DSGVO-konform mit OXID eShop 6.0.2

benjamin.joerger · April 9, 2018, 10:21am

Ab dem 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung für alle Mitgliedsstaaten in Kraft, um die Datenschutzgesetze europaweit zu vereinheitlichen. Wie Ihr alle wisst, sind alle europäischen Unternehmen (mit ein paar wenigen Ausnahmen) von dieser Regulierung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO) betroffen und – Ihr ahnt es wahrscheinlich – natürlich auch Ihr als Shopbetreiber.

Deshalb haben wir uns mit den Anwälten der RESMEDIA zusammengesetzt und diese Lösung für Euch gefunden. Außerdem veröffentlichen wir außerplanmäßig (statt Ende April) die OXID eShop Version 6.0.2, um Euch ausreichend Zeit für die nötigen Änderungen in Euren Shopinstallationen zur Verfügung zu stellen.

Um die DSGVO-Konformität in OXID eShop 6 herzustellen, haben wir folgende neue Features im Core implementiert:

Du kannst als Shop-Administrator entscheiden, ob der Benutzer seinen Account selbst löschen darf oder nicht.
Du kannst als Shop-Administrator entscheiden, ob der Benutzer seine Produktbewertungen selbst verwalten darf oder nicht.
Ein registrierter Benutzer Deines Shops darf seine eigene Lieferadresse löschen.
Du kannst als Shop-Administrator nun konfigurieren, ob die „Tell-a-friend“-Funktionalität (einem Bekannten eine E-Mail-Info über ein Produkt schicken) verfügbar sein soll oder nicht.

Außerdem stellen wir ein Modul bereit, mit dem der Benutzer eine bestimmte Datenverarbeitung im Shop Frontend per Checkbox akzeptieren muss:

für die Speicherung der Lieferadressen,
für die Speicherung der Daten aus dem Kontaktformular (Löschen oder Aufheben für statistische Zwecke),
für die Speicherung der Registrierungsdaten,
für die Speicherung der Produktempfehlungen.

Was ist eigentlich mit den OXID eShop Versionen 4.10.x und 5.3.x? Natürlich stellen wir auch hier in ein paar Tagen eine Lösung für die DSGVO-Konformität zur Verfügung, nur die Implementierung findet etwas anders statt: Der Teil, den wir in OXID eShop 6 im Kern eingebaut haben, wird für die Versionen 4.10.x und 5.3.x als Modul zur Verfügung gestellt. Sobald diese Module fertig sind, findet Ihr sie hier auf GitHub:

DSGVO Basis-Modul (Bereits in der Kernänderung der OXID eShop Compilation 6.0.2 enthalten)
DSGVO Optin-Modul.

Benutzt Ihr ein eigenes Template, denkt bitte daran, dieses entsprechend anzupassen, so, wie Ihr es in den beiden Modulen vorfindet.

Allein auf diese Änderungen zu vertrauen, ist halsbrecherisch: Bitte schaut Euch weitere Aspekte der neuen Verordnung an. Im Zweifelsfall zieht bitte Euren Anwalt zu rate.

Bitte beachtet auch, dass es weitere Änderungen dazu im OXID Code geben kann: Es gibt noch keinerlei Praxiserfahrung; wir mutmaßen, dass es bald Gerichtsentscheidungen geben wird und einige Punkte der DSGVO spezifischer beleuchtet werden können.

Falls Ihr Fragen habt, kommentiert gern auf diesen Blogpost im begleitenden Foren-Thread.

Tintenmann · April 12, 2018, 3:53pm

Hallo zusammen,

ich habe das Modul für die 4.10.x mal eingebunden. Verwende CE 4.10.6 und ein Child-Theme, basierend auf Flow.
Die Anpassungen z. B. im Kontaktformular funktionieren einwandfrei. Der Button zum Löschen einer Lieferadresse durch den Kunden mag aber leider erscheinen.

Ist der Fehler bekannt oder hat jemand eine Idee?

Gruß

Tintenmann

marco.steinhaeuser · April 12, 2018, 4:30pm

Die DSGVO-Module base und opt-in stehen jetzt auch für die Versionen 5.3.x und 4.10.x zur Verfügung, Links zu den GitHub-Repos stehen im Blogpost

Tintenmann · April 12, 2018, 4:36pm

Na ja, die habe ich auch verwendet!

Edit: ERLEDIGT! Habe übersehen, das da 2 Module erforderlich sind …
2. Modul installiert, alles gut, jetzt ist auch der Lösch - Button da!

