Blog

DSGVO 5: Die Datenschutzerklärung

Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden:  die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.

Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.

„Leicht bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.

Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:

  • Kontaktdaten des Verantwortlichen
  • welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
  • Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
  • Hinweise auf  Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
  • Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
  • Ggf. Information über Unterauftragnehmer  – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
  • Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).

Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“.  Weil wir diese Nummern aber  auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können,  ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.

Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim  Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Hinweise zur Gestaltung der Datenschutzerklärung für Anwender des PCG und des Online-Shops von Ökobox-Online

Meet the Team: Markus

Die Reihe zu unseren PCG Team-Mitgliedern geht nun an Markus:

„Heute möchte ich mich vorstellen: Ich bin der Markus und schon seit 2012 bei der PC Gärtner GmbH beschäftigt. Vorausgegangen war eine dreijährige Ausbildung zum Fachinformatiker. Meine Aufgaben sind die Unterstützung beim Programmieren, Fehlerbehebungen und die Unterstützung des Support-Teams.

Ich bin 36 Jahre alt und ursprünglich im Bayrischen Wald aufgewachsen. Durch meine Familie, d.h. meine Frau Sabrina und meinen Sohn Julian, hat es uns nach Österreich gezogen: nach Haslach an der Mühl. Dort wohnen wir seit 2013.

Privat gehe ich gern Angeln und sammle Briefmarken. Außerdem lese ich gern und viel in meiner Freizeit.“

PCG Team auf den regionalen BioMessen

Auf der BioOst in Berlin waren wir auch dieses Jahr mit einem Stand vertreten. Am Sonntag, 22. April, war Gelegenheit für einen regionalen Austausch. Einige Betriebe haben uns vor Ort am Messestand besucht.  Außerdem gab es einige Gespräche mit Interessenten.

Die nächste Gelegenheit bietet sich zur BioNord in Hannover. Bitte notiert Euch den Sonntag, 9. September, Deutsche Messe Hannover, Halle 4.
Wie immer gibt es Neuigkeiten rund um den PC Gärtner, den Modulen, der Driver App und dem Online-Shop.

DSGVO – 4: Dienstleister

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.

 

Meet the Team: Katrin

Heute ist die Reihe an: Katrin.

„Ein herzliches Hallo an Euch! Meine Vorstellung möchte ich beginnen mit den drei, für mich bisher am wichtigsten Orten. Das sind Berlin (dort bin ich aufgewachsen), Freising (dort habe ich über 20 Jahre lang gelebt und meine Familie gegründet) und Dresden. Hier lebe ich (bzw. leben wir)  jetzt wieder, anknüpfend an die fünf sehr schönen Jahre während des Studiums in dieser Stadt.

Als Ingenieurin und Erwachsenenpädagogin habe ich viel an Hochschulen gearbeitet und mache das auch noch jetzt in ganz geringem Maße. Beruflich bin ich allerdings mehr denn je im PCG Team. Mit Bob, meinem Mann, allen bekannt als Herz und Seele von Ökobox-Online, arbeite ich an dem was gerade Priorität hat: das Testen von Software, der Kontakt zu Euch Kunden, das Moderieren von Anwendertreffen, das Texten für die Dokumentationsplattform oder den Blog, das Aufnehmen von Videos für Marketingzwecke oder als Tutorials und das Diskutieren über künftige Features.

Faszinierend finde ich, wie wir im Team die meiste Zeit „nur“ verbunden mit Telefon, Email, Trello und Skype gemeinsam an Projekten für Euch, den Anwender*innen vom PC Gärtner und dem Ökobox-Online-Shop, arbeiten. Wir können so sagen, dass immer eine*r vom PCG Team in der Nähe ist. Egal wo.
Schöne Grüße aus Sachsen!“

Neue Waagen am PCG

Schon seit Mai letzten Jahres besteht auch für Mettler-Toledo-Waagen die eichamtliche Zulassung für den Einsatz als PCG-Packstellenwaage.

