faq

  • alle
  • comet
  • dms3
  • cdn

comet

DAM

Digital Asset Management: Datei Verwaltung (z.B.: Bilder, PDF-Dateien, etc.)

  • comet
  • dms3
Dokumente-Lebenszyklus

Das Content Management regelt den gesamten Dokumenten-Lebenszyklus. Jedes Dokument/Objekt welches dem Dokumenten-Lebenszyklus untersteht wird zunächst als Entwurf erstellt bevor es als eine Version freigegeben werden kann.

  • comet
  • cdn
Entwurf

Ein Dokument behält solange den Status Entwurf, bis es freigegeben wird. Solange ein Entwurf nicht redaktionell bearbeitet wird, bleibt er auf dem Status Entwurf. Entwürfe können abgelehnt werden, bleiben jedoch immer noch Entwürfe, es sei denn, sie würden gelöscht bei der Ablehnung. Für ein Dokument können mehrere Entwürfe bestehen. Diese Entwurfsfassungen können von einem oder mehreren Benutzern erstellt worden sein.

  • dms3
  • cdn
Rendition

Eine Rendition ist eine andere Ausprägung eines Digitalen Assets.
D.h. bei einem Bild in der Auflösung 800 x 600 kann es eine Rendition in der Auflösung 320 x 480 geben, um diese beispielsweise bei der Anzeige auf einem Smartphone ausgeben zu können.

  • comet
Version

Zu allen Objekten (Bilder,  Seiten-Elemente, ... ) die dem Dokumente Lebenszyklus unterstehen werden Versionen erstellt und abgelegt. Die Vorstufe einer Version ist ein Entwurf.

Allgemein

zweiter Eintrag

Was kann das?

  • comet

Comet Trouble Shooting

Allgemein

Die Adresszeile im Browser nutzt auf einmal 'ID' statt 'page'

Beim Routes-Manager ist vermutlich eine neue Route hinzugefügt worden ohne dass diebestehenden, d.h. die von 'Alle Mandanten', in den neuen Client übernommen wurden.

Lösung:

  • Alle Routes aus 'Alle Mandanten' in denClient übernehmen. (Reihenfolge beachten)
Fehlermeldung 'Can't delete file .... /tmp/... does not exists'

Es wurde evtl. ein ZIP-File mit Umlauten entpackt. Dies ist zur Zeit (Revision 1.6.42) fehlerhaft.

Lösung: Um das System wieder zum Laufen zu bekommmen muss das Verzeichnis '/railo/<MEIN AUFTRITT>/var/tmp/' auf dem Server gelöscht werden.

  • comet
Geschwindigkeit im Frontend ist zu langsam

Performance-Problem: Die Geschwindigkeit mit der sich eine Seite aufbaut ist zu langsam.

Folgende Optionen prüfen:

  • Sind die Caches akvitivert?
  • Ist die Applikation noch im Debug-Modus?
    Dies kann unter den Programm-Settings eingerichtet werden. Parameter 'Debug-Mode' muss auf 'false' gesetzt werden.

 

 

 

iOS-Browser können keine Artikel in den Warenkorb legen

Wenn im comet iFrames von cms3 (Reservationen) oder in andere Auftritte comet-Inhalte (Shop, Tageskarten, etc) als IFrame eingebunden werden und die Domain von iFrame und übergeordneter Seite stimmen nicht überein, erhalten iOS-Geräte aus Sicherheitsgründen bei jedem Klick im iFrame eine neue Session / ein neues Cookie. Dies kann zwar in den Browser-Einstellungen angepasst werden – wird aber von Benutzern nicht gemacht und kann auch nicht erwartet werden.

Das Problem kann mit 2 Varianten vermieden werden:

  1. Das iFrame wird als Subdomain der übergeordneten Seite betrieben.
  2. Es wird ein JavaScript integriert, der zuerst automatisch auf die Seite im iFrame weiterleitet, wieder zurückspringt und dann die Seite normal lädt. Damit ist die Seite bereits einmal ausserhalb eines iFrames besucht worden und aus iOS-Security-Sicht nicht mehr gefährlich (hüstel, hüstel).

Wird Variante 2 gewählt, muss ins Template der Seite im iFrame folgender JavaScript-Code eingefügt werden. Am besten in den Head-Bereich. Der Script setzt jQuery voraus, kann aber auch leicht angepasst werden, damit er ohne jQuery funktioniert.

Login eines Benutzers funktioniert auf einmal nicht mehr.

Der Benuitzer hat evtl. keine zugeordnete Rolle mehr? Kann  passieren, falls der Benutzer nicht unter 'Alle Mandanten' neu gespeichert wurde.

Neustart ist erforderlich

Jede Installation lässt sich separat neu initialisieren. Dies geschieht über eine URL:
https://meinkunde.ch/restart

Wir sehen nun 3 Optionen zur Aktualisierung:

  • restart: Diese Option aktualisiert sämtliche Daten und bereinigt Caches. Wenn gar nichts mehr funktioniert oder zur Installation eines neuen Moduls ist diese Variante zu verwenden.
  • reinit: Wir aktualisieren Optionen und lesen ColdFusion-Files neu ein.
  • refreshBeans: Wir aktualisieren nur die ColdFusion-Dateien.

Das Passwort, das hierfür benötigt wird, entpricht dem Lucee/ColdFusion-Administrator Account. Dieses ist im Intranet dokumentiert.

 

Seite ist leer, nur Hintergrundbild ist sichtbar

Fehler tritt z. Bsp. auf, wenn man das Template speichert und danach in der gleichen Session das Frontend refreshed.

Korrektur:

  1. Als Support-User in einem separaten Browser einloggen.
  2. Cache löschen: "Cache CMS Page tree"
  3. Refresh mit F5

Danach ist auch im ursprünglichen Browser mit F5 die Page wiederhergestellt.

 

Aufgetreten in Tag 1.6.32

Gefixt in Revision 5027

 

 

 

 

 

Verzeichnisnamen und Einträge werden nicht dargestellt

Verzeichnisnamen und Einträge werden leer dargestellt, obwohl diese Namen gefüllt sind.

Der eigeloggte Benutzer hat eine andere Sprache zugewiesen, als die Sprache, die für die Navigation genutzt wird. Hier muss beim Benutzer die gleich Sprache eingestellt werden.

 

 

Editor

Ein Verzeichnis (Events, News, DAM,... ) wird angezeigt, obwohl der Benutzer oder die Rolle dort keine Rechte zugewiesen hat.

Prüfen, ob die Rolle die Funktionen "ignore object permissions" für das jeweilige Modul gesetzt hat. Dies muss deaktiviert sein, damit die Permission funktionieren können.

Format entfernen entfernt nur Klassen, aber nicht das Element

Der ckEditor entfernt im Standard nur gewisse Tags komplett. Diese sind in der Dokumentation aufgelistet. Derzeit werden folgende Tags entfernt: b,big,cite,code,del,dfn,em,font,i,ins,kbd,q,s,samp,small,span,strike,strong,sub,sup,tt,u,var

Weitere Tags können hinzugefügt werden, indem die Editor-Konfiguration erweitert wird. Dabei müssen alle Werte übergeben, also nicht nur die neuen Tags. Im Beispiel ist die Konfiguration, die zusätzlich  den mark-Tag enthält:

removeFormatTags:'b,big,cite,code,del,dfn,em,font,i,ins,kbd,mark,q,s,samp,small,span,strike,strong,sub,sup,tt,u,var'

Die Einstellung erfolgt in der Konfiguration.

Nach dem Einfügen einer Tabelle aus Word wird ein Fehler angezeigt.

Tabellen von Word-Dokumenten in den Editor kopieren wirft einen Fehler.

Wenn man z.B. von einem Word Dokument eine Tabelle in den Editor einfügt und speichert, produziert dies einen Fehler.

Tabelle kurz selbst anlegen und die Texte in die Spalten und Zeilen einfügen.

Tabs, Spalten, ctec... werde bei einem Benutzer nicht angezeigt, obwohl dies eigentlich sein sollte.

Evtl. hat der Benutzer keine Sprachen zugewiesen und bekommt daher diese Tabs, Spalten etc nicht angezeigt?

Suche

Suche gibt nur noch "Entity not found" aus, obwohl dies bisher funktionierte.

Restart des Apache Tomcat durchführen.

Templates

Freigabe eines Templates wird nicht durchgeführt.

Wenn Comet-Template nicht freigegeben wird, wenn man den Freigabe-Button klickt, kann es daran liegen, dass es keine korrekte Zonen- oder Mainzonen Definition enthält.

Sie dazu: Templates

CMS

Benutzer haben trotz eingeschränkter Rechte Zugriff oder Sicht auf andere Verzeichnisse oder Objekte

Zugriffsrechte einer Rolle sind falsch gesetzt. Prüfen, ob dort bei den Funktionen der 'Zugriffsrechte'

  • Objectpermissions global
  • Objectpermissions ignoreall
  • Objectpermissions restricted

gesetzt sind. Dies darf nicht sein.

Mustache Dateien werden nicht benutzt

Obwohl Mustache-Dateien im Modulblock ausgewäglt sind, scheint comet diese nicht zu benutzen.

Lösung:

  • prüfen, ob der Cache auf "unendlich cachen" steht
  • Das benutzte Template hat vielleicht nicht das Default-Schema aktiviert? Evtl. steht dieses auf "backslash"? Oder umgekehrt?
Nach Freigabe eines Objektes ist dieses immer noch im Status Entwurf

Das System hat bei dem Objekt einen Fehler entdeckt und erlaubt das Speichern nicht. Abhilfe schafft hier, den vorhergehenden Entwurf erneut zu speichern und diesen danach als Version freizugeben.

