Vertrag über die gemeinsame Verantwortlichkeit nach DSGVO

Vereinbarung gemäß Art. 26 Abs. 1 S. 2 Datenschutz-Grundverordnung (DSGVO)

zwischen der

Trusted Shops GmbH, Subbelrather Str. 15c, 50823 Köln, 

-nachfolgend „Trusted Shops“ genannt-

und

dem im Mitgliedschafts- bzw. Nutzungsvertrag (nachfolgend einheitlich „Hauptvertrag“) genannten Mitglied bzw. Nutzer

-nachfolgend Einzeln auch „Partei“, gemeinsam „Parteien“ genannt. Mit Mitglied ist nachfolgend auch jeder Nutzer der Experience Feedback Plattform gemeint. 

1 – Gegenstand der Vereinbarung

Trusted Shops bietet verschiedene Vertrauensleistungen für Unternehmen an. In diesem Zusammenhang werden personenbezogene Daten in gemeinsamer Verantwortung durch die Parteien verarbeitet. Sofern das Mitglied nicht als einzelner Verantwortlicher agiert, sondern im Rahmen der Verarbeitungstätigkeiten, welche von dieser Vereinbarung umfasst sind, weitere Verantwortliche  involviert sind, teilt das Mitglied diese weiteren Verantwortlichen Trusted Shops mit, sodass sie dieser Vereinbarung beitreten können.

Die jeweiligen Rechte und Pflichten gemäß DSGVO, die den Parteien zukommen sowie die festgelegten Zwecke und die Mittel der Verarbeitung, sind in dieser Vereinbarung zur gemeinsamen Verantwortlichkeit (Art. 26 DSGVO) geregelt. Sie findet Anwendung auf alle Tätigkeiten, bei denen Beschäftigte der Parteien oder durch sie beauftrage Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten.

2 – Beschreibung der Datenverarbeitung und Zuständigkeit

Die Einzelheiten zu Zweck, Art und Umfang der Datenverarbeitung gehen aus der Vereinbarung in Anhang I und aus den gesonderten Bestimmungen in dieser Vereinbarung hervor.

Die einzelnen Verarbeitungstätigkeiten, bei denen eine gemeinsame Verantwortlichkeit der Parteien vorliegt, sind im Anhang I zu dieser Vereinbarung genau bezeichnet und dem jeweiligen Zuständigkeitsbereich genau zugewiesen. Überall dort, wo keine Angabe bezüglich der einzelnen Verantwortlichkeiten gemacht wird, sind im Zweifel beide Parteien gleichermaßen für die jeweilige Datenverarbeitung zuständig.

3 – Umsetzung der Betroffenenrechte und Informationspflichten

Die einzelnen Zuständigkeiten der Parteien für die Einhaltung der Betroffenenrechte aus den Art. 15 – 22 DSGVO haben die Parteien ebenfalls in Anhang I zu dieser Vereinbarung geregelt. Überall dort, wo keine Angabe bezüglich der einzelnen Verantwortlichkeiten gemacht wird, sind im Zweifel beide Parteien gleichermaßen für die Wahrung der Betroffenenrechte verantwortlich.

Betroffene Personen können ihre Anfragen zur Wahrnehmung der ihnen zustehenden Betroffenenrechte, ungeachtet der Zuständigkeiten nach Anhang I, an beide Parteien richten. Die Parteien sind verpflichtet, die Anfragen an die jeweils zuständige Partei weiterzuleiten. Dazu werden sich die Parteien gegenseitig Kontaktadressen benennen und jede Änderung in Textform mitteilen. Beide Parteien kommen der Auskunftserteilung an die betroffene Person nach. Die Parteien sind im Falle einer an sie gerichteten Betroffenen-Anfrage in Bezug auf Art. 15 – 22 DSGVO, die die gemeinsame Verarbeitung betrifft, ferner verpflichtet, die jeweils andere Partei über das Vorliegen und die wesentlichen Inhalte der Anfrage zu unterrichten. Dies gilt nicht, soweit die Weitergabe dieser Informationen datenschutzrechtlich oder berufsrechtlich nicht zulässig ist, insbesondere weil der Betroffene eine Weitergabe explizit nicht wünscht.

