Die europäische Datenschutz-Grundverordnung, nachfolgend DSGVO genannt, tritt am 25.05.2018 in Kraft. Diese betrifft alle Unternehmen und Institutionen, die in der EU tätig sind und mit personenbezogenen Daten wie z. B. Namen, Adressen etc. arbeiten. Die DSGVO sieht eine Vereinheitlichung der Verarbeitung von personenbezogenen Daten und die damit einhergehende bessere Transparenz, Verarbeitung und Schutz dieser Daten vor.

Dieser Artikel soll Ihnen als kurze Zusammenfassung für die Verarbeitung von personenbezogenen Daten innerhalb von OSGTrade dienen und Ihnen das Verständnis für die in der DSGVO geforderten Dokumentation und Erweiterung Ihrer Datenschutzerklärung erleichtern.

An dieser Stelle möchten wir darauf hinweisen, dass dieser Text nicht als Rechtsberatung dient und empfehlen Ihnen in jedem Fall für die Umsetzung der DSGVO in Ihrem Unternehmen entsprechend Rücksprache mit Ihrem Rechtsbeistand zu halten, um alle Anforderungen, welche je nach Unternehmen unterschiedliche Ausmaße nehmen können, zu erfüllen.

Die DSGVO definiert in Art. 4 Nr.1 DSGVO personenbezogene Daten (Hier nachzulesen), wie folgt:

„Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

OSGTrade speichert unterschiedliche Daten, welche sowohl einen direkten Bezug (personenbezogen) oder keinen direkten Bezug (anonymisiert) zum User haben. Bei den anonymisierten Daten handelt es sich um keine personalisierten Daten und fallen daher nicht unter die DSGVO, sodass hier keine besonderen Maßnahmen ergriffen werden müssen.

Es gilt zu beachten, dass vermeintlich anonymisierte Daten, bei denen eine direkte Zuordnung zu einer Person durch z. B. die Kunden- oder Bestellnummer getroffen werden kann, als personenbezogene Daten gelten und das auch wenn diese nicht direkt auf den ersten Blick erkennbar sind.

Personenbezogene Daten werden benötigt, wenn innerhalb von OSGTrade Angaben vom User (z. B. durch Registrierung im Shop) vorgenommen oder diese vom Shopbetreiber (z. B. für die Abwicklung von Bestellungen über das Backend) verarbeitet werden.

Im Falle des Einsatzes der OSGTrade API oder einer ERP-Anbindung können ebenfalls personenbezogene Daten erfasst werden. An dieser Stelle verzichten wir auf die komplette Auflistung weiterer Module und Shop-Apps, welche zusätzlich über den Appstore bezogen werden können.

Des Weiteren werden auch anonymisierte Daten (z. B. für die Darstellung der Statistiken innerhalb des Backends oder zum Crossselling) verarbeitet.

Um Bestellungen und weitere Aktionen (z. B. die Verwendung der Belegauskunft bei einem angebundenem ERP-System) durchführen zu können, muss ein Kundenkonto angelegt werden. Dieses enthält personenbezogene Daten (wie z.B. den Namen, das Geschlecht, die Adressdaten). Dieses trifft auch auf Gastbestellungen zu, für welche aus den gleichen Gründen die personenbezogenen Daten erhoben werden müssen.

Die Kernfunktion von OSGTrade ist natürlich die Bestellfunktion. Um eine Bestellung durchführen zu können, ist wie oben beschrieben, ein Kundenkonto (außer es handelt sich um Gastbestellungen) erforderlich. In der Bestellung werden nach erfolgreichem Bestellabschluss die Angaben zum Kunden mit entsprechender Rechnungs- und Lieferadresse, sowie die bestellten Artikel gespeichert. Dementsprechend sind diese Daten auch innerhalb der Bestellbestätigungsmail enthalten.

Sehen Sie hierzu auch folgende Einträge:

Bestellungen im Frontend

Einsicht Bestellungen im Backend

Innerhalb der Shopadministration (Backend), welche nur der Shopadministrator/ die Shopadministratoren im Zugriff haben, können entsprechend die Kundendatensätze und Bestellungen im Shop einsehen.

Sehen Sie hierzu auch den Eintrag:

Kundenübersicht

Die Formulare innerhalb von OSGTrade können vom Kunden entsprechend mit Daten gefüllt werden. Diese versenden eine E-Mail, mit dem Inhalt des Formulars und die im Formular festgelegte Adresse. Neben dem Standard-Kontaktformular haben Sie die Möglichkeit individuelle Formulare über den „Formulargenerator“ zu gestalten. Diesen können Sie im Backend im Bereich „Einstellungen“ → „Contentseiten verwalten“ → „Contentseite bearbeiten“ → „Formulargenerator“ aufrufen. Welche Daten über diese Formulare abgefragt werden, hängt vom konfigurierten Formular ab und kann je nach Angabe des Shopbetreibers stark variieren.

