Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Kolja Kiss
Windmühlenstr. 4
41564, Kaarst
Deutschland
E-Mail: [email protected]
Website: https://online-sicher.de
Hinweis zur Datenschutzbeauftragten Person: Da es sich um ein privates oder kleinstgewerbliches Angebot handelt, bei dem in der Regel weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, besteht gemäß Art. 37 DSGVO i. V. m. § 38 BDSG keine Pflicht zur Bestellung einer Datenschutzbeauftragten Person.
Der Fakeshop-Checker ist eine kostenlose Browser-Erweiterung für Google Chrome, die Verbraucherinnen und Verbrauchern hilft, betrügerische Online-Shops zu erkennen. Die Erweiterung analysiert Shop-URLs mit einem lokal eingebetteten KI-Klassifikator, regelbasierten Heuristiken, einer lokal gebündelten Warnliste und vier öffentlichen Live-Schnittstellen (APIs).
Die Erweiterung verfügt über keinen eigenen Server und erhebt keine eigenen Nutzungsprofile, kein Tracking und keine Benutzerkonten. Es gibt keine Registrierung, kein Benutzerkonto und keine Werbung.
Die vom Nutzer eingegebene oder aus dem aktiven Browser-Tab übernommene URL wird durch einen lokal eingebetteten KI-Klassifikator auf URL-/Domain-Merkmalen, durch regelbasierte Heuristiken und durch einen Abgleich mit lokal gebündelten Warnlisten ausgewertet. Diese Verarbeitung findet ausschließlich im Browser des Nutzers statt. Es werden dabei keinerlei Daten an externe Server übermittelt.
Wenn der Nutzer einen Shop prüft, der im aktuellen Browser-Tab geöffnet ist, liest die Erweiterung den sichtbaren Seiteninhalt (Text, Links, Bilder) aus, um zu prüfen, ob Impressum, Cookie-Hinweis, Kontaktdaten, Widerrufsbelehrung und ein Trusted-Shops-Gütesiegel vorhanden sind. Diese Analyse erfolgt vollständig lokal im Browser – der Seiteninhalt verlässt das Gerät des Nutzers nicht.
| Was wird übermittelt? | Der Domain-Name ohne Pfad und Parameter, z. B. example-shop.de,
sowie die IP-Adresse des Nutzers als technischer Bestandteil der HTTP-Anfrage. |
|---|---|
| An wen? | rdap.org, betrieben von der American Registry for Internet Numbers, Ltd. (ARIN), Chantilly, Virginia, USA |
| Zweck | Abfrage des Registrierungsdatums der Domain. Sehr junge Domains (unter 30 Tage) sind ein statistisch signifikantes Merkmal für Fake-Shops. |
| Drittland-Transfer | Die USA gelten derzeit als Drittland ohne generellen Angemessenheitsbeschluss. Die Übermittlung stützt sich auf Art. 49 Abs. 1 lit. f DSGVO (zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen sowie zum Schutz vor Betrug) und auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. |
| Datenschutz des Anbieters | arin.net/privacy |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse: Schutz vor Betrug im Online-Handel |
| Was wird übermittelt? | Die vollständige URL, z. B. https://example-shop.de/produkte,
sowie die IP-Adresse des Nutzers als technischer Bestandteil der HTTP-Anfrage. |
|---|---|
| An wen? | urlhaus-api.abuse.ch, betrieben von abuse.ch, Schweiz |
| Zweck | Abgleich der geprüften URL mit der URLhaus-Datenbank bekannter Malware- und Phishing-URLs. Schützt Nutzer vor aktiv schädlichen Websites. |
| Drittland-Transfer | Die Schweiz verfügt über einen Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO. Eine besondere Rechtsgrundlage für den Transfer ist daher nicht erforderlich. |
| Datenschutz des Anbieters | abuse.ch/privacy-policy |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse: Schutz vor Schadsoftware und Phishing |
| Was wird übermittelt? | Der Domain-Name, z. B. example-shop.de,
sowie die IP-Adresse des Nutzers als technischer Bestandteil der HTTP-Anfrage. |
|---|---|
| An wen? | crt.sh, ein öffentliches Certificate-Transparency-Log, betrieben von Sectigo Limited, Roseland, New Jersey, USA |
| Zweck | Abfrage des SSL-Zertifikat-Verlaufs einer Domain. Das Datum des ersten Zertifikats ist ein unverfälschbares Signal für das tatsächliche Alter der Domain und damit für Fake-Shop-Risiken. |
| Drittland-Transfer | Die USA gelten als Drittland ohne generellen Angemessenheitsbeschluss. Übermittlung auf Grundlage von Art. 49 Abs. 1 lit. f DSGVO und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). |
