DSGVO-konform mit OXID eShop 6.0.2

dsgvo

#1

Originally published at: https://oxidforge.org/de/dsgvo-konform-mit-oxid-eshop-6-0-2.html

Wir haben kürzlich OXID eShop 6.0.2 veröffentlicht, die Änderungen in Vorbereitung der Europäischen Datenschutzverordnung (DSGVO) enthält. Diese Regulierung tritt am 25. Mai 2018 für alle Mitgliedsstaaten in Kraft, um die Datenschutzverordnungen der einzelnen Länder zu vereinheitlichen.


#2

Hallo zusammen,

ich habe das Modul für die 4.10.x mal eingebunden. Verwende CE 4.10.6 und ein Child-Theme, basierend auf Flow.
Die Anpassungen z. B. im Kontaktformular funktionieren einwandfrei. Der Button zum Löschen einer Lieferadresse durch den Kunden mag aber leider erscheinen.

Ist der Fehler bekannt oder hat jemand eine Idee?

Gruß

Tintenmann


#3

Die DSGVO-Module base und opt-in stehen jetzt auch für die Versionen 5.3.x und 4.10.x zur Verfügung, Links zu den GitHub-Repos stehen im Blogpost :wink:


#4

Na ja, die habe ich auch verwendet!

Edit: ERLEDIGT! Habe übersehen, das da 2 Module erforderlich sind …
2. Modul installiert, alles gut, jetzt ist auch der Lösch - Button da!


#5

Hallo,
Es gibt ja Stimmen, die bei dem Kontaktformular davon ausgehen, dass außer der EMailadresse kein weiteres Feld ein Pflichtfeld sein muss. Aktuell wird aber stets noch der Vorname, Nachname und Betreff als Pflichtfeld abgefragt (Betreff würde ich auch gerne lassen, da kein Personenbezug). Diese personenbezogenen Angaben (Name) sind wahrscheinlich tatsächlich nicht notwendig um eine Frage/Kontaktaufnahme zu beantworten.
Zudem wird empfohlen eine Mitteilung mit Link auf die Datenschutzerklärung einzubinden. Dies ist aktuell auch nicht vorgesehen.

Wird es noch etwas zum Kontaktformular geben?
cya


#6

Diese Info haben wir auch vom uns in e-Commerce Dingen beratenden Rechtsanwalt erhalten. Und in der Tat benötigt man zur Beantwortung einer Anfrage über das Kontaktformular lediglich die eMail Adresse. Alles andere wird nicht gebraucht und darf daher kein Pflichtfeld sein. Es steht dem Kunden ja frei trotzdem seinen Namen preiszugeben wenn er will!
Leider habe ich noch keinen Weg gefunden die entsprechenden Felder zu ‘entpflichten’ - Hat da jemand eine Idee?


#7

Hallo,

Name als Pflichfeld könnte man zB. so “abschalten”:
Im Contact-Controller Zeile 114:


das hier entfernen:

!$aParams[‘oxuser__oxfname’] || !$aParams[‘oxuser__oxlname’] ||

Dann noch im Template:


das hier entfernen:

class="req"
class="js-oxValidate js-oxValidate_notEmpty"
<p class="oxValidateError">
   ....... 
</p>

Kontaktformular contact.tpl nur Mailadresse als Pflichtfeld anpassen bei CE 4.8.9
#8

Danke, probiere ich aus!


#9

Good Point, @Firefax. Ich reich das mal direkt so weiter.


#10

Was ist eigentlich mit den Betroffenenrechten?
Jeder Shopkunde hat ja laut DSGVO (Art 15) das Recht auf Auskunft welche Daten über Ihn im Shop gespeichert sind. Dazu bietet OXID bis jetzt (und auch in der 6.0.2.) gar nichts an.
Als Shopbetreiber sollte man ja in der Lage per “Knopfdruck” alle Daten einer Person in “maschinenlesbarer” Form (also z.B CSV) exportieren zu können. Dazu gehört dann auch z.B das Datum der Double-Opt-In für evtl. NL-Anmeldung, alle Lieferadressen, Bestellungen etc.
Kommt da noch was, hat man das vergessen oder welche Möglichkeiten hat der Shopbetreiber diese Daten bereit zu stellen?


#11

Bezüglich der “Betroffenenrechte” gibt es zunächst mal gar keine konkrete Aussage. Weder ist geklärt, was genau in “maschinenlesbarer Form” bedeuten soll (CSV kann keine 1:n-Beziehungen abbilden, ist XML probat, warum nicht einfach SQL usw.) noch ist irgendwo festgehalten, welche Daten genau enthalten sein müssen.
Insofern warten wir erstmal ab, was sich da noch genau ergibt. Ggf. wird dann nochmal nachgeschoben.

Bzgl. des Namens als Pflichtfeld @Firefax… Man sollte schon sein Gegenüber mit einem Namen anreden können statt mit "[email protected]", wenn es eine Anfrage gibt. Auch sehe ich da primär keinen Verstoss gegen irgendein Datenschutzrecht, weil man die personenbezogene Date “Name” abgefragt hat, um sich wie unter Erwachsenen unterhalten zu können :smiley:


DSVGO die x-te ... Export von Benutzerprofilen
#12

Um eine Kundenanfrage zu beantworten, ist es nicht erforderlich den Namen zu kennen! Der Kunde kann - wenn ER es für richtig hält - den Namen preisgeben und ihn in das Feld eintragen! Ihn als Pflichtfeld abzufragen, ist nach den Angaben der Rechtsberater eher sehr fragwürdig im Sinne der neuen DSGVO.


