Bei Einsatz des Trustbadge im Bestellprozess deines Online-Auftritts musst du als datenschutzrechtlich Verantwortlicher unter der gemeinsamen Verantwortlichkeit:
- Die Vorgaben der im Zielmarkt anwendbaren ePrivacy-Regularien beachten,
- Informationen in deinem Verzeichnis der Verarbeitungstätigkeiten ergänzen,
- eine Interessenabwägung gem. Art. 6 I lit. f DSGVO durchführen und
- deine Datenschutzerklärung anpassen.
Vorgaben der ePrivacy-Richtlinie
Die ePrivacy-Richtlinie schreibt vor, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. In Deutschland ist dies bspw. in § 25 TDDDG umgesetzt. Eine Ausnahme besteht nach § 25 Absatz 2 TDDDG nur,
- wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
- wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.
Funktionsweise des Trustbadge
Das Trustbadge greift im Checkout auf ein sogenanntes DIV-Element in der Endeinrichtung des Endnutzers zu, um folgende Informationen zu erhalten:
- E-Mail-Adresse
- Bestellnummer
- Bestellsumme
- Währung
- Ggf. gekauftes Produkt (sofern du Produktbewertungen sammelst)
Anschließend übermittelt das Trustbadge diese Informationen an Trusted Shops, wobei die E-Mail-Adresse zuvor gehasht (verschlüsselt) wird. Anhand des Hashwerts der E-Mail-Adresse erfolgt eine Prüfung, ob dein Kunde bereits für die Trusted Shops Services registriert ist. Falls ja, wird die Bestellung automatisch abgesichert und der Kunde erhält eine Bewertungseinladung. Falls nein, hat der Kunde die Möglichkeit, sich über die angezeigte Trustcard für die Trusted Shops Services zu registrieren, um die Bestellung abzusichern und Bewertungseinladungen zu erhalten. Erfolgt keine Registrierung, so werden alle kurzfristig erhobenen personenbezogenen Daten gelöscht.
Rechtliche Einordnung
Unserer Auffassung nach ist das TDDDG und insbesondere der § 25 TDDDG auf das Trustbadge anzuwenden. Das heißt, es muss geprüft werden, ob ein Einwilligungserfordernis besteht oder ob eine der zuvor genannten Ausnahmen gilt. Wir haben das Trustbadge durch eine renommierte Anwaltskanzlei, die auf Datenschutzrecht spezialisiert ist, prüfen lassen. Diese kommt zu dem Ergebnis, dass keine Einwilligung erforderlich ist. Vielmehr kann der Zugriff auf Bestellinformationen auf die Ausnahme nach § 25 Abs. 2 Nr. 2 TDDDG gestützt werden, weil das Trustbadge und der damit einhergehende Zugriff auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, unbedingt erforderlich ist, damit der Betreiber des vom Endnutzer besuchten Online-Shops diesen als Telemedium zur Verfügung stellen kann. Vereinfacht ausgedrückt: Das Trustbadge und der Käuferschutz stellen einen wesentlichen Bestandteil des Online-Shops dar. Der Online-Shop wirbt damit, den Käuferschutz durch Trusted Shops anzubieten. Als Besucher des Shops erfährst du damit vor Abschluss der Bestellung, dass der Käuferschutz Teil des Shops ist. Gibst du im Online-Shop eine Bestellung auf, gibst du zu verstehen, dass du den Online-Shop in der dir präsentierten Form, also mit Käuferschutz, nutzen möchtest. Dies gilt umso mehr, wenn in den Shop-AGB der Käuferschutz aufgeführt oder/und wenn hierauf an anderer Stelle transparent hingewiesen wird.
Im Folgenden erklären wir dir, wie du deinen Online-Shop anpassen kannst, damit die Ausnahme nach § 25 Abs. 2 Nr. 2 TDDDG gilt. Bitte berücksichtige, dass Datenschutzaufsichtsbehörden und Gerichte zu einer gegenteiligen Ansicht kommen können. Daher kannst du selbstverständlich eine Einwilligung einholen oder das Trustbadge so einbinden, dass keine automatische Übermittlung von Bestelldaten an Trusted Shops erfolgt.
Umsetzungsmöglichkeiten
Option 1
Je transparenter du in deinem Online-Shop beschreibst, dass der Käuferschutz Teil des Einkaufserlebnisses ist, desto klarer lässt sich darstellen, dass für den Zugriff auf Bestellinformationen durch das Trustbadge keine Einwilligung benötigt wird. Folgende Tipps haben wir:
- Binde das Trustbadge so ein, dass es auf jeder Seite deines Online-Shops sichtbar ist.
