FAQ zum Datenschutz bei Trusted Shops

Schließt Trusted Shops mit dem Online-Händler eine Zusatzvereinbarung zur Auftragsdatenverarbeitung ab?

Trusted Shops erbringt im Rahmen des Mitgliedschaftsvertrages keine Leistungen als Auftragsverarbeiter gemäß Art. 28 DSGVO. Vielmehr liegt eine Datenverarbeitung in gemeinsamer Verantwortung vor. Daher tritt ein Joint Controllership Agreement (JCA), also eine Vereinbarung über die gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO, an die Stelle eines Auftragsverarbeitungsvertrags. Das JCA ist fester Bestandteil der Allgemeinen Trusted Shops Vertragsbedingungen und umfasst umfassende Regelungen zu den Datenverarbeitungen bei Einsatz der von Trusted Shops angebotenen Leistungen.

Die Bedingungen finden Sie hier:

Vertrag über die gemeinsame Verantwortlichkeit sowie die Technischen und organisatorischen Maßnahmen 

Die von der Vereinbarung erfassten Verarbeitungsvorgänge werden in der Vereinbarung konkret benannt.

Hierzu zählen vor allem

  1.  die Einbindung des Trustbadge im Online-Auftritt,
  2.  die Übermittlung personenbezogener Daten zum Abschluss des Käuferschutzes für getätigte Bestellungen
  3. der Versand von Bewertungseinladungen im Rahmen des Käuferschutzes in Ihrem Auftrag bei Nutzung der Tools Review-Collector und AutoCollection sowie der Trusted Shops API
  4. die Erhebung von Bewertungen über die Bewertungsplattform sowie deren Kommentierung

Zuständigkeiten unter der gemeinsamen Verantwortlichkeit

Vorgang

Trusted Shops

Shop-Mitglied

Nutzung des Online Systems B2B

Alleine zuständig

 

Nutzung des Online Systems B2C

Alleine zuständig

 

Nutzung des Bewertungssystems

Alleine zuständig

 

Trustbadge-Anzeige im Shop

 

Alleine zuständig

Inhalt des Trustbadge / Nutzung der Trusted Shops Leistungen

Gemeinsam

Gemeinsam

Versand der Review Invites

Gemeinsam

Gemeinsam

Review Collector

Gemeinsam

Gemeinsam

Automatisches Sammeln

Gemeinsam

Gemeinsam

Application programming in­terface (API)

Gemeinsam

Gemeinsam

Trusted Shops Rechtstexter / Generator für das Verarbeitungsverzeichnis

Gemeinsam

Gemeinsam

Weitere Details finden Sie in der Vereinbarung über die gemeinsame Verantwortlichkeit nach DSGVO. 

Warum werden Informationen zu den Empfängern der Bewertungseinladungen im Kontrollzentrum teilweise ausgeblendet?

Im Kontrollzentrum gibt es zwei Übersichten:

Bewertungseinladungen, die in Ihrem Auftrag (siehe oben) versandt werden, können zusammen mit den dazugehörigen Informationen zu den Empfänger*innen in der Einladungschronik dargestellt werden.

Bewertungseinladungen, für deren Versendung Trusted Shops alleine zuständig ist, können jedoch nicht mit den dazugehörigen Informationen zu den Empfängern dargestellt werden, weil dies eine Änderung des Verarbeitungszwecks bedeuten würde und zudem personenbezogene Daten an einen Dritten übermittelt würden, wofür eine Rechtsgrundlage fehlt.

Trusted Shops verschickt diese Bewertungseinladungen als Verantwortlicher im Rahmen der Erfüllung des Endnutzervertrages und holt daher keine separate Einwilligung ein.

In der Bewertungsinbox kann die E-Mail Adresse des Bewertenden im Zusammenhang mit der abgegebenen Bewertungen angezeigt werden, da die Anzeige erforderlich ist, damit der Händler die Echtheit der Transaktion und die Echtheit der Bewertung prüfen kann. Hierüber werden die Betroffenen vor der Verarbeitung der Daten entsprechend informiert.

Muss ich bei Nutzung des Trustbadge meine Datenschutzerklärung anpassen?

