Arbeitshilfe Datenschutz - Wiedererkennung registrierter Trusted Shops Kunden

Bei Einsatz des Trustbadge im Bestellprozess Ihres Online-Auftritts müssen Sie als datenschutzrechtlich Verantwortlicher unter der gemeinsamen Verantwortlichkeit:

  • Die Vorgaben der im Zielmarkt anwendbaren ePrivacy-Regularien beachten,
  • Informationen in Ihrem Verzeichnis der Verarbeitungstätigkeiten ergänzen,
  • eine Interessenabwägung gem. Art. 6 I lit. f DSGVO durchführen und
  • Ihre Datenschutzerklärung anpassen.

Vorgaben der ePrivacy-Richtlinie

Die ePrivacy-Richtlinie schreibt vor, dass die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig ist, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. In Deutschland ist dies bspw. in § 25 TDDDG umgesetzt. Eine Ausnahme besteht nach § 25 Absatz 2 TDDDG nur, 

  1. wenn der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder
  2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Funktionsweise des Trustbadge

Das Trustbadge greift im Checkout auf ein sogenanntes DIV-Element in der Endeinrichtung des Endnutzers zu, um folgende Informationen zu erhalten:

  • E-Mail-Adresse
  • Bestellnummer
  • Bestellsumme
  • Währung
  • Ggf. gekauftes Produkt (sofern Sie Produktbewertungen sammeln)

Anschließend übermittelt das Trustbadge diese Informationen an Trusted Shops, wobei die E-Mail-Adresse zuvor gehasht (verschlüsselt) wird. Anhand des Hashwerts der E-Mail-Adresse erfolgt eine Prüfung, ob Ihr Kunde bereits für die Trusted Shops Services registriert ist. Falls ja, wird die Bestellung automatisch abgesichert und der Kunde erhält eine Bewertungseinladung. Falls nein, hat der Kunde die Möglichkeit, sich über die angezeigte Trustcard für die Trusted Shops Services zu registrieren, um die Bestellung abzusichern und Bewertungseinladungen zu erhalten. Erfolgt keine Registrierung, so werden alle kurzfristig erhobenen personenbezogenen Daten gelöscht.

 

Rechtliche Einordnung

Unserer Auffassung nach ist das TDDDG und insbesondere der § 25 TDDDG auf das Trustbadge anzuwenden. Das heißt, es muss geprüft werden, ob ein Einwilligungserfordernis besteht oder ob eine der zuvor genannten Ausnahmen gilt. Wir haben das Trustbadge durch eine renommierte Anwaltskanzlei, die auf Datenschutzrecht spezialisiert ist, prüfen lassen. Diese kommt zu dem Ergebnis, dass keine Einwilligung erforderlich ist. Vielmehr kann der Zugriff auf Bestellinformationen auf die Ausnahme nach § 25 Abs. 2 Nr. 2 TDDDG gestützt werden, weil das Trustbadge und der damit einhergehende Zugriff auf Informationen, die bereits in der Endeinrichtung des Endnutzers gespeichert sind, unbedingt erforderlich ist, damit der Betreiber des vom Endnutzer besuchten Online-Shops diesen als Telemedium zur Verfügung stellen kann. Vereinfacht ausgedrückt: Das Trustbadge und der Käuferschutz stellen einen wesentlichen Bestandteil des Online-Shops dar. Der Online-Shop wirbt damit, den Käuferschutz durch Trusted Shops anzubieten. Als Besucher des Shops erfährt man damit vor Abschluss der Bestellung, dass der Käuferschutz Teil des Shops ist. Gibt der Besucher im Online-Shop eine Bestellung auf, gibt er zu verstehen, dass er den Online-Shop in der ihm präsentierten Form, also mit Käuferschutz, nutzen möchte. Dies gilt umso mehr, wenn in den Shop-AGB der Käuferschutz aufgeführt oder/und wenn hierauf an anderer Stelle transparent hingewiesen wird.

Im Folgenden erklären wir Ihnen, wie Sie Ihren Online-Shop anpassen können, damit die Ausnahme nach § 25 Abs. 2 Nr. 2 TDDDG gilt. Bitte berücksichtigen Sie, dass Datenschutzaufsichtsbehörden und Gerichte zu einer gegenteiligen Ansicht kommen können. Daher können Sie selbstverständlich eine Einwilligung einholen oder das Trustbadge so einbinden, dass keine automatische Übermittlung von Bestelldaten an Trusted Shops erfolgt.