- Füge Informationen zum angebotenen Käuferschutz an geeigneter Stelle in deinem Online-Shop ein. Das hat zusätzlich einen guten Werbeeffekt.
- Passe deine Datenschutzhinweise an. Wir stellen dir hierfür geeignete Muster bereit. Mustertext für deine Datenschutzerklärung (Trustbadge/Widgets), (Variante 5)
- Passe deine AGB an: Wenn du in deinen AGB das Anbieten des Käuferschutzes als Teil der Bestellung kenntlich machst, schafft dies zusätzliche Transparenz.
Solltest du stattdessen eine Einwilligung einholen wollen, haben wir für dich die folgende Integrationsmöglichkeiten:
Option 2
1. Enable Trustbadge consent request
Du hast die Möglichkeit, das Trustbadge in einer besonderen Form in deinen bestehenden Consent-Manager zu integrieren: https://help.etrusted.com/hc/de/articles/8335065827357. Diese erlaubt es, dass das Trustbadge auch bei nicht erteilter Einwilligung grafisch angezeigt wird und eingeschränkte Funktionalitäten bietet. Wird eine Einwilligung erteilt, so funktioniert das Trustbadge wie du es bislang gewohnt bist.
Erteilt der Kunde im Consent-Manager keine Einwilligung oder hast du das Trustbadge trotz des „Enable Trustbadge consent request" nicht oder nicht richtig in deinen Consent-Manager integriert, so erscheint im Checkout die Trustcard, sodass deine Kunden die Möglichkeit haben, sich für die Services zu registrieren. Dies betrifft dann wiederum auch solche Kunden, die eigentlich schon für die Services registriert sind, da mangels automatischer Übermittlung des E-Mail-Hashwertes kein Abgleich stattfinden kann.
Bei Verwendung der zuvor beschriebenen Variante greift das Trustbadge auch ohne Einwilligung auf Informationen im DIV-Element zu, um die Trustcard richtig anzeigen zu können. So muss die Trustcard beispielsweise wissen, wie hoch die Bestellsumme ist, um anzuzeigen, wie hoch die Absicherung sein wird. Eine Übermittlung der Daten an Trusted Shops erfolgt jedoch nicht. Ausweislich der Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive des Europäischen Datenschutzausschusses, Rn. 52 und 53, fällt ein solcher Zugriff nicht unter den Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie, sodass hierfür keine Einwilligung eingeholt werden muss. Geht man dennoch davon aus, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie anzuwenden ist, so kann argumentiert werden, dass dieser Zugriff erforderlich ist, um den Telemediendienst bereitzustellen, der vom Nutzer ausdrücklich gewünscht ist. In diesem Fall läge keine Einwilligungspflicht vor. Eine Erforderlichkeit kann jedenfalls dann bejaht werden, wenn das Anbieten des Käuferschutzes in den AGB als zwingender Bestandteil des Bestellprozesses vereinbart wird. Da du den Käuferschutz als wesentlichen Bestandteil deines Online-Shops nur anbieten kannst, wenn das Trustbadge auf Informationen im DIV-Element zugreift, besteht eine Erforderlichkeit. Vorschläge für AGB-Klauseln haben wir dir unter Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets) bereitgestellt.
Sofern du die Rechtsauffassung vertrittst, dass auch der automatische Abgleich des Hash-Wertes der E-Mail-Adresse von Käufern erforderlich ist, damit du deinen Online-Shop bereitstellen kannst, so könntest du auf die Einwilligung deiner Kunden verzichten. Eine technische Anpassung bei der Implementierung des Trustbadge wäre dann nicht nötig. Auch für diesen Fall sollten die AGB entsprechend angepasst werden.
2. Einbindung des Trustbadge in den Consent-Manager
Wenn du das Trustbadge einfach in deinen bestehenden Consent-Manager einbindest und die Funktionalität des Trustbadge nur erlaubst, wenn ein Besucher deines Online-Shops in die Verwendung aller Cookies oder/und Drittanbieterdiensten bzw. einzeln in die Aktivierung des Trustbadge eingewilligt hat, können die Anforderungen des § 25 TDDDG erfüllt werden. Gleichzeitig könnte die Produktnutzung zurückgehen. Sobald ein Websitebesucher nicht eingewilligt hat, stehen keinerlei Funktionen des Trustbadge mehr zur Verfügung. Das heißt, es wird weder optisch angezeigt, noch hat dein Kunde im Checkout die Möglichkeit, sich für die Trusted Shops Services zu registrieren. Somit erhalten alle Kunden, die nicht in die Anzeige des Trustbadge eingewilligt haben, auch keine Bewertungseinladung und keine Möglichkeit zur Nutzung des Käuferschutzes.
