Ein Code, alle Möglichkeiten: Mit der Trustbadge® Technologie bist du als Betreiber*in eines Online-Shops in der Lage, die Trusted Shops Produkte in deinen Shop einzubinden – egal ob du darin nur Service- und Produktbewertungen verwendest oder der Shop zusätzlich auch unser Gütesiegel trägt.
Auf dieser Seite findest du eine Dokumentation des technischen Prozesses, der im Falle der Standardintegration des Trustbadge in einen Online-Shop im Verlauf einer Bestellung durchlaufen wird. Wird die Trustbadge Technologie nicht korrekt eingebunden, kann es im Einzelnen zu Abweichungen dahingehend kommen, dass bestimmte Funktionen (z. B. Überprüfung, ob der Kunde Trusted Shops bereits bekannt ist) nicht ordnungsgemäß ablaufen. Eine über die hier beschriebene Datenerhebung hinausgehende Erhebung personenbezogener Daten findet jedoch in keinem Fall statt.
Sollen neben den Standardfunktionen zusätzliche, von Trusted Shops angebotene Funktionen des Trustbadge aktiviert oder genutzt werden, können sich ebenfalls Abweichungen ergeben. Bitte sprich uns bei Rückfragen zum technischen Ablauf in diesen Fällen gerne direkt an. Zu den Standardfunktionen des Trustbadge gehören die Unterscheidung von für Trusted Shops bekannte von unbekannten Käuferinnen und Käufern nach Abschluss einer Bestellung und das darauf abgestimmte Anbieten der von dem Online-Shop eingebundenen Trusted Shops Produkte (Käuferschutz und / oder Bewertungen). Nicht zu den Trustbadge Standardeinstellungen gehören automatisch versendete Bewertungseinladungen und die Nutzung des Review Collectors.
Mustertext für deine Datenschutzerklärung
Das Wichtigste vorab: Trusted Shops bietet einen Mustertext für deine Datenschutzerklärung an. Die untenstehenden Details gehen über deine Informationspflichten hinaus. Trusted Shops informiert die Nutzer*innen für alle Fälle, in denen Trusted Shops verantwortlich für die Datenverarbeitung ist, in der Trusted Shops Datenschutzerklärung.
Der Umfang der Daten, die Trusted Shops verarbeitet, ist auf das zur Zweckerfüllung absolut Notwendige beschränkt. Trusted Shops verarbeitet die Daten ausschließlich für die Zwecke, die für die Auftragsverarbeitung vereinbart werden und daneben für die Erbringung der im Rahmen des Mitgliedschaftsvertrages geschuldeten Leistungen, wie nachfolgend dargestellt:
Zuständigkeiten unter der gemeinsamen Verantwortlichkeit
Für die Tätigkeiten, die Trusted Shops in deinem Auftrag erbringt und die sich datenschutzrechtlich auf überwiegende berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO stützen, bietet Trusted Shops eine Arbeitshilfe für die Ergänzung deines Verarbeitungsverzeichnisses und die Dokumentation der Interessenabwägungen an. Diese findest du auf den folgenden Websites:
- Arbeitshilfe Datenschutz - Trustbadge Anzeige
- Arbeitshilfe Datenschutz – Wiedererkennung registrierter Trusted Shops Kunden
- Arbeitshilfe Datenschutz – Bereitstellung erforderlicher Bestelldaten
- Arbeitshilfe Datenschutz – ReviewCollector, AutoCollection und API
- Arbeitshilfe Datenschutz - Generierung von Bewertungslinks via API
|
Vorgang |
Trusted Shops |
Shop-Mitglied |
|
Nutzung des Online Systems B2B |
Alleine zuständig |
|
|
Nutzung des Online Systems B2C |
Alleine zuständig |
|
|
Nutzung des Bewertungssystems |
Alleine zuständig |
|
|
Inhalt des Trustbadge / Nutzung der Trusted Shops Leistungen |
Gemeinsam |
Gemeinsam |
|
Trustbadge-Anzeige im Shop |
|
Alleine zuständig |
|
Review Collector |
Gemeinsam |
Gemeinsam |
|
Automatisches Sammeln |
Gemeinsam |
Gemeinsam |
|
Application programming interface (API) |
Gemeinsam |
Gemeinsam |
Besuch des Shops mit Trustbadge
Bindest du als Online-Shop die Trustbadge Technologie vollständig ein, so ist das Trustbadge bereits auf der Startseite sichtbar:
Auch auf allen weiteren Seiten erscheint das Trustbadge.