Die Parteien können in Anhang I zu dieser Vereinbarung die vorrangigen Zuständigkeiten für die Erfüllung der Informationspflichten aus den Art. 13 und 14 DSGVO festlegen. Jede Partei ist verpflichtet, die Informationspflichten aus Art. 13 und 14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

Die Parteien stellen die erforderlichen Informationen und Auskünfte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache der betroffenen Person unentgeltlich zur Verfügung.

4 Löschungsersuchen betroffener Personen

Bei Löschungsersuchen betroffener Personen informieren sich die Parteien gegenseitig. Dem Anspruch auf Löschung ist gemäß den Vorgaben nach § 3 dieser Vereinbarung nachzukommen, sofern keine berechtigten Gründe dem Löschvorgang entgegenstehen. Berechtigte Gründe können etwa in den von der jeweils zuständigen Partei geltend gemachten gesetzlichen Aufbewahrungspflichten liegen.

Die Löschung personenbezogener Daten sind durch die Parteien zu dokumentieren.

Pflichten aus Art. 17 Abs. 2 DSGVO hat die jeweilige Partei, die personenbezogene Daten öffentlich gemacht hat, selbständig zu erfüllen. Sollten die Parteien personenbezogene Daten gemeinsam öffentlich gemacht haben, so ist Trusted Shops für die Erfüllung der Pflichten aus Art. 17 Abs. 2 DSGVO zuständig.

5 – Datensicherheit und datenschutzrechtliche Grundsätze

Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO besteht.

Die datenschutzrechtlichen Grundsätze gemäß Art. 5 DSGVO werden durch die Parteien eingehalten, insbesondere verpflichten sich die Parteien zur rechtmäßigen Datenverarbeitung innerhalb dieser Vereinbarung.

Die Parteien vereinbaren, dass beide Parteien für den jeweils eigenen Bereich die erforderlichen technischen und organisatorischen Maßnahmen treffen. Die technischen und organisatorischen Maßnahmen von Trusted Shops sind jederzeit unter folgendem Link abrufbar: https://help.etrusted.com/hc/de/articles/360021040178. Das Mitglied hat technische und organisatorische Maßnahmen für die eigene Zuständigkeit zu treffen und diese auf Verlangen Trusted Shops offenzulegen.

Bei Unregelmäßigkeiten und Fehlern der Datenverarbeitung im Rahmen dieser Vereinbarung haben sich die Parteien gegenseitig zu informieren und bei der Behebung zu unterstützen. Dies gilt auch für Verletzungen von Bestimmungen dieser Vereinbarung.

6 Datenschutzverletzungen

Bei Eintritt einer Verletzung des Schutzes personenbezogener Daten S.d. Art. 4 Nr. 12 DSGVO (im Folgenden Datenschutzverletzungen) im Rahmen dieser Vereinbarung unterrichten sich die Parteien unverzüglich nach Bekanntwerden der Datenschutzverletzung gegenseitig. Die Unterrichtung hat dabei in Textform zu erfolgen. Sie stellen sich gegenseitig alle erforderlichen Informationen, die zur einer Prüfung, Abstellung sowie etwaiger Risikoeinschätzung der Datenschutzverletzung erforderlich sind, zur Verfügung.

Zuständig für die Bearbeitung und Überprüfung einer Datenschutzverletzung sind beide Parteien. Sie verpflichten sich zur gegenseitigen Unterstützung sowie zur unverzüglichen Erfüllung etwaiger Meldepflichten gemäß Art. 33 und 34 DSGVO. Die Mitwirkungspflichten der Parteien nach Absatz 1 erfolgen dabei im Rahmen des Zumutbaren und des Erforderlichen.

Datenschutzverletzungen und deren Bearbeitung sind durch die Parteien zu dokumentieren.