Renditions werden nicht ausgegeben

Bei der Ausgabe von Bildern über den Modulblock 'Asset Management' ->'Dateiliste' werden keine Renditions angezeigt. Die dumpParams-Ausgabe zeigt auch keinerlei Renditionstrukturen an.

Lösung: Im Modulblock 'Asset Management' ->'Dateiliste' müüssen die Renditions, die Ausgageben werden definiert werden. Parameter: 'Zugelassen Renditionstypen'

Stichworte: noRendition, hasRendition

 

 

  • comet
Seiten mit speziellem Inhalt finden

Wie kann ein spezifischer Begriff auf Seiten gefunden werden. Die Volltextsuche hilft oft nicht weiter, vor allem wenn es sich um Quellcode handelt. Folgende Datenbank-Abfrage sucht nach dem Begriff «template_right» in allen aktiven Seitenelementen und liefert die Seiten-IDs zurück:

SELECT
	pz.pageidfk,
	cb.ID,
	cb.pageelementlangidfk,
	DATA,
	pe.ID,
	pe.pid,
	pel.ID,
	pz.pageelementidfk 
FROM
	cms_contentblock AS cb
	LEFT JOIN cms_pageelementlang AS pel ON pel.ID = cb.pageelementlangidfk
	LEFT JOIN cms_pageelement AS pe ON pe.ID = pel.pageelementidfk
	LEFT JOIN cms_pagezone AS pz ON pz.pageelementidfk = pe.pid 
WHERE
	pe.isactive = 1 
	AND cb.DATA LIKE ( '%template_right%' ) 
ORDER BY
	pz.pageidfk

 

  • comet

Formulare

Admin-Mail wird nicht verschickt. Corrupt...

Ein mit dem Formmailer integriertes Formular wird nach dem Abschicken nicht an die angegebene Admin-Email-Adresse verschickt. Stattdessen findet man im ComAgent bei den 'fehlerhaften Jobs' einen Fehlereintrag 'Absender wurde nicht angegeben'.

Lösung: in den Modulsettings des Formular-managers ist keine Absender E-Mail-Adresse eingetragen.

 

Nach dem Launch reagieren die Formulare nicht bei Klick auf den Senden-Button

Typische Fehlermeldungen im Firebug: 

 

Lösung:

Die Formulare haben sind auf dem Server noch mit der integrierten "Arbeits-URL" govis-CLIENT.backslash.ch gespeichert. Hier muss der Support den File-Cache bereinigen:

Im Kundenverzeichnis unter /var sind die Unterverzeichnisse forms (sowie  templates und messengertemplates) zu leeren. Der Inhalt wird beim ersten Aufruf wieder generiert.

 

Nach Klick auf Bestätigungs-Button wird eine Fehlerseite angezeigt.

Nach dem Klick auf den Bestätigungsbutton eines Formulars erscheint ein Fehlermeldung:

"invalid call of the function 'getNameddata'"

Dies kann folgende Ursachen haben:

  1. Das Mustache- Script im Ordner /CLIENT/theme/fe/default/forms/ ist nicht aktuell oder fehlerhaft.
    Lösung: beim Client das Formular aktualisieren oder den Ordner entfernen. Beachten, dass individuelle Anpassungen innerhalb dieses Skriptes nicht verloren gehen.
  2. Die Formulare sind zu einem frühen Zeitpunkt des Comet erstellt worden und nicht mehr aktuell.
    Lösung:
    1. Formulare neu speichern
      oder
    2. alle kompilierten Formulare im Ordner /CLIENT/var/forms/ löschen (cfm und xml-Dateien).
      Danach werden diese bei erstem Aufruf wieder korrekt neu erstellt.

 

 

 

News

News Archiv: obwohl verschiedene News angewählt sind, wird immer nur eine News aus dem Archiv angezeigt.

Dies liegt vermutlich daran, dass ein Cache auf der Detail-Seite eingestellt ist.

Lösung: Cache entfernen.

Vereine

Export der Mitgliederdatei bricht ab

Im Vereinsmanager bricht das Exportieren der Mitgliederdatei via Button "Export" mit der Fehlermeldung "Getaway timed out ab" ab.

Lösung: Der Server wurde neu gestartet. Dies löst aber nciht das eigentliche Problem. Dazu sollte auf dem Server die Konfiguration geprüft und angepasst werden.

Online-Benutzer ist nicht erstellbar

Ein Online-Benutzer lässt sich nicht erstellen.

Dieser Fehler trat auf, als ein weiterer Online-Benutzer mit einer bereits im System existierenden E-Mail-Adresse erzeugt werden sollte.

Lösung: E-Mails wieder unique einrichten.

 

 

  • comet

Kampagnen Tool

Abonnenten-Liste im 'Versand' und zeigt eine andere Anzahl Abonnenten an als in der eigentlichen Abonnenten-liste

Abonnenten-Liste im 'Versand' und zeigt eine andere Anzahl Abonnenten an als in der eigentlichen Abonnenten-Liste.

=> Nur die Abonnenten, die eine E-Mail-Adresse besitzen werden innerhalb der Versände angezeigt.

Abonnenten-Liste zeigt Mitglied nicht an.

Bei einer Abonnenten-Liste von Vereinsmitgliedern wird ein Benutzer nicht angezeigt, obwohl er gerade eben als Mitglied bei einem Verein eingefügt worden ist.

=> Die Synchronisierung der Abonnenten-Listen mit dern Mitgliederlisten findet mit einem Cron Job nur jede Stunde statt. Zur Zeit immer um 5 Minuten nach Voll….

  • comet
Formular 'Abonnieren' leitet nicht weiter

Das Newsletter-Abonnieren-Formualr leitet die ANfarge nicht weiter. Es sieht aus, als ob es eingefroren ist, beim Klick auf ^'Abonnieren'.

Lösung: 

- Routes im Routes-Manager checken:  ":shortcut" muss unterhalb route/:route" aufgeführt sein. Danach 'Erstellen' klicken. Kein restart der Applikation notwendig. Evtl. alle Caches löschen

Formular 'Abonnieren' leitet nicht weiter

Das Newsletter-Abonnieren-Formular leitet die Anfrage nicht weiter. Es sieht aus, als ob es eingefroren ist, beim Klick auf ^'Abonnieren'.

Lösung: Routes im Routes-Manager checken:  ":shortcut" muss unterhalb route/:route" aufgeführt sein. Danach 'Erstellen' klicken. Kein restart der Applikation notwendig. Evtl. alle Caches löschen

DAM

Fehlermeldung beim Hochladen einer Datei: 'HTTP Error 200 undefined'

Nachdem eine Datei per Drag&Drop in im DAM zum hochladen abgelegt wurde, erscheint nach Klicken auf den Butten "Hochladen" die Fehlermeldung 'HTTP Error 200 undefined'.

 

Lösung: der Benutzer hat keine Schreibrechte in dem Verzeichnis.

 

Fehlermeldung beim Hochladen einer Datei: 'No action permission for updating imageformat'

Beim Hochladen einer Datei ins DAM erscheint die Fehlermeldung: 'No action permission for updating imageformat'.

Lösung: Benutzer hat kein Recht Renditions zu aktualliseren. Diess Recht muss unter "Core" eingerichtet werden.

Online-Schalter

Beim Bestellblock erscheint das Login, obwohl dies nicht benötigt wird.

Hier ist im Mustache 'OSM->checkout->methods' noch die Anweisung 'LoginBlock' enthalten: entfernen!

Die angegebene Karte oder Währung wird nicht unterstützt.

Fehlermeldung von Six Saferpay: Die angegebene Karte oder Währung wird nicht unterstützt.

In den Einstellungen muss die Bezahlmethode eingestellt sein, die auch bei Six bestellt worden ist. Es kann auch sein, das Saferpay eingerichtet ist, aber zum Beispiel bei der Postfinance der Service noch nicht freigeschaltet worden sit.

Lt. Saferpay muss der Kunde (oder wir) bei der Postfinance anrufen und einmal nachfragen/auffordern, diesen Zugang nun freizuschalten und an Saferpay zu melden.

Die Kontakttelefonnummer ist: 0800 88 88 77 (Bitte mit der Vertragsaufschaltungs-Abteilung verbinden lassen)

Formular für Bestellabschluss geht nicht weiter

Am Ende des Bestellabschlusses geht das letzte Formular nicht zum Folgenden über sondern bleibt 'eingefroren'

-> Firebug zeigt folgende Meldung an: NetworkError: 500 Internal Server Error - https://govis-biel-benken.backslash.ch/route/osm-checkout-createOrder/store/3/returnpid/43/landingid/44'

-> im Buglog wird folgende Meldung angezeigt:
'No merchant profile found at /var/www/railo/govis_bielbenken/conf/saferpay/99867-94913159! Run next command: java -jar Saferpay.jar -conf --username t998678648 -p "/Library/Railo/tomcat/webapps/ROOT/comet/client/conf/saferpay/99867-94913159" --serverurl https://www.saferpay.com/user/setup.asp --password rR\!ew39fpQ'

Lösung:

Saferpay ist nicht auf dem Server für den Kunden installiert. Webmaster bitten (via Ticket) saferpay zu installieren.

 

 

Produkt ist nicht bestellbar: Spinner für Anzahl wird nicht angezeigt

Der Bestellprozess kann nach Auswahl des Prouktes nicht weitergeführt werden, da der Spinner für die Menge nicht angezeigt wird und kein 'Weiter'-Button erscheint.

