Wechseln zu: Navigation, Suche

Verarbeitung von personenbezogenen Daten nach DSGVO


Einführung

Auf dieser Seite haben wir alle wichtigen Informationen zum Thema Verarbeitung von personenbezogenen Daten für Nutzer von JTL-Shop gesammelt. Sie adressieren viele Fragen, die im Rahmen der Datenschutz-Grundverordnung (DSGVO) auftreten.

Bitte beachten Sie, dass diese Seite lediglich zu Ihrer Information und Unterstützung dient. Es handelt sich hierbei um keine rechtsverbindliche Beratung. Für juristisch verbindliche Aussagen zum Thema EU-DSGVO wenden Sie sich bitte an Ihren Rechtsbeistand.

Zur DSGVO-Infoseite von JTL-Wawi

Inhalte

Prozesse und Datenspeicherung in der Software

Die nachfolgende Auflistung erläutert, wo in JTL-Shop personenbezogene Daten verarbeitet und gespeichert werden. Die Informationen können von Betreibern von JTL-Shops genutzt werden, um Anfragen zum Auskunfts- oder Löschrecht zu beantworten.

Über welche Funktionen/Prozesse werden personenbezogene Daten in der Applikation verarbeitet und wo werden diese in der Datenbank abgelegt?

Funktion/Kategorie Datenbanktabelle sowie Felder Verarbeitungszweck in der Applikation Dauer der Speicherung /

Bearbeitungs- und Löschmöglichkeiten

Anmerkungen
personenbezogene Daten von Endkunden (Shopbesucher / Käufer im Onlineshop)
Kundenregistrierung

Mein Konto: Adressformular

JTL-Wawi: Kunde an Onlineshop senden

tkunde

    1. cKundenNr
    2. cAnrede
    3. cTitel
    4. cVorname
    5. cNachname
    6. cFirma
    7. cZusatz
    8. cStrasse
    9. cHausnummer
    10. cAdressZusatz
    11. cPLZ
    12. cOrt
    13. cBundesland
    14. cTel
    15. cMobil
    16. cFax
    17. cMail
    18. cUSTID
    19. cWWW
    20. dGeburtstag

tkundendatenhistory

    1. cJsonAlt
    2. cJsonNeu
    1. Adressdaten werden standardmäßig als Rechnungsadresse gesetzt
    2. E-Mail/Telefon: Kommunikation mit dem Kunden zum Bestellstatus
    3. Bei Kundenkonto-Registrierung Speicherung der Daten zwecks Wiederverwendbarkeit bei nächster Bestellung
    4. In der Datenbanktabelle tkundendatenhistory wird jede Änderung der Daten protokolliert. Das gesamte Kundendatenobjekt wird in JSON-Form im alten und im neuen Zustand in einem Datensatz persistiert.
    1. Bei Gastbestellungen bis zum Versand der Bestellung (danach erfolgt automatisch die Löschung).
    2. Bis zur Löschung in JTL-Wawi durch Onlineshop-Abgleich (setzt voraus, dass JTL-Wawi den Kundendatensatz aus dem Shop kennt)
    3. Bis zur manuellen Löschung des Kundenkontos durch den Kunden selbst (Mein Konto → Link Kundenkonto löschen)
    4. Kunde hat die Möglichkeit, die Daten unter Mein Konto selbst zu bearbeiten
    5. Händler hat die Möglichkeit, Daten in der Wawi zu berichtigen und über den Onlineshop-Abgleich zu korrigieren
    6. Die Tabelle tkundendatenhistory wird bei Shop zurücksetzen (Alle Kunden löschen) geleert
Abhängig von den Kundenformular-Einstellungen im Shop-Backend werden nur Daten abgefragt und gespeichert, welche mindestens als optional aktiviert wurden.

Über selbstdefinierte Kundenfelder können ggf. weitere personenbezogene Daten bei der Registrierung erhoben werden.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur erforderliche Daten zu erfragen.