#13

Und wo genau steht das schwarz auf weiss, @Tintenmann? Wie viele Deiner angefragten Rechtsberater haben so oder anders entschieden?
Das Ding ist, dass es eigentlich noch keiner so genau weiss. Und auch wenn da mit Ausrufungszeichen gearbeitet wird, heisst es nicht, dass es Recht hat, und wir können uns bisher auf nicht Verlässliches berufen.
Ich fürchte, dass, wenn Du oder Dein Rechtsberater es so haben wollen, es momentan nur über die oben gepostete Lösung von @nickname geht, was ich für eine absolut probate Lösung halte.


#14

Ja na, das mag doch jeder handhaben wie er will. Und ich habe nur einen Rechtsberater. Mir reicht das auch!
Wo das schwarz auf weiss steht? Lese doch bitte einfach mal Art. 5 der DSGVO Abs. 1 c, dort steht geschrieben:

(1) Personenbezogene Daten müssen

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

und gerne noch einmal: Für die Antwort auf eine Kundenanfrage muss ich den Namen des Kunden nicht kennen, also KANN man die Verpflichtung der Angabe des Namens im Widerspruch zu den Vorgaben der DSGVO sehen. Wie gesagt, das kann jeder handhaben wir er will, ich will jedoch nicht derjenige sein, an dem ein Abmahnanwalt die bisher ungeklärte - da noch nicht vorhandene Rechtsprechnung - in die Tat umsetzen will.


#15

Hallo Marco,
mit der Lösung von Nickname kann ich leben. Zudem sehe ich den Punkt nicht so kritisch, es ist dem Zweck schon angemessen, sich wie Erwachsene unterhalten zu können, aber eben nicht notwendig.

Die Betroffenenrechte finde ich spannender. Aktuell muss man ja in die DB schauen, um die Werte aus Oxid zu erhalten. Meiner Meinung nach wäre es schonmal hilfreich, wenn die Werte am “Benutzer” unter “Erweitert” die Zeitstempeldaten der Newsletterregistrierung angezeigt werden. Dann kann man diese z.B. in eine Email übertragen. (P.S.: Nur ein Blick in Oxid wird aber sicherlich nicht reichen, da man ja noch weitere Systeme hat.)

cya
Firefax


#16

Das Thema mit dem Namen als Pflichtfeld hat sich eindeutig geklärt.

Siehe: https://www.delegedata.de/2018/04/wie-ein-schlechter-scherz-eu-gesetzgeber-passt-die-dsgvo-an-einen-monat-vor-anwendbarkeit/

Dort letzter Absatz.

Konkret bedeutet das, dass zur Kommunikation mit dem Kunden lediglich die E-Mail-Adresse als Pflichtfeld (“Voreinstellung” i.S.d. Art 25) eingestellt sein darf, weil die das einzig notwendige Datenmerkmal ist, die zur Umsetzung der Aufgabe notwendig ist.

Und ob wir unsere Kunden gern mit Namen ansprechen oder nicht, spielt für ein Gesetzeswerk keine Rolle. Fakt ist: die derzeitige Lösung mit dem Namen als Pflichtfeld wird ab dem 25. abmahngefährdet sein!


#17

Sag ich doch!

Es steht dem Kunden ja frei trotzdem seinen Namen anzugeben um dann vernünftig angesprochen werden zu können!

Gruß


#18

Hat jemand eine Lösung für Flow?

Ich habe in der contact.tpl zwar alle “required=required” entfernt, die Mail geht auch raus aber nach dem Absenden bekommt man immer die Meldung “Bitte Wert eingeben”.

Und soweit ich das sehe, kommt die aus dem Validator-Script?


#19

Hallo,
@marco.steinhaeuser
Die Diskussion mit den Pflichtfeldern hat sich durch die kurzfristige Änderung bzw. Streichung des Wortes “grundsätzlich” nun grundsätzlich geändert und noch weiter verschlimmert. Ihr müsst wohl schnell mal nacharbeiten.

Siehe z.B. https://t3n.de/news/dsgvo-eu-gesetz-stichtag-datenschutz-1076238/
"…Damit darf also in Zukunft nur noch die E-Mail-Adresse selbst abgefragt werden – in der anderen Variante hätte man wenigstens noch weitere Daten auf freiwilliger Basis abfragen dürfen. „Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind“,… "


#20

Hallo,

ich habe die beiden Module für die 4.10.7 CE installiert. und soweit funktioniert alles :slight_smile:
En Kunde teilte mir nun mit, dass beim Registrierungsprozess ein double-opt-in Verfahren verwendet werden müsste.
In dem Modul erscheint aber lediglich die Checkbox mit dem Hinweis: "Ich bin damit einverstanden, dass meine Daten dauerhaft für das Kundenkonto verwendet werden. Ein Widerruf meiner Einwilligung ist jederzeit mit Wirkung für die Zukunft möglich. "

Reicht dies aus oder ist ein double-Opt-In in der Tat Pflicht?

Und falls man als “Gast” bestellt, müsste dann das double-Opt-In im 4. Bestellschritt auch eingesetzt werden?