Lösung:

a: Im Ordner des Produktes ist die Checkbox 'Bestellbar' nicht aktiviert. Muss aktiviert werden.

b: es ist kein Formular an das Produkt zugewiesen. 

Shop lässt sich nicht speichern

Ein neuer Shop soll erstellt werden. Nachdem alles eingerichtet ist und man auf 'Speichern' klickt, kommt zwar der Speichern-Hinweis, aber der OnlShop lässt sich nit speichern.

Lösung: Den Shop unter einem anderen Namen speichern. Dies half, als der Schalter bereits einmal erstellt und gelöscht worden war. In diesem Fall ist im Recycle bin noch ein alter Shop mit gleichem Namen vorhanden.

 

Tageskarten

Konfigurations-Icon im Backend ausblenden für Benutzer

Konfigurations-Icon im Backend ausblenden für Benutzer.

Recht: 'Verkaufsstelle aktualisieren'

Suche nach Bestellungen liefert keine Treffer

Wenn die Suche nach Bestellungen keine Treffer liefert, liegt es in der Regel daran, dass der Suchserver nicht korrekt initialisiert worden ist. Dies kann behoben werden, indem unter /Verwaltung/Such-Manager die Konfiguration reinitialisiert wird:

Data Exchange

cms3-Onlineuser wurden unter alle Mandanten importiert

Wenn der Import der cms3-Online-Benutzer irrtümlicherweise unter alle Mandanten ausgeführt wurde, können die Zuweisungen manuell korrigiert werden:

  1. Zuerst benötigen wir die entitytypeId der Objekte «user» und «exchange_importprocess». Diese sind aus der Tabelle core_entity_type herauszulesen, da sie bei jeder Installation einen anderen Wert haben können.
  2. Der Importprozess muss dem Mandanten zugewiesen werden. Die ID des Importprozess ist in der Tabelle «exchange_import_process» zu finden. Die Zuweisung geschieht in der Tabelle: core_mandant_relation
  3. Die eben importierten Benutzer müssen in der Tabelle eingetragen werden: core_mandant_relation. Die IDs der Benutzer sind in der Tabelle «core_user» abgelegt.
  4. Nun erfolgt ein Restart
  5. Jetzt kann der Importprozess unter dem Mandanten nochmals gestartet werden.

 

Logs von Import-Prozessen werden nicht automatisch gelöscht

Es kann vorkommen, dass das automatische Löschen von Import-Prozess-Logs nicht funktioniert, weil die Löschaktion zu lange dauert. In diesem Fall hilft nur das manuelle Bereinigen in der Datenbank. Dabei ist folgende Reihenfolge einzuhalten.

Achtung: bei den Abfragen ist das Datum zu ersetzen!

1. Import-Tasks bereinigen

delete FROM exchange_import_task WHERE jobidfk IN (
	SELECT id FROM exchange_import_job WHERE processjobidfk IN (
		SELECT id FROM exchange_import_processjob WHERE startdate < '2018-08-03' AND processidfk IN (
			SELECT id from exchange_import_process WHERE schedule=1
		)
	) LIMIT 10000
)

2. Import-Jobs bereinigen

ALTER TABLE exchange_import_job DISABLE TRIGGER ALL; 
delete FROM exchange_import_job WHERE id IN (
	SELECT id FROM exchange_import_job WHERE processjobidfk IN (
		SELECT id FROM exchange_import_processjob WHERE startdate < '2018-08-03' AND processidfk IN (
			SELECT id from exchange_import_process WHERE schedule=1
		)
	)
);
ALTER TABLE exchange_import_job Enable TRIGGER ALL; 

3. Prozess-Jobs bereinigen

ALTER TABLE exchange_import_processjob DISABLE TRIGGER ALL; 
delete FROM exchange_import_processjob WHERE startdate < '2018-08-03' AND processidfk IN (
			SELECT id from exchange_import_process WHERE schedule=1
		);
		
ALTER TABLE exchange_import_processjob ENABLE TRIGGER ALL;

4. Es wird ein Restart der Applikation benötigt.

5. Mit folgendem Link können auch noch alte Import-Files gelöscht werden: route=exchange/importconfig/clearDeletedJobs

Payment

BillingOnline

Zahlungsseite wird nicht geladen

Wenn die Zahlungsseite von Billing-Online nicht geladen werden kann, ist die Ursache in der Regel bei einer fehlerhaften Konfiguration zu suchen.

Ansicht, wenn die Zahlungsmaske von Billing Online nicht korrekt geladen werden kann.

Normalerweise findet man im Buglog einen entsprechenden Eintrag mit dem Betreff: BillingOnline payment request

Die Fehlermeldung gibt Aufschluss auf die mögliche Ursache. Anbei verschiedene mögliche Fehler:

  • java.security.InvalidKeyException: invalid key format
  • java.security.InvalidKeyException: IOException : DER input, Integer tag error

In allen Fällen stimmt das zugewiesene Zertifikat nicht. Die Konfiguration muss überprüft werden.

SIX Saferpay

JSON API Anbindung verwenden

Bei zukünftigen Projekte setzen wir die JSON API Anbindung ein, wenn eine Kreditkartenzahlung mit dem Saferpay-Provider geplant ist. Damit diese Anbindung einwandfrei funktioniert, muss folgendes vorgenommen werden.

1. Als erstes sollte man sicherstellen, ob die  Saferpay-Logindaten aktiv sind.

                1.1 Ist das Konto gesperrt worden, kann man es wieder entsperren lassen, indem man sich bei Saferpay unter der Nummer +41 848 66 4444 meldet.

                1.2 Ist das Passwort falsch, sollte man beim Kunden (Gemeinde oder Schule) das neue Passwort anfordern.

2. Im Mandant unter E-Commerce / Shop-Konfigurator / PSP / Saferpay müssen die Account-Einstellungen gemacht werden. z.B. wie bei Herrliberg

Die Account-ID ist die Kombination aus Kundennummer und Terminal.

Beispiel:   Account-ID(434337-17833517) = Kundennummer(434337) + Terminal(17833517)

3. Im Saferpay unter JSON API Basic Authentication muss noch ein API-Login erstellt werden. 

Achtung! Es können maximal 10 API-Logins erstellt werden. Deshalb kopiert man zuerst den Benutzernamen und erstellt ein Passwort, welches den Kriterien passt. Dieses Login sollte man auch im Intranet eintragen, damit ein anderer die Daten leicht finden kann.

Das generierte API-Login integriert man folglich noch im GOVIS unter E-Commerce / Shop-Konfigurator / PSP / Saferpay.
Besitzt der Kunde mehrere Shops (Online-Schalter und Tageskarten), so müssen diese Eintragungen für jeden Shop separat vorgenommen werden.

Bei Kunden, die noch keinen Account bei Saferpay bestellt haben, kann ein Testkonto erstellt werden, damit die Konfiguration fertiggestellt werden kann. Das Kunden-Konto muss der Kunde bei Saferpay abholen und uns mitteilen. Arbeitet man mit dem von uns erstellten Testkonto, ist der Testbetrieb im JSON API zu aktivieren, was aber bei Produktivkonten inaktiv sein muss. 

Nun kann die Kreditkartenzahlung geprüft werden. Kommt man im Bestellprozess bis zur Auswahl der Kreditkarte, kann man davon ausgehen, dass die Verbindung zu Saferpay problemlos funktioniert.

Mehrere E-Mail-Adressen hinterlegen bei Saferpay

Über eine PaymentPage Konfiguration, mit der das Verhalten und Aussehen, das Bezahlformulars angepasst werden kann, können auch mehrere E-Mail-Adressen definiert werden, an die eine Bestätigungsmail nach einer erfolgreichen Bezahlung geschickt werden sollen.

Die Konfiguration ist im Saferpay Backoffice unter Einstellungen / PaymentPage Konfiguration einzurichten:

Nachdem die Konfiguration eingerichtet ist, können unter dem Punkt JSON API mehrere E-Mail-Adressen eingetragen werden:

Damit die Konfiguration jedoch verwendet wird, muss Sie in der PaymentPage Konfigurations-Übersicht auf das Wort «Nein» unter «Default» klicken damit dieses sich zu «Ja» ändert:

 

Server

Sessionen werden nicht mehr bereinigt

Auf jedem Server befindet sich einen Datenbank client_storage, in der Sessionen verwaltet werden. ColdFusion/Lucee bereinigt nicht mehr aktive Sessionen automatisch jede Stunde. Wenn dieser Prozess nicht funktioniert, wächst die Datenbank und alle Zugriffe werden langsamer.

In diesem Fall werden als Sofortmassnahme alte Einträge gelöscht:

delete from cf_session_data where expires <= '[epochdatetime]'

Die Epochdatetime kann mit dem Convert von epochconverter.com ermittelt werden. Er sollte sicher einen halben Tag in der Vergangenheit liegen!

