Formulierungshilfen für Ihre Datenschutzinformationen (DSI)
Nachstehende beispielhafte Darstellung kann von Ihnen als unverbindliche Anregung für die eigenen Datenschutzinformationen (DSI) verwendet werden. Dabei gehen wir davon aus, dass solche DSI im Rahmen Ihres Webauftritts vorgehalten werden, in welche Neocom eingebunden werden soll. Ferner gehen wir davon aus, dass diese DSI den aktuellen gesetzlichen Anforderungen entspricht und insbesondere auch Angaben (Kapitel) enthält zu den Themen Browserabfrage, Einsatz von Cookies, Newsletter-Anmeldung, Speicherdauer/-regime, Rechte der Betroffenen (einschließlich z.B. dem Recht, Einwilligungen zu widerrufen), dem Einsatz von Auftragsverarbeitern sowie zu Empfängern von personenbezogenen Daten oder etwaigem Drittstaatentransfer. Auf diese weiteren, hier unterstellten Angaben aus der DSI, wird in nachstehendem Mustertext verwiesen. Unterstrichene Textpassagen sind individuell auf Ihre zutreffenden Angaben anzupassen.
HINWEIS: Das Formulierungsbeispiel erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit in Bezug auf die konkrete Verwendung von Neocom durch Sie als Neocom-Kunden. Es ersetzt keine eingehende eigene rechtliche Prüfung und Entscheidung durch Sie in Bezug auf die insbesondere datenschutzrechtlichen Implikationen des Einsatzes von Neocom. Für den Einsatz von Neocom und die Einhaltung aller darauf anwendbaren Rechtsvorschriften, u.a. der Datenschutzgrundverordnung (DSGVO), insbesondere für das Bestehen einer wirksamen Rechtsgrundlage für die durch Neocom ausgelöste Verarbeitung personenbezogener Daten sind ausschließlich Sie als Neocom-Kunde verantwortlich.
Dies kann und soll keine Rechtsberatung der Neo Commerce GmbH gegenüber Ihnen als Neocom-Kunde sein. Die Übernahme der Formulierungsbeispiele erfolgt auf Ihr eigenes Risiko.
1. Neo Commerce
1.1 Wir haben den Guided-Selling-Dienst Neocom der Neo Commerce GmbH (nachfolgend „Neocom“), Max-Bill-Str. 8, 80807 München, auf unserer Website integriert, um Ihnen eine digitale interaktive Produktberatung zur Verfügung zu stellen. Wenn Sie diese Produktberatung starten, können Sie in einem quiz-ähnlichen, geführten Ablauf Ihr Wunschprodukt finden und erhalten am Ende eine Produktempfehlung, die Sie sich im Anschluss auf Wunsch per E-Mail zusenden lassen können.1.2 Im Laufe der Beratung werden von Neocom [(falls das geschieht): neben den durch uns erhobenen, bereits unter Ziffer XX beschriebenen Daten] folgende Browser-http-Informationen erhoben: Browsertyp und -version, IP Adresse, Sprache der Browser-Software. Daneben wird [(falls Kapitel in Ihrer DSI bzgl. Cookies vorhanden) bspw.: als transienter Cookie gem. Ziffer YY] eine Session-ID generiert und temporär während der Browser-Session auf Ihrem Gerät gespeichert, um die Beratung anbieten zu können.. Zweck ist die Ermöglichung der korrekten und vollständigen Anzeige und Durchführung der digitalen Produktberatung, ähnlich einer Warenkorb-Funktion. Rechtsgrundlage ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Browserabfrage) und Art. 6 Abs. 1 S. 1 lt. a DSGVO (Einwilligung bzgl. Session-ID).
alternativ andere Rechtsgrundlage für Session-ID, Option 1: … Rechtsgrundlage ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO.
alternativ andere Rechtsgrundlage für Session-ID, Option 2: … Rechtsgrundlage ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO (Browserabfrage) und Art. 6 Abs. 1 S. 1 lt. b DSGVO (Session-ID), da dies der Anbahnung des späteren etwaigen Kaufs bei uns dient.
