FAQ zum Datenschutz bei Trusted Shops

Schließt Trusted Shops mit dem Online-Händler eine Zusatzvereinbarung zur Auftragsdatenverarbeitung ab?

Im Rahmen des Trusted Shops Mitgliedschaftsvertrages schließt Trusted Shops eine AV Vereinbarung mit dem Website Betreiber. Die Bedingungen finden Sie hier:

Auftragsverarbeitungsvertrag nach DSGVO, sowie deren Anlagen (inkl. TOM und Unterauftragnehmerliste) auf der in der Präambel genannten Website: https://support.trustedshops.com/lp/de/legal_auftragsverarbeitung_anlagen/

Die von der AV Vereinbarung erfassten Verarbeitungsvorgänge werden ebenfalls in der Präambel der AV Vereinbarung konkret benannt.

Hierzu zählen vor allem

  1. die grafische Darstellung des Trustbadge im Online-Auftritt, sowie
  2. der Versand von Bewertungseinladungen in Ihrem Auftrag bei Nutzung der Tools Review-Collector und Automatisierung sowie der Trusted Shops API.

Wann erfolgt die Auftragsverarbeitung und wie lange werden die Daten gespeichert?

Trusted Shops als Verantwortlicher vs. Auftragsverarbeiter

Vorgang Verantwortlicher Auftragsverarbeiter
Nutzung des Online Systems B2B Trusted Shops  
Nutzung des Online Systems B2C Trusted Shops  
Nutzung des Bewertungssystems Trusted Shops  
Inhalt des Trustbadge / Nutzung der Trusted Shops Leistungen Trusted Shops  
Trustbadge-Anzeige im Shop Online-Shop Trusted Shops
Review Collector Online-Shop Trusted Shops
Automatisches Sammeln Online-Shop Trusted Shops
Application programming in­terface (API) Online-Shop Trusted Shops
Trusted Shops Rechtstexter / Generator für das Verarbeitungsverzeichnis Online-Shop Trusted Shops

Abgrenzungen

Grafische Darstellung des Trustbadge, Review Collector, Automatisches Sammeln, API

Die Online-Shop-Betreiber sind verantwortlich, da sie alleine über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Einwilligungen der betroffenen Personen werden durch die Online-Shop-Betreiber eingeholt, auf deren Basis Trusted Shops Bewertungsaufforderungen - welche als Werbung gelten - versendet.

Trustbadge

Für den Inhalt des Trustbadge und die darüber erfolgende Datenverarbeitung bei Nutzung der Trusted Shops Leistungen (Trusted Shops Mitgliedschaft für Käufer, Trusted Shops Käuferschutz, Bewertungserinnerungen im Rahmen der Mitgliedschaft) ist Trusted Shops verantwortlich.

Bei folgenden Verarbeitungen wird Trusted Shops für das Mitglied im Auftrag tätig. Nur bei Nutzung des Review-Collectors, Auto-Collect oder der API versendet Trusted Shops Bewertungserinnerungen in Ihrem Auftrag. Die hierfür erforderlichen Einwilligungen der betroffenen Personen werden durch den Verantwortlichen eingeholt. Daneben erfolgt die grafische Darstellung des Trustbadge in Ihrem Online-Auftritt im Auftrag.

Weitere Details finden Sie in der Trustbadge-Dokumentation für Online-Händler.

Warum werden Informationen zu den Empfängern der Bewertungseinladungen im Kontrollzentrum teilweise ausgeblendet?

Im Kontrollzentrum gibt es zwei Übersichten:

Bewertungseinladungen, die im Rahmen einer Auftragsverarbeitung (siehe oben) versandt werden, können zusammen mit den dazugehörigen Informationen zu den Empfängern in der Einladungschronik dargestellt werden.

Bewertungseinladungen, die Trusted Shops als Verantwortlicher versendet, können jedoch nicht mit den dazugehörigen Informationen zu den Empfängern dargestellt werden, weil dies eine Änderung des Verarbeitungszwecks bedeuten würde und zudem personenbezogene Daten an einen Dritten übermittelt würden, wofür eine Rechtsgrundlage fehlt.

Trusted Shops verschickt diese Bewertungseinladungen als Verantwortlicher mit der Rechtsgrundlage "Werbung an Bestandskunden für eigene ähnliche Dienstleistungen" gem. § 7 Abs. 3 UWG und holt daher keine ausdrückliche Einwilligung ein. Das funktioniert nur im Rahmen von Verträgen mit Bestandskunden und auch nur für Trusted Shops, da für uns die Nutzung des Bewertungssystems eine ähnliche eigene Dienstleistung darstellt - neben den anderen Services im Rahmen des Nutzungsvertrages über die Trusted Shops Services für Verbraucher. Aus ebendiesem Grund kann der Versand solcher Bewertungseinladungen auch nicht im Rahmen einer Auftragsverarbeitung für den Online-Händler erfolgen.