Beim Aufruf der Webseite des Online-Shops gibt der Browser die eingegebene Internetadresse an den Webserver, welcher die Webseite daraufhin als HTML-Dokument an den Browser übergibt. Dessen HTTP-Interpreter sorgt dann dafür, dass die Webseite dargestellt wird. Diese Anfrage einer Ressource an einen Webserver nennt sich HTTP-Request. Eine solche Anfrage wird immer dann gestellt, wenn eine Datei oder ein Script geladen werden soll, dessen Inhalt sich noch nicht im Browser-Cache befindet (zum Beispiel von vorherigen Seitenbesuchen dieser Webseite). Die Antwort des Servers und der zugehörige Datenstrom hingegen sind die Response.
Jede Anfrage wird vom angesprochenen Webserver erfasst und in dessen Log Dateien festgehalten. Bei diesem Log-Eintrag handelt es sich um ein Standard Format. Er enthält Informationen über den abrufenden Browser-Client des Seitenbesuchers (Datum, Uhrzeit, Referrer, IP-Adresse des Clients, User-Agent, …). Bei diesen Daten handelt es sich um Nutzungsdaten, die bei jeglicher Datenübertragung im Internet anfallen. Die IP-Adresse wird zudem unmittelbar anonymisiert.
Gleicher Ablauf gilt für Inhalte Dritter, die auf der Webseite eines Online-Shops eingebunden sind. Bei dem Trustbadge handelt es sich um einen solchen Drittinhalt, der nach entsprechendem HTTP Request von den angesprochenen Webservern ausgeliefert wird. Auch der Abruf des Trustbadge erzeugt daher einen Webserver Log-Eintrag.
Das Trustbadge wird im Rahmen einer Auftragsverarbeitung durch AWS als CDN-Anbieter zur Verfügung gestellt. Die Daten werden jedoch ausschließlich auf Servern in Europa verarbeitet. Dadurch sind die Art. 44 ff. der DSGVO zur Übermittlung personenbezogener Daten in ein Drittland nicht anwendbar. Das EuGH-Urteil Schrems II hat somit keine unmittelbaren Auswirkungen auf die Verarbeitung.
Bei dem Aufruf des Trustbadge speichert der Webserver automatisch ein sogenanntes Server-Logfile, das z.B. die (anonymisierte) IP-Adresse, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider (Zugriffsdaten) enthält und den Abruf dokumentiert. Einzelne Zugriffsdaten werden für die Analyse von Sicherheitsauffälligkeiten in einer Sicherheitsdatenbank gespeichert. Da die IP-Adresse unverzüglich anonymisiert wird, sind die Logfiles nicht mehr einer Person zuzuordnen.
Nach einer Bestellung im Online-Shop wird zusätzlich die Bestellnummer der Bestellung erhoben. Diese dient der Verifizierung von späteren Bewertungen oder im Falle von Schadensmeldungen im Rahmen der Mitgliedschaft für Käufer, bei denen auch stets eine Bestellnummer übermittelt werden muss. Daneben wird damit verhindert, dass es zur Fehlerhaften Mehrfacherfassung einzelner Bestellnummern kommen kann.
Darüber hinaus werden allein durch Besuch einer Shopseite, auf der dasTrustbadge eingebunden ist, keine personenbezogene Daten (z.B. Name, E-Mail Adresse etc.) automatisch an Trusted Shops übertragen oder gespeichert.
Grafische Darstellung des Trustbadge
| Verarbeitete personenbezogene Daten | IP-Adresse (unmittelbar anonymisiert), Bestellnummer |
| Empfänger | Trusted Shops; Infrastruktur-Dienstleister. Verschlüsselte Übertragung (TLS) |
| Zweck | Darstellung des Trustbadge zur Anzeige des Trusted Shops Gütesiegels, der gegebenenfalls gesammelten Bewertungen sowie zum Angebot der Trusted Shops Leistungen für Käufer nach einer Bestellung |
Aus den hierin enthaltenen Nutzungsdaten werden durch Trusted Shops keine Nutzungsprofile erstellt.
Bestellung in einem Shop mit Trustbadge / Ablauf bei Bestellabschluss
Schließt ein*e Besucher*in eine Bestellung in einem Shop mit Trustbadge ab, kommt es für eine etwaige Datenübermittlung darauf an, ob diese*r Käufer*in Trusted Shops Produkte bereits aktiv nutzt bzw. ob er sich direkt im Anschluss an die Bestellung auf der Bestellbestätigungs-Seite zu einer Nutzung der Trusted Shops Produkte entscheidet.
