Verarbeitung von personenbezogenen Daten nach DSGVO

Hinweis: Diese Dokumentation bezieht sich auf JTL-Shop 4. Die Dokumentation für JTL-Shop 5 befindet sich aktuell unter JTL-Shop.

Einführung

Auf dieser Seite haben wir alle wichtigen Informationen zum Thema Verarbeitung von personenbezogenen Daten für Nutzer von JTL-Shop gesammelt. Sie adressieren viele Fragen, die im Rahmen der Datenschutz-Grundverordnung (DSGVO) auftreten.

Bitte beachten Sie, dass diese Seite lediglich zu Ihrer Information und Unterstützung dient. Es handelt sich hierbei um keine rechtsverbindliche Beratung. Für juristisch verbindliche Aussagen zum Thema EU-DSGVO wenden Sie sich bitte an Ihren Rechtsbeistand.

Zur DSGVO-Infoseite von JTL-Wawi

Inhalte

Prozesse und Datenspeicherung in der Software

Die nachfolgende Auflistung erläutert, wo in JTL-Shop personenbezogene Daten verarbeitet und gespeichert werden. Die Informationen können von Betreibern von JTL-Shops genutzt werden, um Anfragen zum Auskunfts- oder Löschrecht zu beantworten.

Über welche Funktionen/Prozesse werden personenbezogene Daten in der Applikation verarbeitet und wo werden diese in der Datenbank abgelegt?

Funktion/Kategorie

Datenbanktabelle sowie Felder

Verarbeitungszweck in der Applikation

Dauer der Speicherung / Bearbeitungs- und Löschmöglichkeiten

Anmerkungen

personenbezogene Daten von Endkunden (Shopbesucher / Käufer im Onlineshop)

Kundenregistrierung

Mein Konto: Adressformular

JTL-Wawi: Kunde an Onlineshop senden

tkunde

  • cKundenNr
  • cAnrede
  • cTitel
  • cVorname
  • cNachname
  • cFirma
  • cZusatz
  • cStrasse
  • cHausnummer
  • cAdressZusatz
  • cPLZ
  • cOrt
  • cBundesland
  • cTel
  • cUSTID
  • cMail
  • cFax
  • cMobil
  • cWWW
  • cGeburtstag

tkundendatenhistory

  • cJsonAlt
  • cJsonNeu
  • Adressdaten werden standardmäßig als Rechnungsadresse gesetzt
  • E-Mail/Telefon: Kommunikation mit dem Kunden zum Bestellstatus
  • Bei Kundenkonto-Registrierung Speicherung der Daten zwecks Wiederverwendbarkeit bei nächster Bestellung
  • In der Datenbanktabelle tkundendatenhistory wird jede Änderung der Daten protokolliert. Das gesamte Kundendatenobjekt wird in JSON-Form im alten und im neuen Zustand in einem Datensatz persistiert.
  • Bei Gastbestellungen bis zum Versand der Bestellung (danach erfolgt automatisch die Löschung).
  • Bis zur Löschung in JTL-Wawi durch Onlineshop-Abgleich (setzt voraus, dass JTL-Wawi den Kundendatensatz aus dem Shop kennt)
  • Bis zur manuellen Löschung des Kundenkontos durch den Kunden selbst (Mein Konto → Link Kundenkonto löschen)
  • Kunde hat die Möglichkeit, die Daten unter Mein Konto selbst zu bearbeiten
  • Händler hat die Möglichkeit, Daten in der Wawi zu berichtigen und über den Onlineshop-Abgleich zu korrigieren
  • Die Tabelle tkundendatenhistory wird bei Shop zurücksetzen (Alle Kunden löschen) geleert

Abhängig von den Kundenformular-Einstellungen im Shop-Backend werden nur Daten abgefragt und gespeichert, welche mindestens als optional aktiviert wurden.

Über selbstdefinierte Kundenfelder können ggf. weitere personenbezogene Daten bei der Registrierung erhoben werden.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur erforderliche Daten zu erfragen.

