DSGVO

Aus OBS Wiki
Zur Navigation springen Zur Suche springen

Allgemeines

Ab dem 25.05.2018 ist die neue Datenschutzgrundverordnung (kurz DSGVO) bindend. Dabei handelt es sich um eine Verordnung der Europäischen Union, um Regeln für die Verarbeitung personenbezogener Daten durch Unternehmen in der EU zu vereinheitlichen. EU-weit soll so der Schutz personenbezogener Daten gewährleistet werden. Die neue Verordnung löst eine alte Verordnung aus dem Jahr 1995 ab. Informationen zur neuen Verordnung finden Sie unter dsgvo-gesetz.de.

ACHTUNG: DSGVO [Artikel 32] verpflichtet Unternehmen, ihre Daten dem „Stand der Technik“ entsprechend zu schützen. Dies ist nicht eindeutig definiert und es gibt verschiedene Interpretationen dafür.
Um diesem Problem aus dem Weg zu gehen, verwenden Sie bitte keine Clients mit dem Betriebssystem Windows XP oder ältere als Windows Server 2008 R2, für die es keine Sicherheitsupdates vom Hersteller mehr gibt. Das Modul DSGVO Datenanalyse ist mit OBS 3.0 Version 002594 verfügbar. Aktuelle System-Voraussetzungen für OBS 3.0 finden Sie hier.

DSGVO in OBS

Wie funktioniert die Zugriffskontrolle?

Ihre Windows/Client Anmeldung ist maßgebend für die Zugangskontrolle zum Arbeitsplatz. Ab OBS 3.0 Version 002593 müssen Passwörter im OBS müssen mindestens 6 Zeichen lang sein. Nach der 3. falschen Anmeldung beenden sich das Programm und muss neu gestartet werden. Innerhalb des Programms werden Zugriffe auf bestimmte Funktionen und Daten über Benutzerlevel (0 bis 9) gesteuert. Die Berechtigung kann benutzerbezogen/formularbezogen vom Kunden auch individuell für Benutzer verändert werden. Die Berechtigungsvergabe liegt in Kundenverantwortung.

Was wird protokolliert und wer kann die Protokolle einsehen?

Vorgangsbezogene Protokolle SEPA/Verträge/FTP/MAIL/… haben die gleiche Berechtigung wie die Vorgangsbearbeitung. Der Zugriff auf die internen Protokolle ist nur Benutzer ab Level 5 möglich. Bei einigen modulbezogenen Protokollen kann dies auch darunter liegen, wenn der Zugriff für das jeweilige Modul entsprechend freigegeben ist. Für wichtige Vorgänge (Auftrag, Rechnung, Einkauf,...) gibt es ein Löschprotokoll

Wie ist der Updatezyklus?

Neue OBS-Versionen werden auf Kundenwunsch eingespielt. Kunden werden bei Zwangsupdates (Gesetzesänderungen/IT Technik/...) informiert. Informationen werden über die programminternen Update-Informationen im Info-Widget mitgeteilt.

Wie laufen die internen Datensicherungen?

OBS kann eine Datensicherung der Datenbank Täglich und Wöchentlich automatisch durchführen. Dies läuft nicht standardmäßig sondern muss eingerichtet werden.
Gespeichert wird dabei wie folgt:

  • Täglich: die letzten 7 Tage
  • Wöchentlich: die letzten 4 Wochen


Das bedeutet, dass nach einer Anonymisierung der Daten mit dem Modul DSGVO Datenanalyse spätestens nach 4 Wochen alle internen Datenbanksicherungen auch anonymisiert sind.

Welche Daten werden von OBS gesammelt und and die Frima Ernst Bergau GmbH übertragen?

Zur Pflege der Sortware werden von OBS in regelmäßigen Abstände folgende Daten ermittelt und übertragen:

  • Größe/Satzanzahl der Datanbanktabellen
  • Freigeschaltete Module
  • Programm-Parameter
  • Server Version
  • OBS Version
  • User-Drucke
  • User Macros

Was muss bei Streckengeschäften/Streckenlieferungen beachtet werden?

Streckenlieferungen (englisch: Dropshipping) bedeutet, dass vom Händler angebotene Produkte nicht vom Händler selbst versendet werden. Die Artikel liegen bei Dritten (in der Regel Hersteller oder Großhändler) auf Lager. Für die Erfüllung eines Auftrags ist die Übermittlung personenbezogener Kundendaten (Adresse) erforderlich.

Auch nach der neuen DSGVO gilt das, was wir bereits aus dem Bundesdatenschutzgesetz (BDSG) kennen: Es ist alles verboten – außer, es ist ausnahmsweise erlaubt. Es gibt einige „Erlaubnistatbestände“, die beim Streckengeschäft greifen können, mit denen sich Händler auseinandersetzen müssen. Denn: Sie müssen sowohl in einem Verfahrensverzeichnis als auch in der Datenschutzinformation genau darüber informieren, welche Daten zu welchem Zweck auf welcher rechtlichen Grundlage verarbeitet – und ggf. an wen und warum weitergegeben werden.


DIE FÜR DAS DROPSHIPPING/STRECKENGESCHÄFT PRAKTISCH RELEVANTEN ERLAUBNISTATBESTÄNDE SIND DIESE:

  • Einwilligung: Zunächst ist die Verarbeitung personenbezogener Daten nach Art. 6 Abs.1a DSGVO immer rechtmäßig, wenn die betroffene Person ihre ausdrückliche Einwilligung zu der Verarbeitung erteilt hat.


