Autor: Bob

Meet the Team: Bob

Heute stellt sich im Rahmen dieser Serie Bob vor.

Nach dem Studium der Elektrotechnik/Mikroelektronik habe ich erst einige Jahre im Vertrieb und dem Support komplexer Maschinen gearbeitet, bevor ich in den Software-Bereich gewechselt bin. Nach Stationen in der Automatisierung einer  Halbleiterfabrik  und einigen Jahren Software-Entwicklung  bei einem Internet-Marketing-Unternehmen entstanden die ersten Online-Shops für den PC-Gärtner.

Daraus ist, innerhalb des Ökosystems des PCG-Teams, mittlerweile ein umfangreiches System mit vielen Anwendern geworden.

Nach wie vor bin ich begeisterter Software-Entwickler; ich finde es besonders spannend, moderne und mitunter komplexe Technologien in unseren Produkten einzusetzen – und auch dabei fair und nachhaltig zu arbeiten. Auch die Organisation des Zusammenspiels der vielen Zuarbeiter für dieses Projekt macht viel Spaß.

Nach vielen Jahren in Bayern wohne ich mit meiner Familie  jetzt in Dresden.

Als Softwareentwickler schätze ich die Flexibilität was den Arbeitsplatz angeht – was ich gelegentlich nutze, um andere Gegenden kennen zu lernen. Gern bin ich auch in den Bergen unterwegs – dann mitunter sogar ohne Laptop 🙂 .

 

 

Rechnungen und Lieferscheine direkt im Shop2016 abrufbar

Im neuen Shopsystem sind seit einiger Zeit die PDF-Rechnungen und Lieferscheine für die Kunden anforderbar.

Werden diese unter den persönlichen Einstellungen angefordert, wird kurze Zeit später eine Email mit Anhang versandt. Nach entsprechender Kommunikation mit den Kundinnen und Kunden kann man so gänzlich auf Papier verzichten.

Entwickler-Info 8/2018

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Schnellstart

Das Script zum Einbinden der Shop-Funktionalität trägt den System-Namen im Aufruf. Dadurch ist es, zumindest ohne serverseitige Programiersprache, etwas umständlich, mal eben zwischen verschiedenen Systemen zu wechseln (z.B. dem Live und dem lokalen Entiwcklungssystem), es müssen immer alle Webseiten angefasst werden. Im Github ist jetzt ein Beispiel zu finden, das nur noch eine Änderung an einer Datei benötigt (shop.js).

to proxy or not to proxy

Neue Techniken machen es möglich, auch ohne eine Proxy-Installation der Scripte davonzukommen. Generell gibt es einige Dinge abzuwägen:

  • Sollen externe Scripte sichtbar sein ?  Das ist eine Geschmacksfrage, aber auch DSGVO Erwägungen können eine Rolle spielen.
  • Ist der eigene Server (der proxy) schnell? Insbesondere bei shared-Hosting Angeboten wird es gerade zu allgemeinen Hochlastzeiten knapp.
  • Unterstützt der Proxy HTTP/2 (oder QUIC)? Durch das Zusammenfassen viele Anfragen können am Ende mehr parallele Abfrage auch am Shopserver erfolgen.

Selber Aktualisieren

Bisher musstet ihr zum Aktualisieren eines Staging-Systems immer bei uns nachfragen. Seit einiger Zeit kann das auch direkt im Admin-Bereich ausgelöst werden – sowohl im Quellsystem als auch aus dem Staging-System heraus. Die Einrichtung eines Staging-System muss weiterhin durch uns erfolgen,  meist ist da etwas Einrichtungsarbeit (u.a. Domain-Einrichtungen) notwendig.

Scripte automatisch einbinden

Dieses Feature gab es für den Amperhof-Shop schon immer – u.a. zur Einbindung von Tracking-Funktionen. Bisher gingen wir davon aus, das dies der neue Shop nicht braucht – schliesslich haben die Entwickler ja selber Zugriff auf die  Seiten.

