Leserkommentare zum Artikel

Gefragt, geantwortet: FAQ zur praktischen Umsetzung der DSGVO im Online-Handel (4. Update)

Auf verschiedensten Seiten im Internet werden bereits jetzt die Auswirkungen der Datenschutzgrundverordnung (DSGVO) auf den Online-Handel dargestellt – allerdings meist ausschließlich mit rechtlichem Schwerpunkt. Weil die praktische Umsetzung der Vorschriften Online-Händler aber noch immer vor erhebliche Schwierigkeiten stellt, die Rechtskennern im Zweifel wenig bewusst sind, hat die IT-Recht Kanzlei um Zusendung konkreter praxisrelevanter Fragen gebeten. Die aktuellen FAQ sollen einfache, praktikable Antworten auf das geben, was Online-Händler im Zusammenhang mit der DSGVO umtreibt.

» Artikel lesen


Addendum zur Frage der Zulässigkeit des Speicherns von IP-Adressen in Logfiles des Webservers

Beitrag von Volker
12.12.2018, 09:22 Uhr

Sehr geehrte Damen und Herren,

Sie schreiben u. a. zur "Frage: Ist die Speicherung von IP-Adressen in Access- und Errorlogs des Webservers unbedenklich?

Jein. IP-Adressen sind personenbezogene Daten, das heißt die Speicherung in Log-Dateien bedarf grundsätzlich einer Rechtfertigung nach DSGVO. Logfiles können statistisch ausgewertet werden und dienen daher der Verbesserung der Stabilität und Funktionalität der Website. Dies begründet ein überwiegendes berechtigtes Interesse des Online-Händlers an deren Speicherung und macht sie insoweit unbedenklich.

Auf die Speicherung von Accers- und Errorlogs ist allerdings unter Angabe der Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO) und Nennung des berechtigten Interesses zwingend in der Datenschutzerklärung zu informieren."

Meines Erachtens fehlt hier die Auseinandersetzung mit der Frage, ob NACH der statistischen Auswertung die IP-Adressen - etwa beim Archivieren - zu l”schen oder zumindest zu anonymsieren sind.

Fallen Arbeiten an CMS-basierten Websites unter "Fernwartung"?

Beitrag von Anke O.
28.06.2018, 14:30 Uhr

Diese Frage betrifft eigentlich das Heer der Webdesigner und -entwickler, weshalb es mich wundert, dass sie offenbar noch niemand gestellt hat.

Als Webdesigner und Webmaster arbeitet man heutzutage meistens in einem CMS auf dem Webserver, d.h. "online" und verwaltet i.d.R. auch die Datenbanken, Serverlogs und Hostingpakete. Streng genommen ist das eine Form der Fernwartung, aber ist sie das auch im Sinne der Auftragsverarbeitung lt. DSGVO? (Es geht mir hier nur um den Begriff der Fernwartung, nicht um mögliche Zugriffe auf personenbezogene Daten.)

Schutz von Daten durch Passwörter

Beitrag von Petra Schumacher
24.05.2018, 11:11 Uhr

Hallo, sie sprechen vom "Einsatz von Passwörtern zur Verschlüsselung von Dateien". Können Sie die Angaben in dem Bereich bitte präzisieren? Normalerweise sind Passwörter eine Art der Zugriffskontrolle, aber eben keine Verschlüsselung. Reicht es wenn aus wenn die Daten durch ein Passwort vor fremden Zugriff geschützt werden, oder müssen Daten tatsächlich verschlüsselt gespeichert werden? Aus technischer sicht bestehen hier wichtige unterschiede.

IT-Dienstleister als ADV - Kurzpapier 13 der DSK

Beitrag von Freddie
06.04.2018, 11:34 Uhr

Im Kurzpapier Nr. 13 der Datenschutzkonferenz heißt es zu der Frage, ob IT-Dienstleister Auftragsverarbeiter sind: Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DS-GVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DS-GVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Hiernach reicht also bereits die bloße Möglichkeit eines Datenzugriffs aus. Wie passt das zu Ihrer Einschätzung, dass IT-Dienstleistungen regelmäßig keine Auftragsverarbeitung darstellen.

Einwilligung bei Kundenanmeldung im Shop wenn kein Vertrag zustande kommt.

Beitrag von Rudolf
24.03.2018, 14:45 Uhr

Hallo, nach Art 6. Zif b ist ja eine Einwilligung eines Kunden in die Speicherung seiner Daten ja nicht notwendig wenn die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Antrag der betroffenen Person erfolgen. Wie ist aber die Rechtslage wenn die Person sich zwar angemeldet hat, dann aber doch nichts kauft. Es kommt ja dann zu keinem Vertragsverhältnis auch zu keinem Vorvertrag. Müsste dann nicht doch generell in einem Onlineshop eine Einwilligung zur Datenspeicherung bei Kundenanmeldung eingeholt werden?

Auftragsverarbeitung

Beitrag von Emanuel
26.02.2018, 06:33 Uhr

Sehr gute Auflistung, vielen Dank hiefür! Was allerdings ein bißchen unterging und worauf man generell hinweisen sollte ist, dass man für alle Tools/Plugins, die man so auf seiner Webseite verwendet und die personenbezogene Daten übertragen, einen Auftragsverarbeitungsvertrag mit dem Hersteller benötigt, richtig?

Frau

Beitrag von Christine
19.02.2018, 12:30 Uhr

Mich würde interessieren, wie es aussieht, wenn die Kundenrechnung über den Online Shop (mit einem zusätlichen Tool) generiert wird. Sollen die Daten nach 2 Jahren gelöscht werden, so gibt es die digitale Rechnung dann auch nicht mehr. Muss trotzdem alles gelöscht werden und Rechnungen separat aufbewahrt werden (ausgedruckt oder am ext. Speicherort)?

Einwilligung / Prokollierung

Beitrag von Nadine Ahlgrimm
17.02.2018, 07:33 Uhr

Hallo, Mir stellt sich die Frage, wie es mit der Einwilligung / Protokollierung in der Praxis aussieht wenn man auf Plattformen verkauft. Sollte man dies manuell bei jeden Kunden machen müssen und diese Einwilligung speichern bedeutet das einen erheblichen Mehraufwand von 100% mehr Zeit für eine Bestellung. Wird das automatisiert über die Plattformen laufen, dass beim klicken auf ,,Kaufen,, automatisch die neue Einwilligung als gelesen gilt und bei eBay / dawanda / Amazon als Dokument jederzeit einsehbar gespeichert wird oder muss man jedem Kunden manuell diese neue Einwilligung zusenden, unterschreiben lassen und danach zurückverlangen und als Dokument speichern ??

"3.) Kundendaten in der Warenwirtschaft: 2 Jahre nach Lieferung" löschen - welche Daten reichen?

Beitrag von Juergen vom Ideen von A-Z Team
16.02.2018, 16:56 Uhr

Mich würde interessieren welche Daten würden denn reichen um die Anforderungen zu erfüllen.

Also reichen:

- Rechnungs- & Lieferadresse: Firmenname - Rechnungs- & Lieferadresse: Vorname - Rechnungs- & Lieferadresse: Nachname - Rechnungs- & Lieferadresse: Ansprechpartner bei Firmen

oder muss einfach alles gelöscht werden? Firma, Vorname, Nachname, PLZ, ORT, Straße ...

Beste Grüße,

Juergen

Kommentar schreiben

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller