Schlagwort: DSGVO

Privacy Shield ist nun richtig kaputt

Man könnte denken, es gibt nun wirklich Wichtigeres als über Datenschutz zu debattieren. Aber der aktuelle Krieg ist auch ein Informationskrieg – und auch da geht es darum, die richtigen Leute mit der richtigen (Fake-)Message zu adressieren. Und je mehr Spuren ich im Web hinterlasse, desto leichter bin ich adressierbar…ob ich damit auch manipulierbar bin sei dahingestellt. Und das ist nur ein Aspekt des Themas.

Mit der DSGVO hatte man sich in der Politik endlich konsequenter Gedanken über das Thema Privatsphäre gemacht. Zunächst ist zwar hauptsächlich der Cookie-Wahnsinn als Kollateralschaden hängen geblieben – aber es gibt grundsätzlichere Probleme, die von den Gerichten erst jetzt besprochen werden.

Programmierer sind faule Säcke

…oder zumindest sehr vom Zeitdruck geplagt. Und da nimmt man schon mal das Angebot der großen Firmen an, die mit einfachen Werkzeugen zur Besucheranalyse (z.B. Google Analytics), mit schicken Fonts auf schnellen Servern (Google Fonts), bequemen Werbemitteln (Google Ads, Facebook) oder schnell ladenden Videos (YouTube) locken. Auch Programmierbibliotheken, Landkarten, coole Grafiken…gar Cookie-Hinweise selber senden Daten an die jeweiligen Server. Und zwar ungefragt, direkt vom Browser des Besuchers, der ja eigentlich erwartet, dass seine Daten nur bei Euch landen.

Dann noch scheinheilig eine Cookie-Erlaubnis zu erfragen ist vor diesem Hintergrund nahezu dreist.

Privacy Shield

Nun ja, das Internet lebt nun mal von der Verknüpfung der verschiedenen Angebote, dem „Mesh“. In der EU haben wir uns da gedacht, sofern wenigstens alle Beteiligten in der EU sind, kann man denen wenigstens auf die Finger klopfen und kontrollieren, ob sie die ganzen Regeln der DSGVO (ja, Cookies kommen da nur am Rande drin vor!) eigentlich einhalten.

Leider sind aber nahezu alle der verlockenden Dienste nicht in der EU. Oft in den USA.

Die Idee war nun, einfach ein Abkommen zu schließen (den „Privacy Shield„). Im großen Ganzen ticken die Kollegen z.B. in den USA ja wie wir, also vertrauen wir uns gegenseitig. War ein guter Ansatz, allerdings reichte das Vertrauen nicht, um uns wirklich gegenseitig die gleichen Rechte einzuräumen, von Pflichten oder Strafandrohungen gar nicht zu reden. Das haben nun nach mühsamen Klagen auch die Gerichte festgestellt.

Mühsam auch deshalb, weil die Schuld eigentlich nur zum Teil bei den o.g. Anbietern liegt. Es fehlt an (europäischen) Alternativen und es gibt eine ziemliche Gleichgültigkeit bei der Masse der Internet-Nutzer , den Anbietern von Diensten (also Euch) und bei den Programmierern.

Disclaimer: 
a) ich bin selber Programmierer und manchmal faul. Aber verdiene auch beim "richtigen" Erstellen von Webseiten.
b) Wir bieten zumindest für Google Analytics eine DSGVO konforme faire Lösung an

Der Druck wird aber größer, deshalb hier nochmal der Hinweis:
Schaut Eure Webseite mal mit dem „Privacy-Auge“ an und beauftragt Euren WebDesigner, zumindest die Dinge zu richten, wo es einfache Lösungen gibt.

Es ist eigentlich ganz einfach: Wenn ich als Kunde etwas in meine Ökokiste packe, eine Lieferpause eintrage oder wissen will, was es Neues auf dem Hof gibt, erwarte ich schon, das Ihr mir über die Schulter schaut (ihr seht mich ja auch im Hofladen). Aber das dann automatisch G & F auch mit schauen, ist schon ein wenig übergriffig, oder?

Disclaimer/2: Auch ich schaue mit drauf, aber ich habe mit Euch einen DSGVO AV Vertrag - und kann bei Dummheiten deshalb auch von Euren Besuchern vor den Kadi gestellt werden.

Ehrliches Tracking

Im Nachgang der DSGVO-Aufregung haben mich viele angesprochen, doch ihre Datenschutzerklärung (DSE) „mal anzuschauen“ oder gar zu erstellen. Ich habe das meist abgelehnt. Denn was da rausgekommen wäre, wäre meist nicht im Sinne der Auftraggeber gewesen.

Dabei bin ich großer Fan der DSGVO. Dieses Dokument versucht unsere Grundrechte im Web mit halbwegs verständlichen und praktikablen Regeln umzusetzen. Das kann nur im Rahmen der EU gelingen – eigentlich müssten sich alle Länder unserer „freiheitlichen westlichen“ Welt dem anschliessen. Klingt zunächst mal etwas philosophisch, vielleicht wird das weiter unten klarer.