7 Dokumentationspflichten

Die Parteien verpflichten sich, den in der DSGVO enthaltenen Dokumentationspflichten jeweils eigenständig nachzukommen. Dies gilt insbesondere für das Führen des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Die Parteien stellen sich gegenseitig die für das Führen des Verzeichnisses erforderlichen Informationen in geeigneter Form auf Anfrage zur Verfügung.

Die Parteien unterstützen sich bei allen sonstigen Dokumentationspflichten, insbesondere aus Art. 32 bis 36 DSGVO gegenseitig.

8 Zusammenarbeit mit Datenschutzaufsichtsbehörden

Die Parteien verpflichten sich bei Anfragen einer Datenschutzaufsichtsbehörde, welche Verarbeitungstätigkeiten, die von dieser Vereinbarung abgedeckt sind, betreffen, die jeweils andere Partei unverzüglich zu informieren.

Bei Anfragen der Datenschutzaufsichtsbehörden unterstützen sich die Parteien wechselseitig.

Formale Anfragen zu dieser Vereinbarung sind – soweit möglich – stets von Trusted Shops zu bearbeiten. Das Mitglied leitet Anfragen unaufgefordert an Trusted Shops weiter, sofern die Anfrage gegenüber dem Mitglied erfolgt.

Erforderliche Auskünfte, Zugangs- und Einsichtsrechte sind im Rahmen der gesetzlichen Befugnisse der Aufsichtsbehörden durch die Parteien zu gewähren.

Das Einlegen von Rechtsbehelfen durch die Parteien bleibt davon unberührt.

9 Auftragsverarbeiter

Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO dürfen für Verarbeitungen von personenbezogenen Daten, die unter die gemeinsame Verantwortung fallen grundsätzlich ohne vorherige Zustimmung der jeweils anderen Partei beauftragt werden.

Für den Falle einer Auftragsverarbeitung (AV) stellt die auftraggebende Partei der jeweils anderen Partei alle notwendigen Informationen zur Verfügung. Der Vertrag zur Auftragsvereinbarung (AVV) hat dabei den Vorgaben der Art. 28, 29 DSGVO zu entsprechen.

Wird ein Auftragsverarbeiter außerhalb der EU/EWR beauftragt, so hat die auftraggebende Partei durch geeignete technische, organisatorische und vertragliche Maßnahmen sicherzustellen, dass die personenbezogenen Daten ausschließlich innerhalb der EU/EWR verarbeitet werden beziehungsweise vor einer Übermittlung von personenbezogenen Daten in das Drittland Garantien nach Art. 44 ff. DSGVO für ein angemessenes Datenschutzniveau gegenüber der jeweils anderen Partei darzulegen und im Vertrag zur Auftragsverarbeitung schriftlich zu dokumentieren. Die jeweils andere Partei hat nach Prüfung der Garantien ein Widerspruchsrecht.

Die Parteien stellen bei Abschluss eines AVV der jeweils anderen Partei eine Abschrift des Vertrages auf Anfrage zur Verfügung.

10 Haftung

Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

Im Innenverhältnis bestimmt sich die Haftung der Parteien nach dem jeweiligen verantwortlichen Zuständigkeitsbereich, unbeschadet der Regelungen dieser Vereinbarung sowie etwaiger anderer Haftungsverteilungsvereinbarungen der Parteien. Sind beide Parteien für einen Verarbeitungsbereich zuständig, bestimmt sich die Haftung für Schäden nach § 426 BGB und Art. 82 Abs. 4 und 5 DSGVO.

11 Schlussbestimmungen

Diese Vereinbarung ist fester Bestandteil des Hauptvertrages und wird mit Abschluss des Hauptvertrages wirksam vereinbart. Für die Laufzeit und Beendigung dieser Vereinbarung gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen in Bezug auf Regelungen zum Datenschutz zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieser Vereinbarung vor.

Sollte eine Bestimmung dieser Vereinbarung unwirksam sein oder werden, oder Lücken aufweisen, so wird die Wirksamkeit der übrigen Bestimmungen hiervon nicht berührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine andere, wirksame Regelung zu ersetzen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den wirtschaftlichen, wie auch datenschutzrechtlichen Anforderungen gerecht wird.

