1 hour ago, rictools said:Bisher war es meines Wissens so, daß man die IP-Adresse gar nicht speichern durfte (aus Datenschutzgründen ...), ob das jetzt zulässig oder sogar erforderlich ist ...
Ansonsten sollte die E-Mail, die ich nach der Bestellung vom Shopsystem erhalte, eigentlich beweissicher sein (wenn ein Kunde formlos per E-Mail bestellt, habe ich ja auch nicht mehr, bei einer telefonischen Bestellung noch weniger). Mir ist auch nicht klar, wie man nach Monaten beweisen soll, wie genau die Abwicklung im Shop aussah, als der Kunde seine Daten dort eingegeben hat, schließlich könnte man die Shopseite ja verändert haben, allenfalls der Kunde könnte durch einen Screenshot einen entsprechenden Nachweis führen.
Wahrscheinlich nehmen die Behörden deswegen den Shopbetreiber deutlich härter ran wenn es darum geht, Nachweise zu erbringen.
Man muss jetzt ja auch mit unter einen Passus in den AGB haben ob der Kunde für seinen Kauf die derzeitige Version der AGB in sein Konto einsehen kann oder nicht .
Ich habe heute auf den Seiten von https://www.it-recht-kanzlei.de/faq-datenschutz-grundverordnung.html#abschnitt_68 einige sehr interessante Themen gefunden.
Hier zB. sagen diese,
Frage: Müssen datenschutzrechtliche Einwilligungen protokolliert werden?
Ja. Der Verantwortliche muss nachweisen können, dass der jeweilige Betroffene in die Datenverarbeitung eingewilligt hat. Werden Einwilligungen – wie im Online-Handel üblich – elektronisch eingeholt, müssen diese mittels technischer Maßnahmen hinreichend protokolliert werden.
Frage: Muss die für die Protokollierung gespeicherte IP-Adresse maskiert werden?
Nein, davon ist sogar abzuraten. Zu Nachweiszwecken ist gerade die Protokollierung einer nicht anonymisierten IP-Adresse erforderlich, weil anderenfalls deren Zuweisung zum konkret Einwilligenden nicht gelingen kann.
Die Frage jetzt, wie und wo ?!
Frage: Wie kann eine elektronische Einwilligung in die Datenverarbeitung protokolliert werden?
Elektronische Einwilligungen werden standardmäßig durch das Setzen eines Häkchens neben einem entsprechenden Einwilligungstext eingeholt.
Die Protokollierung erfolgt durch Abspeicherung des Einwilligungstextes und der Aktion des Häkchensetzens (bzw. des Betätigens der Bestätigungs-Schaltfläche) mit Zeitstempel und IP-Adresse des verwendeten Endgeräts.
So lässt sich die erteilte Einwilligung einerseits einer konkreten Datenverarbeitung und andererseits einem individuellen Betroffenen zuordnen.
Ist der Betroffene bei Erteilung der Einwilligung in ein Kundenkonto eingeloggt, sollten zu Beweiszwecken auch der richtige Name sowie der Nutzernamen mit abgespeichert werden.
Und auch hier die Frage, wie und wo ?!