Nun helfe ich auch vielen Online-Shops beim Verkaufen: Wir stellen die Technik bereit, programmieren Webseiten und ja, wir helfen auch beim Tracking. Wir brauchen Tracking um passgenaue Werbung zu machen. Eine Zwickmühle.

Kurzer Auflug in die Technik

Früher meinten wir mit „Tracking“ ein wenig Log-File-Analyse: mit welchen Browsern werden die verschiedenen Seiten meines WebSites besucht, wann kommen die Besucher, wo verweilt sie am längsten, welche Dateien brauchen am längsten zum Laden usw. Die hohe Schule war es die Klick-Pfade durch die Webseiten zu erkennen. So richtig viel für Marketing kann man mit solchen Informationen allerdings nicht anfangen, auch wenn manche DSE von diesen Details überquellen.

Heute jedoch bauen wir Tracking-Scripte in die Webseiten ein, die diese Funktion ausführen: „Sende Info an [Werbe-Dienstleister]: Individuum X12522739123 hat gerade die Webseite XYZ bei mir angesehen“.

Diese Information über X12522739123 bekommt ein großer Werbedienstleister, z.B. Google, nun von sehr vielen WebSites. Da wir Google & Co ja auch auf Knien bitten, unsere Webseiten gut sichtbar in ihren Index aufzunehmen, weiß Google auch sehr genau was der Inhalt dieser Seiten ist. D.h. Google weiß wie es im Kopf (vielleicht auch im Körper) von X12522739123 aussieht.

Deshalb kann Google auch recht gut abschätzen, auf welche Werbeeinblendungen -und auf welchen Webseiten- X12522739123 denn reagieren wird. Sie haben diese Zusammenhänge dort dann in Form von Schlagworten (AdWords) vereinfacht, um die wir uns dann auf dem Marktplatz balgen.

Und wenn X12522739123 dann tatsächlich auf die vorhergesagte Anzeige klickt – dann haben wir der künstlichen Intelligenz wieder was beigebracht (und auch wenn wir nicht reagieren).

Die gigantischen Fortschritte bei der KI in den letzten Jahren sind hauptsächlich auf diese Trainingsdaten zurückzuführen.

Steht in der Datenschutzerklärung…

In der Datenschutzerklärung müsste deshalb -leicht verständlich, so wie vorgeschrieben- stehen:

„Wir leiten die Information über Ihren Besuch bei uns zeitnah und so detailreich wie es Ihr Browser zulässt an Facebook, Google, Instagram und einige Werbenetzwerke weiter. „Klingt vielleicht ungewöhnlich, aber in der Regel ist genau das gemeint. Gemäß DSGVO ist das auch möglich und erlaubt: mit X12522739123 kann man nicht auf das Indiviuum schliessen (Schutz der persönlichen Daten), und das wir für unsere Produkte/Dienste werben wollen ist unser „berechtigtes Interesse“ (DSGVO-Sprech). Man kann zudem ein gewisses Tracking zu Werbezwecken annehmen, wenn man eine e-Commerce-Webseite besucht. Weiter müsste es also heißen:

„Unser berechtigtes Interesse ist, das die Künstliche Intelligenz unseres Werbedienstleisters soviel wie möglich über Sie lernt, damit wir sie wiedererkennen, wenn Sie auf anderen Webseiten Werbung sehen oder etwas im Internet suchen, was sie auch bei uns bekommen könnten.

Warum schreibt keiner diese klaren Worte? Es gibt sicher viele, die die hier geschilderten Zusammenhänge nicht verstanden haben und auf irgendwelche DSE-Generatoren verfallen sind. Andere haben einen Rechtsanwalt beauftragt hat, der hat „berechtiges Interesse“ an absoluter Rechtssicherheit und demzufolge an einem langen, teuren Text.

Vielleicht schreibt das aber auch keiner, weil er spürt, dass er in das Recht auf Selbstbestimmung des Besuchers eingreift? Schließlich ist nicht klar, ob der Besucher möchte, das er auf anderen Webseiten erkannt wird, nur weil er gerade bei mir im Laden war. Oder ob er es gut findet, das bei Google ein digitaler Zwilling X12522739123 gepflegt wird. Vielleicht hat sie auch gar keine Lust, ihren digitalen Zwilling bei Google aktiv zu pflegen (ja, das geht!).

Aber auch da hat die DSGVO den Ausweg des „opt-out“ vorgeschlagen:

„Wenn Sie das nicht möchten, können Sie gern auf den Besuch bei uns verzichten“

Nur blöd, wenn man dann schon auf der Seite ist….also besser:

„Wenn Sie das nicht möchten, haben Sie wahrscheinlich die allererste Abfrage beim Besuch unserer Webseite entsprechend beantwortet und wären gar nicht bis zu diesem Text gelangt.“

Diese allererste Abfrage wäre ein Popup mit dem oben formulierten ehrlichem Text. Nicht ganz einfach zu bauen und natürlich etwas schockierend für den Besucher. Stattdessen kommen überall diese albernen Cookie-Abfragen, die meist unsinnig und irreführend sind. Oft ist sogar beim Einblenden dieses Hinweises oder beim Lesen der DSE das o.g. Tracking Script längst zum Einsatz gekommen.