 

Umsetzungsmöglichkeiten

 Option 1

Je transparenter Sie in Ihrem Online-Shop beschreiben, dass der Käuferschutz Teil des Einkaufserlebnisses  ist, desto klarer lässt sich darstellen, dass für den Zugriff auf Bestellinformationen durch das Trustbadge keine Einwilligung benötigt wird. Folgende Tipps haben wir:

  1. Binden Sie das Trustbadge so ein, dass es auf jeder Seite Ihres Online-Shops sichtbar ist.
  2. Fügen Sie Informationen zum angebotenen Käuferschutz an geeigneter Stelle in Ihrem Online-Shop ein. Das hat zusätzlich einen guten Werbeeffekt.
  3. Passen Sie Ihre Datenschutzhinweise an. Wir stellen Ihnen hierfür geeignete Muster bereit. Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets), (Variante 5)
  4. Passen Sie Ihre AGB an: Wenn Sie in Ihren AGB das Anbieten des Käuferschutzes als Teil der Bestellung kenntlich machen, schafft dies zusätzliche Transparenz. Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets), (AGB-Klausel 3)

 Sollten Sie stattdessen eine Einwilligung einholen wollen, haben wir für Sie die folgende Integrationsmöglichkeiten:

 

Option 2

 

1. Enable Trustbadge consent request

Sie haben die Möglichkeit, das Trustbadge in einer besonderen Form in Ihren bestehenden Consent-Manager zu integrieren: https://help.etrusted.com/hc/de/articles/8335065827357. Diese erlaubt es, dass das Trustbadge auch bei nicht erteilter Einwilligung grafisch angezeigt wird und eingeschränkte Funktionalitäten bietet. Wird eine Einwilligung erteilt, so funktioniert das Trustbadge wie Sie es bislang gewohnt sind.

Erteilt der Kunde im Consent-Manager keine Einwilligung oder haben Sie das Trustbadge trotz des „Enable Trustbadge consent request“ nicht oder nicht richtig in Ihren Consent-Manager integriert, so erscheint im Checkout die Trustcard, sodass Ihre Kunden die Möglichkeit haben, sich für die Services zu registrieren. Dies betrifft dann wiederum auch solche Kunden, die eigentlich schon für die Services registriert sind, da mangels automatischer Übermittlung des E-Mail-Hashwertes kein Abgleich stattfinden kann.

Bei Verwendung der zuvor beschriebenen Variante greift das Trustbadge auch ohne Einwilligung auf Informationen im DIV-Element zu, um die Trustcard richtig anzeigen zu können. So muss die Trustcard beispielsweise wissen, wie hoch die Bestellsumme ist, um anzuzeigen, wie hoch die Absicherung sein wird. Eine Übermittlung der Daten an Trusted Shops erfolgt jedoch nicht. Ausweislich der Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive des Europäischen Datenschutzausschusses, Rn. 52 und 53, fällt ein solcher Zugriff nicht unter den Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie, sodass hierfür keine Einwilligung eingeholt werden muss. Geht man dennoch davon aus, dass Art. 5 Abs. 3 der ePrivacy-Richtlinie anzuwenden ist, so kann argumentiert werden, dass dieser Zugriff erforderlich ist, um den Telemediendienst bereitzustellen, der vom Nutzer ausdrücklich gewünscht ist. In diesem Fall läge keine Einwilligungspflicht vor. Eine Erforderlichkeit kann jedenfalls dann bejaht werden, wenn das Anbieten des Käuferschutzes in den AGB als zwingender Bestandteil des Bestellprozesses vereinbart wird. Da Sie den Käuferschutz als wesentlichen Bestandteil Ihres Online-Shops nur anbieten können, wenn das Trustbadge auf Informationen im DIV-Element zugreift, besteht eine Erforderlichkeit. Vorschläge für AGB-Klauseln haben wir Ihnen unter Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets) bereitgestellt.

Sofern Sie die Rechtsauffassung vertreten, dass auch der automatische Abgleich des Hash-Wertes der E-Mail-Adresse von Käufern erforderlich ist, damit Sie Ihren Online-Shop bereitstellen können, so könnten Sie auf die Einwilligung Ihrer Kunden verzichten. Eine technische Anpassung bei der Implementierung des Trustbadge wäre dann nicht nötig. Auch für diesen Fall sollten die AGB entsprechend angepasst werden. 