Gegenüber den „alten“ Modellen und auch anderen Herstellern sind diese merklich schneller.  So haben wir spezielle Messreihen angelegt, um die durchschnittliche Zeit zu ermitteln, die die Waage benötigt um das Gewicht mit der Ruhestandskennung zu übertragen:

  • Söhnle  Typen CWE/20xx   ca 1,8 Sekunden
  • Söhnle  Typen 30xx ca 1,7
  • Söhnle Waagen Typ 37xx ca 1,5 Sekunden
  • RADWAG Typ WTP Ca 1,7 Sekunden
  • MettlerWaagen Mettler Typ ICS ca 1 Sekunde

Die ICS ist damit im Schnitt mindestens eine halbe Sekunde schneller pro Wiegevorgang und das bei geringerer Streuung des Mess-Ergebnisses. Bei 100 Aufträgen mit je 10 Artikel sind das schon mal 8 Minuten Zeitersparnis.

Wir haben wir für euch Sonderkonditionen bei Mettler Toledo ausgehandelt und geben Euch diese gern weiter! Genauere Informationen könnt Ihr gern von Ralf bekommen!

Quelle: MT WebShop

Entwickler-Info 3/2018: Navigationsoptionen

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Navigation für mehrere Shops

Mittlerweile gibt es verschiedenen Techniken, um mehrere Shops an einer PCG-Installation zu betreiben. Mittels der neuen Optionen oo-navi-group und  oo-navi-subgroup kann man die Navigationsoptionen auf eine bestimmte „Gruppe“ beschränken – aktuell gibt es davon zwei: „Normale“ Haupt-Navigationspunkte, und die im PCG als „Test“ markierte.

Damit gebaute Shops nutzen trotzdem alle darunter liegenden Artikel gemeinsam (Suche, Filter). Damit eignet sich diese Methode, um z.B. Shops und WebSites mit Fokus auf bestimmte Produktgruppen zu bauen.

Zuletzt angesehen

Diese Komponenten nutzt nun, wie auch Filter oder Suche ein Overlay zur Darstellung des Inhaltes.

Anmeldung

Mit oo-logon-skip-locate kann die Standortabfrage komplett unterdrückt werden – sinnvoll z.B. wenn Neukunden auf festen Touren landen sollen.

oo-logon-mode=“email1st“ stellt eine Abfrage nach der EMail voran. In Folge kann dann zur Anmeldemaske (bzw. Passwortabfrage) oder der Neuanmeldung verzweigt werden. Das zugrundeliegenden HTML Template hat sich um diese Abfrage erweitert, ist aber ansonsten unverändert geblieben.

Umbau der Abosteuerung

In Folge von Diskussionen beim Anwendertreffen im Februar haben wir die Möglichkeiten zur Abosteuerung   komplett aus dem Warenkorb entfernt. Mehr Info ist im entsprechenden Trello-Board zu finden (für eine Einladung bitte an Bob wenden) . D.h. die ggf. angepassten CSS Stile sind dazu nicht mehr notwendig. In Anlehnung an vorhanden Stile sind einige wenige Optionen im Profilbereich hinzugekommen.

Shop-Komponente

Ein neuer Schalter oo-shop-startnav=“<navigationlevel>“ ermöglicht die Angabe einer Navigationsebene, sollte noch keine gegeben sein (also meist im Startzustand der Webseite). Ansonsten wir an dies Stelle im die im Admin-Bereich festgelegte Menüebene verwendet.

Ticker mit Abo-Option

Auch die im Ticker angezeigten Artikel können nun periodisch bestellt werden. Die Option muss mit einem Schalter eingeschaltet werden. Zudem kann die Zielseite je nach Anmeldezustand des Besuchers unterschiedlich angegeben werden. Das hilft insbesondere beim Bewerben von Artikeln mit umfangreichen Beschreibungen oder Angaben zur Lieferung/Konfiguration oder Verpackung.

Neues im PCG 03/18

Wie immer hat sich im PCG wieder einiges getan, und auf ein paar der aus unserer Sicht bemerkenswertesten Neuerungen wollen wir an dieser Stelle gern regelmäßig hinweisen:

Diesmal sind es ganz überwiegend kleinere Korrekturen, die an verschiedensten Stellen im Programm viele kleine Verbesserungen bingen – sogar eine ganze Menge davon:

