DSGVO für Onlinehändler und Nutzer von JTL-Produkten

Heute ist es soweit: Die DSGVO tritt in Kraft. Die meisten Unternehmen, die in irgendeiner Form mit Daten hantieren, in dem Sie beispielsweise einen Newsletter betreiben oder schlichtweg für den Versand von Waren die Kontaktdaten ihrer Kunden benötigen – die neue Datenschutzgrundverordnung betrifft fast jeden. Während es durchaus ratsam ist, das Thema Datenschutz ernst zu nehmen, ist Panik sicherlich die falsche Reaktion. Die Richtlinien thematisieren den Schutz personenbezogener Daten und entsprechend sollte hier auch der Fokus der Unternehmer liegen. Wer die personenbezogenen Daten, mit denen gearbeitet wird, ausreichend und gut nach den Vorgaben der Datenschutz-Grundverordnung schützt, der hat grundsätzlich auch nichts zu befürchten. Daher sollten Sie, wenn noch nicht geschehen, umgehend auf die neuen Vorschriften der DSGVO reagieren und tätig werden, bevor es zu einer Prüfung durch die Aufsichtsbehörden kommt. In einem vorangegangenen Beitrag haben wir bereits eine ganze Reihe erster Handlungsempfehlungen mit Ihnen geteilt, die Ihnen dabei helfen können, einen Einstieg in das Thema Datenschutz zu finden. In diesem Beitrag möchten wir uns aber gezielt an Onlinehändler richten. Viele von Ihnen nutzen in der einen oder anderen Form Produkte von JTL. Ganz egal ob der eigene Onlineshop über JTL-Shop betrieben oder einfach die kostenlose JTL-Wawi für die Warenwirtschaft eingesetzt wird – die DSGVO kommt bei der Verwendung von JTL-Produkten zum Tragen. JTL hat unlängst seine Kunden darüber in einem Newsletter informiert. Hier wurde eine Reihe von Maßnahmen empfohlen, die dabei helfen sollen, sich optimal auf eine Prüfung durch die Aufsichtsbehörde vorzubereiten. Diese vorläufigen Maßnahmen und einige zusätzliche Tipps und Hinweise möchten wir nochmals in diesem Beitrag mit Ihnen teilen.

Neuer Auftragsverarbeitungsvertrag (AVV)

Entsprechend der EU-Datenschutz-Grundverordnung muss jedes Unternehmen, das personenbezogene Daten von einem Dienstleister verarbeiten lässt, einen Auftragsverarbeitungs-Vertrag (kurz: AV-Vertrag oder AVV) abschließen. Auch für die Zusammenarbeit mit JTL wird ein solcher Vertrag benötigt, weshalb JTL seine Kunden noch einmal daran erinnert hat, dem AVV zuzustimmen. JTL-Kunden finden den AV-Vertrag in ihrem JTL-Kundencenter, sobald sie sich eingeloggt haben. Eine weitere Zusammenarbeit kann nur dann erfolgen, wenn der Vertrag gelesen und diesem zugestimmt wurde. Praktischerweise wird der neue AVV den Kunden direkt nach dem Login angezeigt. Um Fehleingaben zu vermeiden, sollten bereits eingegebene Daten noch einmal abgeglichen werden. Wichtig ist vor allem, dass der verantwortliche Unternehmer eingetragen ist und nicht vielleicht der Buchhalter oder ein weiterer Mitarbeiter. Ist hier ein Fehler unterlaufen, können Veränderungen über den Menüpunkt „Kontaktdaten“ durchgeführt werden. DSGVO-Bevollmächtigte sollten, sofern vorhanden, jeweils unter dem Unterpunkt „Weitere Ansprechpartner“ hinterlegt werden, wobei es besonders wichtig ist, einen Haken an dem Punkt „Diese Person ist Bevollmächtigter im Sinne der DSGVO“ zu setzen. Werden die durchgeführten Änderungen in den Einstellungen gespeichert, übernimmt das System diese automatisch in den Vertrag. Dem Vertrag kann nun zugestimmt werden. Sollten später noch Fragen oder Unklarheiten bestehen, lässt sich der Vertrag auch zu einem anderen Zeitpunkt nochmals im Kundencenter unter dem Reiter „Kontaktdaten“ nachlesen. Auch nach dem 25.5.2018 wird es Kunden noch möglich sein, dem Vertrag zuzustimmen, wobei wir nur anraten können, dies schnellstmöglich zu machen, damit auch weiterhin eine Zusammenarbeit im Sinne der DSGVO erfolgen kann.

