Registrierungsbestätigung perl OHNE Benutzerkennung und Password

    Hallo,


    vielleicht sehe ich ja den Wald vor lauter Bäumen nicht mehr:


    Bei Registrierung eines neuen Kunden schickt Virtuemart eine Mail mit den Daten des Kunden.
    Passwort-Versand habe ich hier schon abgeschaltet, nach aktuellem Datenschutzrecht ist aber auch der Versand der Benutzerkennung rechtlich nicht zulässig und muß das raus!
    Ich habe in den Dateien:
    mail_html_reguser.php und mail_raw_reguser.php die entsprechenden Änderungen vorgenommen und die Dateien als Override ins Template geschoben.


    NUR: die Benutzerkennung wird immer noch mitgeschickt?!? Wird das noch irgendwo gesteuert????


    Virtuemart 3.0.12 auf Jommla 3.4.8


    Danke

    Servus,


    die Registrierung ist Joomla-Sache.


    Schau mal unter den Optionen für Benutzer in der Joomla-Konfig. Authentifizierung auf keine setzen und alles ist gut.


    Wo hast Du die Information her, dass man keine Registrierungsdaten an Kunden schicken darf?


    So short
    Stefan

    mmh, bin blind, finde "Authentifizierung nicht"


    Ein Schreiben des Landesbeauftragten für Datenschutz Baden-Württemberg:
    Mails müssen verschlüsselt sein! Sind Mail nicht verschlüsselt müssen Benutzerkennung UND Passwort anonymisiert werden!

    Bin ich eigentlich der Einzige, der das Problem erkennt?!!?


    Mit Zusendung einer unverscjlüsselten Mail, die Benutzername und oder Password entspricht ein Virtuemart-Shop NICHT den aktuellen Datenschutzbestimmungen! Das betrifft meines Erachtens auch die Mails an den Admin


    Ich kann zwar mit einem Klick die Zusendung des Passwords unterbunden, nicht aber die Zusendung der Benutzerkennung!

    Ich erzähle hier nicht grundlos irgendwelchen Blödsinn!
    Das ist ein offizielles Schreiben des Landesbeauftragten für Datenschutz Baden-Württemberg!
    Auf Grund einer Beschwerde eines Kunden - mit Fristsetzung innerhalb drei Wochen entsprechende Massnahmen ergreifen!


    Nu mal einen wichtigen Satz von insgesamt drei Seiten:
    "In der Registrierungsbestätigung versenden Sie unter anderem die Benutzerkennung und das Passwort, ohne dies zuvor zu anonymisieren. Da Sie die E-Mails, soweit ersichtlich, unverschlüsselt versenden, besteht die Gefahr, das Dritte diese Daten abfangen und für eigene Zwecke missbrauchen. Benutzername UND Passwort müssen daher nach Nr .4 der Anlage zu $9 BDSG vor dem versenden anonymisiert werden"

    Niemand behauptet, Du erzählst irgendeinen Blödsinn. Aber wenn Du in einem Forum nach Hilfe suchst, in dem der überwiegende Teil nicht Rechtsanwalt ist, der solche Dinge direkt aus dem Gedächtnis aufrufen kann, ist es vorteilhaft, ein paar Informationen zu geben, mit denen dann andere ihre Zeit sinnvoll einsetzen können, um nach Lösungen für Dich zu suchen.


    Ansonsten bietet sich natürlich auch der Weg an, ein Ticket bei iStraxx zu lösen. Die können Dir bei solchen Problemen sicher helfen, da dort auch regelmäßig Rechtanwälte und Steuerberater mit einbezogen werden. Kostet dann halt verbindliches Geld für verbindliche Aussagen und Anpassungen.


    Wenn Du hier fragst, musst Du mit unverbindlichen Antworten von Leuten rechnen, die vom Recht nur rudimentäre Kenntnisse haben.


    In Deinem Fall habe ich die Befürchtung, dass der Landesbeauftragte für Datenschutz von BW insbesondere die Übertragung des Passwortes meinte. Viele Shops verwenden als Benutzerkennung die E-Mail-Adresse, das ist allgemein bekannt, und jeder kann somit den Benutzernamen des Kunden "bestimmen", nicht nur erahnen. Möglicherweise könnte es reichen, in den Datenschutzbestimmungen darauf hinzuweisen, dass zur Verarbeitung die Benutzerkennung im Klartext über das Internet transportiert wird. Ob das aber so geht, darf und kann ich hier nicht schreiben, da ich nicht zur Beratenden Zunft gehöre.


    Allerdings könntest Du den Telefonhörer und das Schreiben in die Hand nehmen, und einmal bei Absender anrufen und dem erzählen, dass Ihr gerade dabei seid, die Mängel zu beheben, und Ihr das Passwort entfernt habt und ob es mit Bestätigung des Kunden, die Benutzerkennung per unverschlüsselter Mail zu senden, in Ordnung ist. Wenn man da mit jemandem in der Behörde persönlich spricht, klären sich solche Dinge meistens sehr schnell.


    Vorübergehend kann man halt einfach den Schritt gehen, den ich in Post 2 angesprochen habe und die Aktivierung per Mail ganz deaktivieren.


    Hope it helps
    Stefan