Bestellabschluss (Rechnungs und Lieferadresse)

tkunde mit den o.g. Feldern

trechnungsadresse inkl. sämtlicher Felder

tlieferadresse inkl. sämtlicher Felder

tkundendatenhistory

    1. cJsonAlt
    2. cJsonNeu
    1. Rechnungs- und Lieferadresse sind zur Abwicklung der Bestellung notwendig
    2. An die in der Rechnungsadresse hinterlegte E-Mail werden E-Mails versendet, um über den aktuellen Status der Bestellung zu informieren
    3. Ggf. Rückfragen zur Bestellung / Lieferung per E-Mail oder Telefon (sofern eine Telefonnummer abgefragt wird)
    4. In der Datenbanktabelle tkundendatenhistory wird jede Änderung der Daten protokolliert. Das gesamte Kundendatenobjekt wird in JSON-Form im alten und im neuen Zustand in einem Datensatz persistiert.
    1. Bei Gastbestellungen bis zum Versand der Bestellung (danach erfolgt automatisch die Löschung).
    2. Bis zur Löschung in JTL-Wawi durch Webshopabgleich (setzt voraus, dass JTL-Wawi den Kundendatensatz aus dem Shop kennt)
    3. Bis zur manuellen Löschung des Kundenkontos durch den Kunden selbst (Mein Konto → Link "Kundenkonto löschen")
    4. Kunde hat die Möglichkeit, die Kundendaten unter Mein Konto selbst zu bearbeiten (gilt jedoch nicht für Rechnungs/Lieferadresse von getätigten Bestellungen)
    5. Händler hat die Möglichkeit, Daten in der Wawi zu berichtigen und über Onlineshop-Abgleich zu korrigieren (gilt auch für Adressdaten zu Bestellungen)
    6. Die Tabelle tkundendatenhistory wird bei Shop zurücksetzen ("Alle Kunden löschen") geleert

Zwecks Auftragsabwicklung werden die folgenden Daten immer als Pflichtfelder abgefragt: Nachname, Straße, Hausnummer, PLZ, Ort, E-Mail.

Abhängig von den Kundenformular-Einstellungen im Shop-Backend werden gegebenenfalls weitere Daten abgefragt und gespeichert, welche mindestens als optional aktiviert wurden.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur für diesen Verarbeitungszweck erforderliche Daten zu erfragen.

Kontaktformular

tkontakthistory

    1. Persistierung über das Kontaktformular abgesendeter Nachrichten inkl. Kontaktdaten der betr. Person
    2. Shop verhindert u.a. anhand der Tabelle Kontaktformular-Spamming, indem er den Zeitstempel sowie die IP-Adresse des Absenders gegenprüft
    3. Unabhängig von der Speicherung in der Datenbank wird die Kontaktanfrage per E-Mail an den Shop-Betreiber versendet. Der E-Mail-Versand erfolgt verschlüsselt über SMTP (setzt SMTP + TLS in den E-Mail-Einstellungen des Backends voraus)

Bis v4.06: Daten bleiben archiviert (manuelle Löschung in der Datenbanktabelle)

Die Angabe einer E-Mail-Adresse zwecks Antwort ist verpflichtend vorgesehen.

Abhängig von den Kontaktformular-Einstellungen werden gegebenfalls weitere personenbezogene Daten z.B. Vorname/Name abgefragt.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur für diesen Verarbeitungszweck erforderliche Daten zu erfragen.

Produktbewertung

tbewertung

    1. kKunde
    2. cName

Kunde reicht Produktrezension ein. Händler schaltet diese manuell über das Backend frei

    1. Bis zur manuellen Löschung durch Shop-Betreiber
    2. Löschung ALLER Artikelbewertungen über "Shop zurücksetzen"-Funktion im Shop-Backend ("Bewertungen" anhaken)
    3. Berichtigung und Anonymisierung des Namens im Shop-Backend möglich

Benachrichtigen, wenn verfügbar

tverfuegbarkeitsbenachrichtigung

    1. cVorname
    2. cNachname
    3. cMail
    4. cIP
    1. Benachrichtigt den Kunden automatisch, sobald das angefragte Produkt wieder auf Lager ist
    2. Die Verfügbarkeitsanfragen werden von JTL-Wawi abgeholt und sind dort einsehbar: Verfügbarkeitsanfragen.
    1. Löschung erfolgt automatisch 90 Tage ab Benachrichtigungsdatum
    2. Löschung ALLER Benachrichtungsanfragen durch "Shop zurücksetzen"-Funktion im Shop-Backend ("Verfügbarkeits-Benachrichtigungen" anhaken)

Frage zum Produkt

tproduktanfragehistory

    1. cAnrede
    2. cVorname
    3. cNachname
    4. cFirma
    5. cTel
    6. cMobil
    7. cFax
    8. cIP

Ermöglicht dem Kunden, zu einem Produkt eine Anfrage zu stellen. Die Anfrage wird dem Shop-Betreiber per E-Mail zugestellt. Die Anfragedetails werden zusätzlich in der Tabelle tproduktanfragehistory gespeichert und u.a. zu anonymen Statistikauswertungen und zur Spam-Abwehr genutzt.