Gerade beim andauernden Hantieren mit Tracking-Pixeln aller Colèur zeigt sich aber das diese Funktion recht praktisch ist – so ist ohne Zutun der Webentwickler mal schnell eine ID geändert oder ein Tracking-Code eingebunden. Die Funktion ähnelt damit etwas dem Google Tagmanager.

Natürlich müssen das nicht nur Tracking Scripte sein; auch andere kleinere Korrektuen sind per Javascript schnell eingespielt – auf allen Webseiten wo auch das Shopsystem eingebunden ist. Zu finden ist die Eingabemaske unter Einstellungen->Tracking im Admin-Bereich.

Legacy Shops und Einbindung per Frame

Die Ablösung des bisherigen Standard-Shops rückt näher. Wir sind dabei die Anleitungen zu schreiben – u.a. die Hinweise, wie man den Shop am Besten in die Webseiten einbaut. Hier kommt -für den Standard-Shop- ein alter Bekannter zu neuen Ehren: der HTML (I-)Frame. Im Github gibt es ein Beispiel, was eine responsive Einbindung mit dieser Technik erklärt., auch auf Seiten die ggf. selber nicht responsive sind oder sonst einen größeren Umbau erfordern würden. (Hinweis: diese Technik wird aktuell nicht mehr empfohlen! –Bob, Februar 2019)

Hier gehts zum letzten Artikel dieser Rubrik.

Beirat

Schon zum PCG Anwendertreffen 2017 hatten wir beschlossen, einen Kundenbeirat zu etablieren. Das soll die Transparenz unserer Entscheidungen bzgl. der Entwicklungsschritte verbessern, eine Mitsprache zur Priorisierug ermöglichen, und natürlich erhoffen wir uns auch ein besseres Verständnis der Herausforderungen, denen unsere Anwender tagtäglich begegnen.

Aktuell haben wir neun AnwenderInnen, die ein gutes Spektrum unserer Kunden abbilden, wenn auch nicht optimal (Betriebsgröße, verwendete PCG-Module oder Shops).  Interesse? Weitere Mitglieder sind gern gesehen!

Seit ca. einem Jahr nun trifft sich diese illustre Truppe, meist einmal im Monat in einer Telefonkonferenz. Auch Anwender die nicht im Beirat sind können sich mit den Kollegen in Verbindung setzen. Obwohl wir vom PCG-Team aktuell die Beiratssitzungen  organisieren, ist dies ein Kundengremium welches sich zum Durchsetzen seiner Wünsche natürlich auch selbst organisieren kann.

Neben den offensichtlichen Themen wie den Programm-Funktionalitäten kommen auch viele Interna zur Sprache, von Qualitätsfragen über Priorisierung oder auch Personalangelegenheiten.

Aktuelle Themen waren und sind die Vorstellung der Support-Struktur im PCG Team, die Überarbeitung der Packstelle und Probleme und Umsetzung mit der DSGVO.

Eine kurze Vorstellung des Beirates findet sich auch im Dokumentationssystem.

Torfeuer

Der Treffer kam bei uns erst am Sonntag an. Zum einen war der Samstag zu kurz um auch noch im Online-Shop zu bestellen, zum anderen sind viele wohl auch erst gegen Sonntagabend aus dem Fussballrausch erwacht. Oder hatte das Spiel die guten Vorsätze bezüglich der Ernährung geweckt?

Reuss' Tor
Roter Pfeil: Reuss‘ Tor

Jedenfalls hatten wir am Sonntag eine Rekordlast auf unseren Online-Shop-Systemen. Leider teilweise auch eine Überlastung. Sonntags (-Abend)  ist zwar generell Ecommerce-Time, aber in unserem Fall hatten wir mehr als das Doppelte der jemals verzeichneten Maximallast. Ich vermute nicht nur wir, auch viele andere Leitungen im Internet waren an der Grenze ihrer Bandbreite.