Bestellabschluss

(Rechnungs und Lieferadresse)

tkunde mit den o.g. Feldern

trechnungsadresse inkl. sämtlicher Felder

tlieferadresse inkl. sämtlicher Felder

tkundendatenhistory

  • cJsonAlt
  • cJsonNeu
  • Rechnungs- und Lieferadresse sind zur Abwicklung der Bestellung notwendig
  • An die in der Rechnungsadresse hinterlegte E-Mail werden E-Mails versendet, um über den aktuellen Status der Bestellung zu informieren
  • Ggf. Rückfragen zur Bestellung / Lieferung per E-Mail oder Telefon (sofern eine Telefonnummer abgefragt wird)
  • In der Datenbanktabelle tkundendatenhistory wird jede Änderung der Daten protokolliert. Das gesamte Kundendatenobjekt wird in JSON-Form im alten und im neuen Zustand in einem Datensatz persistiert.
  • Bei Gastbestellungen bis zum Versand der Bestellung (danach erfolgt automatisch die Löschung).
  • Bis zur Löschung in JTL-Wawi durch Onlineshop-Abgleich (setzt voraus, dass JTL-Wawi den Kundendatensatz aus dem Shop kennt)
  • Bis zur manuellen Löschung des Kundenkontos durch den Kunden selbst (Mein Konto → Link Kundenkonto löschen)
  • Kunde hat die Möglichkeit, die Kundendaten unter Mein Konto selbst zu bearbeiten (gilt jedoch nicht für Rechnungs/Lieferadresse von getätigten Bestellungen)
  • Händler hat die Möglichkeit, Daten in der Wawi zu berichtigen und über Onlineshop-Abgleich zu korrigieren (gilt auch für Adressdaten zu Bestellungen)
  • Die Tabelle tkundendatenhistory wird bei Shop zurücksetzen („Alle Kunden löschen“) geleert

Zwecks Auftragsabwicklung werden die folgenden Daten immer als Pflichtfelder abgefragt: Nachname, Straße, Hausnummer, PLZ, Ort, E-Mail.

Abhängig von den Kundenformular-Einstellungen im Shop-Backend werden gegebenenfalls weitere Daten abgefragt und gespeichert, welche mindestens als optional aktiviert wurden.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur für diesen Verarbeitungszweck erforderliche Daten zu erfragen.

Kontaktformular

tkontakthistory

  • Persistierung über das Kontaktformular abgesendeter Nachrichten inkl. Kontaktdaten der betr. Person
  • Shop verhindert u.a. anhand der Tabelle Kontaktformular-Spamming, indem er den Zeitstempel sowie die IP-Adresse des Absenders gegenprüft
  • Unabhängig von der Speicherung in der Datenbank wird die Kontaktanfrage per E-Mail an den Shop-Betreiber versendet. Der E-Mail-Versand erfolgt verschlüsselt über SMTP (setzt SMTP + TLS in den E-Mail-Einstellungen des Backends voraus)

Bis v4.06: Daten bleiben archiviert (manuelle Löschung in der Datenbanktabelle)

Die Angabe einer E-Mail-Adresse zwecks Antwort ist verpflichtend vorgesehen.

Abhängig von den Kontaktformular-Einstellungen werden gegebenfalls weitere personenbezogene Daten z.B. Vorname/Name abgefragt.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur für diesen Verarbeitungszweck erforderliche Daten zu erfragen.

Produktbewertung

tbewertung

  • kKunde
  • cName

Kunde reicht Produktrezension ein. Händler schaltet diese manuell über das Backend frei

  • Bis zur manuellen Löschung durch Shop-Betreiber
  • Löschung ALLER Artikelbewertungen über „Shop zurücksetzen“-Funktion im Shop-Backend („Bewertungen“ anhaken)
  • Berichtigung und Anonymisierung des Namens im Shop-Backend möglich

Benachrichtigen, wenn verfügbar

tverfuegbarkeitsbenachrichtigung

  • cVorname
  • cNachname
  • cMail
  • cIP
  • Benachrichtigt den Kunden automatisch, sobald das angefragte Produkt wieder auf Lager ist
  • Die Verfügbarkeitsanfragen werden von JTL-Wawi abgeholt und sind dort einsehbar: Verfügbarkeitsanfragen.
  • Löschung erfolgt automatisch 90 Tage ab Benachrichtigungsdatum
  • Löschung ALLER Benachrichtungsanfragen durch „Shop zurücksetzen“-Funktion im Shop-Backend („Verfügbarkeits-Benachrichtigungen“ anhaken)

Frage zum Produkt

tproduktanfragehistory

  • cAnrede
  • cVorname
  • cNachname
  • cFirma
  • cTel
  • cFax
  • cMobil
  • cIP

Ermöglicht dem Kunden, zu einem Produkt eine Anfrage zu stellen. Die Anfrage wird dem Shop-Betreiber per E-Mail zugestellt. Die Anfragedetails werden zusätzlich in der Tabelle tproduktanfragehistory gespeichert und u.a. zu anonymen Statistikauswertungen und zur Spam-Abwehr genutzt.

Manuelle Löschung über die Shop-Datenbank.

News-Beitrag kommentieren

tnewskommentar

  • cName
  • cEmail

Optionale Funktion, sofern das shopinterne Newssystem in Verbindung mit der Kommentarfunktion genutzt wird (einstellbar im Shop-Backend).

Eine E-Mail-Adresse wird zur Kommunikation mit dem Kommentator sowie zur Freischaltung des Kommentars benötigt.

Bis zur manuellen Löschung des Kommentars über Shop-Backend durch den Händler.

Newsletter-Anmeldung

tnewsletterempfaenger

  • cAnrede (optional)
  • cVorname (optional)
  • cNachname (optional)
  • cEmail

tnewsletterempfaengerhistory inkl. sämtlicher Felder

Newsletterversand an Abonnenten, welche per Double-Opt-In in den Empfang der Newsletter eingewilligt haben.

Die Tabelle tnewsletterempfaengerhistory dient der gesetzlich geforderten Nachweispflicht, siehe: https://dsgvo-gesetz.de/art-7-dsgvo/

Abmeldung durch den Newsletterempfänger jederzeit über Link im Newsletter möglich

Freundschaftswerbung

tkundenwerbenkunden inkl. sämtlicher Felder

Zum Zwecke der optionalen Funktion „Kunden werben Kunden“ (Freunschaftswerbung).

Die Funktion ist standardmäßig deaktiviert, da „Tell-A-Friend-Funktionen“ allgemein rechtlich als problematisch einzustufen sind.

Zahlung über interne Zahlarten „Lastschrift“ oder „Kreditkarte“ (Bei Abwicklung direkt durch den Händler – SELTEN!)

tkundenkontodaten inkl. sämtlicher Felder

tzahlungsinfo inkl. sämtlicher Felder

  • SEPA-Lastschrift: Speicherung von IBAN und BIC – wird beim Abgleich von JTL-Wawi abgeholt.
  • Kreditkarte: Speicherung der Kreditkarteninformationen. Wird von JTL-Wawi abgeholt.

Daten bleiben archiviert und können bei Zurücksetzen der Wawi-Abholung erneut abgeholt werden.

Die Abwicklung von SEPA-Lastschriftmandaten sowie von Kreditkartenzahlungen wird in der Regel durch Drittdienstleister realisiert.

Bei Nutzung eines Drittanbieters zur Abwicklung von SEPA-Lastschriftmandaten oder Kreditkartenzahlungen werden KEINE Daten im Shop zwischengespeichert – die Abwicklung und Authorisierung erfolgt direkt zwischen Endkunde und Drittanbieter.

Speicherung von IP-Adressen

  • tbestellung.cIP
  • tbesucher.cIP
  • tbesucherarchiv.cIP
  • tfsession.cIP
  • tkontakthistory.cIP
  • tproduktanfragehistory.cIP
  • tredirectreferer.cIP
  • tsitemaptracker.cIP
  • tsuchanfragencache.cIP
  • ttagkunde.cIP
  • tumfragedurchfuehrung.cIP
  • tverfuegbarkeitsbenachrichtigung.cIP
  • tvergleichsliste.cIP

IP-Adressen werden standardmäßig nur in anonymisierter Form gespeichert. Beispielsweise wird die IPv4-Adresse 192.168.178.100 als 192.168.*.* gespeichert.

Die Anonymisierung von IP-Adressen kann global sowie für den Bestellabschluss konkret aufgehoben werden (so dass vollständige IPs gespeichert werden).

Die zugehörigen Einstellungen im Shop-Backend sind über die Suche nach Einstellung Nr. 1133 und 335 zu finden.

Es liegt in der Verantwortung des Händlers, nach dem Prinzip der Datenminimierung (DSGVO Art. 5 Abs. 1 c)) nur erforderliche Daten zu erfragen.

Logging-Funktionen und History-Tabellen

(Rechnungs und Lieferadresse)

  • temailhistory
  • tjtllog
  • tkontakthistory
  • tkundendatenhistory
  • tnewsletterempfaengerhistory
  • tzahlungslog

In Log-Tabellen werden Änderungen und Aktionen aufgezeichnet. Im Falle von Fehlfunktionen z. B. bei einer fehlerhaften Transaktion über einen Zahlungsdienstleister kann der Händler so nachvollziehen, wie es zu dem Problem gekommen ist.

In der Tabelle tjtllog werden Systemlogs aufgezeichnet. Je nach Logging-Einstellungen im Backend werden dort nur Fehler oder optional auch Warnings und Notices geloggt. In den Logs können vereinzelt personenbezogene Daten z. B. E-Mail-Adressen vorkommen.

Über die E-Mail-Historie kann der Händler nachträglich beweisen, welche Informationen dem Kunden per E-Mail zugesendet wurden (bzw. auch beweisen, welcher Inhalt NICHT enthalten war).

Die Kundendatenhistorie ermöglicht dem Händler, Probleme z. B. bei nachträglicher Änderung der UST-ID und damit verbundenenen steuerlichen Auswirkungen nachvollziehen und aufschlüsseln zu können.

  • tjtllog kann manuell im Shop-Backend geleert werden (Systemlog)
  • tzahlungslog kann manuell im Shop-Backend geleert werden (Zahlungsarten Übersicht)
  • temailhistory, tkontakthistory und tkundendatenhistory bleiben archiviert und können über die Datenbank geleert werden (Stand: v4.06.4)

Interne personenbezogene Daten zwecks Wartung und Administration

Benutzer im Admin-Backend

tadminlogin

  • cLogin
  • cName
  • cMail

tadminloginattribut

  • cAttribValue

Im Admin-Backend des Shops lassen sich verschiedene Benutzer anlegen, die Zugriff auf Teile oder auf den gesamten Admin-Bereich haben. Über die Gruppenzuordnung werden den Benutzern Rechte für den Zugriff auf bestimmte Bereiche im Backend zugewiesen. Über die hinterlegte E-Mail-Adresse kann ein Benutzer einen Passwort-Reset anfordern. Für Benutzer mit administrativen Rechten wird die 2-Faktor-Authentifizierung empfohlen, welche zusätzlichen Schutz bietet.

In der Tabelle tadminloginattribut wird ggf. der lokale Pfad zum Benutzer-Avatarbild (Gravatar) aufgeführt.

  • Bis zur manuellen Löschung
  • Der Zugang einzelner Benutzer lässt sich in der Benutzerverwaltung zeitlich begrenzen

Datensicherheit

Transportverschlüsselung: Wie wird sichergestellt, dass der Transport personenbezogener Daten verschlüsselt erfolgt?

In der Datenbank des JTL-Shop werden (zweckgebunden zur Auftragsabwicklung) personenbezogene Daten gespeichert. Diese Daten werden mit JTL-Wawi synchronisiert und teilweise auch in E-Mails wie Bestellbestätigungen genutzt. Je nach Plugins/Erweiterungen findet eventuell sogar ein Datenaustausch von personenbezogenen Daten mit einem Dritt-Dienstleister statt (z.B. zur Bonitätsprüfung). Nachfolgend ein paar Tipps zur Sicherstellung der Datensicherheit:

  • Stellen Sie sicher, dass Ihr Shop über ein gültiges SSL-Zertifikat verfügt und unsichere HTTP-Anfragen auf das sichere Protokoll HTTPS umgeleitet werden („SSL Only“).
  • Stellen Sie sicher, dass sämtliche Kommunikation vom und zum Shop über das sichere HTTPS-Protokoll erfolgt. Das gilt insbesondere für die Onlineshop-URL in den Einstellungen zur Onlineshop-Anbindung in JTL-Wawi.
  • Stellen Sie sicher, dass Sie in sämtlichen E-Mail-Einstellungen TLS zur verschlüsselten Übertragung nutzen (E-Mail-Einstellungen in JTL-Wawi (Admin > Global), SMTP-E-Mail-Einstellungen im Shop-Backend, lokale E-Mail-Programme)
  • Schränken Sie Backend-Zugänge sowie den Zugriff auf Wartungstools wie z. B. PHPMyAdmin so weit wie möglich ein (Admin-Personenkreis einschränken und ggf. technische Maßnahmen wie IP-Restriktionen oder .htaccess-Schutz ergreifen)

Applikations-Sicherheit: Welche Schutzmaßnahmen umfasst die Applikation gegen unbefugten Zugriff?

Es ist besonders wichtig, das Admin-Backend des Shops gegen unbefugten Zugriff zu schützen. JTL-Shop bietet für dieses Zwecke nativ eine 2Faktor-Authentifizierung an, welche den unbefugten Login selbst bei Daten-Diebstahl der Login-Daten wie Benutzername und Passwort verhindert. Informationen: 2-Faktor-Authentifizierung.

Die Benutzerverwaltung des Admin-Backends erlaubt eine gruppenbasierte Rechteverwaltung sowie zeitlich beschränkte Zugriffe z.B. für Supportzwecke. Nutzen Sie diese Möglichkeit, um unbefugte oder unbeabsichtigte Zugriffe auf personenbezogene Daten zu vermeiden.

Es ist weiterhin unbedingt notwendig, den Shop sowie das Server-Betriebssystem und sämtliche weiteren Softwarekomponenten auf dem aktuellen Stand der Technik zu halten und Sicherheitspatches / Updates zeitnah einzuspielen. Über kritische Sicherheitslücken in veralteten Versionen von JTL-Shop oder Betriebssystemen können im schlimmsten Fall sämtliche Daten aus dem Shop abgegriffen werden.

Privacy by Design und Privacy by Default: Welche default-mäßigen Einstellungen sorgen für einen bestmöglichen Datenschutz?

Die Formulareinstellungen in JTL-Shop sind nach dem Prinzip der Datenminimierung nur auf das notwendige Minimum voreingestellt.

Sämtliche Kommunikation zu Drittanbieter-Schnittstellen z.B. PayPal oder Nutzung des USt-ID-Checks erfolgt über SSL-gesicherte Verbindungen.

Rechte der Betroffenen

Recht auf Vergessenwerden - werden sämtliche personenbezogenen Daten fristgerecht nach gelöscht?

Die meisten personenbezogenen Daten werden in JTL-Shop automatisch weggeräumt, sobald der Zweck der Speicherung in JTL-Shop nicht mehr erforderlich ist. So werden z.B. personenbezogene Daten bei Gastbestellungen nach Versand der Bestellung oder bei Stornierung durch JTL-Wawi in JTL-Shop gelöscht.

Es gibt jedoch Umstände, bei denen Spuren wie z.B. IP-Adressen oder Log-Einträge mit der E-Mail-Adresse des Kunden bestehen bleiben. Diese Spuren müssen ebenfalls gelöscht werden.