Sehen Sie hierzu auch folgenden Eintrag:

Formulargenerator

Es werden keine kundenbezogenen Bankdaten innerhalb von OSGTrade gespeichert. Ausnahme bildet hier die Angabe der Bankdaten, welche der Shopbetreiber für die Zahlungsart „Vorkasse“ mitgeben kann. Diese werden entsprechend nach Bestellung dem Kunden bereitgestellt, damit dieser entsprechend die Zahlung an den Shopbetreiber veranlassen kann. Des Weiteren besteht die Möglichkeit auf externe Lösungen bzw. Dienstleister wie z. B. PayPalPlus oder Heidelpay zurückzugreifen. In diesem Fall wird die Zahlung entsprechend an diese Dienste weitergeleitet und abgewickelt.

Sehen Sie hierzu auch folgenden Eintrag:

Zahlungsarten

OSGTrade bietet eine Newsletter-Shop-App (welche über den Appstore bezogen werden kann) mit einer entsprechenden Newsletter-Registrierungsfunktion. Welche Daten hier erhoben werden, ist abhängig von der Konfiguration, welche Sie innerhalb der App vornehmen können. Diese könnten z. B. der Vor- und Nachname, sowie weitere Informationen des Kunden sein.

Die Dokumentation zur Newsletterapp finden Sie hier:

Newsletter

Beim Einsatz der OSGTrade-API und bei der Anbindung von ERP-Systemen können personenbezogene Daten vom Kunden wie z. B. die Kundennummer, die Angabe des Namens, der Adressen etc. verarbeitet werden.

Im Falle einer ERP-Anbindung ist der Umfang der Verarbeitung personenbezogener Daten abhängig vom jeweiligen ERP-System.

Eine ausführliche Dokumentation zur Verwendung der API und für eine entsprechende Einsicht, welche Funktionen unterstützt werden, finden Sie innerhalb der API-App.

Bei der Einbindung externer Trackingdienste wie z. B. GoogleAnalytics eTracker etc. werden personenbezogene Daten getrackt. Der Umfang der Datenerhebung ist stark vom eingesetzten Trackinganbieter abhängig.

Grundsätzlich erfolgt im Shop bei eingebundenen Cookies (ab Release 7.2) eine entsprechender Warnhinweis für den Kunden, welcher den Shop besucht. Innerhalb dieser hat er die Möglichkeit das Tracking und das Setzen von Cookies abzulehnen, welches im Falle einer Ablehnung nicht mehr ausgeführt wird.

Dieser Warnhinweis kann nach Wunsch deaktiviert werden. Dazu folgen Sie einfach folgendem Klickpfad: „Einstellungen“ → „Shopeinstellungen“ → „Datenschutz“

Zusätzlich haben Sie im Backend die Möglichkeit die Texte dieses Popups frei anzupassen. Diese Option ist im Bereich Datenschutz über folgenden Klickpfad erreichbar: „Einstellungen“ → „Shoptexte verwalten“

Die gesicherte bzw. verschlüsselte Datenübertragung in OSG-Trade erfolgt via Einbindung eines SSL-Zertifikats (https-Protokoll) auf dem Shopserver. Hier haben Sie die Möglichkeit ein bereits vorhandenes SSL-Zertifikat zu verwenden oder die Beantragung eines solchen SSL-Zertifikats entsprechend durch die OSG Neue Medien mbH vornehmen zu lassen.

Nach Einbindung eines gültigen SSL-Zertifikats werden die personenbezogenen Daten entsprechend https-verschlüsselt übertragen.

OSGTrade speichert keine Cookies im Browser. Der Login und z. B. der befüllte Warenkorb / Warenkorbinhalte oder Merkzettel werden in Sessions gespeichert. Grundsätzlich ist es jedoch möglich, dass externe Cookies über den Shopcontent einzubinden. In diesem Fall ist darauf hinzuweisen, dass eine entsprechende Cookie-Hinweismeldung im Shop erfolgen muss. Diese liegt in Verantwortung des jeweiligen Shopbetreibers, welcher die Cookies in seinen Shop eingebunden hat.

Bitte beachten Sie auch den Hinweis zum externen Tracking, welches im oberen Text erwähnt wurde.

