DSGVO - Problem mit Speicherung der Kundendaten?

[Firebird]

Hallo modified Community,

in der kommenden DSGVO wird die komplette personenbezogene Kundeninfo verschlüsselt verlangt.

Gewährleistung, dass mit Hilfe der Pseudonymisierung und Verschlüsselung personenbezogener Daten ein angemessenes Schutzniveau hinsichtlich personenbezogener Daten sichergestellt ist,

Frage ist hier : ich habe einen 1.06 Shop und meines wissens wird nur das PW verschlüsselt (md5 ? )
ist es in Zukunft nötig eine Vollverschlüsselung der Kundendaten zu haben?

Gruß

Firebird

Linkback: https://www.modified-shop.org/forum/index.php?topic=38546.0

[Teratek]

Informationen zu dem Thema generell und was man umsetzten muss ist alles iwie noch so schwammig momentan. Wird sich sicherlich in den nächsten Wochen, Monaten konkretisieren.

Hier hab ich mal ein paar übersichtlich Infos

https://erp-shopsoftware.de/ds-gvo-diese-aenderungen-kommen-auf-onlinehaendler-shopbetreiber-ab-mai-2018-zu/

[fishnet]

ist es in Zukunft nötig eine Vollverschlüsselung der Kundendaten zu haben?

Was ein angemessenes Schutzniveau ist, wird über die nächsten Jahrzehnte immer wieder die Gerichte beschäftigen.

Ein viel interessanteres Thema wäre, wie viele der hier anwesenden Händler bereits ein Verfahrensverzeichnis angelegt haben. Ich tippe: 1-2. Der Rest fragt sich vermutlich: Verfahrens... was?

Das Verfahrensverzeichnis: müssen Online-Händler nach künftiger Datenschutz-Grundverordnung vorweisen können

Welche Vorgaben der Datenschutz-Grundverordnung sind zusätzlich zur Datenschutzerklärung zu erfüllen?

[Viol]

Hier finden sich Muster für das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO :
https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis

[Modulfux]

Was ich mich nur frage, wie es dann für uns Dienstleister aussieht, wenn der Shopbetreiber dazu verpflichtet ist, keinen Zugang gegenüber Dritten zu gewährleisten.

[fishnet]

Wie kommst du darauf, das der Shopbetreiber verpflichtet ist, allgemein keinen Zugang gegenüber Dritten zu gewährleisten?
Selbstverständlich darf er das.  Der Dritte muss nur entsprechend verpflichtet werden und vereinfacht gesagt ein Teil der IT Abteilung des Händlers werden. Dies geschieht durch einen Vertrag zur Auftragsverarbeitung.
Diesen Vertrag gibt es bereits seit Jahren, bisher unter dem Namen "Auftragsdatenverarbeitung".
Der Unterschied war bisher eine Bringschuld des Händlers, d.h. er Händler musste sich um den Vertrag kümmern. Dies wird in Zukunft AUCH / ZUSÄTZLICH eine Holschuld des Dienstleisters.

Hier ein Muster der Bitkom.

[Modulfux]

Wie kommst du darauf, das der Shopbetreiber verpflichtet ist, allgemein keinen Zugang gegenüber Dritten zu gewährleisten?

Zitat IT-Recht-Kanzlei:

2. Maßnahmen zur Gewährleistung der Datensicherheit und datenschutzfreundlicher Voreinstellungen

Die Datenschutzgrundverordnung (Art. 25, Art. 32) bleibt zu der Frage ziemlich vage, was denn nun Maßnahmen der Datensicherheit und der datenschutzfreundlichen Voreinstellungen genau bedeuten. §§ 64, 71 Bundesdatenschutzgesetz neu (Geltung ab 25.5.2018) geben hier wesentlich detailliertere Kriterien vor. Diese Vorschriften gelten zwar eigentlich für öffentliche Stellen und nicht für Privatpersonen oder private Unternehmen. Mangels anderer Durchführungsvorschriften sind sie aber auch für Online-Händler sehr hilfreich. Diese Anforderungen können in einer Art Checkliste für den Online-Händler wie folgt zusammengefasst werden:

    Verwehrung des Zugangs Dritter zu IT-Systemen des Online-Händlers,

[fishnet]

Ah.
Ja, die Feinheiten der deutschen Sprache.
Ich schätze die IT-Recht Kanzlei meinte hier nicht "jegliche" sondern "unberechtigte" Dritte.

