abwicklung des Kaufes oder dem Ende meines Abo’s“.

Die obige Argumentation liegt nahe, und wird auch in verschiedenen Publikationen so dargestellt. Da es aber leider in dieser Sache noch keine eindeutige Rechtsauslegung gibt, obliegt Euch die Entscheidung:

a) Möchte  ich mehr Kunden erreichen und folge obiger Argumentation? -> Option im Admin Bereich einschalten.

b) Ich bleibe bei der strikten Lösung.

Wie überzeuge ich Kunden, doch den Newsletter zu empfangen?

Was tun wenn die Abonnentenzahlen nun eingebrochen sind? Mit einem Platzhalter für transaktionale Nachrichten vom Shop, der eingeblendet wird, wenn eine Empfänger keine Werbeerlaubnis erteilt hat, kann man versuchen, ihn doch noch zum Empfänger zu machen.  Mit Hilfe der Variable %Zustimmung% im Text kann der Empfänger dies mit einem Klick erledigen.

Natürlich kann diese Variable auch zum Einholen eines „vergessenen“ Double-Opt-In verwendet werden (also einer zweifachen Bestätigung des Empfängers) – aber: nur kein Aktionismus – siehe oben.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Sprachen und Übersetzungen

Kürzlich ist Polnisch als achte Sprache hinzugekommen!
Wird dem System eine neue Sprache hinzufügt, ist es mit der initialen Übersetzung der bis zu  3500 Wortschnipsel oft nicht getan. Deshalb hilft immer mindestens ein Muttersprachler unter den Anwendern bei der genauen Anpassung und langfristigen Pflege – es kommen ja auch immer wieder neue Funktionen hinzu.

So haben wir die internen Übersetzungs-Statistiken jetzt im Admin-Bereich des Shops einsehbar gemacht – damit wird es dem Sprach-Betreuer einfacher gemacht, Korrekturen einzupflegen und sich u.a. auf die am meisten angezeigten Texte zu fokussieren.

Es geht ja auch  nicht nur um die Beschriftung der Buttons und Texte des Shops – ein großer Teil der Informationen auf dem Bildschirm kommt von den Artikeldaten. Hier bietet das PCG System die Möglichkeitet, Artikeldaten auch in verschiedenen Sprachen zu pflegen. Schließlich kann der Shop parallel in verschiedenen Sprachen und für verschiedene Länder betrieben werden. Unter Verwendung von verschiedenen Preislisten und Menüstrukturen ist das sogar trotz verschiedener Preise und Mehrwertsteuersätze möglich.

Dabei helfen auch Werkzeuge für  automatische, regelgesteuerte Übersetzungen von Artikelinformationen oder einzelnen Zeichen.

Meet the Team: Bob

Heute stellt sich im Rahmen dieser Serie Bob vor.

Nach dem Studium der Elektrotechnik/Mikroelektronik habe ich erst einige Jahre im Vertrieb und dem Support komplexer Maschinen gearbeitet, bevor ich in den Software-Bereich gewechselt bin. Nach Stationen in der Automatisierung einer  Halbleiterfabrik  und einigen Jahren Software-Entwicklung  bei einem Internet-Marketing-Unternehmen entstanden die ersten Online-Shops für den PC-Gärtner.

Daraus ist, innerhalb des Ökosystems des PCG-Teams, mittlerweile ein umfangreiches System mit vielen Anwendern geworden.

Nach wie vor bin ich begeisterter Software-Entwickler; ich finde es besonders spannend, moderne und mitunter komplexe Technologien in unseren Produkten einzusetzen – und auch dabei fair und nachhaltig zu arbeiten. Auch die Organisation des Zusammenspiels der vielen Zuarbeiter für dieses Projekt macht viel Spaß.

Nach vielen Jahren in Bayern wohne ich mit meiner Familie  jetzt in Dresden.

Als Softwareentwickler schätze ich die Flexibilität was den Arbeitsplatz angeht – was ich gelegentlich nutze, um andere Gegenden kennen zu lernen. Gern bin ich auch in den Bergen unterwegs – dann mitunter sogar ohne Laptop 🙂 .

 

 

Rechnungen und Lieferscheine direkt im Shop2016 abrufbar

Im neuen Shopsystem sind seit einiger Zeit die PDF-Rechnungen und Lieferscheine für die Kunden anforderbar.