Wie bereits erwähnt werden in der Session vorgehalten, ob der jeweilige User eingeloggt ist oder einen befüllten Warenkorb vorhanden ist. Die Session dient als Identifikation zwischen Browser und Server. Die Session-Laufzeit ist auf zwei Stunden begrenzt. Das bedeutet, dass bei Nichtnutzung nach Ablauf dieses Zeitfensters die Session keine Gültigkeit mehr hat und der Kunde somit automatisch ausgeloggt wird.

Gemäß DSGVO ist der Kunde auf Websites über die Rechtsgrundlage zu informieren, sei es bei einem Vertragsabschluss oder ob eine anderweitige Verpflichtung zur Bereitstellung der Daten wie. z. B. beim Absetzen einer Bestellung im Shop besteht. Hierbei ist es wichtig, dass Sie in Ihrer Datenschutzerklärung den Kunden darüber informieren, wie Sie mit den personenbezogenen Daten umgehen. Diese Information muss bei Erhebung der personenbezogenen Daten gegeben sein. Die Datenschutzerklärung muss einfach und jeder Zeit mit nur einem Klick erreichbar sein. Die Nichteinhaltung dieser Informationspflicht kann gravierende Folgen wie hohe Bußgelder oder Schadensersatzansprüche mit sich bringen. Die Pflegemöglichkeit und Darstellung des Datenschutzhinweises inkl. einer entsprechenden Checkboxabfrage ist im Standard von OSGTrade enthalten. Der Aufruf der Datenschutzerklärung kann dabei beispielsweise eine Contentseite im Shop sein, welche in den relevanten Bereichen des Shops verlinkt werden können. Im Folgenden erklären wir Ihnen, wie Sie Ihre Datenschutzerklärung im Shop einstellen können.

Die Datenschutzerklärung befindet sich innerhalb der Contentseite mit dem Namen „Datenschutz“. Diese können Sie über folgenden Klickpfad erreichen: „Shopeinstellungen“ → „Content-Seiten verwalten“ → „Klick auf das +-Symbol bei der Contentseite Impressum“ → „Datenschutz“ → „Contentseite bearbeiten“. Innerhalb dieser Contentseite können Sie entsprechend über den WYSIWYG-Editor Ihre Datenschutzerklärung einstellen. Diese Contentseite können Sie anschließend zusätzlich in den relevanten Seiten, an denen personenbezogenen Daten erhoben werden verlinken. Der Linkaufbau sieht dabei wie folgt aus:

www.meine-domain.de/index.php?page=Datenschutz&SessID=session

Hinweis: Auf die Datenschutzerklärung wird im Standard von OSGTrade erstmalig bei der Registrierung mit einer entsprechenden Checkbox hingewiesen.

Zusätzlich haben Sie im Backend die Möglichkeit den Text der Checkbox frei anzupassen. Diese Option ist im Bereich Datenschutz über folgenden Klickpfad erreichbar: „Einstellungen“ → „Shoptexte verwalten“

Sehen Sie hierzu auch folgenden Eintrag:

Contentseitenverwaltung

Insofern ein Kunde die Löschung seiner Daten wünscht, können Sie die Löschung des Kundenkontos einfach über das Shopbackend vornehmen. Über folgenden Klickpfad kann das Kundenkonto gelöscht werden: „Kundendaten“ → „Benutzerverwaltung“ → „Löschen“

Gemäß DSGVO müssen Kundendaten auf Anfrage des jeweiligen Kunden strukturiert vom Shopbetreiber zur Verfügung gestellt werden. Für diesen Fall bietet OSGTrade eine Kundenimport-/ und Exportfunktion, Die Anleitung hierzu finden Sie in folgenden Einträgen:

Kundenimport

Kundenexport

Im Standard von OSGTrade werden keine Informationen an Dritte übertragen. Durch zusätzliche Erweiterungen wie z. B. PayPal werden Daten (Lieferadresse, Betrag etc.) aus dem Shop an PayPal übertragen. Darüber hinaus gibt es natürlich auch weitere Dienstleister, die die Daten aus OSGTrade weiterverarbeiten. Beispiele hierfür wären die Anbindung an ein ERP-System oder die Verwendung der Marktplatzerweiterung, bei der ein sog. Ordersplitting eingestellt werden kann und ein Mischwarenkorb (in dem sich Artikeldaten unterschiedlicher Lieferanten befinden) befüllt wird. Die Bestellung des Kunden, in der sich die personenbezogenen Daten befinden, wird dann auf die jeweiligen Lieferanten aufgeteilt, sodass jeder Lieferant die Bestellung für seine im Shop bereitgestellten Artikel erhält. Hierzu besteht der Sonderfall, dass pro Lieferant eine entsprechende Datenschutzerklärung hinterlegt werden kann.

Sehen Sie hierzu auch folgenden Eintrag:

Marktplatz