1.3 Des Weiteren kann eine Neocom-Session-ID [(falls Kapitel in Ihrer DSI bzgl. Cookies vorhanden) bspw.: als persistenter Cookie gem. Ziffer YY] generiert werden. Dabei handelt es sich um ein Purchase Tracking Tool, um nachvollziehen zu können, ob im Nachgang an die Produktberatung – auch über mehrere Browser Sessions hinweg – ein Kauf bei uns erfolgt ist. Dies erfolgt jedoch nur nach Ihrer vorherigen Einwilligung. Rechtsgrundlage ist dementsprechend Art. 6 Abs. 1 S. 1 lit. a DSGVO. Die Session-ID wird spätestens nach 365 Tagen gelöscht.
1.4 Für die auf Ihren Wunsch hin etwaig erfolgende Versendung der Produktempfehlung per E-Mail wird Ihre E-Mail-Adresse abgefragt. Diese wird von Neocom nur für die von Ihnen gewünschte Zusendung genutzt. Dies erfolgt jedoch nur nach Ihrer vorherigen Einwilligung. Rechtsgrundlage ist dementsprechend Art. 6 Abs. 1 S. 1 lit. a DSGVO. [(falls durchgeführt): Wir verwenden dabei zur Anmeldung das sog. „Double-Opt-In-Verfahren“. Nach Angabe Ihrer E-Mail erhalten Sie von uns zur Bestätigung Ihrer Anfrage zur Übersendung der Produktempfehlung eine E-Mail mit einem Link zur Bestätigung. Wenn Sie diesen Bestätigungslink klicken, wird Ihre E-Mail zum Zweck der Übersendung der E-Mail gespeichert. Sollten Sie den Klick auf den Bestätigungslink nicht innerhalb von 24 Stunden durchführen, werden Ihre Anmeldedaten gesperrt. [(falls Kapitel in Ihrer DSI bzgl. Newsletter / Werbemailversand vorhanden): …, siehe auch Ziffer ZZ zur Newsletteranmeldung].] Sie haben jederzeit die Möglichkeit, die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO zur Verarbeitung der personenbezogenen Daten zu widerrufen. [bspw.: Nehmen Sie per E-Mail Kontakt mit uns auf, so können Sie der Speicherung der personenbezogenen Daten jederzeit widersprechen].alternativ andere Rechtsgrundlage für Mail-Nutzung: Für die auf Ihren Wunsch hin etwaig erfolgende Versendung der Produktempfehlung per E-Mail wird Ihre E-Mail-Adresse abgefragt. Diese wird von Neocom nur für die von Ihnen gewünschte Zusendung genutzt. Zweck der Nutzung Ihrer E-Mail-Adresse ist es, einen etwaigen späteren Kauf auf Grundlage der Produktempfehlung zu ermöglichen. Rechtsgrundlage ist daher Art. 6 Abs. 1 s. 1 lit. b DSGVO.
HINWEIS: Ziffer 1.2 verweist auf die sog. Browserabfrage, die bei Websites zumeist standardmäßig erfolgt und regelmäßig weitere als die hier genannten Daten umfasst (z.B. IP-Adresse, Datum und Uhrzeit der Anfrage, Inhalt der Anforderung (besuchte Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, vorher besuchte Seite, Browser, Betriebssystem, Sprache und Version der Browsersoftware). Es wird davon ausgegangen, dass eine solche Darstellung in Ihrer DSI existiert und darauf verwiesen werden kann.
HINWEIS: Ziffern 1.2 und 1.3 verweisen auf Verarbeitung von Daten aus Endgeräten der Websitebesucher, insbesondere mittels Cookies oder ähnlichen technischen Mechanismen, wie Flash-Cookies, HTML5-Objekten oder einer Analyse der Browser-Einstellungen. Dies umfasst üblicherweise eine Darstellung der Wirkungsweise solcher Mechanismen und die Differenzierung zwischen transienten und persistenten Cookies sowie zwischen technisch erforderlichen und optionalen Cookies sowie Einwilligungserfordernissen. Es wird davon ausgegangen, dass eine solche Darstellung in Ihrer DSI existiert und darauf verwiesen werden kann.
HINWEIS: Ziffer 1.2 beschreibt entsprechend den Einsatz der Session-ID. Dem Grundsatz von § 25 Telekommunikation-Telemedien-Datenschutzgesetz („TTDSG“) entsprechend, wird hierfür eine Einwilligung abgefragt (Rechtsgrundlage Art. 6 Abs. 1 S. 1 lt. a DSGVO). Möglicherweise könnte das Setzen der Session-ID wie auch die Browserabfrage auf das berechtigte Interesse des Verantwortlichen Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden (Alternative 1). Wir verweisen jedoch darauf, dass dann eine Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG geltend gemacht werden müsste. Alternativ käme ggf. auch Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage in Betracht (Alternative 2), wenn man argumentiert, schon die Session-ID sei für die Vertragsanbahnung erforderlich.