Bei Anzeige des Trustbadge / bei Einsatz des Trustbadge im Bestellprozess in Ihrem Online-Auftritt müssen Sie als datenschutzrechtlich Verantwortlicher

  • Informationen in Ihrem Verzeichnis der Verarbeitungstätigkeiten ergänzen,
  • eine Interessenabwägung gem. Art. 6 I lit. f DSGVO durchführen und
  • ihre Datenschutzerklärung anpassen.

Für diese erforderlichen Anpassungen können Sie folgende Arbeitshilfen nutzen:

Welche Daten unserer Kunden werden verarbeitet & gespeichert?

Minimal erforderliche Daten bei einer Datenverarbeitung im Rahmen der gemeinsamen Verantwortlichkeit sind: Für die Anzeige des Trustbadge wird die IP-Adresse der Kunden verarbeitet. Diese wird jedoch unmittelbar anonymisiert. Für den Versand von Bewertungseinladungen über den Review Collector, AutoCollection oder die API sind minimal Emailadresse, Bestellnummer und Bestelldatum erforderlich. Optional können weitere Daten, wie z. B. Vorname, Nachname und Produktdetails (nur bei Produktbewertungen) übermittelt und verarbeitet werden.

Zu welchen Zwecken erfolgt eine Verarbeitung der Daten - nur für Bewertungseinladungen?

Bei Nutzung von Review-Collector und Auto-Collect oder der API versendet Trusted Shops Bewertungseinladungen in Ihrem Auftrag. Eine darüber hinausgehende Verwendung oder Speicherung durch Trusted Shops erfolgt nicht. Nur wenn der Empfänger bzw. die Empfängerin der Bewertungseinladung eine Bewertung abgibt, stimmt er/sie Trusted Shops gegenüber den Nutzungsbedingungen zu und willigt in eine weitere Verwendung der Daten zum Zweck der Vertragsabwicklung ein.

Werden Daten an Trusted Shops übermittelt, wenn ein Kunde den Bewertungslink in der Bewertungsanfrage des Händlers anklickt?

Wenn Sie einen Bewertungslink von Trusted Shops anklicken, werden Ihre E-Mail Adresse und die Bestellnummer an Trusted Shops übertragen, um das Bewertungsformular vorauszufüllen.

Dies ist für die Erfüllung unserer und Trusted Shops‘ überwiegender berechtigter Interessen an der Erbringung der jeweils an die konkrete Bestellung gekoppelten transaktionellen Bewertungsleistungen und der Vermeidung von Eingabefehlern gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich.

Wenn Sie das Bewertungsformular im Anschluss nicht absenden, werden die übermittelten Daten automatisch gelöscht und andernfalls von Trusted Shops ausschließlich für die Abwicklung des Vertrags über die Nutzung des Bewertungssystems genutzt.

Die obigen Ausführungen gelten nur für Bewertungslinks, die vom Händler manuell erstellt wurden und über die eine Shop- und nicht eine Produktbewertung abgegeben werden soll.

Erfolgt eine Weitergabe der Daten - wenn ja, an welche Dritte? Auch in Drittländer?

Trusted Shops setzt Hosting- und Infrastruktur-Dienstleister ein. Dabei wird auch auf Dienstleistungen von Amazon Web Services (AWS) zurückgegriffen. Zwar hat AWS seinen Sitz in den USA. Allerdings wurde zwischen Trusted Shops und AWS als Server- und damit Verarbeitungsstandort Deutschland vereinbart. Dadurch sind die Art. 44 ff. der DSGVO zur Übermittlung personenbezogener Daten in ein Drittland nicht anwendbar. Das EuGH-Urteil Schrems II hat somit keine unmittelbaren Auswirkungen auf die Verarbeitung.

Zu einer Übermittlung in die Vereinigten Staaten kann es nur im folgenden Ausnahmefall kommen: Um das Trustbadge ordnungsgemäß anzuzeigen, wird AWS als CDN-Anbieter eingesetzt. Die hierfür notwendige Verarbeitung findet grundsätzlich auf Servern in der Europäischen Union, insbesondere in Deutschland, statt. Allerdings kann es vorkommen, dass auch Server in Drittländern zum Einsatz kommen, wenn der Webseitenaufruf aus einem solchen Land erfolgt.

Darüber hinaus wird bei Aufruf der Webseite und der Darstellung des Trustbadge ein Logfile geschrieben und auf von AWS bereitgestellten Servern gespeichert. Auch in diesem Fall findet die Verarbeitung innerhalb der Europäischen Union statt.

