DSGVO Modul opt-in bei Bestellung ohne Registrierung

dsgvo

#1

Hallo,
habe die beiden DSGVO Module installiert, klappt alles, allerdings nicht wenn man bei der Auswahl auf “Bestellung ohne Registrierung” geht. Hier gibt es kein opt-in, ist das vielleicht so normal? Kann ich mir kaum vorstellen. Wenn man dann von “Bezahlen” zurück geht zu “Adresse” und Rechnungs- oder Lieferadresse ändern möchte, dann erscheint bei beiden der opt-in.
Der Nutzer muss ja vor dem Abschicken der Daten gefragt werden, ob er einer Speicherung zustimmt, denn auch bei Bestellung ohne Registrierung wird ja ein Account angelegt und Daten verarbeitet. Verstehe das nicht, alles andere funktioniert, nur dieser Punkt nicht.
Weiß einer Rat?


#2

Hat keiner ne Idee? Bzw. würde mir die Information schon reichen, ob das so vorgesehen ist und funktionieren müsste oder ob das nur bei mir nicht funktioniert.


#3

Das Problem an der Stelle ist ein ganz anderes: es dürfte gar kein Konto angelegt werden. Oder anders: das Konto müsste nach der Abarbeitung des Bestellvorganges (ihr wisst, was ich meine … Kunde hat Ware usw.) automatisch gelöscht werden.

Ich wäre als Kunde extrem irritiert, wenn ich ausdrücklich als Gast bestellen wollen würde und gefragt würde, ob man meine Daten dauerhaft im Konto speichern dürfe!! Mal ganz abgesehen davon, dass ich das als Laie für abmahngefährdet halte (Gastbestellung ohne Kundenkonto sind zu ermöglichen!).


#4

Genau das hat mich auch irritiert. Sobald man dort Daten eingibt wird ein Kundenkonto erstellt, selbst wenn der Kunde den Bestellvorgang abbricht. So ein Unsinn, das schafft Karteileichen und im Sinne der DSGVO ist das sicher auch nicht.


#5

nicht nur die Gastbestellung ist jetzt fraglich, prinzipiell müssten Paypal Express und Login & Pay with Amazon auch nur über so ein OptIn laufen


#6

@Maglorix,

ja, das ist wohl ein bisher unberücksichtigtes Problem - oder irgendwo anders schon diskutiert und gelöst worden?

Wenn ein Kunde als “Gast” bestellt, dann wird ja genauso ein Konto erstellt wie bei “Konto eröffnen” nur ohne Passwort. Also kann der Kunde sich nicht einloggen und nichts löschen.

Während einer Session mit Adresseingabe als Gast und Klick auf “weiter” ist die Adresse schon gespeichert (richtig?). Dann könnte der Gast nur noch zurück zur Adresseingabe gehen und die Felder mit irgendwas sinnlosem überschreiben, dann “weiter” klicken und Datenmüll speichern. Das wäre aber kein gangbarer Weg für Kunden, die meistens glauben, dass als Gast keine Adressdaten gespeichert werden.

Eine schnelle direkte Lösung wäre, “als Gast bestellen” ganz entfernen. Dann kann sich jeder einloggen und löschen was er will.

Die Adress-Löschmöglichkeiten sind sowie eine Farce, weil diese in oxorder für jede Bestellung gespeichert werden usw.


#7

@Earlybird

Ui! Da machst du aber gefährliche Vorschläge^^

  1. die Gastbestellung MUSS ausdrücklich angeboten werden - das unbedingte Ermöglichen der kontolosen Bestellung kam ja jetzt erst in den letzten Wochen auf Tablett
  2. in der oxorder MUSS das auch gespeichert bleiben - zumindest die 10 Jahre lang, die du aufbewahrungspflichtig bist in Deutschland … du hast ja Dolumentationspflichten gegenüber zum Beispiel dem FA und musst auch in 10 Jahren noch nachweisen können, was Kunde XYZ genau bestellt und bezahlt hat (du musst also genau genommen in 10 Jahren eine Rechnung erstellen können, die identisc mit der jetzt grad aktuellen ist)

So … und nun kommen wir zum Problem: wegen der fehlenden API kann man hier nicht automatisiert (was de facto mit der DSGVO eingeführt wird, weil du es erstmals so richtig ausführlich dokumentieren musst … da braucht keiner kommen mit “mache ich von Hand”) löschen … weder nicht mehr benötigte Kundendaten, noch Daten, die über die Aufbewahrungs- bzw. Sperrfrist hinweg sind.