Allenfalls können die Einträge nicht bereinigt werden, weil keine Schlüssel für die Spalten cfid  und name vorhanden sind. In diesem Fall sind die Schlüssel neu zu setzen. Ist dies nicht möglich, liegt es wahrscheinlich an doppelten Einträgen in der Datenbank. Bei Postgres können diese mit folgender Abfrage entfernt werden:

DELETE FROM cf_session_data USING cf_session_data cf_session_data2
WHERE cf_session_data.cfid = cf_session_data2.cfid AND cf_session_data.expires < cf_session_data2.expires;

 

  • comet

Kanton Thurgau

GOViS

Auf einen bestimmten Server per http(s) zugreifen

Starten:

  1. Unter S:\Apps\squid\etc\hosts.txt alle aufzurufenden Domains auf 127.0.0.1 zeigen lassen. Achtung: Am Schluss muss eine Leerzeile sein!
  2. «S:\Apps\SSH\putty.exe» ausführen und mit dmzgovisp01, dmzgovisp02, dmzgovisp03 oder dmzgovisp04 verbinden
  3. «S:\Apps\squid\start.bat» ausführen
  4. «S:\Apps\Mozilla Firefox\firefox.exe» ausführen
    1. Unter «Einstellungen» -> «Erweitert» -> «Netzwerk» -> «Einstellungen...» -> «Manuelle Proxy-Konfiguration:» wählen
    2. HTTP-Proxy: 127.0.0.1 Port: 3128
    3. «Für alle Protokolle diesen Proxy-Server verwenden» aktivieren
    4. «OK» wählen und «Einstellungen» schliessen
  5. Lossurfen...

Server wechseln:

SSH-Verbindung im putty.exe trennen und putty.exe erneut ausführen und mit dem anderen Server verbinden.

Stoppen:

  1. Im Firefox unter «Einstellungen» -> «Erweitert» -> «Netzwerk» -> «Einstellungen...» -> «Manuelle Proxy-Konfiguration:»
    1. «Kein Proxy» aktivieren
    2. Mit «OK» bestätigen
  2. Squid in der Konsole mit Control + C schliessen
  3. SSH-Verbindung trennen
Files auf dem NFS-Share bearbeiten

Verschiedene Verzeichnisse der Comet-Installation sind auf dem Fileshare abegelegt. Daher hat man mit dem normalen extbslash Benutzer keinen Zugriff darauf. Betroffen ist vor allem das Verzeichnis /govis/www/lucee/govis_tg/theme.

Um Änderungen in diesem Verzeichnis vornehmen zu können, muss in der Konsole folgender Befehl abgesetzt werden: su -s /bin/bash nginx

Konfigurationssynchronisation

Mit dem govissync-Script lässt sich die Konfiguration vom Nginx und Lucee vom DMZGOVISP01 auf den NFS-Share und von dort auf den DMZGOVISP02 synchronisieren. Die Synchronisation muss immer zuerst auf dem DMZGOVISP01 gestartet werden und danach auf dem DMZGOVISP02. Es wird immer der Stand vom DMZGOVISP01 übernommen.

Nginx und Lucee Konfiguration synchronisieren:

# /home/extbslash/govissync

Nur Nginx Konfiguration synchronisieren:

# /home/extbslash/govissync nginx

Nur Lucee Konfiguration synchronisieren:

# /home/extblash/govissync lucee

 

Lucee-Server neustarten

Um den Lucee-Dienst neu zu starten, muss man sich vie SSH auf den gewünschten Server verbinden:

In der Konsole müssen Root-Rechte für den Benutzer extbslash (Passwörter sind für alle Produktiv-Server gleich und stehen im Intranet) erlangt werden: sudo -s

Zuerst muss nun der der nginx gestoppt werden: service nginx stop

Anschliessend kann der Lucee-Dienst gestoppt werden: service lucee stop

Danach muss der Dienst wieder gestartet werden: service lucee start.

Abschluss für govisp01

Auf dem Server govisp01 laufen alle Schedule-Tasks, deshalb wird hier GOViS automatisch initialisiert. Das bedeutet, wir geben top ein und schauen, wann sich der Java-Dienst wieder bei gemütlichen 10 bis 70% CPU Last einpendelt. Das dauert 1 bis 2 Minuten, nachdem der Lucee-Dienst gestartet wurde.

Nun kann der nginx wieder gestartet werden: service nginx start

Bitte noch die Restart-Anweisungen kontrollieren!

Abschluss für weitere govis-Server:

Auf den anderen Produktiv-Servern wird die Applikation nicht automatisch gestartet. Dadurch starten wir rasch den nginx-Dienst: service nginx start.
Nun schauen wir mit top die Auslastung und sobald der Java-Dienst über 180% CPU benötigt, stoppen wir nginx wieder und schauen, wieder mit top, bis die CPU wieder normal bei 10 bis 70% ist. Jetzt kann der nginx effektiv wieder gestartet werden.

News: Meldungen im Archiv sind nicht publiziert

Es kann vorkommen, dass Newsmeldung im Archiv nicht publiziert sind. Derzeit besteht noch keine Möglichkeit, diese über das Backend wieder zu publizieren. Dies kann nur auf Datenbank-Ebene erfolgen. Dies geschieht am Besten pro Rubrik. Deshalb müssen zuerst die Rubrik-IDs herausgesucht werden. Anschliessend kann folgende Datenbank-Abfrage verwendet werden:

update news_newslang 
set published = 1, 
datepublished = dateupdated 
where id In (
	select a.id 
    from news_newslang a 
    	inner join news_news b 
        	on a.newsidfk = b.id 
    where  b.categoryidfk = [kategorieId] )

Danach muss der «allgemeine Lesecache» gelöscht werden.

Speichern oder Laden dauert ewig

Wenn Kunden-Meldungen eingehen, dass das Speichern oder Laden von Daten in der Administration ewig daure, liegt dies in der Regel an einem von der Firewall des Kantons blockierten Requests. Die Daten werden dann effektiv nie gespeichert oder geladen.
Wenn ein solcher Fall gemeldet wird, muss er reproduziert werden. In der Browser-Konsole kann schliesslich der fehlerhafte Request herausgelesen. Üblicherweise heisst es dann:

success is undefined in result

Nun kann die Antwort geöffnet werden und man findet darin eine TicketId.

Diese muss mit einer kurzen Erklärung per E-Mail an Stefan Bösch weitergeleitet werden:

afibos@tg.ch

Im CC:

  • peter.bruggmann@tg.ch
  • denise.bantli@tg.ch

In den meisten Fällen kann Stefan Bösch die Firewall-Regeln anpassen, dies kann aber schon dauern uns ist in der Regel nicht vor dem nächsten Tag behoben.

 

DSGVO

Auswirkung auf Kunden

Fallen Unternehmen, die Grenzgänger beschäftigen, in den Anwendungsbereich der DSGVO?

Es gibt hierzu unterschiedliche Auffassungen. Unserer Meinung nach fällt die Verarbeitung von personenbezogenen Daten von Grenzgängern, also Personen, die in der Schweiz angestellt sind und im Ausland Wohnsitz haben, nicht in den Anwendungsbereich der DSGVO, sofern die personenbezogenen Daten in der Schweiz verarbeitet werden. Wenn das Unternehmen allerdings das Verhalten von Grenzgängern in der EU beobachtet (zum Beispiel durch GPS, VPN in Verbindung bei Homeoffice), sind diese Tätigkeiten vom Anwendungsbereich der DSGVO erfasst.

Quelle: IT Magazine

Wann ist die Verordnung (EU) 2016/679 (Datenschutz- Grundverordnung; DSGVO) in räumlicher Hinsicht anwendbar?

Nach Artikel 3 hängt die Anwendung der DSGVO von den beiden folgenden Kriterien ab:

  1. dem Kriterium der Niederlassung:
    Das Unternehmen verarbeitet personenbezogene Daten im Rahmen der Tätigkeiten einer Niederlassung in der Europäischen Union (EU). In diesem Fall findet die DSGVO automatisch Anwendung, unabhängig davon, ob die Verarbeitung in der EU stattfindet oder nicht.
  2. dem Kriterium des Zielmarktes:
    Das Unternehmen hat keine Niederlassung in der EU, aber die Datenverarbeitung steht im Zusammenhang damit
    • betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist oder nicht;
    • das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt. Bei Letzterem bezieht sich die DSGVO vor allem auf die Beobachtung des Verhaltens von Internetnutzerinnen und -nutzern.

Quelle: IT Magazine

Was geschieht mit Schweizer Unternehmen, die gegen die DSGVO verstossen?

Wenn eine Datenschutzbehörde einen Verstoss feststellt, kann eine Geldstrafe von bis zu maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes drohen – je nachdem, welcher Betrag höher ist.

In einer ersten Stufe sind je nach Verstoss bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes der Firma als Bussgeld vorgesehen. In einer zweiten Stufe wird das Doppelte angesetzt.

Quelle: IT Magazine, 4/2018

Was ist eine Datenschutz-Folgenabschätzung?

Sind die Verzeichnisse erstellt, muss geprüft werden, ob eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. Dabei handelt es sich um eine risikobasierte Prüfung einer (geplanten) Datenverarbeitung, die voraussichtlich mit einem hohen Risiko für die betroffenen Personen verbunden Verantwortlichen, der Auftragsverarbeiter muss den Verantwortlichen dabei aber gegebenenfalls unterstützen. Die DSFA kann in 3 Schritte unterteilt werden:

In Schritt 1 wird geprüft, ob voraussichtlich ein hohes Risiko für die betroffenen Personen vorliegt. Dies ist beispielsweise der Fall, wenn sogenannte automatisierte Einzelfallentscheidungen gefällt werden, besonders sensible Daten in einem grossen Umfang bearbeitet werden oder öffentliche Bereiche systematisch überwacht werden. Diese Aufzählung ist nicht abschliessend, ein hohes Risiko kann sich auch aus den Umständen oder der Art der geplanten Datenverarbeitung ergeben, beispielsweise, weil neue Technologien verwendet werden, bei denen die Risiken noch nicht vollständig geklärt sind. Zudem können auch die Mitgliedsstaaten vorsehen, dass bei bestimmten Datenverarbeitungen immer (oder nie) eine DSFA durchgeführt werden muss. Diese sogenannte Schwellwertanalyse muss dokumentiert und aufbewahrt werden.