Templates zur Anpassung deiner Datenschutzhinweise
Da sich bei Nutzung einer der oben beschriebenen Varianten die Art der Verarbeitung personenbezogener Daten und die Rechtsgrundlagen ändern, musst du ggf. deine Datenschutzhinweise anpassen. Wir haben für alle Varianten passende Muster erstellt. Diese findest du unter „Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets)" im Hilfe-Center. Auch über den Trusted Shops Rechtstexter kannst du dir passende Datenschutzhinweise erstellen.
Informationen für das Verzeichnis der Verarbeitungstätigkeiten
Wiedererkennung registrierter Trusted Shops Käufer Mitglieder
Dieses Verfahren beschreibt die Verarbeitung personenbezogener Daten im Rahmen der Wiedererkennung registrierter Nutzer der Trusted Shops Services über das Trustbadge auf der Webseite des Verantwortlichen.
Detailbeschreibung der Verarbeitung
Nach Abschluss von Bestellungen über die Website des Verantwortlichen wird ein Pseudonym an die Trusted Shops SE übertragen, um zu überprüfen, ob der Betroffene bereits für die Nutzung der Trusted Shops Leistungen registriert ist. Diese Überprüfung wird im Rahmen der Trusted Shops Käufer Mitgliedschaftsverträge geschuldet, um die vertraglichen Leistungen automatisch nach Bestellungen auf Webseiten Dritter nutzen zu können. Hierfür erfolgt eine automatische Erhebung personenbezogener Daten aus den Bestelldaten. Die E-Mail Adresse des Betroffenen wird auf dem Rechner des Betroffenen per kryptologischer Einwegfunktion in einen Hash-Wert umgerechnet. Dieser für Trusted Shops nicht zu entschlüsselnde Hash-Wert wird an Trusted Shops übermittelt. Nach Überprüfung auf einen Match, wird der Parameter automatisch gelöscht.
Rechtsgrundlagen
Überwiegende berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO
Verarbeitungszwecke
Optimale Vermarktung der Angebote des Verantwortlichen durch Ermöglichung eines sicheren Einkaufs mittels automatischer Absicherungen mit dem Trusted Shops Käuferschutz und mittels echter Kundenbewertungen
Betroffene Personen
Webseiten-Besucher, die eine Bestellung tätigen
Betroffene Daten
Pseudonym der E-Mail Adresse
Empfänger
Trusted Shops SE
Subbelrather Str. 15c
50823 Köln
Technische und organisatorische Maßnahmen
Es gelten die technischen und organisatorischen Maßnahmen der Trusted Shops SE.
Interessenabwägung - Wiedererkennung
Interessen des Verantwortlichen
|
Eigene Interessen: Das Interesse des Verantwortlichen besteht in der optimalen Vermarktung seiner Angebote durch Ermöglichung eines sicheren Einkaufs mittels automatischer Absicherungen mit dem Trusted Shops Käuferschutz und mittels echter Kundenbewertungen. |
|
|
Interessen Dritter: Hinzu treten die Interessen der Trusted Shops SE an der Erfüllung der Verträge mit registrierten Käufer Mitgliedern und das Interesse des Dienstleisters, der für die fehler- und unterbrechungsfreie Auslieferung des Trustbadge verantwortlich ist, zur Analyse von Sicherheitsauffälligkeiten. |
|
|
Diese Interessen werden auch von Dritten, z. B. anderen Unternehmern, anerkannt. Dies spricht dafür, dass die genannten Interessen berechtigt sind. |
|
|
Die Berufsfreiheit des Verantwortlichen ist als Grundrecht betroffen. Dies spricht dafür, dass die genannten Interessen berechtigt sind. |
|
|
Dieses Interessen sind in anderen Rechtsinstrumenten anerkannt, z. B. UWG, MarkenG. Dies spricht dafür, dass die genannten Interessen berechtigt sind. |
|
|
Es existiert kein milderes Mittel, denn erst durch die Überprüfung zumindest eines Pseudonyms kann gewährleistet werden, dass registrierte Nutzer automatisch wiedererkannt werden. Eine Login Funktion würde beispielsweise den vertraglich geschuldeten Automatismus entfallen lassen. |
Zwischenergebnis:
Es besteht ein berechtigtes Interesse an der Verarbeitung durch den Verantwortlichen.