Ehrlich wäre es also, oben angedeutete Formulierungen zu verwenden und sich etwas Mühe beim Einbau der „Opt-Out“-Abfrage zu geben.

Mit wem werbetreibe ich’s?

Zudem muss man sich die Frage beantworten, ob der Werbepartner wirklich der Richtige ist. Ist das Profil X12522739123 dort sicher? Wird es wirklich nicht mit eine echten Menschen verknüpft? Werden wirklich keine persönlichenDaten erfasst/gespeichert/verarbeitet? Kann der echte X12522739123 dies Beeinflussen, Löschen, wenigstens einsehen?

„Falls Sie Mitglied im XYZ-Netzwerk sind, wird unser Werbepartner Ihre Besuchsinformationen bei uns mit Ihrem Profil verknüpfen.“

Die DSGVO hat auch hier einen Vorschlag: Ich kann mit dem Bearbeiter der Daten einen Datenverarbeitungs-Vertrag eingehen (sog. AV-Vertrag). Der besagt in Kürze: „Ich habe den Partner geprüft, ihn für gut befunden, er hält sich an die DSGVO, wir teilen uns sogar die Risiken bei Fehlern der Datenverarbeitung, sollte mal etwas passieren.“ Mir fallen spontan einige große Namen ein, wo ich das eher nicht behaupten würde.

Aber sofern keine „persönlichen Daten“ weitergegeben werden, braucht man keinen AV und keine Erwähnung in der DSE. Deshalb wird in den Texten gern und lang auf der Definition dieser Daten rumgeritten. Zur Verwirrung? Nicht nur o.g. Scripte, schon der Abruf der Script-Dateien hinterlässt einen Fussabruck von X12522739123, den die künstliche Intelligenz sehr gut verwerten kann. Ist nun ein Fussabdruck persönlich? Wenn man weiss wem der Schuh gehört, schon 😉 .

Ethik

So, nun wissen wir was falsch läuft, aber wie machen wir es richtig? Wenn wir denken auf die Maschinerie von Google & Co angewiesen zu sein (zugegeben, das sind wir oft), sollten wir dies wenigstens ehrlich und un-verklausuliert in unsere DSE schreiben. Evtl. mit einer Entschuldigung:

„Leider könnte ein Tracking bereits erfolgt sein. Sie können dies bei unserem Parner … auf folgende Weise löschen…“

Zum anderen kann man versuchen, den Besucher wenigstens ein wenig aus der Schusslinie der KI zu nehmen. Wir versuchen das, indem wir, z.B. bei Google die öffentliche Programmierschnittstelle nutzen, um ausgewählte Informationen über den Besucher – also z.B. nicht das das „X12522739123“, sondern die Herkunft des Klicks aus einer Kampagne, die besuchte Seite und den Zeitpunkt zu übermitteln (die „utm’s„).

„Wir verwenden Google Analytics, vermeiden aber mit technischen Mitteln die Weitergabe Ihrer persönlichen Daten.“

Aber das kann man auch weglassen, es werden ja wirklich keine persönlichen Daten (egal welcher Definition) übertragen . Und damit brauchts auch keinen „Opt-Out“ mehr.

Ich denke aus den oben gezeigten Bausteinen kann sich nun jeder einen ehrlichen Absatz bzgl. des Trackings für seine DSE bauen. So haben wir wenigstens versucht, unsere Besucher aufzuklären. Eine übersichtliche und ehrliche DSE kann durchaus einen Besucher zum Kunden machen. Denn mit nur wenig Übung kann man schon beim Überfliegen der DSE erkennen, ob der Laden den Datenschutz wirklich ernstnimmt oder ob da nur irgendein Blabla steht.

— Bob

Nachsatz 1: Ich bin kein Rechtsanwalt, das ist alles hier nur meine fundierte (;-) ) Meinung.

Nachsatz 2: Ich habe hier meist Google als möglichen Werbedienstleister genannt – die können es einfach am Besten. Ich bin auch ein großer Fan von deren Technologien und muss Google sogar einige gute Punkte im Ethik-Bereich zustehen, selbst bei der DSE haben sie sich Mühe gegeben. Aber natürlich kann in diesem Zusammenhang „Google“ mit „Facebook“, „Instagram“, „Twitter“, „Microsoft“, etc. ausgetauscht werden.

Nachsatz 3: Es ging mir hier um das von Web-Programmierern und Werbeagenturen „bewusst“ eingesetzte Tracking – wenn man WebSites genauer untersucht, gibt es bei sehr vielen noch Tracking „aus Versehen“ durch falsch oder zumindest unbedacht eingesetzte Tools diverser Anbieter. I.d.R. wird damit klar die DSGVO verletzt.

Pishermen’s Friend: KI

Die Veröffentlichung der privaten Daten von Prominenten sollte uns eine gute Erinnerung an die Vorsätze sein, die wir alle zum Jahreswechsel hatten. Aber nicht das hat mich motiviert diesen Beitrag zu schreiben, sondern einige Phishing-Mails die ich -vermutlich- von Euch bekommen habe. Auch Ihr seid prominent!

Ich, prominent? Von mir will keiner was.