Firefax · April 14, 2018, 10:00am

Hallo,
Es gibt ja Stimmen, die bei dem Kontaktformular davon ausgehen, dass außer der EMailadresse kein weiteres Feld ein Pflichtfeld sein muss. Aktuell wird aber stets noch der Vorname, Nachname und Betreff als Pflichtfeld abgefragt (Betreff würde ich auch gerne lassen, da kein Personenbezug). Diese personenbezogenen Angaben (Name) sind wahrscheinlich tatsächlich nicht notwendig um eine Frage/Kontaktaufnahme zu beantworten.
Zudem wird empfohlen eine Mitteilung mit Link auf die Datenschutzerklärung einzubinden. Dies ist aktuell auch nicht vorgesehen.

Wird es noch etwas zum Kontaktformular geben?
cya

Tintenmann · April 14, 2018, 10:17am

Diese Info haben wir auch vom uns in e-Commerce Dingen beratenden Rechtsanwalt erhalten. Und in der Tat benötigt man zur Beantwortung einer Anfrage über das Kontaktformular lediglich die eMail Adresse. Alles andere wird nicht gebraucht und darf daher kein Pflichtfeld sein. Es steht dem Kunden ja frei trotzdem seinen Namen preiszugeben wenn er will!
Leider habe ich noch keinen Weg gefunden die entsprechenden Felder zu ‘entpflichten’ - Hat da jemand eine Idee?

nickname · April 14, 2018, 10:36am

Hallo,

Name als Pflichfeld könnte man zB. so “abschalten”:
Im Contact-Controller Zeile 114:

github.com

OXID-eSales/oxideshop_ce/blob/b-5.3-ce/source/application/controllers/contact.php#L114


$oCaptcha = $this->getCaptcha();


if (!$oCaptcha->pass($sMac, $sMacHash)) {
    // even if there is no exception, use this as a default display method
    oxRegistry::get("oxUtilsView")->addErrorToDisplay('MESSAGE_WRONG_VERIFICATION_CODE');


    return false;
}


$sSubject = oxRegistry::getConfig()->getRequestParameter('c_subject');
if (!$aParams['oxuser__oxfname'] || !$aParams['oxuser__oxlname'] || !$aParams['oxuser__oxusername'] || !$sSubject) {
    // even if there is no exception, use this as a default display method
    oxRegistry::get("oxUtilsView")->addErrorToDisplay('ERROR_MESSAGE_INPUT_NOTALLFIELDS');


    return false;
}


$oLang = oxRegistry::getLang();
$sMessage = $oLang->translateString('MESSAGE_FROM') . " " .
            $oLang->translateString($aParams['oxuser__oxsal']) . " " .
            $aParams['oxuser__oxfname'] . " " .

das hier entfernen:

!$aParams[‘oxuser__oxfname’] || !$aParams[‘oxuser__oxlname’] ||

Dann noch im Template:

github.com

OXID-eSales/oxideshop_ce/blob/b-5.3-ce/source/application/views/azure/tpl/form/contact.tpl#L30


</li>
<li [{if $aErrors.oxuser__oxfname}]class="oxInValid"[{/if}]>
    <label class="req">[{ oxmultilang ident="FIRST_NAME" suffix="COLON" }]</label>
    <input type="text" name="editval[oxuser__oxfname]" size="70" maxlength="40" value="[{if $oxcmp_user && !$editval.oxuser__oxfname}][{$oxcmp_user->oxuser__oxfname->value}][{else}][{$editval.oxuser__oxfname}][{/if}]" class="js-oxValidate js-oxValidate_notEmpty">
    <p class="oxValidateError">
        <span class="js-oxError_notEmpty">[{ oxmultilang ident="ERROR_MESSAGE_INPUT_NOTALLFIELDS" }]</span>
        [{include file="message/inputvalidation.tpl" aErrors=$aErrors.oxuser__oxfname}]
    </p>
</li>
<li [{if $aErrors.oxuser__oxlname}]class="oxInValid"[{/if}]>
    <label class="req">[{ oxmultilang ident="LAST_NAME" }]</label>
    <input type="text" name="editval[oxuser__oxlname]" size=70 maxlength=40 value="[{if $oxcmp_user && !$editval.oxuser__oxlname}][{$oxcmp_user->oxuser__oxlname->value}][{else}][{$editval.oxuser__oxlname}][{/if}]" class="js-oxValidate js-oxValidate_notEmpty">
    <p class="oxValidateError">
        <span class="js-oxError_notEmpty">[{ oxmultilang ident="ERROR_MESSAGE_INPUT_NOTALLFIELDS" }]</span>
    </p>
</li>
<li [{if $aErrors.oxuser__oxusername}]class="oxInValid"[{/if}]>
    <label class="req">[{ oxmultilang ident="EMAIL" suffix="COLON" }]</label>
    <input id="contactEmail" type="text" name="editval[oxuser__oxusername]"  size=70 maxlength=40 value="[{if $oxcmp_user && !$editval.oxuser__oxusername}][{$oxcmp_user->oxuser__oxusername->value}][{else}][{$editval.oxuser__oxusername}][{/if}]" class="js-oxValidate js-oxValidate_notEmpty js-oxValidate_email">
    <p class="oxValidateError">
        <span class="js-oxError_notEmpty">[{ oxmultilang ident="ERROR_MESSAGE_INPUT_NOTALLFIELDS" }]</span>