  • 27.03.2018: Korrekturen in der Warenwirtschaft
  • 20.03.2018: Korrektur beim Einlesen bereits aufgelöster Rezepte in Netbestellungen
  • 20.03.2018: Verbesserung beim Anwenden der Tourbestellschluss-Artikelsperre in der Auftragsbearbeitung
  • 19.03.2018: erweiterte Möglichkeiten beim Markieren von Kunden aus der Suche++
  • 13.03.2018: Korrekturen und Verbesserungen beim Email- und SMS-Versand aus dem PCG
  • 13.03.2018: Verbesserungen in der Aufgabenverwaltung (unter Tools)
  • 10.03.2018: erster Schritt, um auch die DataNatuReID zusammen mit der EcoInformID im PCG verwalten zu können
  • 09.03.2018: Korrektur beim blockweisen Verschieben von Lieferadressen in eine andere Tour
  • 08.03.2018: im GH mit GH-Shop lassen sich nun alle für einen Kunden aktuell im Shop befindlichen Artikel per Button abfragen
  • 05.03.2018: in allen Feldern mit dem neuen Such-und Zuordnungsdialog wird ab jetzt die Möglichkeit zum Lösen der Zuordnung in den Dialog integriert
  • 03.03.2018: neue Kundenoptionen, wenn die DriverTablet-Auslieferungsnachricht unerwünscht ist
  • 02.03.2018: interne Ablaufverbesserungen beim Aufnehmen von Shop-Neukunden
  • 01.03.2018: Einbau eines mitarbeiterbezogenen Hinweistextfeldes, das demnächst in der DriverApp angezeigt werden kann
  • 26.02.2018: Exportmöglichkeit der Großhandelsrechnungen im Datev-Format
  • 22.02.2018: Verbesserungen und Korrekturen im Hofladenmodul
  • 21.02.2018: mehrere Korrekturen und Verbesserungen im Großhandelsmodul
  • 21.02.2018: im Shop werden für die Kontrolle von Mindestbestellwert und Lieferkostenschwelle nun Gutschriftsartikel herausgerechnet
  • 16.02.2018: Korrektur an der ausgewiesenen MwSt bei gewährtem Skonto

[Wo finde ich die vollständige Changelogliste?]

Meet the Team: Andrea

Diesmal ist in unserer Vorstellungsrunde die Reihe an Andrea:

„Ich heiße Andrea Rohmann und bin ein Teil des PCG-Supportteams.
Zwei Jahre habe ich als Anwender die PCG-Software genutzt.
Seit Anfang 2016 freue ich mich, wenn ich bei Supportfragen aus Mail und Telefon hilfreich sein kann, und bin sehr froh darüber, in einem Team zu arbeiten, in dem jeder für jeden da ist.
Ich versuche Fehlermeldungen nachzustellen, teste sie auf ihre Gesetzmäßigkeiten im Auftreten und dokumentiere sie für die Entwicklung/Korrektur. Wenn ich das gerade nicht mache, erstelle ich Hilfetexte und Hilfefilme oder schneide und bearbeite die SeminarFilme.

Ich lebe und arbeite im schönen Allgäu im kleinen (nicht gallischen) Dorf Warmisried bei Mindelheim/Bad Wörishofen. Geboren bin ich im Ruhrgebiet.
Wenn ich mich nicht mit dem PCG befasse, bin ich mit dem Rad unterwegs (um die Steigungen zu überleben -> ein Pedelec), wandere oder sause strohbehütet mit dem Cabrio durchs Allgäu, um schöne Orte zu entdecken.
Bei Indoor-Wetter schmiede ich Schmuck, male, höre gern gute Musik aller Stilrichtungen, schaue Filme, die etwas zu erzählen haben, und übe mich im Didgeridoo spielen. Ist gut für freie Nebenhöhlen!“

DSGVO – die Dritte: Grund und Erlaubnis

Wer diese Serie verfolgt hat, ist nun in der Lage jederzeit seine Prozessliste zu zeigen und zu korrigieren. Heute berühren wir nun den Kern der neuen Verordnung und müssen gleich wieder Neues in diese Liste einpflegen.

Welche Prozesse arbeiten mit sensiblen Daten? Nochmal zur Erinnerung, das sind Informationen, die man Personen zuordnen kann. Sofern noch nicht erfolgt, fügen wir nun zu unserer Liste hinzu, welche Daten das sind. Hier ein paar Beispiele für Abläufe aus verschiedenen Bereichen eines typischen Geschäftsbetriebes:

  • Bei der Anmeldung (im Online-Shop oder auch am Telefon) erfassen wir Namen,…, Geburtsdatum etc.
  • Bei der Kundenbetreuung fallen Kommunikations-Daten an: wer hat wann angerufen, welche Veränderungen wurden an Kundenkonten gemacht etc., wo/wie wird dies protokolliert?
  • Bei der Auslieferung tracken wir die Position der Tablets und Auslieferungszeitpunkte, damit also die Position und das Verhalten des Fahrers.
  • Beim Kundenbesuch auf der Webseite  werden die einzelnen Seitenbesuche mit Zeitstempel und IP-Adresse in den Logfiles vermerkt
  • Jeder Auftrag eines Kunden hinterlässt Spuren im ERP-System: Welche Produkte wurden gekauft, mit welcher Methode hat er bezahlt.