Die Bestimmung der Rechtsgrundlage für die Datenverarbeitung liegt allein in Ihrer Verantwortung als Neocom-Kunde.
BEACHTE: Die Abfrage der Einwilligung des Websitebesuchers (Art. 6 Abs. 1 S. 1 lt. a DSGVO) muss vor Beginn der darauf gestützten Datenverarbeitung, also vor dem Setzen der Cookies (oder dem Einsatz vergleichbarer Technologien), hier Session-ID erfolgen, bspw. im Rahmen des Cookie-Banners beim Erstbesuch der Seite. Es wird davon ausgegangen, dass bei Ihnen derlei implementiert ist.
HINWEIS: Ziffer 1.4 behandelt die für die Übersendung der Produktempfehlung erforderliche Verarbeitung der Mail-Adresse des Website-Besuchers. Hier ist von Ihnen auszuführen, ob dies auf Grundlage einer Einwilligung erfolgen soll (Rechtsgrundlage Art. 6 Abs. 1 S. 1 lit. a DSGVO) und ob dabei das sog. Double-Opt-in-Verfahren verwendet wird, oder ob dieser Mailversand auf eine andere Rechtsgrundlage gestützt wird, etwa wie hier genannt Art. 6 Abs. 1 S. 1 lit. b DSGVO (erforderlich für Anbahnung eines Vertragsverhältnisses).
Dies ist allein Ihre Entscheidung als Neocom-Kunde und soll durch obige beispielhafte Formulierung nicht vorweggenommen werden.
BEACHTE: Die Verarbeitung der E-Mail-Adresse des Websitebesuchers zum Zweck der Übersendung der Produktempfehlung ist strikt zu Trennen von einer etwaigen Abfrage der E-Mail-Adresse des Website-Besuchers zum Zwecke der späteren Versendung von Werbe-Mails (z.B. Newsletter)! Vor allem darf eine etwaige Abfrage einer Einwilligung für die Übersendung der Produktempfehlung nicht gemeinsam mit der Einwilligungsabfrage zwecks Werbung erfolgen; hier wären je ein eigenständiger Einwilligungstext vorzusehen und eine voneinander unabhängige Abgabe der Einwilligung(en) durch z.B. zwei eigenständige Auswahl-Kästchen (keine Koppelung!).
HINWEIS: Sie als Neocom-Kunde sind darüber informiert, dass die Neo Commerce GmbH als Auftragsverarbeiter nach Art. 28 DSGVO ihrerseits Unter-Auftragsverarbeiter einsetzt, siehe Ziffer 6.1 und Anlage 1 zum „Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO“ zwischen Ihnen und der Neo Commerce GmbH. Obiger Formulierungsvorschlag verzichtet darauf, diese im Einzelnen aufzulisten, denn üblicherweise enthalten DSI auch hierzu ein gesondertes Kapitel, in welchem vielfach auch keine einzelnen (Unter)-Auftragsverarbeiter mit Namen benannt werden, sondern nur Kategorien von (Unter-)Auftragsverarbeitern. Der Formulierungsvorschlag geht daher davon aus, dass dies auch bei Ihnen der Fall ist und verweist entsprechend darauf. Optional bietet Ziffer 1.5 eine Formulierung an, welche die Angaben der Unter-Auftragsverarbeiter enthält, i.Ü. aber ebenfalls auf vorhandene Informationen dazu in Ihrer DSI verweist.
Ob, in welcher Form und in welchem Detailgrad Angaben über Unter-Auftragnehmer in Ihre DSI aufgenommen werden, ist allein Ihre Entscheidung als Neocom-Kunde und soll durch obige beispielhafte Formulierung nicht vorweggenommen werden.
BEACHTE: Die Einbindung der Unter-Auftragsverarbeiter von Neocom bedeutet teilweise einen Transfer von personenbezogenen Daten in Drittstaaten, darunter insbes. die USA. Insofern wird auf Ziffer 6 des „Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO“ zwischen Neocom und Ihnen verwiesen. Sie sind jedoch gehalten, Websitebesucher über den Drittstaatentransfer und die von Ihnen diesbezüglich getroffenen Maßnahmen zum Schutz personenbezogener Daten (insbes. nach dem sog. Schrems II-Urteil des EuGH) zu informieren.
