Schließt Trusted Shops mit dem Online-Händler eine Zusatzvereinbarung zur Auftragsdatenverarbeitung ab?
Trusted Shops erbringt im Rahmen des Mitgliedschaftsvertrages keine Leistungen als Auftragsverarbeiter gemäß Art. 28 DSGVO. Vielmehr liegt eine Datenverarbeitung in gemeinsamer Verantwortung vor.
Hintergrund ist die einschlägige EuGH-Rechtsprechung, u.a. zu Social-Plugins auf Websites oder zu Facebook-Fanpages:
- Der EuGH sieht bei Social Plugins eine gemeinsame Verantwortlichkeit von dem einbindenden Webseitenbetreiber und dem Plugin-Anbieter (EuGH, Urt. v. 29.7.2019, C-40/17 – Fashion ID). Die Grundsätze des Urteils sind auf die Trusted Shops Mitgliedschaft übertragbar:
- Sowohl der Kunde als auch Trusted Shops nehmen aus Eigeninteresse Einfluss auf die Verarbeitung personenbezogener Daten.
- Trusted Shops und der Kunde entscheiden gemeinsam über die Zwecke und Mittel der Datenverarbeitung (Anzeige der Widgets, Bereitstellung der Bewertungsplattform und Bewertungsabgabe, Öffentliche Bewertungsanzeige und Kommentierung, Versand von Bewertungseinladungen).
- Der Betreiber einer Webseite ist grundsätzlich für alle Verarbeitungen personenbezogener Daten der Nutzer seiner Webseite verantwortlich. Und zwar auch dann, wenn sie nicht von ihm selbst durchgeführt werden.
- Der EuGH definiert den Begriff der Verantwortlichkeit weit. So sieht er bei den sog. Facebook Fanpages (EuGH, Urt. v. 05.06.2018 - C-210/16) auch die Betreiber einer Fanpage in der Verantwortung, obwohl diese faktisch kaum Einfluss auf die Gestaltung der Fanpage nehmen können und die wesentlichen Parameter von Facebook vorgegeben werden.
- Zweckänderung bei Bewertungseinladungslinks
- Bei Klick auf den Link findet eine Weiterleitung auf die Trusted Shops-Website statt und die Daten werden dort von Trusted Shops eigenverantwortlich und zu eigenen Zwecken verarbeitet.
- Erkennbarkeit der Verantwortlichkeit von Trusted Shops für die Bewertungen
- Durch die Gestaltung der Bewertungseinladungen (Impressum, Logo) und die Weiterleitung auf die Trusted Shops-Website wird für die Endkunden deutlich, dass sie es mit Trusted Shops als Verantwortlichem zu tun haben.
- Keine Weisungsgebundenheit bei Bewertungen
- Trusted Shops steht für verifizierte und authentische Bewertungen und daher können diese nicht willkürlich nach Weisungen des Kunden verändert oder gelöscht werden.
Daher tritt ein Joint Controllership Agreement (JCA), also eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, an die Stelle eines Auftragsverarbeitungsvertrags. Das JCA ist fester Bestandteil der Allgemeinen Trusted Shops Vertragsbedingungen und umfasst umfassende Regelungen zu den Datenverarbeitungen bei Einsatz der von Trusted Shops angebotenen Leistungen.
Die Bedingungen finden Sie hier:
Vertrag über die gemeinsame Verantwortlichkeit sowie die Technischen und organisatorischen Maßnahmen
Die von der Vereinbarung erfassten Verarbeitungsvorgänge werden in der Vereinbarung konkret benannt.