Ein angemessenes Datenschutzniveau ist zudem durch den Abschluss von EU Standardvertragsklauseln sichergestellt.

Erfolgt eine Anonymisierung der Daten?

Bei der Übertragung personenbezogener Daten kommen Transportverschlüsselungen nach aktuellem Stand der Technik zum Einsatz. Die bei Anzeige des Trustbadge verarbeitetet IP-Adresse wird unmittelbar anonymisiert.

Wie lange werden diese Kundendaten gespeichert? Erfolgt dann eine automatische Löschung? (Löschungsfristen/-konzept?)

Bei dem Aufruf des Trustbadge speichert der Webserver automatisch ein sogenanntes Server-Logfile, das auch Ihre IP-Adresse, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider (Zugriffsdaten) enthält und den Abruf dokumentiert. Die IP-Adresse wird unmittelbar anonymisiert. Die anonymisierten Zugriffsdaten werden für die Analyse von Sicherheitsauffälligkeiten in einer Sicherheitsdatenbank gespeichert.

Die für den Versand der Bewertungseinladungen verarbeiteten Daten werden nach Ablauf der Frist für die Abgabe einer Bewertung automatisch gelöscht.

Wenn der Empfänger bzw. die Empfängerin eine Bewertung abgibt, werden die erhaltenen Daten im Rahmen des Nutzungsvertrages weiter genutzt.

Wie können wir Kundenanfragen bzgl. einer Löschung dessen personenbezogenen Daten nachkommen? Müssen wir über jede Kundenanfrage auch Trusted Shops informieren, damit auch die Daten bei TS gelöscht werden?

Gemäß Art. 19 DSGVO sind sämtliche Datenempfänger von der Ausübung der Betroffenenrechte zu informieren, also auch Trusted Shops, wenn es sich um Kunden handelt, deren Daten von Trusted Shops im Auftrag oder unter der gemeinsamen Verantwortung verarbeitet wurden.

Muss nicht auf die Widerspruchsmöglichkeit hingewiesen werden (Art. 21 DS-GVO)?

Anzeige des Trustbadge

Für die Anzeige des Trustbadge, für die das Mitglied verantwortlich ist, muss das Mitglied über die Widerspruchsmöglichkeit informieren. Die einfachste Möglichkeit ist die Angabe einer Kontaktadresse für entsprechende Widersprüche. Daneben kann optional auf Tools verwiesen werden, mit Hilfe derer der Nutzer der Seiten Drittinhalte der Website selbst unterdrücken kann, z. B. Privacy Badger oder Ghostery.

Erforderlich ist das Letztgenannte nicht zwingend, denn bevor der Widerspruch des Kunden im Einzelfall überhaupt wirksam wird, muss der Verantwortliche prüfen können, ob die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, oder zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden können, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Im Ergebnis wird die Verarbeitung selbst in den Fällen, in denen es bereits zu einer Verarbeitung kam, gestützt auf Art. 21 Abs. 1 S. 2 DS-GVO fortgesetzt werden können. Wie Sie dem Mustertext für Ihre Datenschutzerklärung entnehmen können, wird die IP Adresse (kein weiteres pb Datum ist betroffen) unmittelbar nach Erhebung anonymisiert.

Der Vollständigkeit halber:

Datenverarbeitung im Rahmen der Wiedererkennung registrierter Trusted Shops Käufer Mitglieder

Für diese Verarbeitung ist Trusted Shops verantwortlich und informiert die Nutzer in der eigenen Datenschutzerklärung, die im Trustbadge verlinkt ist.

Jedoch werden via Trustbadge, die für die Wiedererkennung erforderlichen Daten (Pseudonym der E-Mail Adresse, Hash-Wert) aus den Bestelldaten automatisch erhoben. Wie Sie dem aktuellen Mustertext entnehmen können, ist auch diese Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu stützen.

Hinsichtlich der Widerspruchsrechte des Betroffenen verweise ich auf obige Ausführungen, die analog gelten.

Wer ist der Datenschutzbeauftragte der Trusted Shops GmbH?

Der Datenschutzbeauftragte der Trusted Shops GmbH:

Trusted Shops GmbH,
der Datenschutzbeauftragte,
Subbelrather Str. 15c,
50823 Köln
privacy@trustedshops.com


War der Artikel hilfreich?

1 von 1 fanden dies hilfreich