Jump to content

Protokollierung der Einwilligungen


Recommended Posts

Hallo und guten Tag, liebe Gemeinde.

Ich nutze aktuell die 1.7.5.2 und sorge mich etwas über einen Beitrag meines Anwaltes bezüglich der Protokollierungen der Willenserklärungen nach DSGVO.

Er schrieb, das ich auf Verlangen nachweisen muss, dass der Betroffene bzw. Kunde in die Datenverarbeitung eingewilligt hat und dies mit Zeitstempel und IP-Adresse.
Da ich ein Kundenkonto anbiete, auch wenn dieses nur auf freiwilliger Basis angelegt wird, werden letztendlich nachweispflichtige Daten verarbeitet wie auch beim Kaufabschluss.
Besonders letzteres verlangt Aufmerksamkeit, da (zumindest ist es so bei mir) ,  (1)Einwilligungen der AGB , (2) der Information zum Widerrufsrecht und (3) in den Datenschutzbestimmungen eingeholt werden die erst den Kaufabschluss rechtsicher machen.

Eine Einwilligung ist wohl weniger von nöten, wenn ich ausschließlich Daten erhebe die den gleichen Umfang haben als würde ich vom Absender eine eigens verfasste und gesendete E-Mail erhalte, das trifft also beim Checkout nicht zu.

Ich wollte nunmehr also ein Testlauf durchführen, um eben genau diese Nachweispflicht durchspielen und scheitere an der richtigen Heransgehenweise.
Auch wenn es darum geht darzulegen wie rechtssicher eben genau diese Protokollierungen sind, da in der Prestashop Datenbank sicherlich nicht mit Revisionen gearbeitet wird wie in der Buchhaltung und man somit immer dem Vorwurf der Manipulation von Daten ausgesetzt ist.

Das alleinige festhalten dieser Einwilligungen in der E-Mail, zB. nach Kaufabschluss, soll wohl noch eine Grauzone sein.

Vielleicht kann da jemand etwas Licht ins dunkle bringen, da ich gerade sehr verunsichert bin und mich eindeutig mehr zu diesem Thema belesen muss.

Besten Dank vorab.

Edited by mcshirt (see edit history)
Link to comment
Share on other sites

Bisher war es meines Wissens so, daß man die IP-Adresse gar nicht speichern durfte (aus Datenschutzgründen ...), ob das jetzt zulässig oder sogar erforderlich ist ...

Ansonsten sollte die E-Mail, die ich nach der Bestellung vom Shopsystem erhalte, eigentlich beweissicher sein (wenn ein Kunde formlos per E-Mail bestellt, habe ich ja auch nicht mehr, bei einer telefonischen Bestellung noch weniger). Mir ist auch nicht klar, wie man nach Monaten beweisen soll, wie genau die Abwicklung im Shop aussah, als der Kunde seine Daten dort eingegeben hat, schließlich könnte man die Shopseite ja verändert haben, allenfalls der Kunde könnte durch einen Screenshot einen entsprechenden Nachweis führen.

Link to comment
Share on other sites

1 hour ago, rictools said:

Bisher war es meines Wissens so, daß man die IP-Adresse gar nicht speichern durfte (aus Datenschutzgründen ...), ob das jetzt zulässig oder sogar erforderlich ist ...

Ansonsten sollte die E-Mail, die ich nach der Bestellung vom Shopsystem erhalte, eigentlich beweissicher sein (wenn ein Kunde formlos per E-Mail bestellt, habe ich ja auch nicht mehr, bei einer telefonischen Bestellung noch weniger). Mir ist auch nicht klar, wie man nach Monaten beweisen soll, wie genau die Abwicklung im Shop aussah, als der Kunde seine Daten dort eingegeben hat, schließlich könnte man die Shopseite ja verändert haben, allenfalls der Kunde könnte durch einen Screenshot einen entsprechenden Nachweis führen.

Wahrscheinlich nehmen die Behörden deswegen den Shopbetreiber deutlich härter ran wenn es darum geht, Nachweise zu erbringen.
Man muss jetzt ja auch mit unter einen Passus in den AGB haben ob der Kunde für seinen Kauf die derzeitige Version der AGB  in sein Konto einsehen kann oder nicht .

Ich habe heute auf den Seiten von https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html#abschnitt_68 einige sehr interessante Themen gefunden.
Hier zB. sagen diese,

Frage: Müssen datenschutzrechtliche Einwilligungen protokolliert werden?

Ja. Der Verantwortliche muss nachweisen können, dass der jeweilige Betroffene in die Datenverarbeitung eingewilligt hat. Werden Einwilligungen – wie im Online-Handel üblich – elektronisch eingeholt, müssen diese mittels technischer Maßnahmen hinreichend protokolliert werden.

Frage: Muss die für die Protokollierung gespeicherte IP-Adresse maskiert werden?