Hierzu zählen vor allem
- die Einbindung des Trustbadge im Online-Auftritt,
- die Übermittlung personenbezogener Daten zum Abschluss des Käuferschutzes für getätigte Bestellungen
- der Versand von Bewertungseinladungen im Rahmen des Käuferschutzes in Ihrem Auftrag bei Nutzung der Tools Review-Collector und AutoCollection sowie der Trusted Shops API
- die Erhebung von Bewertungen über die Bewertungsplattform sowie deren Kommentierung
Zuständigkeiten unter der gemeinsamen Verantwortlichkeit
Vorgang |
Trusted Shops |
Shop-Mitglied |
Nutzung des Online Systems B2B |
Alleine zuständig |
|
Nutzung des Online Systems B2C |
Alleine zuständig |
|
Nutzung des Bewertungssystems |
Alleine zuständig |
|
Trustbadge-Anzeige im Shop |
|
Alleine zuständig |
Inhalt des Trustbadge / Nutzung der Trusted Shops Leistungen |
Gemeinsam |
Gemeinsam |
Versand der Review Invites |
Gemeinsam |
Gemeinsam |
Review Collector |
Gemeinsam |
Gemeinsam |
Automatisches Sammeln |
Gemeinsam |
Gemeinsam |
Application programming interface (API) |
Gemeinsam |
Gemeinsam |
Trusted Shops Rechtstexter / Generator für das Verarbeitungsverzeichnis |
Gemeinsam |
Gemeinsam |
Weitere Details finden Sie in der Vereinbarung über die gemeinsame Verantwortlichkeit nach DSGVO.
Warum werden Informationen zu den Empfängern der Bewertungseinladungen im Kontrollzentrum teilweise ausgeblendet?
Im Kontrollzentrum gibt es zwei Übersichten:
- die Einladungschronik, also die Übersicht der versandten Bewertungseinladungen,
- und die Bewertungsinbox, also die Übersicht erhaltener Bewertungen.
Bewertungseinladungen, die in Ihrem Auftrag (siehe oben) versandt werden, können zusammen mit den dazugehörigen Informationen zu den Empfänger*innen in der Einladungschronik dargestellt werden.
Bewertungseinladungen, für deren Versendung Trusted Shops alleine zuständig ist, können jedoch nicht mit den dazugehörigen Informationen zu den Empfängern dargestellt werden, weil dies eine Änderung des Verarbeitungszwecks bedeuten würde und zudem personenbezogene Daten an einen Dritten übermittelt würden, wofür eine Rechtsgrundlage fehlt.
Trusted Shops verschickt diese Bewertungseinladungen als Verantwortlicher im Rahmen der Erfüllung des Endnutzervertrages und holt daher keine separate Einwilligung ein.
In der Bewertungsinbox kann die E-Mail Adresse des Bewertenden im Zusammenhang mit der abgegebenen Bewertungen angezeigt werden, da die Anzeige erforderlich ist, damit der Händler die Echtheit der Transaktion und die Echtheit der Bewertung prüfen kann. Hierüber werden die Betroffenen vor der Verarbeitung der Daten entsprechend informiert.
Muss ich bei Nutzung des Trustbadge meine Datenschutzerklärung anpassen?
Bei Anzeige des Trustbadge / bei Einsatz des Trustbadge im Bestellprozess in Ihrem Online-Auftritt müssen Sie als datenschutzrechtlich Verantwortlicher
- Informationen in Ihrem Verzeichnis der Verarbeitungstätigkeiten ergänzen,
- eine Interessenabwägung gem. Art. 6 I lit. f DSGVO durchführen und
- ihre Datenschutzerklärung anpassen.
Für diese erforderlichen Anpassungen können Sie folgende Arbeitshilfen nutzen:
- Arbeitshilfe Datenschutz - Anzeige der Trusted Shops Widgets
- Arbeitshilfe Datenschutz - Wiedererkennung registrierter Trusted Shops Kunden
- Arbeitshilfe Datenschutz - Bereitstellung erforderlicher Bestelldaten
- Arbeitshilfe Datenschutz – ReviewCollector, AutoCollection und API
- Arbeitshilfe Datenschutz - Generierung von Bewertungslinks via API
- Mustertext für Ihre Datenschutzerklärung
Welche Daten unserer Kunden werden verarbeitet & gespeichert?