Es gilt deutsches Recht.

Anhang I – Beschreibung der Zusammenarbeit

Für bestimmte Verarbeitungen im Rahmen der Trusted Shops Leistungen bestimmen die Parteien gemeinsam die Zwecke und Mittel. In diesem Rahmen besteht daher datenschutzrechtlich, zumindest für gewisse Teilverarbeitungsvorgänge, eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Im Folgenden wird beschrieben, wie sich die Zusammenarbeit darstellt und die Zuständigkeiten aufgeteilt sind. Die gemeinsame Verantwortlichkeit besteht nur, wenn und soweit die für die beschriebenen Verarbeitungstätigkeiten erforderlichen hauptvertraglichen Vereinbarungen zwischen den Parteien geschlossen wurden bzw. das entsprechend beschriebene Produkt durch das Mitglied genutzt wird. Es steht den Parteien frei, personenbezogene Daten, die im Rahmen der gemeinsamen Verantwortlichkeit erlangt wurden, für weitere eigene Zwecke zu verarbeiten, sofern dies im Rahmen der geltenden datenschutzrechtlichen Regelungen zulässig ist und die betroffenen Personen hierüber von der jeweiligen Partei informiert werden.

Sofern das Mitglied im Rahmen der folgenden beschriebenen Verarbeitungstätigkeiten für die Informationspflichten nach Art. 13 DSGVO zuständig ist, hat es an geeigneter Stelle auf die Datenschutzinformationen von Trusted Shops zu verweisen. Diese sind unter folgendem Link abrufbar: https://www.trustedshops.com/tsdocument/BUYER_AUTO_PROTECTION_TERMS_de.pdf

Trusted Shops stellt außerdem ergänzende Informationen im Hilfe-Center zur Verfügung. Dort steht unter anderem eine tabellarische Darstellung der Verantwortlichkeiten und Zuständigkeiten bereit, mithilfe derer das Mitglied die Betroffenen über die wesentlichen Inhalte dieser Vereinbarung im Sinne von Art. 26 Abs. 2 S. 2 DSGVO informieren kann. Außerdem finden sich dort unverbindliche Arbeitshilfen für die Dokumentation von Interessenabwägungen, welche in dieser Vereinbarung erwähnt werden.

Alle im Folgenden beschriebenen Verarbeitungstätigkeiten werden unter Einbindung von Dienstleistern erbracht, mit denen Trusted Shops einen Auftragsverarbeitungsvertrag abgeschlossen hat. Sofern ein Drittlandtransfer erfolgt, ist Trusted Shops dafür zuständig, die rechtlichen Rahmenbedingungen zu schaffen, d.h. insbesondere das Vorliegen geeigneter Garantien sicherzustellen, soweit kein Angemessenheitsbeschluss oder eine Ausnahme nach Art. 49 DSGVO vorliegt. Trusted Shops wird das Mitglied im Falle eines Drittlandtransfers, der im Rahmen der gemeinsamen Verantwortung erfolgt, informieren, damit das Mitglied seinen Informationspflichten gegenüber betroffenen Personen nachkommen kann.

Widgets

Anzeige des Widgets

Trusted Shops stellt verschiedene Widgets (z.B. das Trustbadge) für den jeweiligen Onlineauftritt des Mitgliedes bereit und ist für den Inhalt und die damit erfolgenden Datenverarbeitungen alleine zuständig. Je nachdem, wofür das jeweilige Widget vom Mitglied in den Onlineauftritt eingebunden wird, gehen damit Informationspflichten einher, die das Mitglied zu erfüllen hat.