Ergibt die Schwellwertanalyse ein hohes Risiko für die betroffenen Personen, dann muss als Schritt 2 die DSFA durchgeführt werden. Diese beinhaltet insbesondere die Beschreibung der Datenverarbeitung, die Bewertung der in der Schwellwertanalyse identifizierten Risiken sowie die Festlegung der Massnahmen, mit denen diese Risiken verringert oder ausgeschlossen werden. So kann beispielsweise das Risiko, dass es bei einer Datenübermittlung in ein unsicheres Drittland zu Zugriffen unberechtigter Dritter kommt, dadurch reduziert werden, dass die Daten verschlüsselt werden. Können die Risiken mit den definierten Massnahmen auf ein akzeptables Mass gesenkt oder ausgeschlossen werden, dann sind keine weiteren Schritte erforderlich. Die DSFA sollte dokumentiert und in einer beweiskräftigen Form aufbewahrt werden.

Verbleibt auch nach Ergreifen der definierten Massnahmen immer noch ein hohes Risiko für die betroffenen Personen, dann muss als Schritt 3 die zuständige Aufsichtsbehörde kontaktiert werden. Diese hat bis zu zwölf Wochen Zeit, dazu Stellung zu nehmen. Diese Frist muss gegebenenfalls bei der Planung neuer Datenverarbeitungen mitberücksichtigt werden. Grundsätzlich wird aber jedes Unternehmen ein grosses Interesse daran haben, diese Konsultationspflicht durch das Ergreifen risikoreduzierender Massnahmen zu verhindern.

Die DSFA muss in einer dokumentierten Form erfolgen, die es dem Unternehmen ermöglicht nachzuweisen, dass es seinen Pflichten nachgekommen ist. Die Form der DSFA ist nicht vorgeschrieben, sie kann daher sowohl durch das Ausfüllen von physischen Fragebogen als auch elektronisch unter Verwendung einer entsprechenden Software erfolgen. Wichtig ist, dass die Dokumentation beweiskräftig ist, also nachträglich nicht unbemerkt verändert werden kann.

Quelle: IT Magazine, 4/2018

Was müssen die betroffenen Firmen unternehmen?

Schweizer Unternehmen, die von der neuen EU-Verordnung betroffen sind, müssen ab dem 25. Mai 2018 folgende Pflichten erfüllen: 

  1. informieren und die Einwilligung der Person einholen, deren Daten verarbeitet werden
  2. "Privacy by design" und "Privacy by default" garantieren
  3. einen Vertreter in der EU benennen
  4. ein Verzeichnis der Verarbeitungstätigkeiten erstellen
  5. Verletzungen des Datenschutzes an die Aufsichtsbehörde melden
  6. eine Datenschutz-Folgenabschätzung durchführen

Die Geldbusse, die Unternehmen im Fall einer Datenschutzverletzung zahlen müssen, kann bis zu 4% des weltweiten Jahresumsatzes im vergangenen Geschäftsjahr betragen. 

Wichtig ist auch zu wissen, dass gerade ein Schweizer Pendant zur DSGVO, ein neues Bundesgesetz über den Datenschutz, ausgearbeitet wird. Firmen, die sich schon auf die DSGVO eingestellt haben, dürften, wenn die Schweizer Version fertig ist, bei deren Umsetzung eine erhebliche Zeitersparnis haben. 

Dieser Artikel erhebt keinen Anspruch auf Vollständigkeit. Für weitere Informationen über die DSGVO nutzen Sie bitte die unten aufgeführten Links.

Quelle: KMU Portal des Bundes

Welche Behörde ist für uns als betroffenes Unternehmen (Belieferung von EU-Kunden) die federführende Aufsichtsbehörde?

Sofern das Unternehmen eine Hauptniederlassung oder eine einzige Niederlassung in der EU hat, ist nach Artikel 56 DSGVO die dortige zuständige Aufsichtsbehörde die federführende Aufsichtsbehörde für die von Ihrem Unternehmen durchgeführten grenzüberschreitende Verarbeitung personenbezogener Daten. Abweichend von diesem Grundsatz ist jede Aufsichtsbehörde dafür zuständig, sich mit einer bei ihr eingereichten Beschwerde oder einem etwaigen Verstoss gegen die DSGVO zu befassen, wenn der Gegenstand nur mit einer Niederlassung in ihrem Mitgliedstaat zusammenhängt oder betroffene Personen nur ihres Mitgliedstaats erheblich beeinträchtigt.

Für Unternehmen, die keine Niederlassung in der EU haben, auf die aber die DSGVO dennoch anwendbar ist, ist unklar, welche Aufsichtsbehörde zuständig sein wird. Es könnte argumentiert werden, dass die zuständige Aufsichtsbehörde diejenige ist, in welchem ein EU-Vertreter nach Artikel 27 DSGVO zu benennen ist. Klarheit hierzu werden künftige Entscheidungen der Aufsichtsbehörden und Gerichte bringen.

Quelle: IT Magazine, 4/2018

Welche Schweizer Unternehmen müssen einen Datenschutzbeauftragten in der EU benennen?

Sofern die DSGVO auf das Schweizer Unternehmen anwendbar ist, ist gemäss Artikel 37 Absatz 1 ein Datenschutzbeauftragter zu benennen, sofern:

  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Unternehmens in der umfangsreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Darüber hinaus gibt die DSGVO den EU-Mitgliedstaaten die Möglichkeit, strengere Regelungen in Bezug auf die Bestellung eines betrieblichen Datenschutzbeauftragten zu schaffen (so zum Beispiel in Deutschland).

Mittels der am 13. Dezember 2016 veröffentlichten Stellungnahme der Artikel- 29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) gibt es erste Klarstellungen was unter «Kerntätigkeit» im Sinne des Artikel 37 Absatz 1 b DSGVO zu verstehen ist. Demnach ist im Zusammenhang mit Erwägungsgrund 97 der DSGVO hierunter jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Massgeblich für das Merkmal «umfangreiche Verarbeitung» sind die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze und/oder die Dauer der Datenverarbeitung sowie die geographische Reichweite der Datenverarbeitung. Als Beispiel wird die Verarbeitung von personenbezogenen Daten für Werbezwecke durch Suchmaschinen für verhaltensbedingte Werbevorschläge genannt. Unter Berücksichtigung von Erwägungsgrund 24 der DSGVO können unter das Merkmal «umfangreiche regelmässige und systematische Überwachung» grundsätzlich alle Arten des Internet-Trackings und Profilings fallen.

Quelle: IT Magazine, 4/2018

Welche Unternehmen sind betroffen?

Schweizer Unternehmen müssen sich an die DSGVO halten, wenn sie personenbezogene Daten von natürlichen Personen verarbeiten, die sich in der EU befinden, und falls die Verarbeitung dazu dient:

  1. diesen Personen Waren oder Dienstleistungen anzubieten (gegen Bezahlung oder unentgeltlich), oder
  2. das Verhalten dieser Personen zu verfolgen, sofern dieses Verhalten in den Mitgliedstaaten der EU erfolgt (Art. 3 Abs. 2 Buchst. a und b DSGVO). 

Um zu bestimmen, ob die Aktivitäten eines Unternehmens, das seinen Sitz ausserhalb der EU hat, in den Anwendungsbereich der DSGVO fallen, müssen die Rechtsberater analysieren, ob eine Absicht besteht, Waren oder Dienstleistungen in die EU zu verkaufen. Hierbei können verschiedene Hinweise geprüft werden (z. B. die Erwähnung von Kunden, die sich in den Mitgliedstaaten befinden, oder von einer in der EU gängigen Währung). Im Fall von Art. 3 Abs. 2 Buchst. b DSGVO können die Experten analysieren, ob ein klarer Wille erkennbar ist, das Verhalten von natürlichen Personen im EU-Raum zu verfolgen (z. B. wenn sie die Nutzung von Profiling-Tools oder Google Analytics feststellen).

Quelle: KMU Portal des Bundes

Welche Verzeichnisse müssen geführt werden?

Zu den in der DSGVO ausdrücklich genannten Dokumentationspflichten gehört die Verpflichtung, sogenannte Verzeichnisse von Datenverarbeitungen zu erstellen. Dabei handelt es sich um eine kurze Beschreibung der wesentlichen Elemente der in einem Unternehmen vorhandenen Geschäftsprozesse, in denen Personendaten zu einem bestimmten Zweck bearbeitet werden. Zweck dieser Verzeichnisse ist der Nachweis der Einhaltung der DSGVO. Die Mindestangaben, die in dem Verzeichnis gemacht werden müssen, sind in Art. 30 DSGVO aufgelistet, wobei der sogenannte Verantwortliche und der Auftragsverarbeiter unterschiedliche Verzeichnisse erstellen müssen.

Greifen mehrere Unternehmen gemeinsam auf Daten zu und werden diese für gemeinsame Zwecke verarbeitet, dann sind sie «gemeinsam Verantwortliche» und müssen das Verzeichnis entsprechend gemeinsam ausfüllen und zusätzlich eine Vereinbarung schliessen, in der sie vereinbaren müssen, wer welche Pflichten gemäss DSGVO trägt (Art. 26 DSGVO).

