Mark Mark

Marketing-Redakteur und Teil der Blog-Redaktion

DSGVO bei JTL

Das Thema DSGVO steht vor der Tür: Ab Freitag, dem 25.05.2018, gilt die neue Verordnung. Experten in der öffentlichen Diskussion raten dazu, das Thema ernst zu nehmen, gleichzeitig aber nicht in Panik zu verfallen, da eine Prüfung durch Aufsichtsbehörden in aller Regel angekündigt wird. Sorgt also dafür, dass sämtliche personenbezogenen Daten geschützt werden.

Wir erläutern im Folgenden, wie ihr eure JTL-Produkte so einsetzt, dass ihr bei einer möglichen Prüfung voraussichtlich positiv bewertet werdet. Voraussichtlich deshalb, weil es bislang keine Urteile zum neuen Gesetz gibt. Stattdessen muss sich europaweit noch herausstellen, welche Maßnahmen letztendlich als angemessen gelten und welche nicht.

Maßnahme 1: Auftragsverarbeitungsvertrag zustimmen!

Wenn ihr euch in der vergangenen Woche bereits in euer JTL-Kundencenter eingeloggt habt, seid ihr auf den Auftragsverarbeitungsvertrag (AVV) gestoßen. Damit JTL die Zusammenarbeit mit euch im Rahmen der DSGVO weiter gewährleisten kann, ist es zwingend erforderlich, dass ihr den Vertrag lest und ihm zustimmt.

Schritt 1:
Loggt euch im JTL-Kundencenter ein. Der AV-Vertrag wird dort direkt angezeigt.

Schritt 2:
Prüft die vorausgefüllten Daten. Achtet darauf, dass weder euer Buchhalter noch euer System-Admin, sondern ihr als verantwortlicher Unternehmer dort eingetragen seid. Sollten die Daten nicht stimmen, so habt ihr die Möglichkeit, diese im Menüpunkt „Kontaktdaten“ zu ändern.

Schritt 3:
Sofern vorhanden, hinterlegt dort auch euren DSGVO-Bevollmächtigten unter dem Punkt „Weitere Ansprechpartner“ und setzt den Haken bei „Diese Person ist Bevollmächtigter im Sinne der DSGVO“.

Schritt 4:
Speichert eure Einstellungen. Alle Änderungen werden automatisch in den Vertragsentwurf übernommen.

Ihr habt dem Vertrag bereits zugestimmt? Sehr gut. Möchtet ihr den Vertrag zu einem späteren Zeitpunkt noch einmal nachlesen, findet ihr ihn im JTL-Kundencenter unter dem Reiter „Kontaktdaten“.

Nicht vergessen: Vertrag zustimmen!
Um in unserer Zusammenarbeit einen Verstoß gegen die DSGVO zu vermeiden, loggt euch bitte bis zum 25.5. in das JTL-Kundencenter ein und stimmt dem AVV zu. Natürlich könnt ihr auch nach diesem Stichtag noch jederzeit dem Vertrag zustimmen.

AV-Vertrag im JTL-Kundencenter

Maßnahme 2: Über wichtige Updates informiert bleiben!

Wenn ihr weiterhin systemrelevante Informationen und / oder Newsletter von uns erhalten möchtet, loggt euch bitte ebenfalls im JTL-Kundencenter ein und erneuert dort eure Zustimmung. Andernfalls können wir euch gemäß DSGVO künftig keine Newsletter mehr zukommen lassen.

Ihr können ab jetzt entscheiden, für welche Infokanäle von JTL ihr euch einschreiben möchtet:

  • Technische Informationen (nachdrücklich empfohlen)
  • Quartalsnewsletter
  • Event-Informationen
  • Community-basierte Weiterentwicklung

Bitte beachtet: Wenn ihr künftig weiterhin über wichtige Releases, Updates und kritische Sicherheitshinweise erhalten wollen, empfehlen wir dringend, den technischen Newsletter zu abonnieren!

Wer zukünftig auch über Neuerungen zu unseren Produkten informiert werden oder Einladungen zu unseren Events wie der JTL-Connect erhalten möchte, kann die zugehörigen jederzeit Kanäle zu- und auch wieder abschalten.

Newsletter-Verwaltung im Kundencenter

Ihr verfügt über keinen Kundencenter-Account bei JTL? Dann nutzt den folgenden Link für die An- und Abmeldung zu unseren Newslettern:

Newsletter-Verwaltung ohne Kundencenter

Maßnahme 3: Datenschutzbelehrung im Shop anpassen!

Ebenfalls bis zum 25.5. solltet ihr dringend die Datenschutzbelehrungen eures Onlineshops aktualisieren, da diese für Außenstehende leicht überprüfbar sind.

Zu diesem Zweck gibt es zahlreiche Generatoren für entsprechende Texte im Netz, die auch kostenfrei zur Verfügung stehen. Wir raten euch dringend zur Aktualisierung!

Beispiel-Suchwort: Generator Datenschutzerklärung

DSGVO bei JTL-Produkten

In Zusammenarbeit mit unserem Datenschutzbeauftragten haben wir alle datenschutzseitigen Belange hinsichtlich der Nutzung von JTL-Lösungen bewertet. Die daraus resultierenden Tipps, die wir Ihnen im Folgenden vorstellen, dienen lediglich Ihrer Information, es handelt sich dabei nicht um rechtsverbindliche Beratung.