Datenschutzerklärung im JTL-Shop aktualisieren

Eine Datenschutzerklärung zu integrieren ist längst für alle Webseitenbetreiber, ob nun Privatperson oder Unternehmen, Pflicht. Hier werden die Maßnahmen genannt, die dazu dienen, die Privatsphäre der Nutzer zu wahren und ihre personenbezogenen Daten zu schützen. Die nun veränderte Rechtslage erfordert eine Aktualisierung, die idealerweise bis zum 25.5. durchgeführt werden sollte oder schnellstmöglich nachgeholt werden muss. Mit einer nicht aktuellen DSGVO-konformen Datenschutzbelehrung auf der Webseite macht man sich nun sehr leicht angreifbar, denn kaum etwas ist durch Außenstehende so leicht überprüfbar, wie die Fehler hier. Wer keinen Profi mit der Erstellung beauftragen will, findet im Internet zahlreiche Generatoren, die eine Datenschutzerklärung vorformulieren. Hier sollte allerdings darauf geachtet werden, einen aktuellen Generator mit guten Bewertungen zu verwenden, um auf der sicheren Seite zu sein. Es ist jedoch davon abzuraten, diese Musterdatenschutzerklärung eins zu eins zu übernehmen. Jede Datenschutzerklärung ist entsprechend auf das eigene Unternehmen anzupassen. Eine Aktualisierung ist in jedem Fall empfohlen, selbst wenn die Datenschutzerklärung bis dato ausreichend erschien.

DSGVO und die JTL-Wawi

Für all diejenigen, die noch mit einer älteren Version der JTL-Wawi arbeiten, haben wir schlechte Nachrichten. Erst ab Version 1.3.17.0 ist die JTL Warenwirtschaft konform mit der DSGVO. Idealerweise sollte allerdings die aktuellste Version, nämlich die JTL-Wawi 1.3.17.1 verwendet werden, da hier zusätzliche Funktionen zur Verfügung stehen, die den Schutz personenbezogener Daten weiter erleichtern.

Nachdem die Wawi aktualisiert wurde, müssen sich Nutzer vor allem auf das neue Recht auf „Vergessenwerden & Löschung“ vorbereiten. Laut Artikel 17 der DSGVO haben betroffene Personen das Recht, vom Auftragsverarbeiter zu verlangen, personenbezogene Daten unverzüglich zu löschen, sobald diese beispielsweise nicht mehr verarbeitet werden oder schlicht die Einwilligung zur Datenverarbeitung widerrufen wurde. Auch Händler sind dann entsprechend in der Handlungspflicht. Die JTL-Wawi gestaltet den Vorgang der Löschung allerdings besonders leicht, indem eine Löschen-Funktion angeboten wird. Alle nicht rechnungsrelevanten Daten können damit jederzeit entfernt werden. Rechnungsdaten müssen in Deutschland gesetzlich 10 Jahre lang gespeichert werden, weshalb das System eine Löschung nicht unterstützt.

Kundendaten in der Wawi löschen – Eine kurze Anleitung

  1. Die JTL-Wawi starten und den Bereich „Kunden“ öffnen.
  2. Den betroffenen Kunden heraussuchen.
  3. Den Kunden markieren und auf die Schaltfläche „Löschen“ klicken.
  4. Es erfolgt nun sicherheitshalber eine weitere Rückfrage, in der man ein weiteres Mal bestätigen muss, ob der Kunde gelöscht werden soll. Ein Klick auf „Ja“ löscht den Kunden aus der JTL-Wawi, indem dieser in der Datenbank als inaktiv gewertet wird.
  5. Inaktive Kunden können über die Datenbankverwaltung gelöscht werden.
  6. Hierfür öffnet ein Administrator in der Datenbank (Start > Datenbank) die Mandantenübersicht.
  7. Über die Funktion „Mandanten bearbeiten“ lässt sich die Option „Datenbank bereinigen“ öffnen. Hier können nun alle inaktiven Kunden ausgewählt werden, woraufhin ein Start der Bereinigung die inaktiven Datensätze aus der Datenbank entfernt.

Neben dem Recht auf Löschung haben Kunden auch ein Recht auf Auskunft. Dies berechtigt diese, eine Auskunft über die von ihnen gespeicherten Daten zu verlangen. Auch hier wurde die JTL-Wawi mit einer praktischen Funktion ausgestattet. Unter dem Menüpunkt Kunden>Prüfen>Personenbezogene Daten lässt sich mit nur wenigen Klicks eine Druckvorlage erstellen, die man dem Kunden zustellen kann.

Weitere Informationen dazu, welche personenbezogenen Daten im Sinne der DSGVO in der JTL-Wawi verarbeitet werden, finden Sie hier.

JTL-Shop überprüfen

Auch für den JTL-Shop gilt, dass Kunden ein Recht auf Löschung haben. Hierfür stellt JTL ein Plugin bereit, mit dem das Recht vollautomatisch umgesetzt werden kann. Kompatibel ist das Plugin mit den Shop-Versionen 3.20 sowie 4.00-4.06.

Zum GitLab: Plugin-Download

Eine Übersicht der im JTL-Shop gespeicherten, personenbezogenen Daten nach DSGVO sowie weitere Informationen, stellt JTL hier in einer Übersicht bereit.  Auch Fragen bezüglich des Auskunftsrechts, des Rechts auf Löschung sowie vieler weiterer Themen im Kontext der DSGVO, wurden hier anschaulich beantwortet.

Absichern der Datenbankverbindung

Unabhängig davon ob die Datenbanken mittels JTL-Software betrieben werden oder beispielsweise auf SQL-Servern von Microsoft basieren, in jedem Fall sind auch hier Maßnahmen erforderlich, um diese entsprechend der DSGVO abzusichern.

Wer per Remote arbeitet oder von mehreren Standorten auf die JTL-Wawi zugreift, der nutzt dafür in der Regel einen SQL-Server, der über das Internet angesteuert werden kann. Wawi und Datenbank kommunizieren dabei normalerweise im Klartext, also unverschlüsselt, was es unautorisierten Personen im Falle eines Zugriffs ermöglicht, auch die Daten aus der Datenbank auszulesen. Um das zu verhindern sollten die Verbindung und der Datenverkehr über ein SSL-Zertifikat verschlüsselt werden. Der Einsatz von SSL (Secure Socket Layer) bietet den Vorteil, dass die Datenübertragung damit praktisch abhörsicher gemacht wird. Weiterhin erhöht sich hierdurch die Vertrauenswürdigkeit Ihres Shops, denn Nutzer verbinden das Vorhandensein eines SSL-Zertifikats mit erhöhter Sicherheit. Ein offiziell gültiges SSL-Zertifikat zur Absicherung Ihrer Datenverbindung erhalten Sie auf Wunsch auch bei uns.

Jedes SSL-Zertifikat wird gezielt für den Server ausgestellt, auf dem es im Anschluss verwendet wird. Es ist deshalb besonders wichtig, beim Antrag die korrekte Server-Adresse zu übermitteln. In einem gesonderten Beitrag hat JTL eine Schritt für Schritt Anleitung für die Einrichtung des SSL-Zertifikats bereitgestellt. Interessierte, können hier also weiterführende Informationen finden.

JTL-Hosting-Kunden

Einige Händler nutzen außerdem den Hosting-Dienst von JTL. Hier ist vom Händler selbst keine weitere Handlung erforderlich, allerdings hat JTL diverse Inhouse-Maßnahmen ergriffen, die wir hier noch einmal benennen möchten.

  • JTL erzwingt Server-seitig die Verschlüsslung der Daten, sowie eine Verschlüsslung beim JTL-SQL-Hosting, die standardmäßig immer aktiv ist.
  • Personenbezogene Daten werden spätestens 21 Tage nach Kündigung eines Hosting-Paketes restlos entfernt, womit das Recht auf Löschung gewährleistet ist.
  • Log-Dateien wie die IP-Adresse oder die Uhrzeit, die bei einem Shopzugriff erhoben werden, werden ab sofort nach Ablauf einer Woche vollautomatisch wieder überschrieben. Eine längere Speicherung findet nicht statt.

Übermittlung von Zugangsdaten mit JTL-OneTimeLink

Es ist nötig, JTL zum Beispiel für die Fehlerbehebung, temporär gültige Zugangsdaten zu übermitteln – Kann dies künftig nur noch über das Tool JTL-OneTimeLink geschehen. Mit OTL ist es möglich, sensible Daten sicher online auszutauschen. Die Datensätze werden, sobald sie vom Empfänger erhalten wurden, unwiderruflich gelöscht. Offizielle Anfragen zur Übermittlung sensibler Daten werden von JTL in Zukunft entsprechend ausschließlich über OTL angefragt.

Letztendlich wird sich in den kommenden Wochen herausstellen, wer sich ausreichend vorbereitet hat oder wem die neue Datenschutz-Grundverordnung Probleme bereitet. Es ist anzunehmen, dass zeitnah erste Urteile zum neuen Gesetz folgen, anhand derer sich weitere Rückschlüsse bezüglich der Angemessenheit verschiedener Maßnahmen ziehen lassen. Jeder, der mit dem Thema Datenschutz zu tun hat, sollte also aufmerksam bleiben und eventuell getroffene Handlungen entsprechend erster, rechtskräftiger Urteile, anpassen oder zurückziehen. Wir werden Sie selbstverständlich in unserem Blog oder über Facebook über wichtige Änderungen oder Neuigkeiten informieren.

Wir hoffen, dass dieser Beitrag Ihnen dabei helfen konnte, sich zu informieren und entsprechend auf die DSGVO vorzubereiten. Sollten Sie noch Fragen bezüglich der optimalen Vorbereitung auf die DSGVO speziell bei Verwendung verschiedener JTL-Produkte haben, können Sie diese gern an uns richten und wir helfen bei der Klärung. Gern unterstützen wir Sie auch bei der Etablierung eines neuen, DSGVO-gerechten Datenschutz-Konzepts. Nutzen Sie für Anfragen aller Art einfach unsere Kontaktmöglichkeiten.

Hinweis: Dieser Text ersetzt keine Rechtsberatung und ist nicht rechtsverbindlich. Für verbindliche Aussagen, raten wir Ihnen, einen eigenen Rechtsbeistand zu konsultieren.

Jetzt unverbindlich beraten lassen
Inhalt dieses Beitrags