In der Bewertungsinbox kann die E-Mail Adresse des Bewertenden im Zusammenhang mit der abgegebenen Bewertungen angezeigt werden, da die Anzeige erforderlich ist, damit der Händler die Echtheit der Transaktion und die Echtheit der Bewertung prüfen kann. Hierüber werden die Betroffenen vor der Verarbeitung der Daten entsprechend informiert.

Muss ich bei Nutzung des Trustbadge meine Datenschutzerklärung anpassen?

Bei Anzeige des Trustbadge / bei Einsatz des Trustbadge im Bestellprozess in Ihrem Online-Auftritt müssen Sie als datenschutzrechtlich Verantwortlicher

  • Informationen in Ihrem Verzeichnis der Verarbeitungstätigkeiten ergänzen,
  • eine Interessenabwägung gem. Art. 6 I lit. f DSGVO durchführen und
  • ihre Datenschutzerklärung anpassen.

Für diese erforderlichen Anpassungen können Sie folgende Arbeitshilfen nutzen:

Welche Daten unserer Kunden werden verarbeitet & gespeichert?

Im Rahmen der Auftragsverarbeitung entscheiden Sie als Verantwortlicher, welche Daten Trusted Shops in Ihrem Auftrag verarbeitet. Minimal erforderliche Daten: Für die Anzeige des Trustbadge wird die IP-Adresse des Kunden verarbeitet. Für den Versand von Bewertungseinladungen über den Review Collector, die Funktion Automatisierung oder die API sind minimal Emailadresse, Bestellnummer und Bestelldatum erforderlich. Optional können weitere Daten, wie z. B. Vorname, Nachname und Produktdetails (nur bei Produktbewertungen) übermittelt und verarbeitet werden.

Zu welchen Zwecken erfolgt eine Verarbeitung der Daten - nur für Bewertungseinladungen?

Bei Nutzung von Review-Collector und Auto-Collect oder der API versendet Trusted Shops Bewertungseinladungen in Ihrem Auftrag. Eine darüber hinausgehende Verwendung oder Speicherung durch Trusted Shops erfolgt nicht. Nur wenn der Empfänger der Bewertungseinladung eine Bewertung abgibt, stimmt er Trusted Shops gegenüber den Nutzungsbedingungen zu und willigt in eine weitere Verwendung der Daten zum Zweck der Vertragsabwicklung ein.

Werden Daten an Trusted Shops übermittelt, wenn ein Kunde den Bewertungslink in der Bewertungsanfrage des Händlers anklickt?

Wenn Sie einen Bewertungslink von Trusted Shops anklicken, werden Ihre E-Mail Adresse und die Bestellnummer an Trusted Shops übertragen, um das Bewertungsformular vorauszufüllen.

Dies ist für die Erfüllung unserer und Trusted Shops‘ überwiegender berechtigter Interessen an der Erbringung der jeweils an die konkrete Bestellung gekoppelten transaktionellen Bewertungsleistungen und der Vermeidung von Eingabefehlern gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO erforderlich.

Wenn Sie das Bewertungsformular im Anschluss nicht absenden, werden die übermittelten Daten automatisch gelöscht und andernfalls von Trusted Shops ausschließlich für die Abwicklung des Vertrags über die Nutzung des Bewertungssystems genutzt.

Die obigen Ausführungen gelten nur für Bewertungslinks, die vom Händler manuell erstellt wurden und über die eine Shop- und nicht eine Produktbewertung abgegeben werden soll.

Erfolgt eine Weitergabe der Daten - wenn ja: an welche Dritte? Auch in Drittländer?

Trusted Shops setzt Hosting- und Infrastruktur-Dienstleister ein. Wobei die Trusted Shops GmbH auch Dienstleister aus den USA einsetzt. Ein angemessenes Datenschutzniveau ist sichergestellt (Privacy-Shield Zertifizierung + Standardvertragsklauseln).

Erfolgt eine Anonymisierung der Daten?

Bei der Übertragung personenbezogener Daten kommen Transportverschlüsselungen nach aktuellem Stand der Technik zum Einsatz. Eine Anonymisierung im datenschutzrechtlichen Sinne erfolgt nicht.