2. Einbindung des Trustbadge in den Consent-Manager

Wenn Sie das Trustbadge einfach in Ihren bestehenden Consent-Manager einbinden und die Funktionalität des Trustbadge nur erlauben, wenn ein Besucher Ihres Online-Shops in die Verwendung aller Cookies oder/und Drittanbieterdiensten bzw. einzeln in die Aktivierung des Trustbadge eingewilligt hat, können die Anforderungen des § 25 TDDDG erfüllt werden. Gleichzeitig könnte die Produktnutzung zurückgehen. Sobald ein Websitebesucher nicht eingewilligt hat, stehen keinerlei Funktionen des Trustbadge mehr zur Verfügung. Das heißt, es wird weder optisch angezeigt, noch hat Ihr Kunde im Checkout die Möglichkeit, sich für die Trusted Shops Services zu registrieren. Somit erhalten alle Kunden, die nicht in die Anzeige des Trustbadge eingewilligt haben, auch keine Bewertungseinladung und keine Möglichkeit zur Nutzung des Käuferschutzes.

Templates zur Anpassung Ihrer Datenschutzhinweise

Da sich bei Nutzung einer der oben beschriebenen Varianten die Art der Verarbeitung personenbezogener Daten und die Rechtsgrundlagen ändern, müssen Sie ggf. Ihre Datenschutzhinweise anpassen. Wir haben für alle Varianten passende Muster erstellt. Diese finden Sie unter Mustertext für Ihre Datenschutzerklärung (Trustbadge/Widgets)im Hilfe-Center. Auch über den Trusted Shops Rechtstexter können Sie sich passende Datenschutzhinweise erstellen.

Informationen für das Verzeichnis der Verarbeitungstätigkeiten

Wiedererkennung registrierter Trusted Shops Käufer Mitglieder

Dieses Verfahren beschreibt die Verarbeitung personenbezogener Daten im Rahmen der Wiedererkennung registrierter Nutzer der Trusted Shops Services über das Trustbadge auf der Webseite des Verantwortlichen.

Detailbeschreibung der Verarbeitung

Nach Abschluss von Bestellungen über die Website des Verantwortlichen wird ein Pseudonym an die Trusted Shops AG übertragen, um zu überprüfen, ob der Betroffene bereits für die Nutzung der Trusted Shops Leistungen registriert ist. Diese Überprüfung wird im Rahmen der Trusted Shops Käufer Mitgliedschaftsverträge geschuldet, um die vertraglichen Leistungen automatisch nach Bestellungen auf Webseiten Dritter nutzen zu können. Hierfür erfolgt eine automatische Erhebung personenbezogener Daten aus den Bestelldaten. Die E-Mail Adresse des Betroffenen wird auf dem Rechner des Betroffenen per kryptologischer Einwegfunktion in einen Hash-Wert umgerechnet. Dieser für Trusted Shops nicht zu entschlüsselnde Hash-Wert wird an Trusted Shops übermittelt. Nach Überprüfung auf einen Match, wird der Parameter automatisch gelöscht.

Rechtsgrundlagen

Überwiegende berechtigte Interessen gem. Art. 6 Abs. 1 lit. f DSGVO

Verarbeitungszwecke

Optimale Vermarktung der Angebote des Verantwortlichen durch Ermöglichung eines sicheren Einkaufs mittels automatischer Absicherungen mit dem Trusted Shops Käuferschutz und mittels echter Kundenbewertungen

Betroffene Personen

Webseiten-Besucher, die eine Bestellung tätigen

Betroffene Daten

Pseudonym der E-Mail Adresse

Empfänger

Trusted Shops AG
Subbelrather Str. 15c
50823 Köln

Technische und organisatorische Maßnahmen

Es gelten die technischen und organisatorischen Maßnahmen der Trusted Shops AG

Interessenabwägung - Wiedererkennung

Interessen des Verantwortlichen

traffic_green.png

Eigene Interessen: Das Interesse des Verantwortlichen besteht in der optimalen Vermarktung seiner Angebote durch Ermöglichung eines sicheren Einkaufs mittels automatischer Absicherungen mit dem Trusted Shops Käuferschutz und mittels echter Kundenbewertungen.

traffic_green.png

Interessen Dritter: Hinzu treten die Interessen der Trusted Shops AG an der Erfüllung der Verträge mit registrierten Käufer Mitgliedern und das Interesse des Dienstleisters, der für die fehler- und unterbrechungsfreie Auslieferung des Trustbadge verantwortlich ist, zur Analyse von Sicherheitsauffälligkeiten.

traffic_green.png

Diese Interessen werden auch von Dritten, z. B. anderen Unternehmern, anerkannt. Dies spricht dafür, dass die genannten Interessen berechtigt sind.

traffic_green.png

Die Berufsfreiheit des Verantwortlichen ist als Grundrecht betroffen. Dies spricht dafür, dass die genannten Interessen berechtigt sind.

traffic_green.png

Dieses Interessen sind in anderen Rechtsinstrumenten anerkannt, z. B. UWG, MarkenG. Dies spricht dafür, dass die genannten Interessen berechtigt sind.

traffic_yellow.png

Es existiert kein milderes Mittel, denn erst durch die Überprüfung zumindest eines Pseudonyms kann gewährleistet werden, dass registrierte Nutzer automatisch wiedererkannt werden. Eine Login Funktion würde beispielsweise den vertraglich geschuldeten Automatismus entfallen lassen.