Interessen Grundrechte / Grundfreiheiten des Betroffenen
|
Es wird das Recht auf Schutz der verarbeiteten personenbezogenen Daten des Betroffenen berührt, daneben jedoch keine weiteren Grundrechte. |
|
|
Es wird 1 Pseudonym verarbeitet. Der Personenbezug ergibt sich nicht direkt aus den Daten. |
|
|
Es handelt sich um nicht-öffentliche Daten. Die Erhebung erfolgt jedoch beim Betroffenen selbst und dieser wird transparent informiert. Die Daten werden nicht veröffentlicht. |
|
|
Die Daten haben eine hohe Qualität; geringe Fehlerquote durch automatische Übertragung. |
|
|
Es sind alle Besucher des jeweiligen Online-Auftritts betroffen. Jedoch erfolgt eine weitere Verarbeitung nur für bei Trusted Shops registrierte Käufer Mitglieder, die in einem zertifizierten Online-Shop einkaufen, und die automatische Leistungserbringung vertraglich mit Trusted Shops vereinbart haben. Pseudonyme anderer Nutzer ohne Vertragsverhältnis mit Trusted Shops bleiben anonym. |
|
|
Webseitenbesucher erwarten diese Verarbeitung, da die Einbindung visueller Drittinhalte üblich ist und in der Datenschutzerklärung transparent darüber informiert wird. |
|
|
Das Datum wird ausschließlich einmalig verarbeitet, um zu prüfen, ob der Betroffene ein registriertes Käufer Mitglied ist. Nach Überprüfung auf einen Match, wird der Parameter automatisch gelöscht. |
Interessenabwägung im engeren Sinne
Die Betroffenen werden mittels der Datenschutzerklärung transparent über die Datenverarbeitung informiert – die Verarbeitung erfolgt erwartungsgemäß und die Verarbeitung des betroffenen Pseudonyms erfolgt nach dem aktuellen Stand der Technik. Die Verarbeitung erfolgt nur einmal und es erfolgt keine Speicherung des Datums.
Die im engeren Sinne Betroffenen, also diejenigen, bei denen nach Feststellung eines Match eine zusätzliche Verarbeitung weiterer personenbezogener Daten erfolgt, haben alle ein Vertragsverhältnis mit der Trusted Shops SE. Die weitere Verarbeitung ist entsprechend gemäß Art. 6 Abs. 1 lit. b DSGVO legitimiert und, was ebenso für ein Überwiegen der Interessen des Verantwortlichen und der Interessen Dritter spricht. In allen anderen Fällen ist der übertragene Wert für den Verantwortlichen de facto anonym, weil der Wert unmittelbar gelöscht wird, ohne das unter Zuhilfenahme Dritter oder auf andere Weise eine Entschlüsselung möglich wäre.
Die Verarbeitung der Daten dient folglich zumindest auch den Interessen von Teilen der Betroffenen und wird von diesen erwartet. Im Rahmen des Vertragsschlusses mit der Trusted Shops SE sowie über die Datenschutzerklärungen des Verantwortlichen und der Trusted Shops SE wird der Betroffene transparent über diese Datenverarbeitung informiert.
Insgesamt werden die Interessen Grundrechte und Grundfreiheiten der betroffenen Person durch die Verarbeitung nicht übermäßig belastet. Auch die automatische Verarbeitung der Daten wird durch überwiegende berechtigte Interessen des Verantwortlichen legitimiert. Die berechtigten Interessen des Verantwortlichen und des genannten Dritten überwiegen.
Mustertext für die Trustbadge Anzeige
Hier findest du einen Mustertext für deine Datenschutzerklärung
Diese Arbeitshilfe wurde mit größter Sorgfalt erstellt, erhebt aber keinen Anspruch auf
Vollständigkeit und Richtigkeit. Sie ist als Checkliste mit Formulierungshilfen zu verstehen und soll nur eine Anregung bieten, wie die vorgenannten Punkte bearbeitet werden müssen.
Bei Einzelfragen solltest du jedoch grundsätzlich fachkundigen Rat bei einem Rechtsanwalt einholen.