Bandbreite? Das ist eine Maßzahl, mit der wir in der Internet-Computerei so ziemlich alle Bauteile betrachten können. Ursprünglich war damit bestimmt mal die Breite eines Förderbandes gemeint – je breiter, desto mehr geht da drüber. Internet-Leitungen, Computer-Rechenchips, ja selbst unser Team vom Support hat eine bestimmte Bandbreite – mehr bekommt man da nur mit mehr Druck (beim Computer die Gigahertz, beim Support Team der Bonus 😉 ) – oder eben mit einem breiterem Band.

Nun halten wir schon reichlich Kapazität vor, um solche Situationen abzufangen. Nicht immer genug (wir werden investieren). Im ökologischen Sinne wollen wir die Computer, die wir mal mit viel (Energie-)Aufwand mal gebaut haben, aber auch effizient nutzen. Man kann sie zwar in den Schlaf schicken (Stromsparmodus), wenn man sie nicht oder weniger braucht, aber auch das ist nicht optimal – sollen wir, nur um das nächste Spiel zu überstehen paar weitere Computer kaufen (mieten)?

Heute gibt es Techniken, die es erlauben auch sehr kurzfristig weitere Computer hinzuzuschalten und so das Band z.B. für den Sonntag abend zu verbreitern. Trotzdem muss diese Kapazität irgendwo vorgehalten werden – und die Dienstleiter (unter anderem der Platzhirsch Amazon) lassen sich dies gut bezahlen. Natürlich muss die Bandbreite der anderen Bauteile (Leitungen, Datenbanken, Speicher) auch mit wachsen/schrumpfen, entsprechend dimensioniert sein oder mit verbreitert/verkleinert werden.  Klingt kompliziert und ist es auch, man stelle sich das Förderband vor , was im laufendem Betrieb verbreitert wird!

Sonntag 24.6.

Auch an diesem Wochenende haben wir gelernt, wo neue Grenzen lauern; am Bild hier kann man schön eine  Begrenzung sehen. Wir werden das untersuchen und einen neuen schnelleren Computer an dieser Stelle einsetzen. Aber wie bei jedem ökologischem Thema kommt es auch hier auf alle an:

  • Warum müssen die Kunden alle am Sonntag in den Shop? Weil am Montag morgen/mittag Bestellschluss ist? Wenn Eure meisten Touren erst am Mo Abend/Di/Mi geschlossen werden, profitiert ihr von leeren Förderbändern.
  • Muss das Backup/der Datenupload/die Statistik unbedingt am Sonntag Abend laufen? Kleiner Tipp: Sonnabends ist der ruhigste Tag in den Shops!

Im Bild seht ihr ein System mit mehreren Online-Shops. Der erste, der in einem Kommentar die Farbe nennt, die für das System steht, wo die Kunden am Wochenende am wenigsten vom Engpass betroffen sind, gewinnt eine 10€ Gutschrift für die nächste Shop-Abrechnung!

Wer hat am So keinen Engpass?

 

Entwickler-Info 6/2018: Anmeldeoptionen

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Neue Komponenten-Einstellungen

Schnell-Auswahl für Shop und Ticker: Diese Komponenten können nun so konfiguriert werden, das ein Artikel (oder Abobox) ohne weitere Auswahl mit einem Klick in dern Warenkorb zu befördert werden kann. Dazu kann die Menge oder auch die Aboperiode vorkonfiguriert werden.

Profil-Komponente: Die Auswahl des ersten Liefertermins und der Tour kann nun auch mit einer Select-Box erfolgen.  Neu ist auch der Anmeldemodus: Wie bei manchen modernen Websites gibt man zunächst die Email an, je nachdem diese im System existiert oder nicht, wird daraufhin auf die Anmeldeseite oder zur Passworteingabe weitergeleitet. Auch das komplette überspringen der Tourwahl (für Betriebe die bundesweit liefern) kann eingestellt werden.