Wie lange werden diese Kundendaten gespeichert? Erfolgt dann eine automatische Löschung? (Löschungsfristen/-konzept?)

Bei dem Aufruf des Trustbadge speichert der Webserver automatisch ein sogenanntes Server-Logfile, das auch Ihre IP-Adresse, Datum und Uhrzeit des Abrufs, übertragene Datenmenge und den anfragenden Provider (Zugriffsdaten) enthält und den Abruf dokumentiert. Einzelne Zugriffsdaten werden für die Analyse von Sicherheitsauffälligkeiten in einer Sicherheitsdatenbank gespeichert. Die Logfiles werden spätestens 90 Tage nach Erstellung automatisch gelöscht.

Die für den Versand der Bewertungseinladungen verarbeiteten Daten werden nach drei Monaten automatisch gelöscht – anschließend kann für die betreffende Transaktion keine Bewertung mehr abgegeben werden. Nur soweit der Empfänger der Bewertungseinladung vor Ablauf der Frist eine Bewertung abgibt, stimmt er Trusted Shops gegenüber den Nutzungsbedingungen zu und willigt zu einer weiteren Verwendung der Emailadresse zu Zwecken der Erstellung eines Logins ein.

Wie können wir Kundenanfragen bzgl. einer Löschung dessen personenbezogenen Daten nachkommen? Müssen wir über jede Kundenanfrage auch Trusted Shops informieren, damit auch die Daten bei TS gelöscht werden?

Gemäß Art. 19 DSGVO sind sämtliche Datenempfänger von der Ausübung der Betroffenenrechte zu informieren, also auch Trusted Shops, wenn es sich um Kunden handelt, deren Daten von Trusted Shops im Auftrag verarbeitet wurden.

Muss nicht auf die Widerspruchsmöglichkeit hingewiesen werden (Art. 21 DS-GVO)?

Anzeige des Trustbadge

Für die Anzeige des Trustbadge, für die das MItglied verantwortlich ist und Trusted Shops aus Auftragsverarbeiter (unter Einschaltung von Akamai) tätig wird, muss das Mitglied über die Widerspruchsmöglichkeit informieren. Die einfachste Möglichkeit ist die Angabe einer Kontaktadresse für entsprechende Widersprüche. Daneben kann optional auf Tools verwiesen werden, mit Hilfe derer der Nutzer der Seiten Drittinhalte der Website selbst unterdrücken kann, z. B. Privacy Badger oder Ghostery.

Erforderlich ist das Letztgenannte nicht zwingend, denn bevor der Widerspruch des Kunden im Einzelfall überhaupt wirksam wird, muss der Verantwortliche prüfen können, ob die Datenverarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist, oder zwingende schutzwürdige Gründe für die Verarbeitung nachgewiesen werden können, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.

Im Ergebnis wird die Verarbeitung selbst in den Fällen, in denen es bereits zu einer Verarbeitung kam, gestützt auf Art. 21 Abs. 1 S. 2 DS-GVO fortgesetzt werden können. Wie Sie dem Mustertext für Ihre Datenschutzerklärung entnehmen können, ist die Speicherdauer der IP Adresse (kein weiteres pb Datum ist betroffen) zwar mitunter länger als 7 Tage. Jedoch erfolgt die Speicherung nur in Einzelfällen und nur in einer sogenannten Sicherheitsdatenbank, um u. a. DDoS Attacken abwehren zu können. Eine Auswertung erfolgt nicht.

Der Vollständigkeit halber:

Datenverarbeitung im Rahmen der Wiedererkennung registrierter Trusted Shops Käufer Mitglieder

Für diese Verarbeitung ist Trusted Shops verantwortlich und informiert die Nutzer in der eigenen Datenschutzerklärung, die im Trustbadge verlinkt ist.

Jedoch werden via Trustbadge, die für die Wiedererkennung erforderlichen Daten (Pseudonym der E-Mail Adresse, Hash-Wert) aus den Bestelldaten automatisch erhoben. Wie Sie dem aktuellen Mustertext entnehmen können, ist auch diese Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO zu stützen.

Hinsichtlich der Widerspruchsrechte des Betroffenen verweise ich auf obige Ausführungen, die analog gelten.

Wer ist der Datenschutzbeauftragte der Trusted Shops GmbH?

Der Datenschutzbeauftragte der Trusted Shops GmbH:

Trusted Shops GmbH,
der Datenschutzbeauftragte,
Subbelrather Str. 15c,
50823 Köln
privacy@trustedshops.com


War der Artikel hilfreich?

0 von 0 fanden dies hilfreich