Manuelle Löschung über die Shop-Datenbank.

News-Beitrag kommentieren

tnewskommentar

    1. cName
    2. cEmail

Optionale Funktion, sofern das shopinterne Newssystem in Verbindung mit der Kommentarfunktion genutzt wird (einstellbar im Shop-Backend).

Eine E-Mail-Adresse wird zur Kommunikation mit dem Kommentator sowie zur Freischaltung des Kommentars benötigt.

Bis zur manuellen Löschung des Kommentars über Shop-Backend durch den Händler.

Newsletter-Anmeldung

tnewsletterempfaenger

    1. cAnrede (optional)
    2. cVorname (optional)
    3. cNachname (optional)
    4. cEmail

tnewsletterempfaengerhistory inkl. sämtlicher Felder

Newsletterversand an Abonnenten, welche per Double-Opt-In in den Empfang der Newsletter eingewilligt haben.

Die Tabelle tnewsletterempfaengerhistory dient der gesetzlich geforderten Nachweispflicht, siehe: https://dsgvo-gesetz.de/art-7-dsgvo/

Abmeldung durch den Newsletterempfänger jederzeit über Link im Newsletter möglich

Freundschaftswerbung tkundenwerbenkunden inkl. sämtlicher Felder Zum Zwecke der optionalen Funktion "Kunden werben Kunden" (Freunschaftswerbung).

Die Funktion ist standardmäßig deaktiviert, da "Tell-A-Friend-Funktionen" allgemein rechtlich als problematisch einzustufen sind.

Erklärung bei RA Plutte

Zahlung über interne Zahlarten "Lastschrift" oder "Kreditkarte" (Bei Abwicklung direkt durch den Händler - SELTEN!)

tkundenkontodaten inkl. sämtlicher Felder

tzahlungsinfo inkl. sämtlicher Felder

    1. SEPA-Lastschrift: Speicherung von IBAN und BIC - wird beim Abgleich von JTL-Wawi abgeholt.
    2. Kreditkarte: Speicherung der Kreditkarteninformationen. Wird von JTL-Wawi abgeholt.
Daten bleiben archiviert und können bei Zurücksetzen der Wawi-Abholung erneut abgeholt werden.

Die Abwicklung von SEPA-Lastschriftmandaten sowie von Kreditkartenzahlungen wird in der Regel durch Drittdienstleister realisiert.

Bei Nutzung eines Drittanbieters zur Abwicklung von SEPA-Lastschriftmandaten oder Kreditkartenzahlungen werden KEINE Daten im Shop zwischengespeichert - die Abwicklung und Authorisierung erfolgt direkt zwischen Endkunde und Drittanbieter.

Speicherung von IP-Adressen

tbestellung.cIP
tbesucher.cIP
tbesucherarchiv.cIP
tfsession.cIP
tkontakthistory.cIP
tproduktanfragehistory.cIP
tredirectreferer.cIP
tsitemaptracker.cIP
tsuchanfragencache.cIP
ttagkunde.cIP
tumfragedurchfuehrung.cIP
tverfuegbarkeitsbenachrichtigung.cIP
tvergleichsliste.cIP

IP-Adressen werden standardmäßig nur in anonymisierter Form gespeichert. Beispielsweise wird die IPv4-Adresse 192.168.178.100 als 192.168.*.* gespeichert.

Die Anonymisierung von IP-Adressen kann global sowie für den Bestellabschluss konkret aufgehoben werden (so dass vollständige IPs gespeichert werden).

Die zugehörigen Einstellungen im Shop-Backend sind über die Suche nach Einstellung Nr. 1133 und 335 zu finden.

Logging-Funktionen und History-Tabellen

    1. temailhistory
    2. tjtllog
    3. tkontakthistory
    4. tkundendatenhistory
    5. tnewsletterempfaengerhistory
    6. tzahlungslog

In Log-Tabellen werden Änderungen und Aktionen aufgezeichnet. Im Falle von Fehlfunktionen z. B. bei einer fehlerhaften Transaktion über einen Zahlungsdienstleister kann der Händler so nachvollziehen, wie es zu dem Problem gekommen ist.