Wir haben ein Plugin entwickelt, mit dem personenbezogene Daten fristgerecht nach Wegfall der Zweckmäßigkeit aus der Shop-Datenbank gelöscht werden. Die Löschfristen können dabei bequem in den Plugin-Einstellungen konfiguriert werden. Die Löschroutinen werden im Anschluß regelmäßig im Hintergrund ausgeführt – immer dann, wenn Sie den Shop mit JTL-Wawi abgleichen. Die Kompatibilität des Plugins ist sowohl für JTL-Shop 3.20 als auch JTL-Shop 4.00-4.06 gegeben. In künftigen Shopversionen wird kein Plugin mehr notwendig sein, da die Löschoperationen bereits standardmäßig inkludiert sind.

Zum Plugin: https://gitlab.jtl-software.de/jtlshop/RightToBeForgotten/

Download Plugin-Version 1.0.1 (24.05.2018): https://build.jtl-shop.de/get/jtl_gdpr_right_to_be_forgotten_v1-0-1.zip

Recht auf Löschung: Wie lösche ich auf Anfrage alle personenbezogenen Daten des Betroffenen?

Im JTL-Shop kann ein registrierter Kunde seine personenbezogenen Daten (Umfasst die Kundendaten sowie Rechnungs- und Lieferadressen) selbstständig nach der Anmeldung in „Mein Konto“ über den Link „Kundenkonto löschen“ löschen. Hinweis: Die Löschung des Shop-Kundenkontos hat keine Auswirkung auf die in JTL-Wawi gespeicherten personenbezogenen Daten der betroffenen Person.

Möglichkeiten des Händlers, personenbezogene Daten zu löschen: Neben der Löschung über JTL-Wawi und anschließenden Onlineshop-Abgleich ist eine Löschung direkt in der Datenbank des Shops möglich (siehe dazu oben aufgeführte Tabellen mit personenbezogenen Daten).

Die Löschung in JTL-Wawi und ggf. Drittanbieter-Software muss in der Regel getrennt erfolgen.

Auskunftsrecht und Datenübertragbarkeit: Wie exportiere ich personenbezogenen Daten in einem strukturierten Format?

Einen Export der personenbezogenen Daten können Sie in wenigen Schritten mit JTL-Ameise durchführen: Tutorial: Kundendaten mit JTL-Ameise exportieren.

Ob der Kunde gleichzeitig Newsletterempfänger ist und personenbezogene Daten dazu vorliegen, können Sie im JTL-Shop-Backend (admin/newsletter.php → Alle Abonnenten → Abonnentensuche) oder in der Shop-Datenbanktabelle tnewsletterempfaenger prüfen. Die personenbezogenen Daten sind im Falle von Newsletterempfängern: Anrede, Vorname, Nachname, E-Mail-Adresse. Ein Export mit strukturierten Daten ist z.B. über phpMyAdmin mit der integrierten Export-Funktion möglich.

Cookies im JTL-Shop

Session-Cookies

Der JTL-Shop setzt standardmäßig den technisch notwendigen Session-Cookie mit dem Namen JTLSHOP. Wird dieser Cookie im Browser eines Besuchers blockiert, kann der Besucher u.a. keine Artikel in den Warenkorb legen. Der Cookie enthält die Session-ID des Besuchers, über welche die jew. Verknüpfung mit dem Besucher / Kunden hergestellt wird. Die Lebensdauer dieses Session-Cookies ist standardmäßig so eingestellt, dass das Cookie gelöscht wird, sobald der Browser geschlossen wird. Die Lebensdauer kann optional über eine Admin-Backend-Einstellung „Cookie-Lifetime“ (Einstellungsnr. 1568) geändert werden.