Ist geklärt, welches Verzeichnis zu erstellen ist, muss definiert werden, für welche Geschäftsprozesse eines ausgefüllt werden muss. Es ist zu empfehlen, sich bei der Festlegung der zu dokumentierenden Geschäftsprozesse nach dem Bearbeitungszweck zu richten. Datenverarbeitungen, die zu einem bestimmten Zweck erfolgen, sollen in einem Verzeichnis dokumentiert werden. Am Beispiel der Verarbeitung von Mitarbeiterdaten können beispielsweise ein, zwei oder mehr Prozesse vorliegen. Es kann der gesamte Personalprozess von der Rekrutierung über die Anstellung, die Datenbearbeitung bei aktiven Arbeitsverhältnissen bis zur Beendigung des Arbeitsverhältnisses und der Archivierung und anschliessenden Löschung der Daten als ein Prozess bezeichnet und beschrieben werden. In der Praxis ist es üblich, den HR-Prozess auf zwei oder mehr Verzeichnisse zu verteilen – den Rekrutierungsprozess und den eigentlichen HR-Prozess ab Anstellung. Einige Unternehmen führen den Lohnprozess nochmals separat. Wichtig ist, dass eine Datenverarbeitung, die zwar mit denselben Daten, aber zu einem vollkommen anderen Zweck erfolgt, in einem separaten Verzeichnis dokumentiert wird.

Die gesetzlich geforderten Mindestangaben, die in Verzeichnissen von Verantwortlichen zu dokumentieren sind, können in Angaben zum verantwortlichen Unternehmen, Angaben zur Datenverarbeitung und Informationen zu den technischen und organisatorischen Massnahmen (sogenannte TOMs) unterteilt werden. Im Hinblick auf die Datenverarbeitung wird keine detaillierte Beschreibung einzelner Prozessschritte verlangt. Vielmehr sind neben der Bezeichnung der Datenverarbeitung (z.B. Rekrutierung neuer Mitarbeitender), Angaben zu den betroffenen Personen (z.B. Bewerber), zu den Kategorien von Personendaten (z.B. Name und Adresse, Telefon, E-Mail-Adresse, Arbeitszeugnisse, etc.) anzugeben. Zudem muss erfasst werden, ob und wenn ja welchen Kategorien von Empfängern Daten weitergeleitet werden (z.B. externer Dienstleister, der das Rekrutierungstool betreibt und hostet). Werden die Daten ins Ausland weitergeleitet (z.B. wenn das Rekrutierungstool in der Cloud gehostet wird und sich die Rechenzentren im Ausland befinden), müssen Informationen zum Empfängerland erfasst werden. Ist dieses ein Land, das aus der Sicht der EU über keinen angemessenen Datenschutz verfügt, muss zudem dokumentiert werden, mit welchen Massnahmen man den Schutz der Personendaten sicherstellt (z.B. durch Verwendung der sogenannten EU Model Clauses).

Sofern möglich, müssen zusätzlich die Aufbewahrungsdauer und die technischen und organisatorischen Massnahmen dokumentiert werden, die zum Schutz der Daten ergriffen werden. Die Formulierung «wenn möglich» soll nicht darüber hinwegtäuschen, dass erwartet wird, dass diese Informationen grundsätzlich dokumentiert werden müssen. Werden diese Informationen nicht erfasst, muss es gut begründet werden.

Quelle: IT Magazine, 4/2018

Wie kann ich gegen ein Unternehmen vorgehen, wenn sie mit einem Versand von Werbe- oder News-E-Mails meine E-Mail-Adresse öffentlich ersichtlich machen und sie dadurch kopiert und missbraucht werden könnte?

Jede betroffene Person hat nach Artikel 77 Absatz 1 DSGVO unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde. Daneben hat die betroffene Person gemäss Artikel 17 DSGVO das Recht, von Unternehmen zu verlangen, dass betreffende personenbezogene Daten unverzüglich gelöscht werden, und das Unternehmen ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.

Quelle: IT Magazine, 4/2018

technische Fragen

Müssen Kundendaten in einer Datenbank verschlüsselt gespeichert werden und auch der Verkehr über die Website nur via HTTPS laufen?

Nach Artikel 32 Absatz 1 DSGVO treffen Unternehmen unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau der personenbezogenen Daten zu gewährleisten. Beispiele hierzu sind etwa die die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.

Bei der Beurteilung des angemessenen Schutzniveaus sind nach Artikel 32 Absatz 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt, unrechtmässig oder unbefugte Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.

Die Verschlüsselung von Datenbanken sowie der Einsatz von HTTPS zur Übermittlung personenbezogener Daten entspricht der «good practice». Die Verschlüsselung der Daten einer Datenbank ist aus unserer Sicht bei der Verarbeitung besonderer Kategorien von personenbezogene Daten geboten.

Quelle: IT Magazine, 4/2018

Sind Webseitenbetreiber dazu verpflichtet, die Besucher über das Setzen von Cookies und die darin enthaltenen Daten zu informieren?

Die DSGVO findet auch auf die Verwendung von Cookies Anwendung, soweit sie personenbezogene Daten im Sinne der Artikel 4 Nr. 1 DSGVO enthalten, Anwendung. Der Besucher hinterlässt bei personenbezogenen Cookies auf der Webseite Identifikationsmerkmale wie zum Beispiel seine IP-Adresse. Diese Information kann durch den Cookie-Datensatz dem Benutzer zugeordnet werden (Erwägungsgrund 30 der DSGVO). Entsprechend gilt auch hier der Grundsatz der Transparenz und der Webseitenbetreiber, beziehungsweise das Unternehmen ist verpflichtet, den Besucher entsprechend darüber zu informieren.

Neben der DSGVO regelt auch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG vom 25. November 2009) den Umgang mit Cookies. Diese Richtlinie soll in Zukunft durch die ePrivacy- Verordnung ersetzt werden. Wie genau der konkrete Inhalt dieser Verordnung aussehen wird und wann sie in Kraft treten wird, ist noch nicht klar.

Quelle: IT Magazine, 4/2018

backslash als Dienstleister

Welche rechtliche Rolle übernimmt backslash in Bezug auf seine Kunden?

Ein Online-Shop mit Kunden in der EU gilt gemäss DSGVO als Verantwortlicher. Speichert er seine Daten in einem externen Rechenzentrum, ist der Betreiber des Rechenzentrums der Auftragsverarbeiter. Zurzeit ist es zumindest umstritten, inwieweit ein Schweizer Auftragsverarbeiter direkt unter die DSGVO fällt, da er gemäss der Definition der DSGVO die Daten für den Verantwortlichen verarbeitet und daher seine Leistungen nicht direkt den betroffenen (natürlichen) Personen anbietet.

Quelle: IT Magazine, 4/2018

Daraus ergibt sich, dass backslash…

  • einen Auftragsverarbeitungsvertrag mit ihren Kunden haben sollte
  • keine Auskunftspflicht gegenüber natürlich Personen wahrnehmen muss

eCommerce

Artikel 13 DSGVO schreibt eine Informationspflicht vor. Muss ich jetzt jedem Kunden, der in meinem Online-Shop etwas bestellt, mitteilen, wer für die Datenverarbeitung verantwortlich ist usw? ?

Ein elementarer Grundsatz der DSGVO ist die Transparenz. Betroffene Personen sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen. Die DSGVO regelt die Informationspflichten in den Artikeln 13 und 14 in zwei sehr umfangreichen Artikeln. Werden personenbezogene Daten bei betroffenen Personen erhoben, muss das Unternehmen gemäss Artikel 13 f. unter anderem immer auch seine Identität, die Verarbeitungszwecke und die Rechtsgrundlage mitteilen.

Nach Artikel 12 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an die betroffene Person übermittelt werden. In elektronischer Form können sie beispielsweise auf einer Webseite bereitgestellt werden (Erwägungsgrund 30 der DSGVO). Empfehlenswert wäre unseres Erachtens, vor dem Abschicken der Bestellung in einem Online-Shop einen Link anzufügen, der direkt auf eine Datenschutzerklärung auf der Webseite des Unternehmens verweist.

Quelle: IT Magazine, 4/2018

Datenschutz-Empfehlungen des Bundes

Der Umgang einer E-Commerce-Site mit den von ihr gesammelten Kundendaten muss transparent und sicher sein.

Um das Vertrauen der Kunden zu gewinnen und die gesetzlichen Vorgaben zu erfüllen, muss ein Unternehmen, das eine E-Commerce-Site betreibt, eine strenge Politik zum Schutz der Privatsphäre betreiben.

Bundesgesetz über den Datenschutz

Von dem Moment an, wo sensible Kundendaten (Name, Adresse, Zahlungsinformationen) gesammelt werden, unterliegt eine E-Commerce-Site dem Bundesgesetz über den Datenschutz.

Das Gesetz sieht insbesondere Folgendes vor:

  • Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde.
  • Diese Informationen dürfen nicht ins Ausland übermittelt werden, es sei denn im Falle einer der im Gesetz geregelten Ausnahmen.
  • Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

Bundesgesetz über den Datenschutz

Empfehlungen für den Datenschutz

Hinsichtlich des Datenschutzes wird dringend empfohlen, sich an folgende Vorgehensweisen zu halten:

  • Veröffentlichung einer Datenschutzerklärung auf der E-Commerce-Site (s. u.).
  • Einsatz von Techniken zur Nutzer-Authentifizierung (z. B. SuisseID) und zur Verschlüsselung der Daten (sichere https-Verbindung).
  • Beschränkung der Datensammlung auf die notwendigen Informationen. Fragen, die in diesem Zusammenhang nicht relevant sind, erzeugen Misstrauen.
  • Klare Angaben darüber, welche Personendaten zu welchem Zweck verwendet werden.
  • Berechtigung des Nutzers, die Verwendung und Weitergabe seiner Daten einzuschränken (Verbraucherprofil, Werbung).

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat die Aufgabe, das Datenschutzgesetz zu erläutern und auf diesem Gebiet Empfehlungen zu erlassen.