In der Tabelle tjtllog werden Systemlogs aufgezeichnet. Je nach Logging-Einstellungen im Backend werden dort nur Fehler oder optional auch Warnings und Notices geloggt. In den Logs können vereinzelt personenbezogene Daten z. B. E-Mail-Adressen vorkommen.

Über die E-Mail-Historie kann der Händler nachträglich beweisen, welche Informationen dem Kunden per E-Mail zugesendet wurden (bzw. auch beweisen, welcher Inhalt NICHT enthalten war).

Die Kundendatenhistorie ermöglicht dem Händler, Probleme z. B. bei nachträglicher Änderung der UST-ID und damit verbundenenen steuerlichen Auswirkungen nachvollziehen und aufschlüsseln zu können.

    1. tjtllog kann manuell im Shop-Backend geleert werden (Systemlog)
    2. tzahlungslog kann manuell im Shop-Backend geleert werden (Zahlungsarten Übersicht)
    3. temailhistory, tkontakthistory und tkundendatenhistory bleiben archiviert und können über die Datenbank geleert werden (Stand: v4.06.4)
Interne personenbezogene Daten zwecks Wartung und Administration

Benutzer im Admin-Backend

tadminlogin

    1. cLogin
    2. cName
    3. cMail

tadminloginattribut

    1. cAttribValue

Im Admin-Backend des Shops lassen sich verschiedene Benutzer anlegen, die Zugriff auf Teile oder auf den gesamten Admin-Bereich haben. Über die Gruppenzuordnung werden den Benutzern Rechte für den Zugriff auf bestimmte Bereiche im Backend zugewiesen. Über die hinterlegte E-Mail-Adresse kann ein Benutzer einen Passwort-Reset anfordern. Für Benutzer mit administrativen Rechten wird die 2-Faktor-Authentifizierung empfohlen, welche zusätzlichen Schutz bietet.

In der Tabelle tadminloginattribut wird ggf. der lokale Pfad zum Benutzer-Avatarbild (Gravatar) aufgeführt.

    1. Bis zur manuellen Löschung
    2. Der Zugang einzelner Benutzer lässt sich in der Benutzerverwaltung zeitlich begrenzen

Datensicherheit

Transportverschlüsselung: Wie wird sichergestellt, dass der Transport personenbezogener Daten verschlüsselt erfolgt?

In der Datenbank des JTL-Shop werden (zweckgebunden zur Auftragsabwicklung) personenbezogene Daten gespeichert. Diese Daten werden mit JTL-Wawi synchronisiert und teilweise auch in E-Mails wie Bestellbestätigungen genutzt. Je nach Plugins/Erweiterungen findet eventuell sogar ein Datenaustausch von personenbezogenen Daten mit einem Dritt-Dienstleister statt (z.B. zur Bonitätsprüfung). Nachfolgend ein paar Tipps zur Sicherstellung der Datensicherheit:

    1. Stellen Sie sicher, dass Ihr Shop über ein gültiges SSL-Zertifikat verfügt und unsichere HTTP-Anfragen auf das sichere Protokoll HTTPS umgeleitet werden ("SSL Only").
    2. Stellen Sie sicher, dass sämtliche Kommunikation vom und zum Shop über das sichere HTTPS-Protokoll erfolgt. Das gilt insbesondere für die Onlineshop-URL in den Einstellungen zur Onlineshop-Anbindung in JTL-Wawi.
    3. Stellen Sie sicher, dass Sie in sämtlichen E-Mail-Einstellungen TLS zur verschlüsselten Übertragung nutzen (E-Mail-Einstellungen in JTL-Wawi (Admin > Global), SMTP-E-Mail-Einstellungen im Shop-Backend, lokale E-Mail-Programme)
    4. Schränken Sie Backend-Zugänge sowie den Zugriff auf Wartungstools wie z. B. PHPMyAdmin so weit wie möglich ein (Admin-Personenkreis einschränken und ggf. technische Maßnahmen wie IP-Restriktionen oder .htaccess-Schutz ergreifen)

Applikations-Sicherheit: Welche Schutzmaßnahmen umfasst die Applikation gegen unbefugten Zugriff?