Nein, davon ist sogar abzuraten. Zu Nachweiszwecken ist gerade die Protokollierung einer nicht anonymisierten IP-Adresse erforderlich, weil anderenfalls deren Zuweisung zum konkret Einwilligenden nicht gelingen kann.

 

Die Frage jetzt, wie und wo ?!

 

 

Frage: Wie kann eine elektronische Einwilligung in die Datenverarbeitung protokolliert werden?

Elektronische Einwilligungen werden standardmäßig durch das Setzen eines Häkchens neben einem entsprechenden Einwilligungstext eingeholt.

Die Protokollierung erfolgt durch Abspeicherung des Einwilligungstextes und der Aktion des Häkchensetzens (bzw. des Betätigens der Bestätigungs-Schaltfläche) mit Zeitstempel und IP-Adresse des verwendeten Endgeräts.

So lässt sich die erteilte Einwilligung einerseits einer konkreten Datenverarbeitung und andererseits einem individuellen Betroffenen zuordnen.

Ist der Betroffene bei Erteilung der Einwilligung in ein Kundenkonto eingeloggt, sollten zu Beweiszwecken auch der richtige Name sowie der Nutzernamen mit abgespeichert werden.

 

Und auch hier die Frage, wie und wo ?!

Edited by mcshirt (see edit history)
Link to comment
Share on other sites

  • 2 weeks later...
Am 31.5.2019 um 6:51 PM schrieb mcshirt:

Frage: Wie kann eine elektronische Einwilligung in die Datenverarbeitung protokolliert werden?

Elektronische Einwilligungen werden standardmäßig durch das Setzen eines Häkchens neben einem entsprechenden Einwilligungstext eingeholt.

Die Protokollierung erfolgt durch Abspeicherung des Einwilligungstextes und der Aktion des Häkchensetzens (bzw. des Betätigens der Bestätigungs-Schaltfläche) mit Zeitstempel und IP-Adresse des verwendeten Endgeräts.

So lässt sich die erteilte Einwilligung einerseits einer konkreten Datenverarbeitung und andererseits einem individuellen Betroffenen zuordnen.

Ist der Betroffene bei Erteilung der Einwilligung in ein Kundenkonto eingeloggt, sollten zu Beweiszwecken auch der richtige Name sowie der Nutzernamen mit abgespeichert werden.

 

Und auch hier die Frage, wie und wo ?!

Der beste Fall ist immer der, ganz ohne Einwilligung auszukommen. Für einen einmaligen Verkauf von Waren in einem Onlineshop, das wissen wir ja jetzt mit einiger Sicherheit, ist keine Einwilligung zur Datenverarbeitung erforderlich sofern nicht Daten abgefragt werden die über die normale Abwicklung eines Kundenauftrags hinaus gehen - also keine Checkbox, kein Häkchen, keine Protokollierung.

Im Gegenteil, eine solche Einwilligung zu fordern wenn sie denn garnicht notwendig ist, dürfte ein echter Verstoß gegen die DSGVO sein (Datenminimierung).

Steht so eine Checkbox im Zusammenhang mit einem Verkauf  - was man leider immer wieder sieht  - könnte dies ebenfalls ein Verstoß gegen die DSGVO sein (Freiwilligkeitsprinzip).

Die Frage ist allerdings was passiert, wenn ein Kunde ein zweites Mal (nicht als Gast) bestellt? In diesem Fall werden ja Kundendaten zusammengeführt, das könnte dann nach DSGVO einer Einwilligung bedürfen und diese Einwilligung müßte auch nachweisbar sein. Vernünftigerweise macht man diese Einwilligungscheckbox in das Kundenregistrierungsformular und weißt den Kunden darauf hin, daß Bestellungen auch ohne Kundenregistrierung (als Gastbestellung) möglich sind.

Geht man davon aus, daß timestamp und ip-Speicherung als Nachweis ausreichend sind, ist die Umsetzung ja rel. einfach, die Checkbox kommt an das Ende des Registrierungsformulars als Pflichtfeld (wie z.B. hier realisiert), Registrierungszeit wird eh schon sekundengenau mitprotokolliert (ps_customer)   man muß dann nur noch die customer-ip abspeichern analog zu der Funktion für die Newsletter-Anmeldung, das Feld ist in der Datenbank ja auch schon vorhanden.

Grüsse
Whiley

 

 

Link to comment
Share on other sites

Hallo, Whiley.

Ja das macht wirklich Sinn was Du geschrieben hast.


Ich habe zwischenzeitig im Kontaktformular auch nur noch die Information zur Datenverarbeitung,
bei der Kontoeröffnung (freiwillig) die Checkbox mit Datenschutz und AGB
sowie am Schluss des Checkout die Checkboxen für AGB, Datenschutz und Widerrufsrecht.

Ich denke das ist das, was auch gefordert wird.

 

Quote

Die Frage ist allerdings was passiert, wenn ein Kunde ein zweites Mal (nicht als Gast) bestellt? In diesem Fall werden ja Kundendaten zusammengeführt, das könnte dann nach DSGVO einer Einwilligung bedürfen und diese Einwilligung müßte auch nachweisbar sein.