Das ist leider zu kurz gedacht. In nahezu Allem, was durch Eure Mailboxen oder Facebooknachrichten geht, sind auch Informationen über andere dabei – und wenn es nur die Email-Adresse ist. Viele von Euch Lesern betreuen auch Kunden – da gehört der Schutz dieser Daten nicht nur zum Anstand, sondern ist auch fürs Geschäft lebensnotwendig.

Na dann erfährt der Bösewicht eben die Emailadressen der anderen. Was kann er schon damit anstellen?

Na er kann sie schon mal anschreiben! In der Email standen Namen, ging es um Bestellungen, war eine Rechnung enthalten? Alles wunderbare Anknüpfungspunkte für Phishing.

Phishing?

Damit ist -sehr verkürzt- das Ausnehmen von Dummen gemeint.

Ähem, ich? Was will der eigentlich, wenn er mich abgephisht hat?

Am Ende immer Geld. Und dazu braucht der Phisher Zugang zum Computer oder dem Handy. Den hat er wenn er dich dazu bringt, das Du ihm ein Programm installierst. Für den Fernzugriff sozusagen.

Klar, um meine Banking-App zu verwenden!

Das wäre eine Idee – aber das ist eher aufwändig und hinterlässt zu viele Spuren. Leichter ist es die Festplatte zu verschlüsseln um Lösegeld zu erpressen. Es muss aber gar nicht dieser sofortige Super-Gau sein – naheliegend ist, den Computer nach weiteren Email-Adressen und damit neuen potentiellen Opfern auszuspähen. Dazu kann man ein Progrämmchen hinzuinstallieren, was Passwörter von Tastatureingaben mitschreibt. Gern werden gekaperte Computer auch weiter vermietet – gegen Geld.

Wer mietet denn sowas?

Wenn man viele neue Phishing Emails versenden will (sagen wir paar 10000), und das so tun möchte, dass die Spuren nicht nachvollziehbar sind, der braucht viele Computer. Einen Angriff auf große Institutionen macht man besser auch nicht mit dem eigenen Computer. Oder sich Bitcoins berechnen zu lassen…Ist Dein Computer auch manchmal so seltsam beschäftigt, wenn Du gerade nichts dran tust?

Hm ja, weiß nicht. Was muss ich denn tun, um nicht zu den Dummen zu gehören?

Regel 1: Halte all Deine Software aktuell! Auf allen Computern oder Handies! Auch vermeintlich nie ins Internet kommende Computer, wenn da ein Netzwerkkabel dran ist oder es einen USB Anschluss gibt. Wenn die Software diese Update-Kontrolle nicht selber macht (wie moderne Browser oder MS-Office) – kontrolliere es täglich.

Regel 2: Klick niemals unbedacht auf Email-Anhänge sofern Du nicht genau weißt was dann passieren wird. Am besten öffne nur Anhänge wie Bilder oder PDF’s.

Aber das mach ich doch bereits!

Sehr gut. Nun Regel 3: Vertraue auch Emails von Bekannten nicht per se! Sind da neuerdings Anhänge dran? Ist da ein seltsamer Link drin? Frage eventuell zurück. Und nehme die Fragen Deines Computers ernst („Sollen Scripte in diesem Word Dokument ausgeführt werden?“)!

Ist das nicht übertrieben?

Vielleicht, aber es kann viel Ärger ersparen. Zudem werden wir in Zukunft viel mehr sehr richtig gute Fake Mails sehen.

Also gefälschte Emails? Wer schreibt die denn alle?

Ein Computerprogramm, vermutlich sogar auf einem bereits gekaperten Computer. Und es wird sich des neuesten Tricks der Programmierer bedienen: Künstliche Intelligenz.

Boah!

Naja, das klingt etwas dramatisch. Meist meint man damit aber nur „maschinelles Lernen“ und das ist wiederum nur gut gemachte Statistik und Mathematik. Phishing Mails zu machen ist sozusagen das, was man mit KI besonders gut kann: Man entwirft mithilfe der Zusatzinformationen sagen wir 10 Varianten und sendet sie an 10000 Opfer. Die Varianten die besonders gut funktionieren werden dann (automatisiert) weiter entwickelt (das ist der Lerneffekt)…

..und irgendwann ist das Resultat so perfekt, dass auch ich reinfalle.

Genau. Aber wenn Dein Mail-Programm gut gepflegt und aktuell ist, warnt es Dich bestimmt – die gute Seite kennt die Tricks hoffentlich auch.

Na dann, 3 Regeln, das klingt ja überschaubar. Jetzt bin ich sicher.

Regel 4: Wachsam und diszipliniert bleiben, ehrlich bei eigenen Fehlern sein. Computer werden besser neu installiert wenn mal was dubioses passiert ist. Das geht am Besten mit einem Backup, hauptsächlich der Daten. Auf einem Medium, was nicht immer verbunden ist.

Ups, erwischt 🙁

Regel 5: Nicht paranoid werden, wir müssen ja weiterhin unseren Geschäften nachgehen, und wollen das auch unsere Kunden ihre Computer verwenden. Deshalb hilft es jeden Monat 15 Minuten zu investieren, um sich schlau zu machen, was es so alles Neues gibt beim Datenschutz und der Computersicherheit. Und kontrollieren, dass die Mitarbeiter diese Regeln nicht schon wieder vergessen haben. Und über den Fall der Fälle mal nachzudenken…aber das verlangt ja eh die DSGVO.