Ist in den Templateeinstellung die Option Aufgabenplaner-Blindgrafik aktivieren? aktiviert, dann wird ein weiterer Cookie JTLCRON gesetzt. Dieser Cookie ist technisch für den Besuch des Shops nicht notwendig. Der JTLCRON-Cookie enthält eine Session-ID, mit welcher Hintergrundaufgaben wie z.B. Daten-Exports abgearbeitet werden. Es werden keine personenbezogenen Daten des Besuchers zu der JTLCRON-Session verarbeitet. Der Cookie dient v.a. der Trennung von der eigentlichen Benutzersitzung. Wir empfehlen, Cronjobs serverseitig oder durch einen Serverdienst abarbeiten zu lassen (Templateeinstellung Aufgabenplaner-Blindgrafik aktivieren? deaktivieren). Eine Blockierung des Cookies im Browser des Besuchers hat keine weitere Auswirkung auf die Shop-Funktionalität für den Besucher. Die Lebensdauer dieses Cookies orientiert sich an der Lebensdauer des JTLSHOP-Cookies (Standardmäßig nur bis zum Schließen der Browser-Sitzung).

Hinweis: Plugins, Template-Anpassungen oder eigene Code-Snippets, die durch den Shop-Betreiber installiert oder hinzugefügt wurden, können zusätzliche Cookies setzen.

Google Analytics

Im Funktionsumfang des JTL-Shop ist eine Integration von Google-Analytics vorgesehen, welche durch das manuelle Eintragen der eigenen Google-Analytics-ID im Shop-Backend aktiviert wird.

Google Analytics setzt mehrere Cookies, um das Besucherverhalten zu tracken.

Eine Nutzung des Tracking-Dienstes Google-Analytics setzt eine informierte Einwilligung des Besuchers voraus. Eine solche informierte Einwilligung kann z.B. mit Hilfe von Consent-Managern technisch realisiert werden, jedoch ist ein solcher Consent-Manager standardmäßig nicht in JTL-Shop vorhanden.

Google reCAPTCHA

JTL-Shop bietet im Standardfunktionsumfang die Option, Google reCAPTCHA für verschiedene Formularzwecke zu aktivieren.

Google reCAPTCHA hilft, Menschen von Bots unterscheiden zu können. Dabei werden im Browser des Besuchers Cookies gesetzt und u. a. die Besucher-IP-Adresse sowie der User-Agent erfasst.
Für diese Daten gelten die abweichenden Datenschutzbestimmungen des Unternehmens Google: https://www.google.com/intl/de/policies/privacy/

Hinweise zur Nutzung von Cookies

Zusätzliche (Drittanbieter-)Cookies werden je nach Einsatz von Erweiterungen, Template-Anpassungen oder Drittanbieter-Snippets gesetzt. Die verschiedenen Einbettungsmöglichkeiten lassen eine automatische Erkennung von Drittanbieter-Cookies durch die Shopsoftware leider technisch nicht zu.

Cookies, die in die Kategorie Tracking/Analyse/Werbung fallen, gelten nach aktueller Einschätzung als technisch nicht notwendig. Die damit verbundenen Dienste sind initial zu deaktivieren, so dass kein Tracking stattfindet.

Über eine informierte Einwilligung können Sie Ihre Besucher dazu animieren, solche Cookies zu aktivieren und für diese Besucher die entsprechenden Dienste aktivieren.

Die Nutzung solcher Erweiterungen oder Snippets sowie die damit verbundene Einholung der Zustimmung in die Verwendung technisch nicht-notwendiger Cookies liegt in der Verantwortung des Shop-Betreibers.

Wie erfahre ich, welche Cookies sonst noch in meinem Shop gesetzt werden?

Die verwendeten Cookies lassen sich in modernen Desktop-Browsern übersichtlich anzeigen.
Wichtig: Je nach Einbettungsart werden manche Cookies ggf. erst auf Unterseiten gesetzt, in denen Drittanbieter-Snippets implementiert sind. Es ist also unter Umständen erforderlich, verschiedene Seiten der Website auf die Nutzung von Cookies zu prüfen.

Chrome: https://www.tecchannel.de/a/google-chrome-inhalt-von-cookies-auslesen,2040045

Firefox: https://www.tippscout.de/firefox-ueberpruefen-ob-eine-seite-cookies-speichert_tipp_4153.html

Weitere FAQ zur DGSVO

Wird es einen Shop-Patch zur Erfüllung der DSGVO geben?