In jedem Fall werden grundsätzlich nur die Daten erhoben, die zur Nutzung der Trusted Shops Produkte minimal erforderlich sind. Dabei gestaltet sich der Ablauf, wie folgt:
Wiedererkennung registrierter Trusted Shops Mitglieder
In einem ersten Schritt wird überprüft, ob die Käuferin bzw. der Käufer bereits für Trusted Shops Produkte (Trusted Shops Mitgliedschaft für Käufer, Automatische Garantie und oder Automatische Bewertungseinladung) angemeldet ist.
Dabei stellt das Trustbadge zunächst sicher, dass die E-Mail-Adresse der Shopkund*in bzw. des Shopkunden im Quellcode der Bestellbestätigungs-Seite in einem DIV Container verfügbar und syntaktisch korrekt ist. Dies ist im Rahmen eines korrekt eingebundenen Trustbadge grundsätzlich immer der Fall.
Ist eine E-Mail-Adresse verfügbar, wird im Browser der/des Besucher*in vor der Übermittlung per kryptologischer Einwegfunktion in einen Hash-Wert umgerechnet. Eine Übermittlung der E-Mail-Adresse im Klartext erfolgt nicht. Nach Überprüfung auf einen Match wird der Parameter automatisch gelöscht. Nur wenn die/der Kund*in die E-Mail-Adresse zuvor bereits zur Anmeldung für Trusted Shops Produkte genutzt hat, kann der übermittelte Hashwert dieser bekannten E-Mail-Adresse zugeordnet werden. Der Hash-Wert ist in Bezug auf nicht für die Leistungen registrierte Nutzer anonym.
Wiedererkennung bereits registrierter Trusted Shops Nutzer
| Verarbeitete personenbezogene Daten | Einweg-Hash der E-Mail Adresse (MD-5 Verfahren) |
| Empfänger | Trusted Shops; Infrastruktur-Dienstleister. Verschlüsselte Übertragung (TLS) |
| Zweck | Erfüllung der Trusted Shops-Nutzer-Verträge |
Erbringung der Trusted Shops Leistungen
Im zweiten Schritt wird das Ergebnis des ersten Schritts verarbeitet. Dabei kommt es für den weiteren Verlauf auf die Produkte an, die Trusted Shops im jeweiligen Zielland anbietet und die der Shop tatsächlich nutzt.
Bereits registrierte Shopkund*innen
Ist der Shop zertifiziert und die/der Shopkund*in bereits für die Trusted Shops Mitgliedschaft angemeldet, werden folgende Daten über eine zweite DIV-Abfrage aus dem Quellcode der Bestellbestätigungs-Seite erhoben und an Trusted Shops übertragen:
- das Bestelldatum
- die Bestellnummer
- eine ggf. bestehende Kundennummer
- die Bestellsumme
- die Währung
- ggf. das erwartete Lieferdatum
- die Zahlungsart
- die E-Mail-Adresse
Bei bei Einbindung von Produktbewertungen werden außerdem die folgenden Daten übertragen:
- die URL des Produkt und des Produktbildes
- die Produktbezeichnung
- die Produkt SKU
- GTIN
- MPN
- der Hersteller
Dem Shopkunden bzw. der Shopkund*in wird die Trustcard für bekannte Käufer*innen angezeigt – ihre/seine Bestellung kann bis zu einem Einkaufswert von 100,- Euro (Mitgliedschaft Basic), bzw. bis zu einem Einkaufswert von 20.000,- Euro (Mitgliedschaft Plus) abgesichert werden.
Ist der/die Käufer*in für die Mitgliedschaft Basic angemeldet und hat seine Bestellung einen Einkaufswert von mehr als 100,- Euro, wird ihm der Abschluss des kostenlosen Käuferschutz bestätigt und eine optionale vollständige Absicherung des Gesamtbestellwerts angeboten.
Bei einer bestehenden Anmeldung der/des Käufer*in nur für die Automatische Bewertungseinladung oder soweit der Online-Shops nicht zertifiziert und eine Absicherung daher nicht möglich ist, verhält es sich wie oben beschrieben, allerdings werden nur Bestellnummer, Bestelldatum und die E-Mail-Adresse, bzw. bei Produktbewertungen auch die URL des Produkt und des Produktbildes, die Produktbezeichnung, die Produkt SKU, GTIN und MPN sowie der Hersteller benötigt und erhoben.
Die erhaltenen Daten werden ausschließlich für die Abwicklung der geschlossenen Verträge und für die Dauer der gegenseitigen Vertragserfüllung intern gespeichert. Danach werden die Daten für die weitere Verwendung gesperrt und nach Ablauf aller etwaigen handels- und steuerrechtlichen Aufbewahrungsfristen endgültig gelöscht.