Es sind natürlich nicht nur diese 5 Regeln, aber es sind einige der wichtigsten. Sorry, wenn dies alles etwas lehrmeisterlich rüberkommt. Aber wir alle hängen am Medium Internet und müssen dafür sorgen, dass es weiter funktioniert. – Bob

Nachtrag Datenschutz / Newsletter

Nachtrag zu unserer DSGVO-Serie

Politik

Es ist ruhig geworden nach der ersten Aufregung. Zwar ist das gut, wenn man an den oft sinnlosen Aktivismus denkt (gut das Ihr Eure Shops nicht gleich abgeschaltet habt), aber eher nicht so gut, wenn man an die Gewöhnung an schlechte Datenschutzerklärungen denkt. Oft wird die DSGVO auch als Bürokratiemonster verurteilt, was unserem allgemeinem Wunsch nach Datenschutz andererseits aber nicht förderlich ist. Nach wie vor nehmen es viele nicht ernst und verwenden z.B.  (leider auch von Euch Lesern) Tracker, ohne die Einhaltung der Regeln zu hinterfragen.

Haben wir zu viel Wichtigeres zu tun?

DSGVO bei uns

Den Vertrag zur Auftragsverarbeitung mit Ökobox-Online haben über 84% zugestimmt. Einige habe es wohl vergessen, zwei Anwender wollten einen eigenen Vertrag…der ist aber nicht so ausführlich und niemals so aktuell wie unser Vorschlag; zudem ist die Aktualisierung unklar und zeitaufwändig.

Wir haben unsere interne Prozessliste und auch die Dokumentation weiter vervollständigt (Anwender können die z.B. zum Anwendertreffen einsehen). Mittlerweile haben wir auch mit allen unseren Zulieferern einen sinnvollen und gültigen AV Vertrag.

Weitere Anwender sind auf unser Datenschutz-konformes und vor allem vereinfachendes Google-Tracking-Plugin umgestiegen – wir haben dies mittlerweile auch um die e-Commerce Kennzahlen erweitert.

Wie bekomme ich Neukunden in den Newsletter?

Bei der Neumeldung in den Shop ist der Kunde nun aufgefordert, den Haken für den Newsletter aktiv zu setzen. Das „vergessen“ die Kunden natürlich öfters. Was tun?

Naturgemäß befinden wir uns im Online Shop in einer Grauzone, was das Zusenden von Emails betrifft. Solange der Inhalt eindeutig mit dem Kauf – oder in unserem Fall- mit einem Abo zu tun hat, und es sich ausschließlich um unser eigenes Geschäft bzw. Produkte handelt, sollte eine Einwilligung des Kunden unterstellt werden können. Auch auf das „berechtigte Interesse“ im Rahmen der Geschäftsbeziehungen mit dem Kunden könnte man sich berufen. Wenn das auch so in der Datenschutzerklärung beschrieben ist, sollte man die Kundin auch ohne eine explizite Newsletter-Einwilligung anschreiben dürfen.

Anders ist es, wenn das Abo beendet ist oder der Kunde explizit kündigt – hier bietet es sich an, bei der Bearbeitung der Kündigung explizit nach einer weiteren Erlaubnis zu fragen.

Man könnte also auch das Häckchen anders beschriften:  „Ich erlaube die Zusendung von gelegentlichen Werbenachrichten in eigener Sache auch nach Abwicklung des Kaufes oder dem Ende meines Abo’s“.

Die obige Argumentation liegt nahe, und wird auch in verschiedenen Publikationen so dargestellt. Da es aber leider in dieser Sache noch keine eindeutige Rechtsauslegung gibt, obliegt Euch die Entscheidung:

a) Möchte  ich mehr Kunden erreichen und folge obiger Argumentation? -> Option im Admin Bereich einschalten.

b) Ich bleibe bei der strikten Lösung.

Wie überzeuge ich Kunden, doch den Newsletter zu empfangen?

Was tun wenn die Abonnentenzahlen nun eingebrochen sind? Mit einem Platzhalter für transaktionale Nachrichten vom Shop, der eingeblendet wird, wenn eine Empfänger keine Werbeerlaubnis erteilt hat, kann man versuchen, ihn doch noch zum Empfänger zu machen.  Mit Hilfe der Variable %Zustimmung% im Text kann der Empfänger dies mit einem Klick erledigen.

Natürlich kann diese Variable auch zum Einholen eines „vergessenen“ Double-Opt-In verwendet werden (also einer zweifachen Bestätigung des Empfängers) – aber: nur kein Aktionismus – siehe oben.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Rechte für Mitarbeiterkonten im PCG

In ihrer täglichen Arbeit ist PC Gärtner Anwendern- und Anwenderinnen vertraut, dass es Nutzungsrechte für bestimmte Module des PCG gibt. Diese entscheiden darüber, welches Modul im PC Gärtner von welchem Mitarbeiter bzw. welcher Mitarbeiterin geöffnet werden darf.
Durch die DSGVO und auch auf Wunsch der Anwenderschaft ist diese Funktionalität jetzt erweitert worden. Zusätzlich zu den bisher existierenden Rollen bzw. Nutzungsrechten sind zwei weitere hinzugekommen, die bestimmte Bearbeitungsmöglichkeiten an einigen Stellen im PCG erlauben oder eben auch verhindern.