Die DSGVO-Konformität des Onlineshops hängt wesentlich von der individuellen Konfiguration, der Datenschutzerklärung und den genutzten Plugins/Erweiterungen im Shop ab. Die in diesem Artikel gelisteten Informationen dienen als Hilfe für unsere Kunden und Partner, um Datensicherheit und Datenminimierung im JTL-Shop sicherzustellen.

Nach aktuellem Wissensstand sind für die gesetzliche Erfüllung der DSGVO keine gravierenden Anpassungen der Shop-Software notwendig.

Wir setzen voraus, dass Sie einen aktuellen JTL-Shop in Version 4.05 oder 4.06 mit den letzten Sicherheitspatches installiert haben.

Bitte beachten Sie, dass der JTL-Shop 3 am 01. Juni 2018 sein End Of Life erreicht hat und nicht länger durch JTL supported wird. Wir empfehlen dringend das Update auf Version 4.

Wie ist das Kontaktformular im JTL-Shop nach DSGVO rechtssicher zu gestalten?

Die Nachfolgende Auflistung orientiert sich am Beispiel des Kontaktformulars, ist jedoch gleichermaßen auf jedes Formular anzuwenden, in welchem personenbezogene Daten abgefragt werden.

  • Aufklärung in der Datenschutzerklärung: Sie müssen in transparenter und allgemein verständlicher Form über Art, Umfang und Zwecke der Erhebung und Verarbeitung von personenbezogener Daten informieren.
  • Grundsatz der Datensparsamkeit prüfen: Werden nur die zur Beantwortung notwendigen personenbezogenen Daten abgefragt?

Einstellungen finden Sie unter: Shop-Backend → Formulare → Kontaktformular

  • TLS Only prüfen: Stellen Sie sicher, dass Anfragen über das Formular ausschließlich über HTTPS versendet und beantwortet werden.

Dies ist bereits der Fall, wenn Ihr Shop über ein SSL-Zertifikat verfügt und eine automatische Weiterleitung von http auf https z.B. über die .htaccess eingerichtet ist.

  • Berechtigtes Interesse vs. Einwilligung:

Als Shop-Betreiber haben Sie in der Regel ein berechtigtes Interesse an der Beantwortung der Anfrage, welche Ihnen ein Besucher/Kunde über Ihr Kontaktformular sendet.
Sie haben wahrscheinlich auch ein wirtschaftliches Interesse, Ihren Kunden und Besuchern bestmöglichen Service zu bieten und eine schnelle und unkomplizierte Kontaktaufnahme zu ermöglichen.
Die Kontaktaufnahme über das Kontaktformular stellt außerdem nicht selten die erste Stufe vor einem Vertragsverhältnis dar.
Liegt ein solches berechtigtes Interesse vor, dann ist nach aktueller Einschätzung der DSGVO keine weitere Einwilligung erforderlich.

Weitere Informationen zu diesem Thema: https://www.it-recht-kanzlei.de/kontaktformular-datenschutzgrundverordnung-dsgvo.html?print=1#abschnitt_31

Sie möchten ganz auf Nummer sicher gehen und eine Einwilligung einholen?
Dies ist z. B. mit der Checkboxenverwaltung im JTL-Shop möglich. Legen Sie im Shop-Backend unter Storefront → Formulare → Checkboxenverwaltung eine neue Pflicht-Checkbox für das Kontaktformular an.

Beispiel-Screenshot aus dem Shop-Backend:

Resultat im Frontend / Kontaktformular des Shops:

Unterstützt JTL bei Fragen zur Umsetzung der DSGVO?

Zwar können wir keinen rechtlichen Beistand leisten, jedoch versuchen wir so weit wie möglich mit Informationen zur Datenverarbeitung in unseren Softwareanwendungen zu unterstützen.

Eine EU-DSGVO-konforme Muster-Datenschutzerklärung finden Sie hier: https://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien

Bei juristischen Fragen wenden Sie sich bitte an Ihren Rechtsbeistand.