Werden diese unter den persönlichen Einstellungen angefordert, wird kurze Zeit später eine Email mit Anhang versandt. Nach entsprechender Kommunikation mit den Kundinnen und Kunden kann man so gänzlich auf Papier verzichten.

Entwickler-Info 8/2018

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Schnellstart

Das Script zum Einbinden der Shop-Funktionalität trägt den System-Namen im Aufruf. Dadurch ist es, zumindest ohne serverseitige Programiersprache, etwas umständlich, mal eben zwischen verschiedenen Systemen zu wechseln (z.B. dem Live und dem lokalen Entiwcklungssystem), es müssen immer alle Webseiten angefasst werden. Im Github ist jetzt ein Beispiel zu finden, das nur noch eine Änderung an einer Datei benötigt (shop.js).

to proxy or not to proxy

Neue Techniken machen es möglich, auch ohne eine Proxy-Installation der Scripte davonzukommen. Generell gibt es einige Dinge abzuwägen:

  • Sollen externe Scripte sichtbar sein ?  Das ist eine Geschmacksfrage, aber auch DSGVO Erwägungen können eine Rolle spielen.
  • Ist der eigene Server (der proxy) schnell? Insbesondere bei shared-Hosting Angeboten wird es gerade zu allgemeinen Hochlastzeiten knapp.
  • Unterstützt der Proxy HTTP/2 (oder QUIC)? Durch das Zusammenfassen viele Anfragen können am Ende mehr parallele Abfrage auch am Shopserver erfolgen.

Selber Aktualisieren

Bisher musstet ihr zum Aktualisieren eines Staging-Systems immer bei uns nachfragen. Seit einiger Zeit kann das auch direkt im Admin-Bereich ausgelöst werden – sowohl im Quellsystem als auch aus dem Staging-System heraus. Die Einrichtung eines Staging-System muss weiterhin durch uns erfolgen,  meist ist da etwas Einrichtungsarbeit (u.a. Domain-Einrichtungen) notwendig.

Scripte automatisch einbinden

Dieses Feature gab es für den Amperhof-Shop schon immer – u.a. zur Einbindung von Tracking-Funktionen. Bisher gingen wir davon aus, das dies der neue Shop nicht braucht – schliesslich haben die Entwickler ja selber Zugriff auf die  Seiten.

Gerade beim andauernden Hantieren mit Tracking-Pixeln aller Colèur zeigt sich aber das diese Funktion recht praktisch ist – so ist ohne Zutun der Webentwickler mal schnell eine ID geändert oder ein Tracking-Code eingebunden. Die Funktion ähnelt damit etwas dem Google Tagmanager.

Natürlich müssen das nicht nur Tracking Scripte sein; auch andere kleinere Korrektuen sind per Javascript schnell eingespielt – auf allen Webseiten wo auch das Shopsystem eingebunden ist. Zu finden ist die Eingabemaske unter Einstellungen->Tracking im Admin-Bereich.

Legacy Shops und Einbindung per Frame

Die Ablösung des bisherigen Standard-Shops rückt näher. Wir sind dabei die Anleitungen zu schreiben – u.a. die Hinweise, wie man den Shop am Besten in die Webseiten einbaut. Hier kommt -für den Standard-Shop- ein alter Bekannter zu neuen Ehren: der HTML (I-)Frame. Im Github gibt es ein Beispiel, was eine responsive Einbindung mit dieser Technik erklärt., auch auf Seiten die ggf. selber nicht responsive sind oder sonst einen größeren Umbau erfordern würden.

Hier gehts zum letzten Artikel dieser Rubrik.

 

Beirat

Schon zum PCG Anwendertreffen 2017 hatten wir beschlossen, einen Kundenbeirat zu etablieren. Das soll die Transparenz unserer Entscheidungen bzgl. der Entwicklungsschritte verbessern, eine Mitsprache zur Priorisierug ermöglichen, und natürlich erhoffen wir uns auch ein besseres Verständnis der Herausforderungen, denen unsere Anwender tagtäglich begegnen.

Aktuell haben wir neun AnwenderInnen, die ein gutes Spektrum unserer Kunden abbilden, wenn auch nicht optimal (Betriebsgröße, verwendete PCG-Module oder Shops).  Interesse? Weitere Mitglieder sind gern gesehen!