Zwischenergebnis:

Es besteht ein berechtigtes Interesse an der Verarbeitung durch den Verantwortlichen.

Interessen Grundrechte / Grundfreiheiten des Betroffenen

traffic_yellow.png

Es wird das Recht auf Schutz der verarbeiteten personenbezogenen Daten des Betroffenen berührt, daneben jedoch keine weiteren Grundrechte.

traffic_yellow.png

Es wird 1 Pseudonym verarbeitet. Der Personenbezug ergibt sich nicht direkt aus den Daten.

traffic_yellow.png

Es handelt sich um nicht-öffentliche Daten. Die Erhebung erfolgt jedoch beim Betroffenen selbst und dieser wird transparent informiert. Die Daten werden nicht veröffentlicht.

traffic_green.png

Die Daten haben eine hohe Qualität; geringe Fehlerquote durch automatische Übertragung.

traffic_yellow.png

Es sind alle Besucher des jeweiligen Online-Auftritts betroffen. Jedoch erfolgt eine weitere Verarbeitung nur für bei Trusted Shops registrierte Käufer Mitglieder, die in einem zertifizierten Online-Shop  einkaufen, und die automatische Leistungserbringung vertraglich mit Trusted Shops vereinbart haben. Pseudonyme anderer Nutzer ohne Vertragsverhältnis mit Trusted Shops bleiben anonym.

traffic_green.png

Webseitenbesucher erwarten diese Verarbeitung, da die Einbindung visueller Drittinhalte üblich ist und in der Datenschutzerklärung transparent darüber informiert wird.

traffic_green.png

Das Datum wird ausschließlich einmalig verarbeitet, um zu prüfen, ob der Betroffene ein registriertes Käufer Mitglied ist. Nach Überprüfung auf einen Match, wird der Parameter automatisch gelöscht.

Interessenabwägung im engeren Sinne

Die Betroffenen werden mittels der Datenschutzerklärung transparent über die Datenverarbeitung informiert – die Verarbeitung erfolgt erwartungsgemäß und die Verarbeitung des betroffenen Pseudonyms erfolgt nach dem aktuellen Stand der Technik. Die Verarbeitung erfolgt nur einmal und es erfolgt keine Speicherung des Datums.

Die im engeren Sinne Betroffenen, also diejenigen, bei denen nach Feststellung eines Match eine zusätzliche Verarbeitung weiterer personenbezogener Daten erfolgt, haben alle ein Vertragsverhältnis mit der Trusted Shops AG. Die weitere Verarbeitung ist entsprechend gemäß Art. 6 Abs. 1 lit. b DSGVO legitimiert und, was ebenso für ein Überwiegen der Interessen des Verantwortlichen und der Interessen Dritter spricht. In allen anderen Fällen ist der übertragene Wert für den Verantwortlichen de facto anonym, weil der Wert unmittelbar gelöscht wird, ohne das unter Zuhilfenahme Dritter oder auf andere Weise eine Entschlüsselung möglich wäre.

Die Verarbeitung der Daten dient folglich zumindest auch den Interessen von Teilen der Betroffenen und wird von diesen erwartet. Im Rahmen des Vertragsschlusses mit der Trusted Shops AG sowie über die Datenschutzerklärungen des Verantwortlichen und der Trusted Shops AG wird der Betroffene transparent über diese Datenverarbeitung informiert.

Insgesamt werden die Interessen Grundrechte und Grundfreiheiten der betroffenen Person durch die Verarbeitung nicht übermäßig belastet. Auch die automatische Verarbeitung der Daten wird durch überwiegende berechtigte Interessen des Verantwortlichen legitimiert. Die berechtigten Interessen des Verantwortlichen und des genannten Dritten überwiegen.

Mustertext für die Trustbadge Anzeige

Hier finden Sie einen Mustertext für Ihre Datenschutzerklärung

 

Diese Arbeitshilfe wurde mit größter Sorgfalt erstellt, erhebt aber keinen Anspruch auf

Vollständigkeit und Richtigkeit. Sie ist als Checkliste mit Formulierungshilfen zu verstehen und soll nur eine Anregung bieten, wie die vorgenannten Punkte bearbeitet werden müssen.

Bei Einzelfragen sollte jedoch grundsätzlich fachkundiger Rat bei einem Rechtsanwalt eingeholt werden.


War der Artikel hilfreich?

5 von 8 fanden dies hilfreich