Entscheiden sich Käuferinnen oder Käufer nicht für eine Nutzung der Trusted Shops Produkte und verlassen die Seite, werden weder Daten an Trusted Shops übermittelt noch durch Trusted Shops gespeichert oder verarbeitet, mit Ausnahme derer, die für die Anzeige des Trustbadge technisch verarbeitet werden müssen (vergleiche hierzu den entsprechenden Abschnitt).
Nutzung der Trusted Shops Leistungen | |
| Verarbeitete pb Daten für Bewertungseinladungen | Bestelldatum, Bestellnummer, E-Mail Adresse |
| Zusätzliche Daten für den Käuferschutz / die Garantie | (opt.) Kundennummer, Bestellsumme, Währung, (opt.) voraussichtliches Lieferdatum, Zahlungsmethode, |
| Zusätzliche Daten für Produktbewertungen | Produkt-URL, (opt.) Produktbild-URL, Produktname, (opt.) Produkt-SKU, GTIN und MPN, (opt.) Hersteller |
| Empfänger | Trusted Shops, Infrastruktur-Dienstleister. Verschlüsselte Übertragung (SSL) |
| Zweck | Erfüllung der Trusted Shops-Nutzer-Verträge |
Nicht registrierte Shopkundinnen und -kunden
Wenn Shopkund*innen und -kunden sich bisher noch nicht für die Trusted Shops Produkte angemeldet haben, erscheint die Trusted Shops Checkout-Card mit dem Inhalt für unbekannte Shopkund*innen und -kunden. Diese enthält je nach Produktnutzung durch den Onlinehändler das Angebot über die Anmeldung zur Trusted Shops Mitgliedschaft für Käufer*innen oder eine Bewertungserinnerung. Diese Trustcard kann zum Beispiel wie folgt aussehen:
Entscheiden sich für Trusted Shops noch unbekannte Kund*innen und Kunden anschließend durch Klick auf den Button in der Trustcard zu einer erstmaligen Produktnutzung (Trusted Shops Mitgliedschaft für Käufer oder – wenn der Shop nicht zertifiziert ist - Bewertungserinnerung), bieten sich je nach Nutzung der Trusted Shops Produkte des Onlinehändlers im jeweiligen Shop folgende Alternativen an:
- Kund*innen können sich an die Abgabe einer Bewertung erinnern lassen.
- Kund*innen können sich für die Trusted Shops Mitgliedschaft (Basic oder Plus) registrieren (Automatische Bewertungserinnerung und Trusted Shops Käuferschutz (im Tarif Basic), bzw. Garantie (im Tarif Plus) nach allen Einkäufen bei zertifizierten Trusted Shops Mitgliedern innerhalb Deutschlands).
Entscheiden sich Käufer*innen für eine Anmeldung zu der Trusted Shops Mitgliedschaft und klicken in der Trustcard auf den entsprechenden Button, stimmen sie selbst durch Vertragsschluss mit Trusted Shops zur Erhebung der hierfür notwendigen Daten zu. Die Registrierung folgt unmittelbar (erkennbar durch sich drehendes Trusted Shops-Logo in der Karte). Dabei werden Bestelldatum der aktuellen Bestellung, die Bestellnummer, eine ggf. bestehende Kund*innennummer, die Bestellsumme, die Währung, ggf. das erwartete Lieferdatum, die Zahlungsart und die E-Mail-Adresse, bzw. bei Einbindung von Produktbewertungen außerdem die URL des Produkt und des Produktbildes, die Produktbezeichnung, die Produkt SKU, GTIN und MPN sowie der Hersteller über eine zweite DIV-Abfrage aus dem Quellcode der Bestellbestätigungs-Seite erhoben und an Trusted Shops übertragen. Anschließend öffnet sich automatisch eine neue Karte, die die Anmeldung zur Mitgliedschaft für Käufer und die Absicherung der aktuellen Bestellung bestätigt:
Je nach Einkaufswert wird darüber hinaus der Abschluss einer Mitgliedschaft Plus angeboten. Möchten Kund*innen eine Mitgliedschaft Plus abschließen und klicken den entsprechenden Button, werden sie auf ein Formular bei Trusted Shops weitergeleitet, in das sie weitere Daten selbst eintragen müssen.
Werden die erforderlichen Daten durch den Online-Shop, bzw. das Shopsystem nicht bereitgestellt, öffnet sich durch Klick auf den Button in der Trustcard ein Anmeldeformular bei Trusted Shops in einem neuen Tab.