  • Zur Erfüllung eines Vertrags erforderlich: Ohne Einwilligung kann die Datenverarbeitung nach Art. 6 Abs.1b DSGVO zulässig sein, wenn sie für die Erfüllung eines Vertrages erforderlich ist. Beim Dropshipping werden die Kundendaten gerade zur Vertragserfüllung weitergegeben, denn anderenfalls wäre die Lieferung der Ware nicht möglich. Die Weitergabe ist also notwendig, damit die Kunden ihre Kaufgegenstände erhalten und der Verkäufer seiner Pflicht aus dem Kaufvertrag nachkommen kann. In der Regel ist die Datenweitergabe vom Händler an den Lieferanten daher nach Art. 6 Abs.1bDSGVO auch ohne Einwilligung der Kunden zulässig.


Vorsicht ist jedoch geboten, wenn Kunden im Online-Shop eine Rechnungsadresse und eine abweichende Lieferadresse angeben, etwa um Geschenke direkt an den Beschenkten liefern zu lassen oder um die Lieferung zu beschleunigen. Wenn Kunden selten zu Hause sind, wird gerne die Adresse eines Bekannten angegeben, der das Paket entgegennehmen kann. Nach Art. 6 Abs.1bDSGVO ist die Datenverarbeitung nur zulässig, wenn die betroffene Person auch die Vertragspartei, also der Käufer selbst, ist. Das ist in den genannten Beispielen jedoch nicht der Fall, da weder der Beschenkte, noch ein Bekannter, der das Paket entgegennimmt, Vertragspartei des Kaufvertrages wird. In diesen Fällen greift Art. 6 Abs.1bDSGVO also nicht.


  • Berechtigte Interessen des Verkäufers: In diesen Fällen kann jedoch Art. 6 Abs.1fDSGVO abhelfen. Danach ist eine Verarbeitung zulässig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht gegenstehende Interessen der betroffenen Person überwiegen. Bestellte Ware zum vom Kunden gewünschten Ort zu liefern, liegt eindeutig im Interesse des Verkäufers. Es stellt sich also lediglich die Frage, ob ggf. entgegenstehende Interessen der Empfänger der Waren dem Interesse des Verkäufers überwiegene könnte, die für Freunde Pakete empfangen, werden in der Regel zuvor gefragt, ob sie ein Paket entgegennehmen können.


Sie wissen also, dass Ihre Adressdaten zur Anlieferung an ein Lieferunternehmen weitergegeben werden müssen. Doch auch Beschenkte, die zuvor nichts von der Lieferung wissen, werden keine besonderen Interessen haben, die der Verarbeitung der Lieferadresse widersprechen. Im Ergebnis ist die Verarbeitung der Daten beim Dropshipping also auch in diesen Fällen ohne die Einwilligung der Kunden, bzw. Empfänger erlaubt.



WELCHE DATEN DÜRFEN WEITERGEGEBEN WERDEN?
Damit die vorgenannten Ausnahmen greifen, dürfen jedoch ausschließlich solche Daten weitergegeben werden, die für die Lieferung der Waren zwingend erforderlich sind. Dazu gehören der Name und die Lieferanschrift. Die Weitergabe von Daten, die nicht für die Lieferung notwendig oder auch nicht von einem berechtigten Interesse gedeckt sind, sind ohne besondere Einwilligung der Kunden unzulässig. Zudem dürfen die Daten nur zum Zweck der Lieferung weitergegeben werden. Unternehmen, die von Verkäufern Daten für das Dropshipping erhalten, dürfen diese also im Anschluss nicht für Marketing- oder Analysezwecke verwenden.

MUSS EXTRA NOCH EIN VERTRAG ZUR AUFTRAGSDATENVERARBEITUNG GESCHLOSSEN WERDEN?
Ein Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag), nach der DSGVO neu "Auftragsverarbeitung", muss beim Dropshipping weder nach der bisherigen Rechtslage, noch nach der neuen Rechtslage geschlossen werden. Momentan fällt die Weitergabe der Kundendaten an den Lieferanten im Rahmen eines Dropshipping-Vertrags unter die sog. "Funktionsübertragung". Diese liegt vor, wenn der Auftragnehmer eigene Entscheidungen dahingehend treffen kann, wie er den Auftrag abwickelt. Beim Dropshipping entscheidet der Auftragnehmer (Lieferant) selbst, wie er seine Lieferungen durchführt, die dazugehörigen logistischen Prozesse aufbaut und die Lieferdaten der Kunden dazu in seinen Systemen speichert. Damit ist der Lieferant letztlich kein weisungsgebundener Auftragnehmer im Sinne einer Auftragsdatenverarbeitung. Auch ab Mai 2018 stellt Dropshipping nach der DSGVO keine Auftragsverarbeitung dar, denn der Lieferant verarbeitet die personenbezogenen Daten des Kunden nicht im "Auftrag" des Händlers. Die Auftragsdatenverarbeitung nach dem aktuellen BDSG ist durch eine Weisungsgebundenheit des Auftragsnehmers gekennzeichnet. Davon ist zwar in der Definition des neuen Auftragsverarbeiters in Art. 4 Nr. 7 DSGVO keine Rede mehr. Allerdings regelt Art. 29 DSGVO ausdrücklich, dass der Auftragsverarbeiter die Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten darf. Das passt jedoch nicht auf das Drop-shipping, bei dem letztlich eine "echte Datenübertragung" vorliegt, wenn der Lieferant die Kundendaten vom Händler zum Zwecke der direkten Lieferung der Ware erhält.

Modul Datenanalyse

Näheres zum kostenlosen Modul finden Sie hier.

Downloads

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 EU-DSGVO