das hier entfernen:

class="req"
class="js-oxValidate js-oxValidate_notEmpty"
<p class="oxValidateError">
   ....... 
</p>

Tintenmann · April 14, 2018, 12:10pm

Danke, probiere ich aus!

marco.steinhaeuser · April 16, 2018, 7:44am

Good Point, @Firefax. Ich reich das mal direkt so weiter.

biebie · April 18, 2018, 7:53am

Was ist eigentlich mit den Betroffenenrechten?
Jeder Shopkunde hat ja laut DSGVO (Art 15) das Recht auf Auskunft welche Daten über Ihn im Shop gespeichert sind. Dazu bietet OXID bis jetzt (und auch in der 6.0.2.) gar nichts an.
Als Shopbetreiber sollte man ja in der Lage per “Knopfdruck” alle Daten einer Person in “maschinenlesbarer” Form (also z.B CSV) exportieren zu können. Dazu gehört dann auch z.B das Datum der Double-Opt-In für evtl. NL-Anmeldung, alle Lieferadressen, Bestellungen etc.
Kommt da noch was, hat man das vergessen oder welche Möglichkeiten hat der Shopbetreiber diese Daten bereit zu stellen?

marco.steinhaeuser · April 25, 2018, 2:44pm

Bezüglich der “Betroffenenrechte” gibt es zunächst mal gar keine konkrete Aussage. Weder ist geklärt, was genau in “maschinenlesbarer Form” bedeuten soll (CSV kann keine 1:n-Beziehungen abbilden, ist XML probat, warum nicht einfach SQL usw.) noch ist irgendwo festgehalten, welche Daten genau enthalten sein müssen.
Insofern warten wir erstmal ab, was sich da noch genau ergibt. Ggf. wird dann nochmal nachgeschoben.

Bzgl. des Namens als Pflichtfeld @Firefax… Man sollte schon sein Gegenüber mit einem Namen anreden können statt mit "[email protected]", wenn es eine Anfrage gibt. Auch sehe ich da primär keinen Verstoss gegen irgendein Datenschutzrecht, weil man die personenbezogene Date “Name” abgefragt hat, um sich wie unter Erwachsenen unterhalten zu können

Tintenmann · April 25, 2018, 3:13pm

Um eine Kundenanfrage zu beantworten, ist es nicht erforderlich den Namen zu kennen! Der Kunde kann - wenn ER es für richtig hält - den Namen preisgeben und ihn in das Feld eintragen! Ihn als Pflichtfeld abzufragen, ist nach den Angaben der Rechtsberater eher sehr fragwürdig im Sinne der neuen DSGVO.

marco.steinhaeuser · April 25, 2018, 9:17pm

Und wo genau steht das schwarz auf weiss, @Tintenmann? Wie viele Deiner angefragten Rechtsberater haben so oder anders entschieden?
Das Ding ist, dass es eigentlich noch keiner so genau weiss. Und auch wenn da mit Ausrufungszeichen gearbeitet wird, heisst es nicht, dass es Recht hat, und wir können uns bisher auf nicht Verlässliches berufen.
Ich fürchte, dass, wenn Du oder Dein Rechtsberater es so haben wollen, es momentan nur über die oben gepostete Lösung von @nickname geht, was ich für eine absolut probate Lösung halte.

Tintenmann · April 25, 2018, 9:44pm

Ja na, das mag doch jeder handhaben wie er will. Und ich habe nur einen Rechtsberater. Mir reicht das auch!
Wo das schwarz auf weiss steht? Lese doch bitte einfach mal Art. 5 der DSGVO Abs. 1 c, dort steht geschrieben:

(1) Personenbezogene Daten müssen
…
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

und gerne noch einmal: Für die Antwort auf eine Kundenanfrage muss ich den Namen des Kunden nicht kennen, also KANN man die Verpflichtung der Angabe des Namens im Widerspruch zu den Vorgaben der DSGVO sehen. Wie gesagt, das kann jeder handhaben wir er will, ich will jedoch nicht derjenige sein, an dem ein Abmahnanwalt die bisher ungeklärte - da noch nicht vorhandene Rechtsprechnung - in die Tat umsetzen will.

Firefax · April 29, 2018, 6:24pm

Hallo Marco,
mit der Lösung von Nickname kann ich leben. Zudem sehe ich den Punkt nicht so kritisch, es ist dem Zweck schon angemessen, sich wie Erwachsene unterhalten zu können, aber eben nicht notwendig.

Die Betroffenenrechte finde ich spannender. Aktuell muss man ja in die DB schauen, um die Werte aus Oxid zu erhalten. Meiner Meinung nach wäre es schonmal hilfreich, wenn die Werte am “Benutzer” unter “Erweitert” die Zeitstempeldaten der Newsletterregistrierung angezeigt werden. Dann kann man diese z.B. in eine Email übertragen. (P.S.: Nur ein Blick in Oxid wird aber sicherlich nicht reichen, da man ja noch weitere Systeme hat.)

cya
Firefax

wolkenkrieger · May 4, 2018, 6:57am

Das Thema mit dem Namen als Pflichtfeld hat sich eindeutig geklärt.

Siehe: https://www.delegedata.de/2018/04/wie-ein-schlechter-scherz-eu-gesetzgeber-passt-die-dsgvo-an-einen-monat-vor-anwendbarkeit/

Dort letzter Absatz.

Konkret bedeutet das, dass zur Kommunikation mit dem Kunden lediglich die E-Mail-Adresse als Pflichtfeld (“Voreinstellung” i.S.d. Art 25) eingestellt sein darf, weil die das einzig notwendige Datenmerkmal ist, die zur Umsetzung der Aufgabe notwendig ist.

Und ob wir unsere Kunden gern mit Namen ansprechen oder nicht, spielt für ein Gesetzeswerk keine Rolle. Fakt ist: die derzeitige Lösung mit dem Namen als Pflichtfeld wird ab dem 25. abmahngefährdet sein!

Tintenmann · May 4, 2018, 7:19am

Sag ich doch!

Es steht dem Kunden ja frei trotzdem seinen Namen anzugeben um dann vernünftig angesprochen werden zu können!

Gruß

wolkenkrieger · May 4, 2018, 7:59am

Hat jemand eine Lösung für Flow?

Ich habe in der contact.tpl zwar alle “required=required” entfernt, die Mail geht auch raus aber nach dem Absenden bekommt man immer die Meldung “Bitte Wert eingeben”.

Und soweit ich das sehe, kommt die aus dem Validator-Script?

Firefax · May 9, 2018, 11:54am

Hallo,
@marco.steinhaeuser
Die Diskussion mit den Pflichtfeldern hat sich durch die kurzfristige Änderung bzw. Streichung des Wortes “grundsätzlich” nun grundsätzlich geändert und noch weiter verschlimmert. Ihr müsst wohl schnell mal nacharbeiten.

Siehe z.B. https://t3n.de/news/dsgvo-eu-gesetz-stichtag-datenschutz-1076238/
"…Damit darf also in Zukunft nur noch die E-Mail-Adresse selbst abgefragt werden – in der anderen Variante hätte man wenigstens noch weitere Daten auf freiwilliger Basis abfragen dürfen. „Bezogen auf das obige Beispiel des Newsletters könnte das bedeuten, dass die Behörden es in Zukunft als Verstoß gegen Art. 25 DSGVO ansehen, wenn bei der Anmeldung zum Newsletter neben der Mail-Adresse noch weitere Daten erhoben werden – auch wenn diese keine Pflichtfelder sind“,… "

gz1 · May 11, 2018, 11:08am

Hallo,

ich habe die beiden Module für die 4.10.7 CE installiert. und soweit funktioniert alles
En Kunde teilte mir nun mit, dass beim Registrierungsprozess ein double-opt-in Verfahren verwendet werden müsste.
In dem Modul erscheint aber lediglich die Checkbox mit dem Hinweis: "Ich bin damit einverstanden, dass meine Daten dauerhaft für das Kundenkonto verwendet werden. Ein Widerruf meiner Einwilligung ist jederzeit mit Wirkung für die Zukunft möglich. "

Reicht dies aus oder ist ein double-Opt-In in der Tat Pflicht?

Und falls man als “Gast” bestellt, müsste dann das double-Opt-In im 4. Bestellschritt auch eingesetzt werden?