Wie Ihr wahrscheinlich schon mitbekommen habt tritt am 25. Mai 2018 die neue Datenschutz-Grundverordnung (DSGVO / GDPR) in Kraft. Die DSGVO ist eine EU Verordnung zur Verbesserung des Datenschutzes.
In diesem Blogpost wollen wir euch darüber informieren, wie die DSGVO bei uns umgesetzt wird:
Wir haben uns detailiert angeschaut welche Daten wir sammeln und diese im Hinblick der DSGVO betrachtet. Die einzige relevante Datenquelle die wir in der Firma ausfinding machen konnten, ist unsere Matomo-Installation (früher Piwik). Matomo setzte bisher einen Tracking-Cookie, für diesen Cookie gab es einen opt-out Button auf der Datenschutzseite. Da dies jetzt opt-in sein müsste um DSGVO-konform zu sein, haben wir den Cookie einfach aus unserem Matomo-Setup entfernt. Dies ändert in Wirklichkeit gar nicht viel, da wir auch vorher schon die "do-not-track"-Anfragen der Browser anerkannt hatten. Eigentlich alle modernen Browser setzen das "do-not-track" Flag standardmäßig, so dass Matomo auch vor der Änderung bereits keine Cookies gesetzt hatte.
Unsere Matomo-Installation sammelt jetzt anonymisiert Daten der Seitenbesucher. Diese können nicht mit einem Benutzerkonto, einer IP Adresse o.ä. korreliert werden. Die gesammelten Daten beinhalten
- besuchte Seiten,
- Besuchszeiten,
- Herkunftsland,
- Browser
- und vergleichbares.
Die Daten werden genutzt um
- tote Links zu finden (404),
- Seiten zu finden die über Tinkerforge reden,
- Auslastung des Servers anhand von Besucherzahlen/Ladezeiten zu bestimmen,
- Effektivität von Artikeln/Werbung zu bestimmen
- und vergleichbares.
Die Daten werden nicht
- mit den Shop-Accounts in jeglicher Art und Weise korreliert,
- genutzt um wiederkehrende Besucher zu tracken
- oder genutzt um permanente Profile von Besuchern anzulegen.
Damit entsprechen wir den Vorgaben der DSGVO.
Zusätzlich betreiben wir einen Shop. Wenn Ihr ein Benutzerkonto in unserem Shop anlegt speichern wir die Adressinformationen und die Bestellungen. Diese Daten sind (offensichtlich) notwendig und unvermeidbar um einen Online-Shop zu betreiben. Wenn Ihr Euer Benutzerkonto aus unserem Shop entfernt haben wollt (Stichwort "right to be forgotten", Recht auf Vergessenwerden) schreibt uns eine Email. Wir können einen SQL-Query ausführen der alle Daten die zu einem Benuzterkonto gehören entfernt. Was bleibt ist eine archivierte ausgedruckte Kopie sowie eine archivierte digitale Kopie der Rechnungen die Ihr zu Euren Bestellungen bekommen habt. Wir sind dazu verpflichtet diese aufzubewahren (Stichwort Aufbewahrungspflicht). Wenn Ihr einsehen wollt, welche Daten wir über Euch speichern, könnt Ihr euch einfach in Euer Benutzerkonto einloggen und auf die "Mein Benutzerkonto"-Seite gehen. Dort befindet sich Euer Adressbuch sowie die Bestellinformationen. Diese Informationen entsprechen allen persönlichen Daten die wir haben.
Wenn Ihr Euch nicht in unserem Shop anmeldet und Produkte in den Warenkorb legt, setzt der Shop ein Cookie mit der ID des Warenkorbinhaltes. Wenn Ihr dann z.B. einen weiteren Tab öffnet wird der Warenkorbinhalt dort mit Hilfe dieser ID persistent angezeigt. Die ID beinhaltet keinerlei persönliche Informationen und kann auch nicht mit solchen korreliert werden. Die Dokumentation kann einen Cookie setzen falls Ihr explizit eine Sprache auswählt die nicht eurer Browser-Sprache entspricht. Dadurch werdet Ihr beim nächsten Besuch direkt auf die Seite mit der korrekten Sprache weitergeleitet. Hier falllen wieder keine persönlichen Informationen oder vergleichbares an.
Im Allgemeinen kann man sagen das wir unser Geld damit verdienen Hardware zu entwerfen, herzustellen und zu verkaufen. Wir sammeln nur die persönlichen Informationen die absolut notwendig sind dafür. Entsprechend sehen wir keine großen Probleme bei der Umsetzung der neuen DSGVO-Regeln.