Die neue Funktionalität wurde zunächst hier implementiert:

  • das Bearbeiten der Verkaufsstellen im Artikelmanager,
  • der Bereich Liefertouren in den Ökobox Stammdaten,
  • das Verändern von Ökobox Auswertungen  und
  • der Bereich Vorschlagstypen des Wareneinkaufsmoduls.

Eine erste Übersicht und ausführliche Beschreibung inklusive einer detaillierten und ständig ergänzbaren Tabelle ist in der Modulreferenz der Mitarbeiterverwaltung enthalten.

Auch im PCG Forum wird aktuell auf das Thema hingewiesen.

DSGVO 5: Die Datenschutzerklärung

Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden:  die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.

Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.

„Leicht bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.

Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:

  • Kontaktdaten des Verantwortlichen
  • welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
  • Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
  • Hinweise auf  Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
  • Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
  • Ggf. Information über Unterauftragnehmer  – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
  • Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).

Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“.  Weil wir diese Nummern aber  auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können,  ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.

Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim  Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Hinweise zur Gestaltung der Datenschutzerklärung für Anwender des PCG und des Online-Shops von Ökobox-Online

DSGVO – 4: Dienstleister

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.

 

DSGVO – die Dritte: Grund und Erlaubnis

Wer diese Serie verfolgt hat, ist nun in der Lage jederzeit seine Prozessliste zu zeigen und zu korrigieren. Heute berühren wir nun den Kern der neuen Verordnung und müssen gleich wieder Neues in diese Liste einpflegen.

Welche Prozesse arbeiten mit sensiblen Daten? Nochmal zur Erinnerung, das sind Informationen, die man Personen zuordnen kann. Sofern noch nicht erfolgt, fügen wir nun zu unserer Liste hinzu, welche Daten das sind. Hier ein paar Beispiele für Abläufe aus verschiedenen Bereichen eines typischen Geschäftsbetriebes:

  • Bei der Anmeldung (im Online-Shop oder auch am Telefon) erfassen wir Namen,…, Geburtsdatum etc.
  • Bei der Kundenbetreuung fallen Kommunikations-Daten an: wer hat wann angerufen, welche Veränderungen wurden an Kundenkonten gemacht etc., wo/wie wird dies protokolliert?
  • Bei der Auslieferung tracken wir die Position der Tablets und Auslieferungszeitpunkte, damit also die Position und das Verhalten des Fahrers.
  • Beim Kundenbesuch auf der Webseite  werden die einzelnen Seitenbesuche mit Zeitstempel und IP-Adresse in den Logfiles vermerkt
  • Jeder Auftrag eines Kunden hinterlässt Spuren im ERP-System: Welche Produkte wurden gekauft, mit welcher Methode hat er bezahlt.

Im nächsten Schritt überlegen wir uns, wozu diese Daten eigentlich gesammelt werden – oft erscheint uns das super-logisch („klar brauchen wir die!“) – aber hier müssen wir den Grund -unser berechtigtes Interesse–  irgendwie benennen. Das hilft auch  die Rechtsgrundlage (Artikel 6, „Rechtmäßigkeit“) zu finden, die uns das Sammeln erlaubt. Hier also die neue Spalte in unserer Prozessliste für die obigen Beispiele:

  • mit Name und Geburtsdatum können wir den Auftraggeber eindeutig bestimmen – notwendig, um eine Rechnung zuzustellen.  Fällt in  Absatz b, ist also  klar für „Durchführung vorvertraglicher Maßnahmen“ oder „Erfüllung eines Vertrags“ nötig.
  • Die Kommunikationsprotokolle dienen der Organisation der Arbeit im Team und somit der effizienten Abwickung des Kundenauftrages, Absatz b, Evtl. sollte man auch die Einwilligung nach Absatz a erfragen (Im PCG gibts die „Anonym“-Option für Kunden – aber hier gehts auch um das Loggen der Mitarbeiter-Aktivitäten!)
  • Das Tracken der Tablets ermöglicht uns Vorhersagen des Auslieferungszeitpunktes – ein Mehrwert für den Kunden- und die disziplinarische Kontrolle der Fahrer (habe ich absichtlich hier sehr direkt formuliert) – Klar ein Fall für Absatz a, wir brauchen die Einwilligung des Fahrers.
  • Das Logfile mit IP-Adressen wird zur Sicherheit benötigt: so sind z.B. Angriffe aus dem Internet oder allgemein das Verfolgen von Anmeldefehlern -auch für den Kunden- möglich (Hieraus folgt dann auch gleich, das wir diese Daten nicht ewig aufgeben sollen). Damit wir das auch dürfen, müssen wir den Kunden/Besucher fragen: Etwa mit einer Einwilligung laut Absatz a (das entspricht etwa der „Cookie“-Frage die heute überall zu sehen ist)
  • Die Daten zu den Aufträgen brauchen wir zunächst für die Abwicklung – danach aber auch noch 10 Jahre um Betriebsprüfungen  zu ermöglichen (Absatz c – Danach müssen die Daten dann aber gelöscht werden 😉 ) . Ein anderer Grund wäre, Statistiken zu ermöglichen – damit optimieren wir unser Angebot und unsere Abläufe. Bei einer Statistik muss man aber nicht die einzelnen Datensätze aufheben – es reicht die monatliche Tortengrafik, die keine Kunden-Details mehr beinhaltet.