Neue Möglichkeiten im Warenkorb erlauben die Konfiguration eines „klassischen“ Online-Shops, also eines Systems, welches Einmal-Bestellungen aufnimmt und die Bestellungen nicht zur wieder-Bearbeitung (bis zum Bestellschluss) anbietet. Neu ist auch eine optionale Zusammenfassung im Warenkorb. Ein weiterer Schalter erlaubt es, auch mehrere Bestellungen für einen Liefertag neu im Shop einzugeben.

Der Inhalts-Komponente kann nun angebeben werden, in welchem Format der Inhalt vorliegt – so kann entweder HTML direkt ausgegeben werden, oder vorliegender WIKI-Text zu HTML gewandelt werden.

Einfacheres Entwickeln

Weitere System-Status sind als CSS-Klasse zur HTML- oder BODY-Element hinzugekommen und erleichtern so den Bau von zielgenauen Selektoren.

Alle Komponenten-Schalter können ad-hoc direct ins Suchfeld eingegeben werden – so kann man die Wirkung der Schalter ohne viel Aufwand im lokalen Browser ausprobieren.  Auch gibt es jetzt eine immer mit eingespielte (versteckte) Seite, falls mal keine Such-Komponente in den regulären Seiten sein sollte. Zu Erinnerung: es gibt auch weitere Design-Hilfen die über diesen Weg zugänglich sind.

Update 8/18: Mittlerweile kann man die Schalter auch im Admin-Bereich (Entwickler) setzen. Damit schaltet man alle Besucher-Browser um, diese EInstellung bleibt auch erhalten. EIn „clear“ löscht wieder.

Bilder-Proxy

Komponenten, die Bilder anzeigen, verwenden den internen Bild-Proxy des Systems. Die Bild-Bearbeitung ist aber meist ausgeschaltet (auch dies kann an der Komponente konfiguriert werden). Wir sehen aber immer wieder, das bei Produktbildern auch sehr große Bilder hinterlegt werden, möglicherweise aus Versehen. Um den Schaden zu begrenzen, sollte man die Bildbearbeitung immer aktivieren, z.B. durch Angabe eine Maximalen Bildgröße von 1000×1000 Pixel. Das ist zwar immer noch groß, zwingt aber den Proxy zur Bearbeitung des Bildes und damit meist auch zur Reduktion der Bildgröße.

Die Links führen meist in die Design-Anleitung; dort findet sich gleich oben jeweils ein Link zur Referenz mit den detaillierten Infos zu den Konfigurationsoptionen.

zum letzten Beitrag in dieser Rubrik

DSGVO 5: Die Datenschutzerklärung

Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden:  die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.

Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.

„Leicht bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.

Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:

  • Kontaktdaten des Verantwortlichen
  • welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
  • Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
  • Hinweise auf  Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
  • Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
  • Ggf. Information über Unterauftragnehmer  – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
  • Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).

Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“.  Weil wir diese Nummern aber  auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können,  ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.

Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim  Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Hinweise zur Gestaltung der Datenschutzerklärung für Anwender des PCG und des Online-Shops von Ökobox-Online

DSGVO – 4: Dienstleister

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.

 

Entwickler-Info 3/2018: Navigationsoptionen

Unter dieser Kategorie Entwickler informieren wir zu Neuerungen und Änderungen am „Werkzeugkasten“ mit denen ein Shop im WebSite eingebaut wird. Diese Neuerungen können, müssen aber nicht in Eure betreuten Websites einfließen. Gelegentlich erwähnen wir auch Fixes für „prominente“ Bugs.

Navigation für mehrere Shops

Mittlerweile gibt es verschiedenen Techniken, um mehrere Shops an einer PCG-Installation zu betreiben. Mittels der neuen Optionen oo-navi-group und  oo-navi-subgroup kann man die Navigationsoptionen auf eine bestimmte „Gruppe“ beschränken – aktuell gibt es davon zwei: „Normale“ Haupt-Navigationspunkte, und die im PCG als „Test“ markierte.