Minimal erforderliche Daten bei einer Datenverarbeitung im Rahmen der gemeinsamen Verantwortlichkeit sind: Für die Anzeige des Trustbadge wird die IP-Adresse der Kunden verarbeitet. Diese wird jedoch unmittelbar anonymisiert. Für den Versand von Bewertungseinladungen über den Review Collector, AutoCollection oder die API sind minimal Emailadresse, Bestellnummer und Bestelldatum erforderlich. Optional können weitere Daten, wie z. B. Vorname, Nachname und Produktdetails (nur bei Produktbewertungen) übermittelt und verarbeitet werden.
Zu welchen Zwecken erfolgt eine Verarbeitung der Daten - nur für Bewertungseinladungen?
Bei Nutzung von Review-Collector und Auto-Collect oder der API versendet Trusted Shops Bewertungseinladungen in Ihrem Auftrag. Eine darüber hinausgehende Verwendung oder Speicherung durch Trusted Shops erfolgt nicht. Nur wenn der Empfänger bzw. die Empfängerin der Bewertungseinladung eine Bewertung abgibt, stimmt er/sie Trusted Shops gegenüber den Nutzungsbedingungen zu und willigt in eine weitere Verwendung der Daten zum Zweck der Vertragsabwicklung ein.
Werden Daten an Trusted Shops übermittelt, wenn ein Kunde den Bewertungslink in der Bewertungsanfrage des Händlers anklickt?
Wenn Sie einen Bewertungslink von Trusted Shops anklicken, werden Ihre E-Mail Adresse und die Bestellnummer an Trusted Shops übertragen, um das Bewertungsformular vorauszufüllen.
Dies ist für die Erfüllung unserer und Trusted Shops‘ überwiegender berechtigter Interessen an der Erbringung der jeweils an die konkrete Bestellung gekoppelten transaktionellen Bewertungsleistungen und der Vermeidung von Eingabefehlern gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich.
Wenn Sie das Bewertungsformular im Anschluss nicht absenden, werden die übermittelten Daten automatisch gelöscht und andernfalls von Trusted Shops ausschließlich für die Abwicklung des Vertrags über die Nutzung des Bewertungssystems genutzt.
Die obigen Ausführungen gelten nur für Bewertungslinks, die vom Händler manuell erstellt wurden und über die eine Shop- und nicht eine Produktbewertung abgegeben werden soll.
Erfolgt eine Weitergabe der Daten - wenn ja, an welche Dritte? Auch in Drittländer?
Trusted Shops setzt Hosting- und Infrastruktur-Dienstleister ein. Dabei wird auch auf Dienstleistungen von Amazon Web Services (AWS) zurückgegriffen. Zwar hat AWS seinen Sitz in den USA. Allerdings wurde zwischen Trusted Shops und AWS als Server- und damit Verarbeitungsstandort Deutschland vereinbart. Dadurch sind die Art. 44 ff. der DSGVO zur Übermittlung personenbezogener Daten in ein Drittland nicht anwendbar. Das EuGH-Urteil Schrems II hat somit keine unmittelbaren Auswirkungen auf die Verarbeitung.
Zu einer Übermittlung in die Vereinigten Staaten kann es nur im folgenden Ausnahmefall kommen: Um das Trustbadge ordnungsgemäß anzuzeigen, wird AWS als CDN-Anbieter eingesetzt. Die hierfür notwendige Verarbeitung findet grundsätzlich auf Servern in der Europäischen Union, insbesondere in Deutschland, statt. Allerdings kann es vorkommen, dass auch Server in Drittländern zum Einsatz kommen, wenn der Webseitenaufruf aus einem solchen Land erfolgt.
Darüber hinaus wird bei Aufruf der Webseite und der Darstellung des Trustbadge ein Logfile geschrieben und auf von AWS bereitgestellten Servern gespeichert. Auch in diesem Fall findet die Verarbeitung innerhalb der Europäischen Union statt.
Ein angemessenes Datenschutzniveau ist zudem durch den Abschluss von EU Standardvertragsklauseln sichergestellt.
Erfolgt eine Anonymisierung der Daten?