Seit ca. einem Jahr nun trifft sich diese illustre Truppe, meist einmal im Monat in einer Telefonkonferenz. Auch Anwender die nicht im Beirat sind können sich mit den Kollegen in Verbindung setzen. Obwohl wir vom PCG-Team aktuell die Beiratssitzungen  organisieren, ist dies ein Kundengremium welches sich zum Durchsetzen seiner Wünsche natürlich auch selbst organisieren kann.

Neben den offensichtlichen Themen wie den Programm-Funktionalitäten kommen auch viele Interna zur Sprache, von Qualitätsfragen über Priorisierung oder auch Personalangelegenheiten.

Aktuelle Themen waren und sind die Vorstellung der Support-Struktur im PCG Team, die Überarbeitung der Packstelle und Probleme und Umsetzung mit der DSGVO.

Eine kurze Vorstellung des Beirates findet sich auch im Dokumentationssystem.

Torfeuer

Der Treffer kam bei uns erst am Sonntag an. Zum einen war der Samstag zu kurz um auch noch im Online-Shop zu bestellen, zum anderen sind viele wohl auch erst gegen Sonntagabend aus dem Fussballrausch erwacht. Oder hatte das Spiel die guten Vorsätze bezüglich der Ernährung geweckt?

Reuss' Tor
Roter Pfeil: Reuss‘ Tor

Jedenfalls hatten wir am Sonntag eine Rekordlast auf unseren Online-Shop-Systemen. Leider teilweise auch eine Überlastung. Sonntags (-Abend)  ist zwar generell Ecommerce-Time, aber in unserem Fall hatten wir mehr als das Doppelte der jemals verzeichneten Maximallast. Ich vermute nicht nur wir, auch viele andere Leitungen im Internet waren an der Grenze ihrer Bandbreite.

Bandbreite? Das ist eine Maßzahl, mit der wir in der Internet-Computerei so ziemlich alle Bauteile betrachten können. Ursprünglich war damit bestimmt mal die Breite eines Förderbandes gemeint – je breiter, desto mehr geht da drüber. Internet-Leitungen, Computer-Rechenchips, ja selbst unser Team vom Support hat eine bestimmte Bandbreite – mehr bekommt man da nur mit mehr Druck (beim Computer die Gigahertz, beim Support Team der Bonus 😉 ) – oder eben mit einem breiterem Band.

Nun halten wir schon reichlich Kapazität vor, um solche Situationen abzufangen. Nicht immer genug (wir werden investieren). Im ökologischen Sinne wollen wir die Computer, die wir mal mit viel (Energie-)Aufwand mal gebaut haben, aber auch effizient nutzen. Man kann sie zwar in den Schlaf schicken (Stromsparmodus), wenn man sie nicht oder weniger braucht, aber auch das ist nicht optimal – sollen wir, nur um das nächste Spiel zu überstehen paar weitere Computer kaufen (mieten)?

Heute gibt es Techniken, die es erlauben auch sehr kurzfristig weitere Computer hinzuzuschalten und so das Band z.B. für den Sonntag abend zu verbreitern. Trotzdem muss diese Kapazität irgendwo vorgehalten werden – und die Dienstleiter (unter anderem der Platzhirsch Amazon) lassen sich dies gut bezahlen. Natürlich muss die Bandbreite der anderen Bauteile (Leitungen, Datenbanken, Speicher) auch mit wachsen/schrumpfen, entsprechend dimensioniert sein oder mit verbreitert/verkleinert werden.  Klingt kompliziert und ist es auch, man stelle sich das Förderband vor , was im laufendem Betrieb verbreitert wird!

Sonntag 24.6.

Auch an diesem Wochenende haben wir gelernt, wo neue Grenzen lauern; am Bild hier kann man schön eine  Begrenzung sehen. Wir werden das untersuchen und einen neuen schnelleren Computer an dieser Stelle einsetzen. Aber wie bei jedem ökologischem Thema kommt es auch hier auf alle an:

  • Warum müssen die Kunden alle am Sonntag in den Shop? Weil am Montag morgen/mittag Bestellschluss ist? Wenn Eure meisten Touren erst am Mo Abend/Di/Mi geschlossen werden, profitiert ihr von leeren Förderbändern.
  • Muss das Backup/der Datenupload/die Statistik unbedingt am Sonntag Abend laufen? Kleiner Tipp: Sonnabends ist der ruhigste Tag in den Shops!