Die Widget-Einbindung in den Onlineauftritt ermöglicht das Anzeigen von authentischen Kundenbewertungen und im Falle des Trustbadges auch das Sammeln von Kundenbewertungen. Die Anzeige des Widgets im Onlineauftritt unterfällt der Zuständigkeit des Mitgliedes. Durch die Einbindung wird die Darstellung des Trusted Shops Gütesiegels, das Sammeln von Bewertungen und die Darstellung von Trusted Shops Services für Käufer ermöglicht.  Das Mitglied ist verpflichtet, in seinen Datenschutzhinweisen über die Einbindung des Trustbadges zu informieren. Das Mitglied ist dafür zuständig, für eine Rechtsgrundlage und alle damit einhergehenden Informationspflichten zu sorgen. Sofern Art. 6 Abs. 1 S. 1 lit. f DSGVO die verwendete Rechtsgrundlage ist, ist das Mitglied dafür zuständig, die Rechtsgrundlage zu dokumentieren und eine Interessenabwägung durchzuführen. Sofern Art. 6 Abs. 1 S. 1 lit. a DSGVO die verwendete Rechtsgrundlage ist, ist das Mitglied dafür zuständig die Rechtsgrundlage zu dokumentieren und dafür zu sorgen, dass die Einwilligung nachgewiesen werden kann. Trusted Shops wird das Mitglied darüber informieren, wenn durch die Einbindung des Trustbadges Verarbeitungstätigkeiten erfolgen, für die zwingend eine Einwilligung einzuholen ist, etwa durch das Setzen von Cookies.

Bei Aufruf des Trustbadges werden anonyme Server-Logfiles der Webseitenbesucher gespeichert. Die Speicherung umfasst insbesondere die anonymisierte IP-Adresse, Datum und Uhrzeit des Besuches sowie den Referrer. Dies dient dem Zweck, einen störungsfreien Betrieb der Website sicherzustellen und Auffälligkeiten zu erfassen. Rechtsgrundlage für die Erstellung und Speicherung von Logfiles ist Art. 6 Abs. 1 lit. f DSGVO. Über die Rechtsgrundlage hat das Mitglied zu informieren, Trusted Shops ist für die Dokumentation der Interessenabwägung zuständig.

A/B-Tests

Trusted Shops führt gelegentlich A/B-Tests durch, um das Userverhalten im Online-Auftritt des Mitglieds auf Basis verschiedener Varianten der Widgets zu analysieren. Zu diesem Zwecke ist das Setzen eines Cookies oder das Ablegen von Informationen im Local Storage des Users erforderlich. Trusted Shops wird das Mitglied rechtzeitig vor Durchführung des A/B-Tests informieren. Das Mitglied hat die Möglichkeit, dem A/B-Test für den eigenen Online-Auftritt zu widersprechen. Die Parteien stimmen sich vor Durchführung des A/B-Tests über eine geeignete Rechtsgrundlage ab. Das Mitglied ist dafür zuständig, über die Rechtsgrundlage zu informieren und ggf. die Einwilligung einzuholen und zu dokumentieren.

Anbieten der Trusted Shops Käuferschutz-Services

Die für das Anbieten der Trusted Shops Käuferschutz-Services erforderlichen Verarbeitungstätigkeiten unterfallen teilweise der gemeinsamen Verantwortung zwischen dem Mitglied und Trusted Shops. Derartige Verarbeitungstätigkeiten werden in dieser Vereinbarung beschrieben. Verarbeitungstätigkeiten im Zusammenhang mit den Käuferschutz-Services, die in dieser Vereinbarung nicht aufgeführt sind, unterfallen der getrennten Verantwortung von Trusted Shops und dem Mitglied. Sofern sich aus der Art der Verarbeitung eine gemeinsame Verantwortung ergibt, unterfällt sie dieser Vereinbarung.