Wenn uns zu einer Position kein Grund einfällt – dann sollten wir diese Daten auch nicht mehr sammeln. Die Verordnung spricht hier von der Regel der Datensparsamkeit.

Man kann an den Beispielen sehen, das es durchaus eine Grauzone für die Gründe gibt – „wichtig für die Prozessoptimierung“ kann ja vieles bedeuten. Sofern kein anderer Absatz in Artikel 6 das Daten-Erheben erlaubt – die Einwilligungs-Frage an den Kunden bleibt immer (z.B. per AGB). Hier werden wir aber gezwungen, den Grund verständlich zu Formulieren, „wichtig für die Prozessoptimierung“ wird da wohl durchfallen.

Dies ist also die Hausaufgabe bis zum April:

  1. Prozessliste um relevante Daten erweitern, und
  2. dazu schreiben warum diese Daten erhoben werden – am Besten mit einem Hinweis auf die Rechtsgrundlage.

Das nächste mal wird es dann darum gehen, wie auch die Dienstleister und Zuarbeiter in unserem vernetzten Business berücksichtigt werden. Schliesslich Ende April, also kurz vor knapp, gehts dann darum diese Botschaft („Auch wir halten uns an die Regeln und finden sie gut!“) auch raus zu unseren Kunden zu tragen, z.B. in Form der AGB.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

DSGVO – die Zweite

Über die neuen Datenschutz-Regelungen, die ab Mai 2018 EU-weit reformiert wurden, haben wir bereits berichtet und als erste Aufgabe die Bestandsaufnahme angeregt.  Hausaufgabe erledigt? Hier eine kleine Kontrollfrage: Sollten alle wichtigen Mitarbeiter gleichzeitig ausfallen – könnten gute Leute aus der Branche den Betrieb anhand der Liste aller Prozesse wieder aufnehmen?

Schritt zwei: Machen wir ein „Betriebshandbuch“ aus der Liste

Was tun wir nun mit dieser Liste? Zunächst bringen wir sie in eine Form, die es uns erlaubt damit über eine lange Zeit -also eigentlich für immer- zu arbeiten. Eine Tabelle in Excel wäre eine einfache Möglichkeit, abgespeichert mit einem Versionsdatum oder einer Nummer, z.B. prozesse_0218.xls . Die DSGVO verlangt ein vollständiges und laufend gepflegtes Dokument – so wird das glaubhaft. Das ist aber nicht nur Bürokratie – mit Dokumenten, die den Stand der internen Abläufe zu einem Termin in der Vergangenheit zeigen können, wird es möglich Fehler zu finden – oder auch den Grund für eine Datenpanne zu analysieren.

Bisher haben wir ja nur eine Liste der Prozesse im Unternehmen – ein „Betriebhandbuch“ ist natürlich umfassender, es soll auch im Detail über alle Abläufe informiereren – das ist mehr als bei der DSGVO gefordert. Aber da es ja ein „lebendes“ Dokument ist, muss es ja auch nicht gleich komplett sein. Für unsere Zwecke sind diese Dinge zu jedem Prozess aus der Liste wichtig:

  • Wer ist der Verantwortliche? Hier sollte eine Rollenbezeichnung  stehen, Herr Müller könnte ja mal das Unternehmen verlassen und durch Frau Schulze ersetzt werden – oder Herr Müller und Frau Meier teilen sich den Job.
  • Berührt dieser Prozess Dinge, die die DSVGO regeln will? Also: Fallen beim Ablauf des Prozesses  Informationen über Personen (Kunden, Mitarbeitern, Lieferanten) ? Also mehr als Name oder Rollenbezeichnung?

Damit ergibt sich schon: Es braucht auch eine Tabelle, wo die echten Personen den Rollen zugeordnet werden. Hier einige Ideen für „Rollen“:  Lieferant, Chef-Einkäufer, Packer, Chef, Steuerberater, etc.

Das ist also die Hausaufgabe bis zum März: Das Dokument und die Abläufe so einrichten, das Änderungen jederzeit einfach und schmerzarm eingepflegt werden können – sei es ein Mitarbeiterwechsel, ein neuer Lieferant oder der verbesserter Packablauf oder Backup-Ablauf.

Mindestens so einfach wie

  1. Dokument rausholen
  2. Änderung reinschreiben
  3. unter neuem Datum bzw. neuer Version (mit Datum) abspeichern

Das Ganze ist übrigens auch ein Prozess in unserer Liste…

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise.

zum Teil 3

Neue Datenschutzregelungen 2018

Ein Thema, das 2016 schon mal auf dem Tisch war – da gab es doch die Datenschutzgrundverordnung (DSGVO) … und nun schon wieder? – Ich sehe, dass viele jetzt beim Lesen mit den Augen rollen 😉 Aber zum fairen Handel gehört der faire Umgang mit den Daten der Menschen mit denen wir handeln und zusammenarbeiten – und deshalb sollte es sogar ein Chef-Thema sein.