Anmeldeformular für die Trusted Shops Mitgliedschaft für Käufer (Mitgliedschaftsformular)
In diesem Anmeldeformular sind Freifelder, die der/die Käufer*in dann selbst ausfüllen kann. Soweit einzelne Daten zur Verfügung gestellt wurden, sind diese bereits vorausgefüllt.
Eine Übermittlung der eingetragenen Daten an Trusted Shops erfolgt erst, wenn Kund*innen und Kunden sich tatsächlich für die Trusted Shops Mitgliedschaft Plus anmelden, also im Formular noch einmal auf den entsprechenden Button klicken.
Melden sich Kund*innen und Kunden dagegen nicht für das Produkt an und verlassen die Seite, werden Daten aus den ausgefüllten Feldern nicht bei Trusted Shops gespeichert.
Garantieformular
Wird in dem jeweiligen Zielmarkt eine Anmeldung für die Trusted Shops Services nicht ermöglicht oder wenn die erforderlichen Daten nicht durch den Online-Shop bereitgestellt, öffnet sich ein Formular für den Abschluss der Trusted Shops Services, einzelne Felder sind ggf. bereits vorausgefüllt, soweit der Online-Shop nur einzelne Daten bereitstellt.
Dennoch hat zu diesem Zeitpunkt noch keine nach Datenschutzrecht relevante Übermittlung personenbezogener Daten an Trusted Shops stattgefunden.
Auf der Bestellbestätigungs-Seite sind die Daten, die im Garantieformular vorausgefüllt werden, bereits im Quellcode enthalten. Indem Shopkund*innen und -kunden auf dieser Seite, bzw. in der Karte den Button klicken, wird aus dem Seitenquellcode mit den entsprechenden Parametern (u.a. Bestellwert, E-Mail-Adresse, etc.) ein individueller Link generiert, der das vorausgefüllte Anmeldeformular aufruft.
Zwar liegt das Formular dabei auf einer Trusted-Shops-Seite, das Vorausfüllen ist jedoch allein durch den generierten Link bedingt und dient lediglich der besseren Nutzungsfreundlichkeit.
Eine Übertragung oder Speicherung dieser im Link enthaltenen Daten an, bzw. durch Trusted Shops erfolgt erst, wenn Käufer*innen sich tatsächlich für das jeweilige Trusted Shops Produkt anmelden, also im Formular noch einmal auf den entsprechenden Button klicken. Mit diesem Klick wird jedoch unter Einbezug entsprechender Nutzungsbedingungen ein neues Rechtsgeschäft mit Trusted Shops abgeschlossen und der hierzu benötigten Datenverarbeitung der eigenen Daten eingewilligt.
Melden sich Käufer*innen dagegen nicht für das Trusted Shops Produkt an und verlassen die Seite, werden Daten aus den vorausgefüllten Feldern nicht bei Trusted Shops gespeichert.
Fazit
Erst, wenn Shopkundinnen und Shopkunden sich tatsächlich für eine Anmeldung zu einem Trusted Shops Produkt entschließen, erfolgt eine Erhebung und Verarbeitung personenbezogener Daten. Dann aber hat die Käuferin bzw. der Käufer hierzu auch zugestimmt.
Schließen Shopkund*innen und -kunden einen Vertrag mit Trusted Shops nicht ab und verlassen die Seite, werden Daten z.B. aus den vorausgefüllten Feldern nicht bei Trusted Shops gespeichert.
Glossar
| Onlinehändler*in / Mitglied | Person, die einen Online-Shop betreibt & Trusted Shops Kund*in / Mitglied ist (Unternehmen) |
| Onlinehändler*in / Mitglied | Person, die einen Online-Shop betreibt & Trusted Shops Kund*in / Mitglied ist (Unternehmen) |
| Shopbesucher*in / Besucher*in | Person, die die Webseite des Online-Shops besucht und noch kein/e Kund*in ist, sich also vor Bestellung auf der Seite bewegt (natürliche Person, kann als Verbraucher*in oder Unternehmer*in handeln) |
| Shopkund*in / Käufer*in | Person, die bei dem Online-Shop eine Bestellung tätigt und sich im Rahmen dieser registriert oder die Bestellung als Gast vornimmt (natürliche Person, kann als Verbraucher*in oder Unternehmer*in handeln) |
| Käufermitglied | Person, die für die Trusted Shops Mitgliedschaft für Käufer (Basic oder Plus) angemeldet ist |