Die Putzfrau die an den PC des Händlers geht, während er auf dem Klo ist. Mal so als blödes Beispiel.

[Modulfux]

Ok, aus der Sichtweise habe ich das noch nicht betrachtet.

[fishnet]

Ein "Dritter" wäre ja auch der Hoster, der, rein technisch betrachtet, auf die Endverbraucherdaten zugreifen könnte wenn er wollte.
Was nicht dazu führt, das Hosting verboten wird sondern dazu, das jeder Händler mit seinem Hoster einen Vertrag zur Auftragsverarbeitung abschließen sollte. Meine persönliche Meinung.

[golferteddy]

Neues Datenschutzrecht: Keine Einwilligungen von unter 16-jährigen mehr möglich!

http://shopbetreiber-blog.de/2018/03/15/dsgvo-einwilligung-jugendliche/

Zur Info heute im Shopbetreiber Blog

[fishnet]

Dazu zählt z.B. dass ab 25. Mai 2018 eine Gastbestellung im Shop ermöglicht werden muss, also ohne Zwang, ein Kundenkonto zu eröffnen.

Da hat sich der Herr Rätze aber ganz schön ins Knie geschossen.
Unter dem Link zum Thema "Neues Datenschutzrecht: Online-Händler müssen Gastbestellungen ermöglichen!"
schreibt er dann sogar:

Prüft man nun durch, wann die Anlegung eines Kundenkontos zulässig ist, kommt man zu dem Ergebnis, dass ausschließlich Nummer 1 die Zulässigkeit sicherstellt. Das bedeutet also, ein Kundenkonto darf nur mit Einwilligung des Betroffenen angelegt werden. (...)  Für den „normalen“ Online-Shop aber gilt: Der Kunde muss auch als Gast bestellen können, das Anlegen eines Kundenkontos darf keine zwingende Voraussetzung zur Abgabe einer Bestellung sein.

Ich würde mal behaupten, das genau das Gegenteil der Fall ist.
Ein Gast würde davon ausgehen, das eben KEIN KUNDENKONTO angelegt wird.
Tatsächlich aber wird eines angelegt, auch wenn es nach vollendeter Bestellung ggf gelöscht wird (je nach Shopeinstellung) - und ohne Bestellung bleibt es technisch gesehen sogar bestehen und das ohne jede Einwilligung.

Fazit:  Im Gegensatz zu Frusted Schops bin ich der Meinung das GASTBESTELLUNGEN nicht nur nicht zwingend erforderlich sind sondern unter ein Verbot fallen, es sei denn man beschriftet dies ganz eindeutig mit zB. "Gastkonto anlegen". Für die Aussage, das ein Gastkonto ermöglicht werden muss sehe ich hier keine Rechtsgrundlage.

Meine private Meinung. 

[MasterChief]

Was mich tierisch dran nervt ist, daß scheinbar nicht mal die Herren Rechtsanwälte die Verordnung lesen oder halt entsprechend Stimmung machen, wird ja Geld damit verdient (ist ja ggf. auch ok).

Wenn ich lese ...ab 16 Jahren... Einwilligung.... in der Praxis nicht durchsetzbar....  lauter so Schmarrn - sorry für die Wortwahl-  aber dann doch besser mal die Verordn. lesen, drei mal, dann verstehen.

Es handelt sich bei unseren Situationen nämlich praktisch immer um Fälle wo ich nicht mal explizit eine Einwilligung einholen muss, sondern diese ergibt sich von alleine aus anderen Punkten der DSGVO und entsteht daher "von selbst".  Ich brauche also von keinem 16-jährigen eine schriftliche Bestätigung zur Einwilliung zur Verarbeitung seiner Daten wenn er einen Newsletter abboniert oder bestellt.

Hundsdreck verrecktxxxx  

[fishnet]

Hier gibt es nun eine offizielle Gegenrede der ITR zum Beitrag von FrustedShops

Sind Gastbestellungen künftig zwingend?

2l;dr: die Antwort ist "nein", sagt die ITR, sofern man einen anderen Bestellweg ermöglicht (e-mail, telefon, brieftaube )