Damit gebaute Shops nutzen trotzdem alle darunter liegenden Artikel gemeinsam (Suche, Filter). Damit eignet sich diese Methode, um z.B. Shops und WebSites mit Fokus auf bestimmte Produktgruppen zu bauen.

Zuletzt angesehen

Diese Komponenten nutzt nun, wie auch Filter oder Suche ein Overlay zur Darstellung des Inhaltes.

Anmeldung

Mit oo-logon-skip-locate kann die Standortabfrage komplett unterdrückt werden – sinnvoll z.B. wenn Neukunden auf festen Touren landen sollen.

oo-logon-mode=“email1st“ stellt eine Abfrage nach der EMail voran. In Folge kann dann zur Anmeldemaske (bzw. Passwortabfrage) oder der Neuanmeldung verzweigt werden. Das zugrundeliegenden HTML Template hat sich um diese Abfrage erweitert, ist aber ansonsten unverändert geblieben.

Umbau der Abosteuerung

In Folge von Diskussionen beim Anwendertreffen im Februar haben wir die Möglichkeiten zur Abosteuerung   komplett aus dem Warenkorb entfernt. Mehr Info ist im entsprechenden Trello-Board zu finden (für eine Einladung bitte an Bob wenden) . D.h. die ggf. angepassten CSS Stile sind dazu nicht mehr notwendig. In Anlehnung an vorhanden Stile sind einige wenige Optionen im Profilbereich hinzugekommen.

Shop-Komponente

Ein neuer Schalter oo-shop-startnav=“<navigationlevel>“ ermöglicht die Angabe einer Navigationsebene, sollte noch keine gegeben sein (also meist im Startzustand der Webseite). Ansonsten wir an dies Stelle im die im Admin-Bereich festgelegte Menüebene verwendet.

Ticker mit Abo-Option

Auch die im Ticker angezeigten Artikel können nun periodisch bestellt werden. Die Option muss mit einem Schalter eingeschaltet werden. Zudem kann die Zielseite je nach Anmeldezustand des Besuchers unterschiedlich angegeben werden. Das hilft insbesondere beim Bewerben von Artikeln mit umfangreichen Beschreibungen oder Angaben zur Lieferung/Konfiguration oder Verpackung.

DSGVO – die Dritte: Grund und Erlaubnis

Wer diese Serie verfolgt hat, ist nun in der Lage jederzeit seine Prozessliste zu zeigen und zu korrigieren. Heute berühren wir nun den Kern der neuen Verordnung und müssen gleich wieder Neues in diese Liste einpflegen.

Welche Prozesse arbeiten mit sensiblen Daten? Nochmal zur Erinnerung, das sind Informationen, die man Personen zuordnen kann. Sofern noch nicht erfolgt, fügen wir nun zu unserer Liste hinzu, welche Daten das sind. Hier ein paar Beispiele für Abläufe aus verschiedenen Bereichen eines typischen Geschäftsbetriebes:

  • Bei der Anmeldung (im Online-Shop oder auch am Telefon) erfassen wir Namen,…, Geburtsdatum etc.
  • Bei der Kundenbetreuung fallen Kommunikations-Daten an: wer hat wann angerufen, welche Veränderungen wurden an Kundenkonten gemacht etc., wo/wie wird dies protokolliert?
  • Bei der Auslieferung tracken wir die Position der Tablets und Auslieferungszeitpunkte, damit also die Position und das Verhalten des Fahrers.
  • Beim Kundenbesuch auf der Webseite  werden die einzelnen Seitenbesuche mit Zeitstempel und IP-Adresse in den Logfiles vermerkt
  • Jeder Auftrag eines Kunden hinterlässt Spuren im ERP-System: Welche Produkte wurden gekauft, mit welcher Methode hat er bezahlt.