Es ist besonders wichtig, das Admin-Backend des Shops gegen unbefugten Zugriff zu schützen. JTL-Shop bietet für dieses Zwecke nativ eine 2Faktor-Authentifizierung an, welche den unbefugten Login selbst bei Daten-Diebstahl der Login-Daten wie Benutzername und Passwort verhindert. Informationen: 2-Faktor-Authentifizierung.

Die Benutzerverwaltung des Admin-Backends erlaubt eine gruppenbasierte Rechteverwaltung sowie zeitlich beschränkte Zugriffe z.B. für Supportzwecke. Nutzen Sie diese Möglichkeit, um unbefugte oder unbeabsichtigte Zugriffe auf personenbezogene Daten zu vermeiden.

Es ist weiterhin unbedingt notwendig, den Shop sowie das Server-Betriebssystem und sämtliche weiteren Softwarekomponenten auf dem aktuellen Stand der Technik zu halten und Sicherheitspatches / Updates zeitnah einzuspielen. Über kritische Sicherheitslücken in veralteten Versionen von JTL-Shop oder Betriebssystemen können im schlimmsten Fall sämtliche Daten aus dem Shop abgegriffen werden.

Privacy by Design und Privacy by Default: Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz?

Die Formulareinstellungen in JTL-Shop sind nach dem Prinzip der Datenminimierung nur auf das notwendige Minimum voreingestellt.

Sämtliche Kommunikation zu Drittanbieter-Schnittstellen z.B. PayPal oder Nutzung des USt-ID-Checks erfolgt über SSL-gesicherte Verbindungen.

Rechte der Betroffenen

Recht auf Vergessenwerden - werden sämtliche personenbezogenen Daten fristgerecht nach gelöscht?

Die meisten personenbezogenen Daten werden in JTL-Shop automatisch weggeräumt, sobald der Zweck der Speicherung in JTL-Shop nicht mehr erforderlich ist. So werden z.B. personenbezogene Daten bei Gastbestellungen nach Versand der Bestellung oder bei Stornierung durch JTL-Wawi in JTL-Shop gelöscht.

Es gibt jedoch Umstände, bei denen Spuren wie z.B. IP-Adressen oder Log-Einträge mit der E-Mail-Adresse des Kunden bestehen bleiben. Diese Spuren müssen ebenfalls gelöscht werden.

Wir haben ein Plugin entwickelt, mit dem personenbezogene Daten fristgerecht nach Wegfall der Zweckmäßigkeit aus der Shop-Datenbank gelöscht werden. Die Löschfristen können dabei bequem in den Plugin-Einstellungen konfiguriert werden. Die Löschroutinen werden im Anschluß regelmäßig im Hintergrund ausgeführt - immer dann, wenn Sie den Shop mit JTL-Wawi abgleichen. Die Kompatibilität des Plugins ist sowohl für JTL-Shop 3.20 als auch JTL-Shop 4.00-4.06 gegeben. In künftigen Shopversionen wird kein Plugin mehr notwendig sein, da die Löschoperationen bereits standardmäßig inkludiert sind.

Zum Plugin: https://gitlab.jtl-software.de/jtlshop/RightToBeForgotten/

Download Plugin-Version 1.0.1 (24.05.2018): https://build.jtl-shop.de/get/jtl_gdpr_right_to_be_forgotten_v1-0-1.zip

Recht auf Löschung: Wie lösche ich auf Anfrage alle personenbezogenen Daten des Betroffenen?

Im JTL-Shop kann ein registrierter Kunde seine personenbezogenen Daten (Umfasst die Kundendaten sowie Rechnungs- und Lieferadressen) selbstständig nach der Anmeldung in "Mein Konto" über den Link "Kundenkonto löschen" löschen. Hinweis: Die Löschung des Shop-Kundenkontos hat keine Auswirkung auf die in JTL-Wawi gespeicherten personenbezogenen Daten der betroffenen Person.

Möglichkeiten des Händlers, personenbezogene Daten zu löschen: Neben der Löschung über JTL-Wawi und anschließenden Onlineshop-Abgleich ist eine Löschung direkt in der Datenbank des Shops möglich (siehe dazu oben aufgeführte Tabellen mit personenbezogenen Daten).

Die Löschung in JTL-Wawi und ggf. Drittanbieter-Software muss in der Regel getrennt erfolgen.

Auskunftsrecht und Datenübertragbarkeit: Wie exportiere ich personenbezogenen Daten in einem strukturierten Format?