Du meinst bestimmt beim Tracking als Gast, dort hast Du ja die Möglichkeit Dein Gastaccount als Kundenkonto umzuwandeln ?
Anderenfalls erkennt der Shop dich als Neukunde und Deine bisherigen Aktivitäten als Gast stehen außen vor.

 

Quote

Geht man davon aus, daß timestamp und ip-Speicherung als Nachweis ausreichend sind, ist die Umsetzung ja rel. einfach, die Checkbox kommt an das Ende des Registrierungsformulars als Pflichtfeld, Registrierungszeit wird eh schon sekundengenau mitprotokolliert (ps_customer)   man muß dann nur noch die customer-ip abspeichern analog zu der Funktion für die Newsletter-Anmeldung, das Feld ist in der Datenbank ja auch schon vorhanden.....

Einwilligungstext.... der muss mit. Denn wenn der sich mal ändert, hat der Kunde eine Einwilligung für das damalige Prozedere gegeben und nicht für alles andere was danach neu kommt. Man nimmt ihm praktisch das Recht zu entscheiden, ob das neue nun in seinem Sinne ist... teuer,teuer.
Alternativ müsste er dann unterrichtet werden, das sich die Informationen zum Datenschutz geändert haben und eine erneute Einwilligung bedarf, ähnlich bei den AGB. Bei Ablehnung müsste der Account zumindest gesperrt werden.

Das wäre dann insgesamt ein Grundfeature was in den Shop einfließen müsste. Nicht zuletzt muss das ganze auch über die  GDPR Schnittstelle jederzeit abrufbar sein.

 

Grüße

 

Edited by mcshirt (see edit history)
Link to comment
Share on other sites

Am 11.6.2019 um 1:12 PM schrieb mcshirt:

sowie am Schluss des Checkout die Checkboxen für AGB, Datenschutz und Widerrufsrecht.

Wozu?

Imo können alle drei weg, oder kennst du einen Rechts-Fall, bei dem eine solche Checkbox eine Rolle gespielt hat?

Am 11.6.2019 um 1:12 PM schrieb mcshirt:

Du meinst bestimmt beim Tracking als Gast, dort hast Du ja die Möglichkeit Dein Gastaccount als Kundenkonto umzuwandeln ?
Anderenfalls erkennt der Shop dich als Neukunde und Deine bisherigen Aktivitäten als Gast stehen außen vor.

Bestellt ein Kunde ein zweites mal, so führst du ja die Bestelldaten der ersten Bestellung mit denen der zweiten Bestellung im Kundenkonto zusammen, du könntest also ein "Käuferprofil" erstellen, dies ist imo nach DSGVO nicht ohne Einwilligung erlaubt.

Grüsse
Whiley

Link to comment
Share on other sites

4 hours ago, Whiley said:

Wozu?

Imo können alle drei weg, oder kennst du einen Rechts-Fall, bei dem eine solche Checkbox eine Rolle gespielt hat?

Ganz konkret, Nein. Aber,....

Es besteht bekanntlich kein Zwang AGBs zu besitzen, jedoch besteht die Pflicht zur Information.
Ich habe mich da etwas verleiten lassen von meinen Großhändlern wo man immer diese drei Boxen ankreuzen muss.

Ich habe heute nochmals gelesen, 
https://www.it-recht-kanzlei.de/2/Die_Loesung_mit_Haken_fuer_AGB_Datenschutzerklaerung_Widerrufsbelehrung_Co_ein_Muss/bestellvorgang-bestellprozess.html

das es tatsächlich keinen Zwang zum ankreuzen gibt. Es muss jedoch klar und transparent informiert werden... danke für den Wink, Whiley.

In einem anderem Beitrag war sogar von einer Abmahnung die Rede, eben weil explizit gekreuzt werden musste um den Kauf abzuschließen.
Auch der Kaufbutton muss eindeutig aussagefähig gestaltet und formuliert werden, das der Kunde unmissverständlich von seiner Zahlungspflicht unterrichtet wird.

Habe gerade auch etwas zu der Eröffnung des Kundenkontos erfahren.
In dem Beitrag, https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html#abschnitt_60, wird erwähnt das man nicht zwangsläufig eine Checkbox benötigt um über
die Datenschutzbelange zu informieren. Viel mehr geht es hier um die Einholung einer Einwilligung das ein Kundenkonto gewünscht und angelegt werden soll. Dabei muss natürlich informiert werden, ganz einfach in Opt-in. Da grundsätzlich Gastbestellung möglich sind besteht keine Notwendigkeit zum Kundenkonto. Kann man auch kurz erwähnen.

Also wieder alles umdrehen.

Bei dieser Gelegenheit, ... dann kann meine AGB Bestätigung bei Kundenkontoeröffnung doch auch raus, oder ?
 



 

  • Like 1
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
×
×
  • Create New...