Bei der Übertragung personenbezogener Daten kommen Transportverschlüsselungen nach aktuellem Stand der Technik zum Einsatz. Die bei Anzeige des Trustbadge verarbeitetet IP-Adresse wird unmittelbar anonymisiert.
Wie lange werden diese Kundendaten gespeichert? Erfolgt dann eine automatische Löschung? (Löschungsfristen/-konzept?)
Bei dem Aufruf des Trustbadge speichert der Webserver automatisch ein sogenanntes Server-Logfile, das auch Ihre IP-Adresse, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider (Zugriffsdaten) enthält und den Abruf dokumentiert. Die IP-Adresse wird unmittelbar anonymisiert. Die anonymisierten Zugriffsdaten werden für die Analyse von Sicherheitsauffälligkeiten in einer Sicherheitsdatenbank gespeichert.
Die für den Versand der Bewertungseinladungen verarbeiteten Daten werden nach Ablauf der Frist für die Abgabe einer Bewertung automatisch gelöscht.
Wenn der Empfänger bzw. die Empfängerin eine Bewertung abgibt, werden die erhaltenen Daten im Rahmen des Nutzungsvertrages weiter genutzt.
Wie können wir Kundenanfragen bzgl. einer Löschung dessen personenbezogenen Daten nachkommen? Müssen wir über jede Kundenanfrage auch Trusted Shops informieren, damit auch die Daten bei TS gelöscht werden?
Gemäß Art. 19 DSGVO sind sämtliche Datenempfänger von der Ausübung der Betroffenenrechte zu informieren, also auch Trusted Shops, wenn es sich um Kunden handelt, deren Daten von Trusted Shops im Auftrag oder unter der gemeinsamen Verantwortung verarbeitet wurden.
Muss nicht auf die Widerspruchsmöglichkeit hingewiesen werden (Art. 21 DS-GVO)?
Anzeige des Trustbadge
Für die Anzeige des Trustbadge, für die das Mitglied verantwortlich ist, muss das Mitglied über die Widerspruchsmöglichkeit informieren. Die einfachste Möglichkeit ist die Angabe einer Kontaktadresse für entsprechende Widersprüche. Daneben kann optional auf Tools verwiesen werden, mit Hilfe derer der Nutzer der Seiten Drittinhalte der Website selbst unterdrücken kann, z. B. Privacy Badger oder Ghostery.
Erforderlich ist das Letztgenannte nicht zwingend, denn bevor der Widerspruch des Kunden im Einzelfall überhaupt wirksam wird, muss der Verantwortliche prüfen können, ob die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, oder zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden können, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
Im Ergebnis wird die Verarbeitung selbst in den Fällen, in denen es bereits zu einer Verarbeitung kam, gestützt auf Art. 21 Abs. 1 S. 2 DS-GVO fortgesetzt werden können. Wie Sie dem Mustertext für Ihre Datenschutzerklärung entnehmen können, wird die IP Adresse (kein weiteres pb Datum ist betroffen) unmittelbar nach Erhebung anonymisiert.
Der Vollständigkeit halber:
Datenverarbeitung im Rahmen der Wiedererkennung registrierter Trusted Shops Käufer Mitglieder
Für diese Verarbeitung ist Trusted Shops verantwortlich und informiert die Nutzer in der eigenen Datenschutzerklärung, die im Trustbadge verlinkt ist.
Jedoch werden via Trustbadge, die für die Wiedererkennung erforderlichen Daten (Pseudonym der E-Mail Adresse, Hash-Wert) aus den Bestelldaten automatisch erhoben. Wie Sie dem aktuellen Mustertext entnehmen können, ist auch diese Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu stützen.
Hinsichtlich der Widerspruchsrechte des Betroffenen verweise ich auf obige Ausführungen, die analog gelten.
Wer ist der Datenschutzbeauftragte der Trusted Shops SE?
Der Datenschutzbeauftragte der Trusted Shops SE:
Trusted Shops SE,
der Datenschutzbeauftragte,
Subbelrather Str. 15c,
50823 Köln
privacy@trustedshops.com