Einen Export der personenbezogenen Daten können Sie in wenigen Schritten mit JTL-Ameise durchführen: Tutorial: Kundendaten mit JTL-Ameise exportieren.

Ob der Kunde gleichzeitig Newsletterempfänger ist und personenbezogene Daten dazu vorliegen, können Sie im JTL-Shop-Backend (admin/newsletter.php → Alle Abonnenten → Abonnentensuche) oder in der Shop-Datenbanktabelle tnewsletterempfaenger prüfen. Die personenbezogenen Daten sind im Falle von Newsletterempfängern: Anrede, Vorname, Nachname, E-Mail-Adresse. Ein Export mit strukturierten Daten ist z.B. über phpMyAdmin mit der integrierten Export-Funktion möglich.

Cookies im JTL-Shop

Session-Cookies

Der JTL-Shop setzt standardmäßig den technisch notwendigen Session-Cookie mit dem Namen JTLSHOP. Wird dieser Cookie im Browser eines Besuchers blockiert, kann der Besucher u.a. keine Artikel in den Warenkorb legen. Der Cookie enthält die Session-ID des Besuchers, über welche die jew. Verknüpfung mit dem Besucher / Kunden hergestellt wird. Die Lebensdauer dieses Session-Cookies ist standardmäßig so eingestellt, dass das Cookie gelöscht wird, sobald der Browser geschlossen wird. Die Lebensdauer kann optional über eine Admin-Backend-Einstellung "Cookie-Lifetime" (Einstellungsnr. 1568) geändert werden.

Ist in den Templateeinstellung die Option Aufgabenplaner-Blindgrafik aktivieren? aktiviert, dann wird ein weiterer Cookie JTLCRON gesetzt. Dieser Cookie ist technisch für den Besuch des Shops nicht notwendig. Der JTLCRON-Cookie enthält eine Session-ID, mit welcher Hintergrundaufgaben wie z.B. Daten-Exports abgearbeitet werden. Es werden keine personenbezogenen Daten des Besuchers zu der JTLCRON-Session verarbeitet. Der Cookie dient v.a. der Trennung von der eigentlichen Benutzersitzung. Wir empfehlen, Cronjobs serverseitig oder durch einen Serverdienst abarbeiten zu lassen (Templateeinstellung Aufgabenplaner-Blindgrafik aktivieren? deaktivieren). Eine Blockierung des Cookies im Browser des Besuchers hat keine weitere Auswirkung auf die Shop-Funktionalität für den Besucher. Die Lebensdauer dieses Cookies orientiert sich an der Lebensdauer des JTLSHOP-Cookies (Standardmäßig nur bis zum Schließen der Browser-Sitzung).

Hinweis: Plugins, Template-Anpassungen oder eigene Code-Snippets, die durch den Shop-Betreiber installiert oder hinzugefügt wurden, können zusätzliche Cookies setzen.

Google Analytics

Im Funktionsumfang des JTL-Shop ist eine Integration von Google-Analytics vorgesehen, welche durch das manuelle Eintragen der eigenen Google-Analytics-ID im Shop-Backend aktiviert wird.

Google Analytics setzt mehrere Cookies, um das Besucherverhalten zu tracken.

Eine datenschutzkonforme Nutzung des Tracking-Dienstes Google-Analytics ist in Deutschland unter den folgenden Voraussetzungen möglich:

https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/

Hinweise dazu:

Die Funktion anonymizeIP zur Anonymisierung von IP-Adressen ist standardmäßig im Analytics-Snippet des JTL-Shops aktiviert (keine weiteren Maßnahmen erforderlich).

Der Link zur Erfüllung des Widerspruchsrechtes sollte in die Datenschutzerklärung eingefügt werden. Da der Opt-Out-JavaScript-Teil bereits im JTL-Shop hinterlegt ist, genügt es, folgenden Code in der Datenschutzerklärung (im Shop-Backend zu editieren) einzufügen:

<a href="javascript:gaOptout()">Erfassung von Daten von Google Analytics für diese Website deaktivieren</a>


Update:

Bis zum 26.04.2018 wurde die mehrheitliche Meinung vertreten, dass Tracking-Tools unter der Bedingung der Pseudonymisierung, einer Aufklärung in der Datenschutzerklärung sowie einer dort zu implementierenden Opt-Out-Möglichkeit keiner gesonderten Einwilligung bedürfen (so wie es auch nach dem TMG bisher erlaubt war). Nach der Veröffentlichung des Positionspapiers des DSK vom 26.04.2018 sieht diese Einschätzung nun jedoch anders aus.