Im Bild seht ihr ein System mit mehreren Online-Shops. Der erste, der in einem Kommentar die Farbe nennt, die für das System steht, wo die Kunden am Wochenende am wenigsten vom Engpass betroffen sind, gewinnt eine 10€ Gutschrift für die nächste Shop-Abrechnung!

Wer hat am So keinen Engpass?

 

Entwickler-Info 6/2018: Anmeldeoptionen

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Neue Komponenten-Einstellungen

Schnell-Auswahl für Shop und Ticker: Diese Komponenten können nun so konfiguriert werden, das ein Artikel (oder Abobox) ohne weitere Auswahl mit einem Klick in dern Warenkorb zu befördert werden kann. Dazu kann die Menge oder auch die Aboperiode vorkonfiguriert werden.

Profil-Komponente: Die Auswahl des ersten Liefertermins und der Tour kann nun auch mit einer Select-Box erfolgen.  Neu ist auch der Anmeldemodus: Wie bei manchen modernen Websites gibt man zunächst die Email an, je nachdem diese im System existiert oder nicht, wird daraufhin auf die Anmeldeseite oder zur Passworteingabe weitergeleitet. Auch das komplette überspringen der Tourwahl (für Betriebe die bundesweit liefern) kann eingestellt werden.

Neue Möglichkeiten im Warenkorb erlauben die Konfiguration eines „klassischen“ Online-Shops, also eines Systems, welches Einmal-Bestellungen aufnimmt und die Bestellungen nicht zur wieder-Bearbeitung (bis zum Bestellschluss) anbietet. Neu ist auch eine optionale Zusammenfassung im Warenkorb. Ein weiterer Schalter erlaubt es, auch mehrere Bestellungen für einen Liefertag neu im Shop einzugeben.

Der Inhalts-Komponente kann nun angebeben werden, in welchem Format der Inhalt vorliegt – so kann entweder HTML direkt ausgegeben werden, oder vorliegender WIKI-Text zu HTML gewandelt werden.

Einfacheres Entwickeln

Weitere System-Status sind als CSS-Klasse zur HTML- oder BODY-Element hinzugekommen und erleichtern so den Bau von zielgenauen Selektoren.

Alle Komponenten-Schalter können ad-hoc direct ins Suchfeld eingegeben werden – so kann man die Wirkung der Schalter ohne viel Aufwand im lokalen Browser ausprobieren.  Auch gibt es jetzt eine immer mit eingespielte (versteckte) Seite, falls mal keine Such-Komponente in den regulären Seiten sein sollte. Zu Erinnerung: es gibt auch weitere Design-Hilfen die über diesen Weg zugänglich sind.

Update 8/18: Mittlerweile kann man die Schalter auch im Admin-Bereich (Entwickler) setzen. Damit schaltet man alle Besucher-Browser um, diese EInstellung bleibt auch erhalten. EIn „clear“ löscht wieder.

Bilder-Proxy

Komponenten, die Bilder anzeigen, verwenden den internen Bild-Proxy des Systems. Die Bild-Bearbeitung ist aber meist ausgeschaltet (auch dies kann an der Komponente konfiguriert werden). Wir sehen aber immer wieder, das bei Produktbildern auch sehr große Bilder hinterlegt werden, möglicherweise aus Versehen. Um den Schaden zu begrenzen, sollte man die Bildbearbeitung immer aktivieren, z.B. durch Angabe eine Maximalen Bildgröße von 1000×1000 Pixel. Das ist zwar immer noch groß, zwingt aber den Proxy zur Bearbeitung des Bildes und damit meist auch zur Reduktion der Bildgröße.

Die Links führen meist in die Design-Anleitung; dort findet sich gleich oben jeweils ein Link zur Referenz mit den detaillierten Infos zu den Konfigurationsoptionen.

zum letzten Beitrag in dieser Rubrik

DSGVO 5: Die Datenschutzerklärung

Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden:  die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.

Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.

„Leicht bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.

Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:

  • Kontaktdaten des Verantwortlichen
  • welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
  • Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
  • Hinweise auf  Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
  • Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
  • Ggf. Information über Unterauftragnehmer  – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
  • Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).

Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“.  Weil wir diese Nummern aber  auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können,  ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.

Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim  Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Hinweise zur Gestaltung der Datenschutzerklärung für Anwender des PCG und des Online-Shops von Ökobox-Online

DSGVO – 4: Dienstleister

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.