Für juristisch verbindliche Aussagen zum Thema EU-DSGVO wendet euch bitte an euren eigenen Rechtsbeistand. JTL kann diese Rolle nicht für euch einnehmen.

Maßnahme 4: JTL-Wawi aktualisieren

Seit Version 1.3.17.0 ist JTL-Wawi DSGVO-konform, die aktuellste Version 1.3.17.1 beinhaltet zusätzliche Funktionalitäten, um dieser noch besser zu entsprechen.

Recht auf Vergessenwerden & Löschung

Mit der Standard-„Löschen“-Funktion von JTL-Wawi könnt ihr Kundendaten, die nicht rechnungsrelevant sind, jederzeit entfernen. Rechnungsbezogene Kundendaten dürfen jedoch nicht gelöscht werden, da Rechnungen in Deutschland 10 Jahre vorgehalten werden müssen. Hierfür benötigt ihr kein Update auf die neuste Version von JTL-Wawi.

Beitrag im JTL-Guide

Auskunftsrecht

Kunden können bei euch anfragen, welche Daten ihr zu welchem Zweck über sie speichert. In der neusten Version der Warenwirtschaft gibt es nun einen Menüpunkt „Kunden > Prüfen > Personenbezogene Daten“. Hier wird euch auf Anfrage eine Druckvorlage generiert, die ihr als PDF speichern und dem Kunden zukommen lassen können.

Beitrag im JTL-Guide

Welche Daten speichert JTL-Wawi?

Auf unsere Hilfeseite im JTL-Guide findet ihr von nun an stets aktuelle Infos darüber, welche personenbezogenen Daten in JTL-Wawi vorgehalten werden:

Beitrag im JTL-Guide

Maßnahme 5: Einstellungen im JTL-Shop prüfen

Recht auf Vergessenwerden

Für Betreiber eines JTL-Shop haben wir ein Plugin veröffentlicht, mit dem das in Art. 17 EU-DSGVO beschriebene Recht vollautomatisch mit einstellbaren Löschfristen umgesetzt wird.

Das Plugin ist kompatibel mit den JTL-Shop-Versionen 3.20, 4.00-4.06. Das Plugin wird quelloffen in unserem Gitlab bereitgestellt:

Zum GitLab: Plugin-Download

Welche Daten speichert JTL-Shop?

Auch für unser Shopsystem findet ihr ausführliche Informationen im JTL-Guide dokumentiert:

Beitrag im JTL-Guide

Nützliche Erläuterungen & Tipps

Weiterhin haben wir eine Reihe von nützlichen Informationen zusammengestellt, die ihr beachten solltet. Dazu gehören häufige Fragen zu:

  • Transportverschlüsselung
  • Applikations-Sicherheit
  • Privacy by Design / Standardeinstellungen
  • Vergessenwerden
  • Recht auf Löschung
  • Auskunftsrecht
  • Datenübertragbarkeit
  • Session-Cookies
  • Google Analytics
  • Google reCAPTCHA
  • Rechtssichere Kontaktformulare

Maßnahme 6: Datenbankverbindung absichern

Auch wenn die Datenbanken auf nicht JTL-eigener Software sondern auf Microsofts SQL-Servern basieren, haben wir dennoch Tipps hierzu zusammengestellt. Im Fokus stehen die Verschlüsselung  des SQL-Servers sowie weitere Anpassungen, um die Datenbank DSGVO-konform zu gestalten.

Beitrag im JTL-Guide

Mit den oben genannten Tipps solltet ihr die an euch gestellten Anforderungen der DSGVO in einigen Bereichen abdecken können. Wir weisen jedoch noch einmal darauf hin, dass diese Tipps keine juristische Verbindlichkeit besitzen. Ihr Rechtsbeistand ist in diesem Fall der geeignete Ansprechpartner.

Info: Maßnahmen von JTL

Für unsere Hosting-Kunden

Auch für Händler, die einen unserer Hosting-Dienste in Anspruch nehmen, haben wir hier kurz die wichtigsten Maßnahmen, die JTL inhouse ergriffen hat, zusammengestellt:

  • Da es zum aktuellen Zeitpunkt in der JTL-Wawi nicht möglich ist, die Verbindung wahlweise verschlüsselt oder unverschlüsselt zu erstellen, haben wir uns dazu entschieden, die Verschlüsselung Server-seitig zu erzwingen. Somit ist bei einem JTL-SQL-Hosting die Verschlüsselung immer aktiv.
  • Daten von gekündigten Hosting-Paketen werden spätestens nach 21 Tagen restlos entfernt.
  • Log-Dateien über Shop-Zugriffe (d.h. IP-Adresse, Datum, Uhrzeit) werden ab sofort nach Ablauf von 7 Tagen automatisch überschrieben.
  • Neben dezentralen Sicherungen halten wir außerdem Sicherungen direkt auf dem Server vor. Diese werden künftig nach spätestens 7 Tagen gelöscht.

JTL-OneTimeLink (OTL)

Zugangsdaten können künftig nur noch über das Tool „JTL-OneTimeLink“ übermittelt werden. OTL ermöglicht Ihnen und uns, sensible Daten über einen einmalig gültigen Link online auszutauschen. Sobald der Empfänger seine Daten erhalten hat, werden diese unwiderruflich gelöscht. Sollten wir also künftig zur Fehlerbehebung temporär gültige Zugangsdaten für Oberflächen benötigen (bspw. einen Login für das Backend des JTL-Shop oder die Anmeldung von JTL-Wawi), werden diese Daten nur noch über OTL angefragt.