#8

@wolkenkrieger,

bitte richtig lesen bzw. verstehen. Ich schreibe hier keine rechtlichen Vorschläge, sondern eine programmiertechnische Möglichkeit “Eine schnelle direkte Lösung wäre…” - den rechtlichen Teil macht immer der Anwalt, der aber aber keine Progr.Vorschläge macht!


#9

Ich hab dich schon richtig verstanden :slight_smile: Nicht umsonst ist da das unscheinbare aber wichtige ^^ :slight_smile:


#10

Und was habt in euren Löschkonzept vorgesehen, um euren Pflichten bei Gastkonten nachzukommen?


#11

Gute Frage, bisher noch nichts. Kann man nicht ein Modul programmieren, dass die Kundendatei “ausmistet”? Z.B. “lösche alle Konten von nicht registrierten Nutzern” oder “lösche alle Konten von Kunden, die seit 5 Jahren nicht mehr bestellt haben”. Das könnte man dann auch automatisieren, einmal wöchentlich oder so. Das dürfte doch kein Hexenwerk sein…


#12

tja … wir sitzen grad testweise an einer cronjob-lösung … testweise

und ich bin ehrlich gesagt einigermaßen sauer, dass das thema dsgvo von seitens oxid so dermaßen stiefmütterlich behandelt wird


#13

Das Thema DSGVO ist ein Fass ohne Boden. Man denkt man wäre durch und es tun sich immer wieder neue Thematiken auf.:confused:


#14

Einfach mal was selber machen?!

So schauts leider aktuell aus und das wird sich auch erstmal nicht ändern :frowning:


#15

Theoretisch gehört der Warenkorb zur Bestellung und dafür gibt es Aufbewahrungspflichten jenseits der 5 Jahre. Zudem selbige revisionssicher archiviert werden müssten. Ein Ausdruck ist übrigens nicht Original… einfach mal daten löschen könnte sich bei einer Unternehmensprüfung als nachteilig herausstellen.


#16

Ich denke, man müsste zumindest die Email Adresse und Namen des Besteller länger speichern. Die restlichen Daten können dann wieder gelöscht werden.


#17

Hallo,
was hat den die Bestellung (und oder Warenkorb) mit der Rechnung zu tun? In der Form halte ich die Aussage für falsch.
Nur für die tatsächlichen Rechnungen und Gutschriften gibt es Aufbewahungsfristen. Aus einer Bestellung muss ja nicht zwangsläufig eine Rechnung werden bzw. nicht alles was bestellt wurde wird ja auch ausgeliefert, und und und…
Alles was hier wünschenswert wäre auf bzw. in Oxid abzuladen ist aus meiner Sicht nicht der richtige Weg. Oxid hat noch genug damit zu tun den Shop in der Funktionalität als “System zum annehmen einer Bestellung” gut (und DSGVO-konform) hinzubekommen.
cya


#18

@Firefax
Das fragst Du am besten mal beim Finanzamt und Steuerberater nach.
Stichwort HGB §257

Handelsbriefe sind aufzubewahren, und eine Bestellung ist ein Handelsbrief, der letztendlich zu einer Rechnung führt. Aber Du kannst es natürlich auch einfach lassen.

Nachtrag: Was OXID noch zu tun hat, steht auf einem anderen Blatt.


#19

Nochmal ein Nachtrag. Ich wollte hier nicht klugscheissen oder sonstwas. Ich wollte nur darauf hinweisen, dass es andere Gesetze gibt ausser der DSGVO, die unter Umständen auch beachtet werden müssen.
Gruss
Marcel


#20

Mmhh, ok. Hast mich überzeugt, hatte nur die Rechnungen auf dem Schirm.
Damit stößt du aber auch für alle Handelsbriefe (inkl. Emails dazu) das Tor zur 6 jährigen Aufbewahrungsfrist auf. :face_with_raised_eyebrow:
Tja, spannend wird es ja, wenn jemand seine Mails nach DSVGO gelöscht haben möchte und man ihm Antwortet, nee, die muss ich nach HGB §257 Abs. 4 6 Jahr aufheben. :stuck_out_tongue_winking_eye:
cya