Im nächsten Schritt überlegen wir uns, wozu diese Daten eigentlich gesammelt werden – oft erscheint uns das super-logisch („klar brauchen wir die!“) – aber hier müssen wir den Grund -unser berechtigtes Interesse–  irgendwie benennen. Das hilft auch  die Rechtsgrundlage (Artikel 6, „Rechtmäßigkeit“) zu finden, die uns das Sammeln erlaubt. Hier also die neue Spalte in unserer Prozessliste für die obigen Beispiele:

  • mit Name und Geburtsdatum können wir den Auftraggeber eindeutig bestimmen – notwendig, um eine Rechnung zuzustellen.  Fällt in  Absatz b, ist also  klar für „Durchführung vorvertraglicher Maßnahmen“ oder „Erfüllung eines Vertrags“ nötig.
  • Die Kommunikationsprotokolle dienen der Organisation der Arbeit im Team und somit der effizienten Abwickung des Kundenauftrages, Absatz b, Evtl. sollte man auch die Einwilligung nach Absatz a erfragen (Im PCG gibts die „Anonym“-Option für Kunden – aber hier gehts auch um das Loggen der Mitarbeiter-Aktivitäten!)
  • Das Tracken der Tablets ermöglicht uns Vorhersagen des Auslieferungszeitpunktes – ein Mehrwert für den Kunden- und die disziplinarische Kontrolle der Fahrer (habe ich absichtlich hier sehr direkt formuliert) – Klar ein Fall für Absatz a, wir brauchen die Einwilligung des Fahrers.
  • Das Logfile mit IP-Adressen wird zur Sicherheit benötigt: so sind z.B. Angriffe aus dem Internet oder allgemein das Verfolgen von Anmeldefehlern -auch für den Kunden- möglich (Hieraus folgt dann auch gleich, das wir diese Daten nicht ewig aufgeben sollen). Damit wir das auch dürfen, müssen wir den Kunden/Besucher fragen: Etwa mit einer Einwilligung laut Absatz a (das entspricht etwa der „Cookie“-Frage die heute überall zu sehen ist)
  • Die Daten zu den Aufträgen brauchen wir zunächst für die Abwicklung – danach aber auch noch 10 Jahre um Betriebsprüfungen  zu ermöglichen (Absatz c – Danach müssen die Daten dann aber gelöscht werden 😉 ) . Ein anderer Grund wäre, Statistiken zu ermöglichen – damit optimieren wir unser Angebot und unsere Abläufe. Bei einer Statistik muss man aber nicht die einzelnen Datensätze aufheben – es reicht die monatliche Tortengrafik, die keine Kunden-Details mehr beinhaltet.

Wenn uns zu einer Position kein Grund einfällt – dann sollten wir diese Daten auch nicht mehr sammeln. Die Verordnung spricht hier von der Regel der Datensparsamkeit.

Man kann an den Beispielen sehen, das es durchaus eine Grauzone für die Gründe gibt – „wichtig für die Prozessoptimierung“ kann ja vieles bedeuten. Sofern kein anderer Absatz in Artikel 6 das Daten-Erheben erlaubt – die Einwilligungs-Frage an den Kunden bleibt immer (z.B. per AGB). Hier werden wir aber gezwungen, den Grund verständlich zu Formulieren, „wichtig für die Prozessoptimierung“ wird da wohl durchfallen.

Dies ist also die Hausaufgabe bis zum April:

  1. Prozessliste um relevante Daten erweitern, und
  2. dazu schreiben warum diese Daten erhoben werden – am Besten mit einem Hinweis auf die Rechtsgrundlage.

Das nächste mal wird es dann darum gehen, wie auch die Dienstleister und Zuarbeiter in unserem vernetzten Business berücksichtigt werden. Schliesslich Ende April, also kurz vor knapp, gehts dann darum diese Botschaft („Auch wir halten uns an die Regeln und finden sie gut!“) auch raus zu unseren Kunden zu tragen, z.B. in Form der AGB.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!