Im nächsten Schritt überlegen wir uns, wozu diese Daten eigentlich gesammelt werden – oft erscheint uns das super-logisch („klar brauchen wir die!“) – aber hier müssen wir den Grund -unser berechtigtes Interesse–  irgendwie benennen. Das hilft auch  die Rechtsgrundlage (Artikel 6, „Rechtmäßigkeit“) zu finden, die uns das Sammeln erlaubt. Hier also die neue Spalte in unserer Prozessliste für die obigen Beispiele:

  • mit Name und Geburtsdatum können wir den Auftraggeber eindeutig bestimmen – notwendig, um eine Rechnung zuzustellen.  Fällt in  Absatz b, ist also  klar für „Durchführung vorvertraglicher Maßnahmen“ oder „Erfüllung eines Vertrags“ nötig.
  • Die Kommunikationsprotokolle dienen der Organisation der Arbeit im Team und somit der effizienten Abwickung des Kundenauftrages, Absatz b, Evtl. sollte man auch die Einwilligung nach Absatz a erfragen (Im PCG gibts die „Anonym“-Option für Kunden – aber hier gehts auch um das Loggen der Mitarbeiter-Aktivitäten!)
  • Das Tracken der Tablets ermöglicht uns Vorhersagen des Auslieferungszeitpunktes – ein Mehrwert für den Kunden- und die disziplinarische Kontrolle der Fahrer (habe ich absichtlich hier sehr direkt formuliert) – Klar ein Fall für Absatz a, wir brauchen die Einwilligung des Fahrers.
  • Das Logfile mit IP-Adressen wird zur Sicherheit benötigt: so sind z.B. Angriffe aus dem Internet oder allgemein das Verfolgen von Anmeldefehlern -auch für den Kunden- möglich (Hieraus folgt dann auch gleich, das wir diese Daten nicht ewig aufgeben sollen). Damit wir das auch dürfen, müssen wir den Kunden/Besucher fragen: Etwa mit einer Einwilligung laut Absatz a (das entspricht etwa der „Cookie“-Frage die heute überall zu sehen ist)
  • Die Daten zu den Aufträgen brauchen wir zunächst für die Abwicklung – danach aber auch noch 10 Jahre um Betriebsprüfungen  zu ermöglichen (Absatz c – Danach müssen die Daten dann aber gelöscht werden 😉 ) . Ein anderer Grund wäre, Statistiken zu ermöglichen – damit optimieren wir unser Angebot und unsere Abläufe. Bei einer Statistik muss man aber nicht die einzelnen Datensätze aufheben – es reicht die monatliche Tortengrafik, die keine Kunden-Details mehr beinhaltet.

Wenn uns zu einer Position kein Grund einfällt – dann sollten wir diese Daten auch nicht mehr sammeln. Die Verordnung spricht hier von der Regel der Datensparsamkeit.

Man kann an den Beispielen sehen, das es durchaus eine Grauzone für die Gründe gibt – „wichtig für die Prozessoptimierung“ kann ja vieles bedeuten. Sofern kein anderer Absatz in Artikel 6 das Daten-Erheben erlaubt – die Einwilligungs-Frage an den Kunden bleibt immer (z.B. per AGB). Hier werden wir aber gezwungen, den Grund verständlich zu Formulieren, „wichtig für die Prozessoptimierung“ wird da wohl durchfallen.

Dies ist also die Hausaufgabe bis zum April:

  1. Prozessliste um relevante Daten erweitern, und
  2. dazu schreiben warum diese Daten erhoben werden – am Besten mit einem Hinweis auf die Rechtsgrundlage.

Das nächste mal wird es dann darum gehen, wie auch die Dienstleister und Zuarbeiter in unserem vernetzten Business berücksichtigt werden. Schliesslich Ende April, also kurz vor knapp, gehts dann darum diese Botschaft („Auch wir halten uns an die Regeln und finden sie gut!“) auch raus zu unseren Kunden zu tragen, z.B. in Form der AGB.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!