Wiedererkennung registrierter Trusted Shops Käuferschutz-Service-Kunden

Bei Integration des Trustbadges wird nach dem Bestellabschluss ein Hash-Wert der E-Mail-Adresse, über die ein Käufer im Shop des Mitglieds eingekauft hat, an Trusted Shops übermittelt, zur Überprüfung, ob bereits eine Registrierung für die Trusted Shops Käuferschutz-Services besteht. Diese Überprüfung ist aufgrund der vertraglichen Beziehungen zwischen dem Trusted Shops Käuferschutz-Service-Kunden und Trusted Shops erforderlich, um die vertraglichen Leistungen automatisch nach Bestellungen auf Webseiten Dritter nutzen zu können. Die Übermittlung umfasst die Bestelldaten des Käufers und wird nach einer Überprüfung automatisch gelöscht. Die Rechtsgrundlage für die Übermittlung der Bestelldaten stellt Art. 6 Abs. 1 S. 1 lit. f DSGVO dar. Über die Rechtsgrundlage hat das Mitglied die Betroffenen zu informieren, Trusted Shops ist für die Dokumentation der Interessenabwägung zuständig. Das Mitglied darf alternativ die Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a DSGVO wählen und ist in diesem Fall für alle damit einhergehenden datenschutzrechtlichen Pflichten zuständig.

Wird bei der Prüfung festgestellt, dass der Käufer bereits für die Nutzung der Käuferschutz-Services registriert ist, erfolgt die Übermittlung der erforderlichen Bestelldaten zum Abschluss eines Käuferschutzes für den getätigten Kaufes zur Erfüllung der vertraglichen Pflichten aus dem Nutzungsvertrag zwischen Trusted Shops und dem Käufer auf Basis von Art. 6 Abs. 1 S. 1 lit. b DSGVO. Den Informationspflichten aus der DSGVO (insb. nach Art. 13 DSGVO) kommt das Mitglied unter Verwendung der von Trusted Shops zur Verfügung gestellten Mustertexte nach. Durch Anzeige der Trustcard im Checkout und eine automatische E-Mail, bestätigt Trusted Shops zudem den Abschluss des Käuferschutzes und stellt dabei weitere Informationen für den Betroffenen zur Verfügung.

Erstmalige Registrierung für den Käuferschutz-Service über Klick auf die Trustcard  

Sofern bei der unter Ziffer 2.1 beschriebenen Prüfung festgestellt wurde, dass der Käufer noch nicht bei Trusted Shops für die Nutzung des Käuferschutz-Services registriert ist, hat dieser die Möglichkeit, sich erstmalig die sogenannte Trustcard, die im Onlineauftritt des Mitglieds als Bestandteil des Trustbadges eingebunden ist, zu registrieren. Durch den Abschluss des Käuferschutz-Services werden die Bestelldetails und die E-Mail-Adresse zur Einrichtung des Käuferschutzkontos und Absicherung des Onlineeinkaufes an Trusted Shops übermittelt. Für die Datenübermittlung sind das Mitglied und Trusted Shops gemeinsam verantwortlich. Die Weitergabe von Bestelldaten zur Registrierung für die Käuferschutz-Services erfolgt auf Basis von Art. 6 Abs. 1 S. 1 lit. b DSGVO zur Erfüllung des Nutzungsvertrages, der zwischen Trusted Shops und dem Käufer abgeschlossen wird. Den Informationspflichten kommt Trusted Shops nach.

Bewertungseinladungen, Bewertungsabgabe und Bewertungsprofil

Sofern das Mitglied das Bewertungssystem von Trusted Shops im Rahmen dieser Vereinbarung nutzt, gelten die nachfolgenden Regelungen. Das Mitglied ist stets dafür zuständig die Informationspflichten nach Art. 13 DSGVO zu erfüllen.

Erhebung von E-Mail-Adressen und Versand von Bewertungseinladungen

Versenden von Bewertungseinladungen an Trusted Shops Käuferschutz-Service-Kunden

Für das Versenden von Bewertungseinladungen an Trusted Shops Käuferschutz-Service-Kunden ist Trusted Shops gemeinsam mit dem Mitglied verantwortlich. Bei Integration des Trustbadges hat das Mitglied darüber zu informieren, dass die Bestellinformationen (E-Mail-Adresse, Bestellnummer, Bestellzeitpunkt) nach einer Bestellung an Trusted Shops zum Zweck der Versendung von Bewertungseinladungen weitergeleitet werden. Nur so können die Bewertungen einer jeweiligen Bestellung zugeordnet werden. Die Rechtsgrundlage für die Übermittlung an Trusted Shops stellt die Erfüllung vertraglicher Pflichten nach Art. 6 Abs. 1 S. 1 lit. b DSGVO aus dem Nutzungsvertrag zwischen Trusted Shops und dem Käufer dar, falls dieser für die Services registriert ist. Der Versand erfolgt aufgrund der vertraglichen Beziehungen zwischen dem Trusted Shops Käuferschutz-Service-Kunden und Trusted Shops gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Für die Versendung der Bewertungseinladung ist Trusted Shops zuständig, wobei das Mitglied über den Zeitpunkt der Versendung mitentscheiden darf.