Eidg. Datenschutz- und Öffentlichkeitsbeauftragter: Beratung für E-Commerce-Anbieter

Datenschutzerklärung auf einer E-Commerce-Site

Auf einer E-Commerce-Site dient eine Datenschutzerklärung dazu, über die Methoden zu informieren, mit denen die Privatsphäre der Nutzer geschützt wird. Um das Vertrauen der Kunden zu gewinnen, ist es ratsam, ein solches Dokument zu erstellen und es an einer gut sichtbaren Stelle auf der Website zu veröffentlichen.

Die Datenschutzerklärung muss mindestens folgende Punkte enthalten:

  • Welchen gesetzlichen Bestimmungen unterliegt das Vorgehen des Anbieters im Bereich des Datenschutzes?
  • Welche Personendaten werden erhoben und zu welchem Zweck?
  • Welche Personendaten werden an Dritte weitergeleitet und zu welchem Zweck?
  • Welche Entscheidungen kann der Nutzer bezüglich der Bearbeitung seiner Daten treffen?
  • Über welche Rechte (insbesondere Auskunftsrecht und Widerspruchsrecht) verfügen die Nutzer?
  • Wer ist für die Beantwortung von Fragen zur Bearbeitung der Personendaten zuständig?
  • Welche Sicherheitsmassnahmen werden ergriffen, um die Personendaten zu schützen?

Quelle: KMU Portal des Bundes

Die Allgemeinen Geschäftsbedingungen

Allgemeine Geschäftsbedingungen

In den allgemeinen Geschäftsbedingungen fasst der Online-Verkäufer alle rechtlichen Aspekte des Geschäfts zusammen. Sobald der Kunde diesem Dokument zugestimmt hat, ist es integraler Bestandteil des Kaufvertrags.

In der Schweiz können die gesetzlichen Grundlagen für den Verkauf von Gütern oder Dienstleistungen über den Vertrag und die Vertragsbedingungen verändert werden. In der Regel fasst ein Händler alle seine Verkaufsbedingungen in einem als "AGB" bezeichneten Dokument zusammen. Dabei handelt es sich um eine Form der rechtlichen Absicherung. Genauere Informationen zu den gesetzlichen Verpflichtungen des Betreibers finden sich in dem entsprechenden Kapitel:

Die Gesetze der Schweiz und der EU

Damit die AGB Gültigkeit erlangen, müssen sie von beiden Parteien akzeptiert werden. Sie müssen dem Kunden vor dem Bestellvorgang zur Verfügung gestellt werden. Der Webshop kann zum Beispiel ein Kontrollkästchen für den Text "Ich habe die AGB gelesen und akzeptiert" enthalten, in dem während des Bestellvorgangs ein Häkchen zu setzen ist. In der Regel gilt: Je expliziter die Willenserklärung des Kunden ist, desto grösser ist die Wahrscheinlichkeit, dass ein Gericht im Streitfall die Übernahme der AGB bejaht. Da die AGB regelmässig aktualisiert werden können, sollte von jedem Vertrag eine vollständige Kopie aufbewahrt werden.

Inhalt der AGB

Um eine Auslegung der AGB zulasten des Betreibers zu vermeiden, wird dringend dazu geraten, dieses Dokument mit Unterstützung eines darauf spezialisierten Anwalts zu erstellen.

Beim Verfassen der AGB sollten alle Schritte des Verkaufsprozesses bedacht werden. Hier einige Punkte, die es zu berücksichtigen gilt:

  • Gewährleistung. Garantiebestimmungen für die bei der Transaktion verkauften Waren oder Dienstleistungen.
  • Datenschutz. Verwendung der gesammelten Daten, Verschlüsselungstechnik usw.
  • Bestellungen. Rechnungs- und Zahlungsbedingungen, Mehrwertsteuer usw.
  • Lieferung. Versandgebiete, Lieferfristen usw.
  • Haftung. Beispielsweise im Falle einer Beschädigung der Ware während des Versands.
  • Retouren. Umtausch- und Rücknahmeregelungen.
  • Anwendbares Recht und Gerichtsstand. Im Streitfall zuständiges Gericht und anwendbares Recht (Verweis auf schweizerisches Recht).

Missbräuchliche oder unangemessene Erklärungen in den AGB, z. B. "Das Versandrisiko trägt der Käufer", sind gesetzeswidrig. Klauseln, die für den Konsumenten ein erhöhtes Risiko bedeuten, müssen klar hervorgehoben werden.

Quelle: KMU Portal des Bundes

Die eCommerce-Gesetze der Schweiz und der EU

In der Schweiz sind für den Online-Handel (E-Commerce) insbesondere das Bundesgesetz gegen den unlauteren Wettbewerb (UWG; SR 241) sowie die Verordnung über die Bekanntgabe von Preisen (PBV; SR 942.211) zu beachten. In der Europäischen Union enthalten die Richtlinie über die Rechte der Verbraucher (Richtlinie 2011/83/EU) sowie die Richtlinie über den elektronischen Geschäftsverkehr (Richtlinie 2000/31/EG) Regeln zum Online-Handel.

Im Übrigen sind die Bestimmungen des Schweizerischen Obligationenrechts (OR; SR 220) anwendbar, welche auch bei den traditionellen Kaufverträgen zum Zug kommen.

Mit einem Klick zum Kaufvertrag

Ein Kaufvertrag gemäss Art. 184 ff. OR kann digital „per Klick“ abgeschlossen werden. So kann der Kunde eines Schweizer Webshops mit einem Klick auf den Button "Kaufen" einen Kaufvertrag eingehen. Voraussetzung ist, dass sich die beiden Vertragsparteien über die wesentlichen Punkte einig sind. Dies sind insbesondere der Kaufgegenstand, der Kaufpreis sowie der Abschluss des Kaufvertrags.

Im Übrigen können alle nicht zwingenden Bestimmungen zum Kaufvertrag innerhalb der Schranken der Rechtsordnung individuell angepasst werden. Diese Änderungen können vom Verkäufer als allgemeine Geschäftsbedingungen (AGB) formuliert werden. Die AGB werden Vertragsbestandteil, wenn der Käufer vor Abschluss des Vertrags auf die AGB hingewiesen wurde und die Möglichkeit hatte, diese zu lesen und ihnen zuzustimmen.

Hinsichtlich der Regelungen des Obligationenrechts sind folgende Punkte hervorzuheben:

  • Widerrufsrecht. Das Schweizer Recht sieht für den Online-Handel keine Rücknahmefrist oder ein anderes Rückgaberecht vor, nachdem die Bestellung abgeschickt wurde. Der Verkäufer kann sich für eine solche Klausel entscheiden, unterliegt auf diesem Gebiet aber keiner gesetzlichen Verpflichtung. Allerdings sieht der Ehrenkodex des Verbands des Schweizerischen Versandhandels ein Rückgaberecht von zehn Tagen vor, das aber nur die Verbandsmitglieder verpflichtet (www.vsv-versandhandel.ch).
  • Lieferfristen. Das Schweizer Recht sieht keine Maximalfrist für Lieferungen vor. Um den Kunden eine Sicherheit zu geben, kann der Verkäufer im Vertrag eine Frist festlegen. Allerdings wäre es unlauter und damit ein Verstoss gegen das UWG, zu kurze und unmöglich einzuhaltenden Lieferfristen anzugeben, nur um Kunden anzulocken.
  • Klare Angaben. Die Betreiber eines Webshops sind verpflichtet, auf ihrer Website alle Informationen gemäss Art. 3 Abs. 1 lit. s UWG anzugeben (vergleiche nächster Absatz).
  • Gewährleistung. Hat ein Produkt einen Fehler oder fehlt diesem eine zugesicherte Eigenschaft, kann der Käufer während zwei Jahren Gewährleistungsansprüche stellen. Das Gesetz sieht die Rückgängigmachung des Vertrags (Art. 208 OR) oder die Rückerstattung des Minderwertes des Kaufgegenstandes (Art. 205 OR) vor. Vertraglich kann zusätzlich oder stattdessen ein Garantieanspruch (Nachbesserung) vereinbart werden.

E-Commerce: Allgemeine Geschäftsbedingungen

Gesetz gegen den unlauteren Wettbewerb (UWG)

Art. 3 Abs. 1 lit. s UWG legt fest, welche Informationen bei einem Webshop zwingend angegeben werden müssen:

"Unlauter handelt insbesondere, wer Waren, Werke oder Leistungen im elektronischen Geschäftsverkehr anbietet und es dabei unterlässt:

  1. klare und vollständige Angaben über seine Identität und seine Kontaktadresse einschliesslich derjenigen der elektronischen Post zu machen,
  2. auf die einzelnen technischen Schritte, die zu einem Vertragsabschluss führen, hinzuweisen,
  3. angemessene technische Mittel zur Verfügung zu stellen, mit denen Eingabefehler vor Abgabe der Bestellung erkannt und korrigiert werden können,
  4. die Bestellung des Kunden unverzüglich auf elektronischem Wege zu bestätigen."

(1)  Im Impressum muss der Betreiber eines Webshops seinen Firmennamen gemäss Handelsregister, seine Postadresse sowie seine E-Mail Adresse angeben. Die Angabe einer Telefonnummer wird empfohlen. Ein blosses Kontaktformular reicht nicht aus.

(2)  Während des ganzen Bestellprozesses muss dem Kunden klar sein, in welchem Bestellstadium er sich befindet. Er muss wissen, wann er den Vertrag definitiv abschliesst. Es wird empfohlen, für den Vertragsschluss einen Button mit einer klaren Formulierung zu wählen wie z.B. „Kaufen“, „zahlungspflichtig Bestellen“. Nicht geeignet sind dagegen Formulierungen wie „Bestellen“, „Weiter“, „Abonnieren“.