Es liegt allein in Ihrer Verantwortung als Neocom-Kunde, die Voraussetzungen, Implikationen und erforderlichen Maßnahmen zur Absicherung eines Drittstaatentransfers zu prüfen und umzusetzen.
Formulierungshilfe Abfrage Einwilligung zum Einsatz von Cookies (Session-ID)
HINWEIS: Nachstehende Formulierungsbeispiele erheben keinen Anspruch auf Vollständigkeit und Richtigkeit in Bezug auf die Wirksamkeit einer somit abgefragten Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO. Es ersetzt nicht Ihre eingehende eigene rechtliche Prüfung und Entscheidung als Neocom-Kunde in Bezug auf die insbesondere datenschutzrechtlichen Implikationen des Einsatzes von Neocom und der Voraussetzungen für eine wirksame Einwilligung im konkreten Fall. Hierfür sind und bleiben Sie allein verantwortlich.
Dies kann und soll keine Rechtsberatung der Neo Commerce GmbH gegenüber Ihnen als Neocom-Kunde sein. Die Übernahme der Formulierungsbeispiele erfolgt auf Ihr eigenes Risiko.
Abfrage Einwilligung zum Setzen der temporären Session-ID für die Nutzung von Neocom (zu Ziffer 1.2 oben)
Nachstehender Formulierungsvorschlag für einen Einwilligungstext kann, sofern Sie sich gemäß des obigen Formulierungsbeispiels zur DSI dafür entscheiden, von Ihnen für die etwaige Abfrage der Einwilligung der Website-Besucher zum Einsatz der Session-ID (siehe oben Hinweis zu Ziffer 1.2 des DSI-Formulierungsbeispiels) verwendet werden.
☐ Ich willige ein, dass wie in der [Link auf Neocom-Kapitel in Ihrer DSI : Datenschutzerklärung] beschrieben bei Nutzung der interaktiven Produktberatung [ggf. nähere Bezeichnung, z.B: Neocom] eine Session-ID generiert und temporär während der Browser-Session auf meinem Gerät gespeichert wird, um diesen Service und dessen korrekte Darstellung zu ermöglichen.
Abfrage Einwilligung zum Setzen der persistenten Session-ID via Cookie für die Nutzung des Purchase Tracking Tools (zu Ziffer 1.3 oben)
Nachstehender Formulierungsvorschlag für einen Einwilligungstext kann von Ihnen verwendet werden für die etwaige Abfrage der Einwilligung der Website-Besucher zum Einsatz der Session-ID (siehe oben Hinweis zu Ziffer 1.3 des DSI-Formulierungsbeispiels).
☐ Ich willige ein, dass wie in der [Link auf Neocom-Kapitel in Ihrer DSI: Datenschutzerklärung] beschrieben bei Nutzung der interaktiven Produktberatung [ggf. nähere Bezeichnung, z.B: Neocom] eine Session-ID generiert und auf meinem Gerät gespeichert wird, um [Ihr Name] zu ermöglichen, ggf. mehrere meiner Aufrufe dieses Dienstes zu verschiedenen Zeiten nachzuverfolgen und mit einem etwaigen späteren Kauf in Verbindung zu bringen.
Abfrage Einwilligung zum E-Mail-Versand der Produktempfehlung
Nachstehender Formulierungsvorschlag für einen Einwilligungstext kann von Ihnen verwendet werden für die Abfrage der Einwilligung der Website-Besucher zur Verwendung deren E-Mail-Adresse zwecks Übersendung der Produktempfehlung.
☐ Ich willige ein, dass meine E-Mail-Adresse von [Ihr Name] verwendet wird, um mir meine Produktempfehlung zu übersenden wie in der [Link auf Neocom-Kapitel in Ihrer DSI: Datenschutzerklärung] beschrieben.
HINWEIS: Die Einwilligung muss im Zusammenhang mit der Abfrage der E-Mail-Adresse des Websitebesuchers abgefragt und abgegeben werden, also bspw. in derselben Eingabemaske.
HINWEIS: Beachten Sie ferner obige Hinweise bzgl. Einwilligungs-Abfrage für die Übersendung der Produktempfehlung und jener zwecks Werbe-Mailing.