Im Positionspapier wird die Auffassung vertreten, dass eine informierte Einwilligung i. S. d. DSGVO einzuholen sei, noch bevor Tracking-Mechanismen (wie z.B. Google-Analytics) Daten verarbeiten dürfen. Eine entspr. Opt-In-Lösung ist zum aktuellen Zeitpunkt NICHT Bestandteil der JTL-Shop-Sofware. Bei Fragen zur Rechtssicherheit zum Einsatz von Google Analytics wenden Sie sich bitte an Ihren Rechtsbeistand.

Google reCAPTCHA

JTL-Shop bietet im Standardfunktionsumfang die Option, Google reCAPTCHA für verschiedene Formularzwecke zu aktivieren.

Google reCAPTCHA hilft, Menschen von Bots unterscheiden zu können. Dabei werden im Browser des Besuchers Cookies gesetzt und u. a. die Besucher-IP-Adresse sowie der User-Agent erfasst.
Für diese Daten gelten die abweichenden Datenschutzbestimmungen des Unternehmens Google: https://www.google.com/intl/de/policies/privacy/

Hinweise zur Nutzung von Cookies

Leider können wir keine Standard-Lösung zur Zustimmung in die Nutzung von Cookies in der Shopsoftware anbieten, da Wortlaut und Zustimmungsform davon abhängen, wie genau Sie Cookies und Daten in Ihrem Shop verwenden und welche Drittanbieterlösungen Sie außerdem einsetzen. Die verschiedenen Einbettungsmöglichkeiten lassen eine automatische Erkennung von Drittanbieter-Cookies durch die Shopsoftware leider technisch nicht zu.

Zusätzliche (Drittanbieter-)Cookies werden je nach Einsatz von Erweiterungen, Template-Anpassungen oder Drittanbieter-Snippets gesetzt.
Die Nutzung solcher Erweiterungen oder Snippets sowie die damit verbundene Einholung der Zustimmung in die Verwendung dieser Cookies liegt in der Verantwortung des Shop-Betreibers.

Tipps zur Einholung der Zustimmung zur Verwendung von Cookies finden Sie unter folgendem Link: https://www.cookiechoices.org/.


Cookie-Banner
Es herrscht Uneinigkeit darüber, inwiefern eine Information über die Nutzung von Cookies z.B. als Cookie-Banner (EU-Cookie-Richtlinie) bei Seitenbesuch rechtssicher und ausreichend im Sinne der DSGVO ist (Stichwort "Informierte Einwilligung"). Dabei spielen weniger die für den Kaufvertrag technisch notwendigen First-Party-Session-Cookies als vielmehr Drittanbieter- und Tracking-Cookies eine Rolle, wie sie z.B. beim Einsatz von Google-Analytics oder Matomo gesetzt werden. Die Notwendigkeit einer Cookie-Bannerlösung im Sinne der EU-Cookie-Richtlinie besteht nach deutschem Recht nicht. Allerdings wird das Thema oft kontrovers diskutiert und auch Google schreibt für die Nutzung bestimmter Produkte wie z.B. AdSense das Vorhandensein einer Cookie-Einwilligungslösung vor.
Es ist zu erwarten, dass sich durch die geplante E-Privacy-Verordnung zu diesem Thema konkretere Anforderungen ergeben. https://shop.trustedshops.com/de/rechtstipps/2015/09/15/tipp-der-woche-cookie-banner-unnoetig-oder-verpflichtend

Cookie-Banner lassen sich im JTL-Shop über verschiedene, teils kostenlose Plugins einfach realisieren: https://www.jtl-software.de/Marktplatz?search=cookie

Wie erfahre ich, welche Cookies sonst noch in meinem Shop gesetzt werden?

Die verwendeten Cookies lassen sich in modernen Desktop-Browsern übersichtlich anzeigen.
Wichtig: Je nach Einbettungsart werden manche Cookies ggf. erst auf Unterseiten gesetzt, in denen Drittanbieter-Snippets implementiert sind. Es ist also unter Umständen erforderlich, verschiedene Seiten der Website auf die Nutzung von Cookies zu prüfen.