(3)  Vor Abschluss des Vertrages müssen die Vertragsdetails vom Kunden überprüft werden können. Der Kunde muss sehen können, welchen Vertrag er abschliesst, insbesondere die Anzahl und die Art des Produkts, den Gesamtpreis der Bestellung und seine Rechnungs- / Lieferadresse.

(4)  Dem Kunden sind der Vertragsschluss und die wichtigsten Vertragsdetails elektronisch zu bestätigen.

Art. 8 UWG verbietet die Verwendung missbräuchlicher Geschäftsbedingungen:

"Unlauter handelt insbesondere, wer allgemeine Geschäftsbedingungen verwendet, die in Treu und Glauben verletzender Weise zum Nachteil der Konsumentinnen und Konsumenten ein erhebliches und ungerechtfertigtes Missverhältnis zwischen den vertraglichen Rechten und den vertraglichen Pflichten vorsehen."

Der Verkäufer darf die AGB nicht so gestalten, dass diese allein seinen eigenen Interessen nützen und die Konsumentinnen und Konsumenten einem erheblichen und ungerechtfertigten Missverhältnis aussetzen.

Verordnung über die Bekanntgabe von Preisen (PBV)

Die Verordnung über die Bekanntgabe von Preisen (PBV) ist bei Kauf- und kaufähnlichen-Angeboten an Konsumenten anwendbar, nicht aber bei Angeboten von Business to Business. Die Verordnung regelt, wie die Preise bekanntzugeben sind und was alles im Preis enthalten sein muss. Es wird hier nur auf spezielle Punkte im Zusammenhang mit dem Online-Handel eingegangen. Alle weiteren Informationen finden sich in der Broschüre Wegleitung für die Praxis 2012“. Für diverse Branchen gibt es zudem spezielle Informationsbroschüren.

WAREN

Für Waren ist der tatsächlich zu bezahlende Preis in Schweizerfrankeninklusive aller nicht frei wählbarer Zuschläge jeglicher Art bekanntzugeben (Art. 3 und 4 PBV). Der Preis und alle für den Preis relevanten Informationen müssen im Online-Handel leicht sichtbar und gut lesbar unmittelbar nebender abgebildeten / beschriebenen Ware angegeben werden (Art. 7 und 8 PBV).Der Preis muss in gut lesbarer Schriftgrösse und in einer leicht sichtbaren Darstellung gleich neben dem Produkt platziert sein. Er darf nichterst nach dem Scrollen der Webseite oder dem Anklicken eines Links erscheinen.

Nicht frei wählbare Zuschläge sind in den Preis einzuschliessen, weil sie mit dem Kauf der Ware zwingend einhergehen und nicht weggelassen werden können. Dies sind beispielweise die Mehrwertsteuer, Urheberrechtsvergütungen, die Recyclinggebühren für Elektrogeräte usw.

Die Versandkosten dürfen separat angegeben werden, da sie je nach Bestellumfang variieren können. Sie sind jedoch ebenfalls leicht sichtbar und gut lesbar bekanntzugeben. Dies ist beispielsweise mit einem Hinweis beim Preis möglich, welcher mit der Informationsseite für die Versandkosten verlinkt ist (z.B. zzgl. Versandkosten).

Freiwillige Zusatzkosten sind auf klare und transparente Art und Weise anzugeben. Sollen sie Teil des Vertrags werden, muss der Kunde dazu ausdrücklich sein Einverständnis geben.

Zuschläge für die Bezahlung mit Kreditkarte sind nur freiwillige Zusatzkosten, wenn ein anderes kostenloses und in der Schweiz handelsübliches Zahlungsmittel zur Verfügung steht. Ansonsten müssen auch diese Kosten im Preis inbegriffen sein.

DIENSTLEISTUNGEN

Die PBV ist auf die in Art. 10 Abs. 1 PBV genannten Dienstleistungen anwendbar. Für diese ausgewählten Dienstleistungen ist der tatsächlich zu bezahlende Preis in Schweizerfranken inklusive aller nicht frei wählbarer Zuschläge jeglicher Art bekanntzugeben (Art. 10 Abs. 1 und 2 PBV). Kurtaxen dürfen separat bekanntgegeben werden. Die Preise müssen leichtzugänglich und gut lesbar sein (Art. 11 PBV). Es muss klar sein, auf welche Art(Umschreibung) und Einheit (Anzahl Personen, Std., km, Stück usw.) der Dienstleistung oder auf welche Verrechnungssätze (Stundenansatz, Kilometeransatz, Prozentsatz usw.) sich der Preis bezieht.

Für diverse Dienstleistungen gibt es ausserdem Spezialbestimmungen in den Art. 11a bis Art. 12 PBV. Beachten Sie hierzu die branchenspezifischen Informationsbroschüren.

WERBUNG

Werden in der Werbung Preise aufgeführt oder bezifferte Hinweise auf Preisrahmen oder Preisgrenzen gemacht, muss für sämtliche Waren und sämtliche Dienstleistungen der tatsächlich zu bezahlende Preis inklusive aller nicht frei wählbaren Zuschläge bekanntgegeben werden.

Das Werbeangebot muss spezifiziert werden. Das heisst, es muss klar sein, worauf sich der Preis bezieht (Anzahl, Gewicht, Stundenansatz, Kilometeransatz usw.). Die Waren und Dienstleistungen sind nach den wesentlichen Kriterien (Marke, Typ, Sorte usw.) zu umschreiben. Sodann muss der Preis mit dem Produktbild oder dem beschriebenen Produkt übereinstimmen. Bei Werbung in elektronischer Form (z.B. Internet-Frontseiten, Werbebanner, E-Mails, Smartphones) kann für diese Spezifizierung auf eine Internetseite verwiesen werden, wenn das spezifizierte Angebot mit einem einzigen Klick sofort ersichtlich ist.

PREISVERGLEICHE

Preisvergleiche und Preisreduktionen sind nur unter bestimmten Voraussetzungen und nur während einer begrenzten Zeit zulässig. Beachten Sie dazu die Broschüre „Wegleitung für die Praxis 2012“.

Gesetz über den Datenschutz

Von dem Moment an, wo sensible Kundendaten gesammelt werden, unterliegt eine E-Commerce-Site dem Bundesgesetz über den Datenschutz:

E-Commerce: Schutz der personenbezogenen Daten

Gerichtsstand

Bei einer Streitigkeit aus einem Konsumentenvertrag, kann der Konsument wählen, ob er an seinem eigenen Wohnsitz oder am Sitz des Verkäufers klagen will. Auf dieses Recht kann der Konsument nicht im Voraus verzichten.

Online-Handel in der EU

Die Gesetzgebung der EU geht teilweise weiter als die Vorschriften in der Schweiz. Werden mit dem Webshop auch Konsumentinnen und Konsumenten in EU-Ländern angesprochen, müssen zusätzlich zu den bereits genannten Vorschriften insbesondere diese Themen beachtet werden:

  • Widerrufsrecht. Grundsätzlich kann der Kunde ein Produkt innert einer Frist von 14 Tagen nach Erhalt wieder zurückgeben.
  • Zahlungs-, Liefer- und Leistungsbedingungen sowie Liefertermin. Evtl. Laufzeit des Vertrags und Kündigungsbedingungen. Die entsprechenden Informationen müssen angegeben werden. Wurde keine andere Vereinbarung getroffen, beträgt die Lieferfrist maximal 30 Tage.
  • Klare Angaben. Neben den Kontaktdaten des Verkäufers müssen die wichtigsten Eigenschaften des Produktes oder der Dienstleistung bekanntgegeben werden. Ebenso ist der Gesamtpreis einschliesslich aller Steuern und Abgaben zu nennen. Auf Kosten, welche nicht im Voraus berechnet werden können, ist hinzuweisen und die Art der Preisberechnung zu erklären.
  • Gewährleistung. Die gesetzliche Gewährleistung beträgt mindestens zwei Jahren. Während dieser Zeit kann der Konsument die Reparatur oder den Ersatz des mangelhaften Produkts fordern. Sollte dies fehlschlagen, ist grundsätzlich der Rücktritt vom Vertrag oder die Rückerstattung des Minderwertes möglich.
  •  AGB. Der Konsument muss die AGB bei Vertragsschluss abrufen und speichern können.
  • Bestell-Button. Die Schaltfläche für die abschliessende Bestellbestätigung muss mit den Worten „zahlungspflichtig bestellen“ oder einer anderen eindeutigen Formulierung beschriftet sein.

"Das neue "Button-Gesetz" in Deutschland betrifft auch Schweizer E-Commerce-Unternehmen", soweit sie  auf den deutschen Markt ausgerichtet sind.

Quelle: KMU Portal des Bundes

Newsletter

Dürfen Unternehmen Werbe- oder News-E-Mail mit öffentlich ersichtlichen Adressen versenden (d.h. alle Empfängeradressen sind ersichtlich)?

Auch E-Mail-Adressen sind personenbezogene Daten im Sinne von Artikel 4 DSGVO. Personenbezogene Daten dürfen an Dritte nur dann offengelegt werden, wenn ein Rechtfertigungsgrund gemäss Artikel 6 DSGVO vorliegt (Einwilligung, gesetzliche Grundlage, Vertrag, berechtigtes Interesses etc.). Ein solcher Rechtfertigungsgrund dürfte in der Regel hier nicht vorliegen, weshalb dieses Vorgehen unzulässig ist.

Quelle: IT Magazine, 4/2018