Versenden von Bewertungseinladungen im Auftrag des Mitglieds

Der Versand von Bewertungseinladungen bei Nutzung des Review Collectors oder AutoCollection erfolgt im Auftrag des Mitglieds an Käufer, welche nicht für die Trusted Shops Käuferschutz Services registriert sind. Für diese Verarbeitung sind das Mitglied und Trusted Shops gemeinsamen verantwortlich. Rechtsgrundlage für die Erhebung der E-Mail-Adressen und den Versand der Bewertungseinladungen stellt Art. 6 Abs. 1 lit. a DSGVO dar. Die Datenerhebung zum Zwecke des Versandes von Bewertungseinladungen obliegt dem Mitglied, dieses ist für die Einholung der erforderlichen Einwilligung von der betroffenen Person und alle damit einhergehenden Pflichten alleine zuständig. Es hat insbesondere über die Übermittlung der erforderlichen Bestellinformationen an Trusted Shops zu informieren. Sofern für die Übermittlung keine Einwilligung eingeholt wird, hat das Mitglied für eine geeignete Rechtsgrundlage zu sorgen und diese zu dokumentieren. Für die Versendung der Bewertungseinladung ist Trusted Shops zuständig, wobei das Mitglied über den Zeitpunkt der Versendung mitentscheiden darf.

Versenden von Bewertungseinladungen unter Verwendung der Trustcard

Hat das Mitglied das Trustbadge eingebunden, bietet aber keinen Käuferschutz an, so besteht die Möglichkeit, dass dem Käufer nach dem Checkout angeboten wird, in den Erhalt von Bewertungseinladungen einzuwilligen. Willigt der Käufer ein, so sind Trusted Shops und das Mitglied für die Zusendung gemeinsam verantwortlich. Für die Versendung der Bewertungseinladung und die Einholung der Einwilligung ist Trusted Shops zuständig, wobei das Mitglied über den Zeitpunkt der Versendung mitentscheiden darf. Trusted Shops Käuferschutz-Service-Kunden erhalten die Bewertungseinladung auch dann zur Erfüllung vertraglicher Pflichten, wenn das Mitglied den Käuferschutz selbst nicht anbietet. Das Mitglied ist gemäß Buchstabe a) zuständig.

Versenden von Bewertungseinladungen durch das Mitglied unter Nutzung der Trusted Shops API

Der Versand von Bewertungseinladungen bei Nutzung der API erfolgt durch das Mitglied unter Verwendung eines eindeutigen Links, der durch Trusted Shops mithilfe der durch das Mitglied übermittelten Bestelldaten erstellt wird. Das Mitglied hat für eine Rechtsgrundlage und die Erfüllung sämtlicher Informationspflichten für die Übermittlung der Daten an Trusted Shops zu sorgen. Die Verarbeitung durch Trusted Shops erfolgt auf Basis von Art. 6 Abs. 1 S. 1 lit. f DSGVO.

Nutzung des Reputation Managers

Sofern das Mitglied den Reputation Manager von Trusted Shops nutzt, um Bewertungseinladungen zu versenden, die Links enthalten, welche auf Plattformen von Drittanbietern verweisen, ist das Mitglied dafür zuständig, die erforderlichen Informationspflichten gegenüber Betroffenen zu erfüllen. Im Übrigen gelten die Regeln dieser Vereinbarung, auf deren Basis die Bewertungseinladungen versendet werden, also insbesondere die Regelungen aus Buchstabe a – d dieses Absatzes.