Chrome: https://www.tecchannel.de/a/google-chrome-inhalt-von-cookies-auslesen,2040045

Firefox: https://www.tippscout.de/firefox-ueberpruefen-ob-eine-seite-cookies-speichert_tipp_4153.html

Weitere FAQ zur DGSVO

Wird es einen Shop-Patch zur Erfüllung der DSGVO geben?

Die DSGVO-Konformität des Onlineshops hängt wesentlich von der individuellen Konfiguration, der Datenschutzerklärung und den genutzten Plugins/Erweiterungen im Shop ab. Die in diesem Artikel gelisteten Informationen dienen als Hilfe für unsere Kunden und Partner, um Datensicherheit und Datenminimierung im JTL-Shop sicherzustellen.

Nach aktuellem Wissensstand sind für die gesetzliche Erfüllung der DSGVO keine gravierenden Anpassungen der Shop-Software notwendig.

Wir setzen voraus, dass Sie einen aktuellen JTL-Shop in Version 4.05 oder 4.06 mit den letzten Sicherheitspatches installiert haben.

Bitte beachten Sie, dass der JTL-Shop 3 am 01. Juni 2018 sein End Of Life erreicht und nicht länger durch JTL supported wird. Wir empfehlen dringend das Update auf Version 4.

Wie ist das Kontaktformular im JTL-Shop nach DSGVO rechtssicher zu gestalten?

Die Nachfolgende Auflistung orientiert sich am Beispiel des Kontaktformulars, ist jedoch gleichermaßen auf jedes Formular anzuwenden, in welchem personenbezogene Daten abgefragt werden.

    1. Aufklärung in der Datenschutzerklärung: Sie müssen in transparenter und allgemein verständlicher Form über Art, Umfang und Zwecke der Erhebung und Verarbeitung von personenbezogener Daten informieren.
    2. Grundsatz der Datensparsamkeit prüfen: Werden nur die zur Beantwortung notwendigen personenbezogenen Daten abgefragt?
    Einstellungen finden Sie unter: Shop-Backend → Formulare → Kontaktformular
    1. TLS Only prüfen: Stellen Sie sicher, dass Anfragen über das Formular ausschließlich über HTTPS versendet und beantwortet werden.
    Dies ist bereits der Fall, wenn Ihr Shop über ein SSL-Zertifikat verfügt und eine automatische Weiterleitung von http auf https z.B. über die .htaccess eingerichtet ist.
    1. Berechtigtes Interesse vs. Einwilligung:
    Als Shop-Betreiber haben Sie in der Regel ein berechtigtes Interesse an der Beantwortung der Anfrage, welche Ihnen ein Besucher/Kunde über Ihr Kontaktformular sendet.
    Sie haben wahrscheinlich auch ein wirtschaftliches Interesse, Ihren Kunden und Besuchern bestmöglichen Service zu bieten und eine schnelle und unkomplizierte Kontaktaufnahme zu ermöglichen.
    Die Kontaktaufnahme über das Kontaktformular stellt außerdem nicht selten die erste Stufe vor einem Vertragsverhältnis dar.
    Liegt ein solches berechtigtes Interesse vor, dann ist nach aktueller Einschätzung der DSGVO keine weitere Einwilligung erforderlich.

    Weitere Informationen zu diesem Thema: https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html?print=1#abschnitt_31

    Sie möchten ganz auf Nummer sicher gehen und eine Einwilligung einholen?
    Dies ist z. B. mit der Checkboxenverwaltung im JTL-Shop möglich. Legen Sie im Shop-Backend unter Storefront → Formulare → Checkboxenverwaltung eine neue Pflicht-Checkbox für das Kontaktformular an.

    Beispiel-Screenshot aus dem Shop-Backend:

Jtl-shop-dsgvo-checkbox.png


Resultat im Frontend / Kontaktformular des Shops:

Jtl-shop-dsgvo-checkbox-frontend.png

Unterstützt JTL bei Fragen zur Umsetzung der DSGVO?

Zwar können wir keinen rechtlichen Beistand leisten, jedoch versuchen wir so weit wie möglich mit Informationen zur Datenverarbeitung in unseren Softwareanwendungen zu unterstützen.

Eine EU-DSGVO-konforme Muster-Datenschutzerklärung finden Sie hier: https://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien

Bei juristischen Fragen wenden Sie sich bitte an Ihren Rechtsbeistand.