Im Mai 2018 tritt EU-weit eine umfassende Datenschutzreform in Kraft. Die Regeln sind schon seit einiger Zeit bekannt und werden zu dem Termin aber mit dem Bundesdatenschutz-Gesetz (BDSG) aktualisiert und verpflichtend.

Relevant ist es in aller Regel für die Anwender des PCG – selbst wenn man ein System ohne Online Shop betreiben würde. Im Kern geht es ja um personenbezogene Daten.  Aber bei der Gelegenheit kann man auch gleich andere Datenflüsse beleuchten.

Für größere Betriebe gibt es ausführliche Regelwerke (ITIL) und „Best Practices“, die oft zur Bedingung oder Vorbereitung von Zertifizierungen dienen.  Aber auch wenn man keinen ISO9000-Stempel haben möchte, bieten schon die Inhaltsverzeichnisse solcher Anleitungen gute Hinweise wo alles Risiken versteckt sein können.

Die wenigsten werden die Geduld haben sowas durchzuarbeiten, deshalb werden wir in den nächsten Ausgaben jeweils einige Aspekte des Gesetztes diskutieren. Diesen Lesestoff kann man gern als Hausaufgabe betrachten – so ist der Betrieb im Mai fit dafür.

Alternativ  kann man sich von Dienstleistern helfen lassen, die -im Gegensatz zu uns- auch rechtlich bindende Aussagen machen können.

Erster Schritt: Bestandsaufnahme

Viele Betriebe sind über die Jahre gewachsen – neue Mitarbeiter haben Aufgaben übernommen, welche vorher der Chef/die Chefin selber wahrgenommen hatte; Wachstum führt oft auch zur Spezialisierung von Aufgabengebieten mit eigenen Regeln und Abläufen. Da kann durchaus etwas der Überblick verloren gehen – und den braucht man, um Risiken für die „Daten“ der Mitarbeiter, der Kunden oder den Betrieb selber zu erkennen.

Am Besten man begint mit einer Liste an Prozessen die im Betrieb bekannt sind. „Neukunden-Anlegen“ oder „Bestellung abwickeln“ sind offensichtlich, aber auch „Mitarbeiter verlässt uns“ oder „Artikeleinkauf“ sollten in dieser Liste zu finden sein. Nach einer Weile Nachdenken sollte die Liste vielleicht 20 Einträge haben, vielleicht mehr. Manche Prozesse, die zwar schon immer existieren werden mitunter dabei erstmals einen Namen bekommen.

So ein Prozessverzeichnis ist übrigens auch hilfreich um neue Mitarbeiter anzulernen oder um interne Abläufe zu vermessen und zu optimieren. Aber darum soll es hier nicht gehen.

Im nächsten Schritt schreibt man zu diesen Listeneinträgen die Datenprozesse, die beteiligt sind. Beim Beispiel der Neukunden-Anlage wäre dies zunächst  die Erfassung der Daten – vom Online Shop oder einer Email oder per Telefon. Vielleicht hilft eine kleine Skizze dabei. Nun könnte man hinzufügen, wer diese Daten „bewegt“ (Ein Name oder eine Rolle, z.B. „Kundenbetreuung“), womit er sie bewegt („Email-Programm“, „PCG“) und wo diese Daten „lagern“ („Sever mit PCG“, „oekobox-online“). Wahrscheinlich zuerst in einer Email-Mailbox, dann lokal in einer Datenbank und dann auch Online in einer Datenbank – der neue Kunde soll sich ja im Shop anmelden können.

Hier noch ein paar Ideen für Prozesse, die in der einen oder anderen Form bestimmt bei jedem zu finden sind, manche sind möglicherweise sehr ähnlich und können zusammengefasst werden:

  • Aboänderung, Urlaubseinträge, Stammdatenänderung von Kunden
  •  Änderung von Mitarbeiter-Daten (o-ja, das sind auch Personen!), Zeiterfassung oder Urlaubsabsprachen
  • Tracking-Daten-Sammlung von WebSeiten und dem Online Shop: wer sammelt, wer macht was mit den Daten?
  • Erfassung und Pflege von Lieferanten-Daten
  • Prozesse im Bestellwesen
  • Fahrer und Liefer-Prozesse (Fahrer-App)

Einige dieser Dinge mögen Euch nicht so bewusst sein (weil hinter einem Button im PCG verborgen) oder sogar gar nicht interessieren – gern könnt Ihr uns im PCG-Team dazu befragen. Oft ist es interessanter als Ihr denkt 😉 – zudem ist es wie gesagt Chefsache, es könnte ja auch sein, ein Datenschutzeauftragter kommt bei Euch vorbei und fragt.

In vier Wochen werden wir diese Liste brauchen, um Datenfelder zu benennen, Risiken zu identifizieren und um Verantwortlichkeiten zu erkennen.