Bereitstellung der Bewertungsplattform und Bewertungsabgabe

Für den Betrieb der Bewertungsplattform (insbesondere das Control Center, Feedback-, Bewertungs- oder sonstige Formulare), auf der ein Betroffener seine Bewertung abgibt, ist Trusted Shops zuständig. Die Erhebung der Bewertung sowie die Veröffentlichung unterfällt der gemeinsamen Verantwortung des Mitglieds und Trusted Shops. Trusted Shops ist dafür zuständig, für eine Rechtsgrundlage und alle Informationspflichten zu sorgen. Dies betrifft auch weitere auf der Plattform durchgeführte Verarbeitungstätigkeiten, etwa in Form von Tracking. Grundsätzlich ist Trusted Shops für das Tracking alleine verantwortlich. Soweit Trackingdaten mit dem Mitglied geteilt werden, ist das Mitglied gemeinsam mit Trusted Shops verantwortlich. Trusted Shops ist dafür zuständig, Art. 26 Abs. 2 S. 2 DSGVO umzusetzen.

Werden Bewertungen vom Mitglied kommentiert oder wird in sonstiger Weise, insbesondere über Systeme von Trusted Shops, Kontakt zwischen Mitglied und Bewertendem aufgenommen, so ist das Mitglied im Rahmen dieser Vereinbarung dafür zuständig, dass eine Rechtsgrundlage besteht. Trusted Shops ist berechtigt, Kommentare zu löschen, sofern der Betroffene eine Löschung wünscht oder/und keine Rechtsgrundlage durch das Mitglied nachgewiesen werden kann.

Blocklisting von E-Mail-Adressen

Sofern ein Betroffener den Erhalt von Bewertungseinladungen nicht wünscht, hat er die Möglichkeit, seine Einwilligung gegenüber dem Mitglied zu widerrufen. Dieser Widerruf betrifft ausschließlich Bewertungseinladungen, die mit diesem Mitglied zusammenhängen. Daher besteht zusätzlich die Möglichkeit, dass der Betroffene sich durch Klick auf einen Abmeldelink im Footer der Bewertungseinladung oder durch Versand einer E-Mail an Trusted Shops für sämtliche Bewertungseinladungen abmeldet. Trusted Shops setzt sodann die E-Mailadresse auf eine Blocklist, sodass künftige Bewertungseinladungen – unabhängig vom Mitglied, auf das sie sich beziehen – unterbunden werden. Für die Blocklist ist Trusted Shops alleine verantwortlich, allerdings hat sie Auswirkungen auf Verarbeitungstätigkeiten, die der gemeinsamen Verantwortung unterliegen.

Control Center

Trusted Shops stellt dem Mitglied über das Control Center diverse Informationen zur Verfügung, die entweder personenbezogen sind oder auf einer Verarbeitung personenbezogener Daten beruhen. Hierzu gehören insbesondere die in Ziffer 3.2 dieser Vereinbarung beschriebenen Analysedaten zur Versendung und dem Erhalt von Bewertungseinladungen, das Management von abgegebenen Bewertungen durch Kommentierung oder Meldung derselben sowie Konfigurationsmöglichkeiten zum Versand- und Veröffentlichungszeitpunkt von Bewertungseinladungen bzw. von Bewertungen.

Sofern das Mitglied Verknüpfungen zwischen Systemen von Trusted Shops mit eigenen oder durch das Mitglied verwalteten Systemen (insbesondere CRM- oder Ticketsysteme) vornehmen möchte, ist das Mitglied insoweit im Rahmen der gemeinsamen Verantwortlichkeit für alle Pflichten aus der DSGVO zuständig. Es hat insbesondere für alle notwendigen datenschutzrechtlichen Vereinbarungen bei Einsatz eines Drittanbieters (etwa zur Auftragsverarbeitung) und die Schaffung notwendiger Voraussetzungen für etwaige Übermittlungen personenbezogener Daten in ein Drittland zu sorgen.

 


War der Artikel hilfreich?

2 von 3 fanden dies hilfreich