| Datenschutz des Anbieters | sectigo.com/privacy-policy |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse: Erkennung neu registrierter Fake-Shops |
| Was wird übermittelt? | Der Domain-Name, z. B. example-shop.de,
sowie die IP-Adresse des Nutzers als technischer Bestandteil der HTTP-Anfrage. |
|---|---|
| An wen? | archive.org (Wayback Machine), betrieben von Internet Archive, einer gemeinnützigen Organisation in San Francisco, Kalifornien, USA |
| Zweck | Abfrage des ältesten archivierten Web-Snapshots der Domain. Fake-Shops besitzen fast keine Archivhistorie; eine sehr kurze oder fehlende Archivgeschichte erhöht das Risikosignal. |
| Drittland-Transfer | Die USA gelten als Drittland ohne generellen Angemessenheitsbeschluss. Übermittlung auf Grundlage von Art. 49 Abs. 1 lit. f DSGVO und Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). |
| Datenschutz des Anbieters | archive.org/about/terms.php |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO – berechtigtes Interesse: Erkennung von Fake-Shops ohne etablierte Web-Präsenz |
Die Erweiterung nutzt chrome.storage.local ausschließlich auf dem Gerät
des Nutzers für folgende Zwecke:
Alle Daten verbleiben ausschließlich auf dem Gerät des Nutzers und werden nicht an den Betreiber oder Dritte übertragen. Der Nutzer kann den Cache und den Verlauf jederzeit über die Einstellungsseite der Erweiterung vollständig löschen.
Die Erweiterung fügt dem Browser-Kontextmenü den Eintrag
„Fakeshop-Checker: Diese URL prüfen" hinzu. Wenn der Nutzer diesen Eintrag anklickt,
wird die URL des angeklickten Links vorübergehend im Sitzungsspeicher
(chrome.storage.session) abgelegt und beim nächsten Öffnen des Popups
automatisch geprüft. Der Sitzungsspeicher wird beim Schließen des Browsers geleert
und verlässt das Gerät nicht.
Soweit die Verarbeitung auf berechtigten Interessen beruht, bestehen diese darin, Verbraucherinnen und Verbraucher wirksam vor betrügerischen Online-Shops, Phishing und Schadsoftware zu schützen. Die Abfragen an externe APIs beschränken sich auf technische Metadaten (Domain-Name, URL) und beziehen sich ausschließlich auf die geprüfte Shop-Domain, nicht auf persönliche Daten des Nutzers.
Eine Abwägung ergibt, dass das Schutzinteresse der Verbraucher gegenüber dem minimalen Eingriff (Übermittlung eines Domain-Namens und einer IP-Adresse an öffentliche Datenbanken) überwiegt, insbesondere da:
Drei der vier externen APIs (RDAP/ARIN, crt.sh/Sectigo, Wayback Machine/Internet Archive) werden von Organisationen in den USA betrieben. Die USA verfügen derzeit über keinen allgemeinen Angemessenheitsbeschluss der EU-Kommission im Sinne von Art. 45 DSGVO.
Die Übermittlungen sind erforderlich, um die Kernfunktion der Erweiterung (Erkennung von Fake-Shops zum Schutz der Nutzer) zu erfüllen, und stützen sich auf Art. 49 Abs. 1 lit. f DSGVO („die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich") sowie ergänzend auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO.
Nutzerinnen und Nutzer, die keine Daten an externe APIs übermitteln möchten, sollten keine aktive Prüfung im Popup starten. Die lokale KI-Analyse, Heuristiken, Warnlisten-Treffer und die optionale Seitenanalyse laufen zwar im Browser, die Live-Checks sind bei einer gestarteten Prüfung jedoch standardmäßig Teil des Prüfvorgangs und derzeit nicht separat abschaltbar.
Die Erweiterung setzt keine Cookies und verwendet keinerlei Tracking-Technologien, Web-Analytics, Werbetechnologien oder ähnliche Verfahren. Es findet kein Nutzer-Profiling statt.
Es findet keine automatisierte Entscheidungsfindung im Sinne von Art. 22 DSGVO statt. Das Ergebnis der Prüfung ist eine Risikoeinschätzung für eine URL, keine Entscheidung über eine Person. Der Nutzer entscheidet selbst, welche Konsequenzen er aus dem Ergebnis zieht.
| Ergebnis-Cache | Maximal 1 Stunde, danach automatische Löschung vom Gerät des Nutzers |
|---|---|
| Prüfverlauf | Maximal 30 Einträge lokal auf dem Gerät; wird durch neue Einträge überschrieben. Sofortige Löschung auf Knopfdruck in den Einstellungen möglich. |
| Sitzungsspeicher (Kontext-Menü-URL) | Bis zum nächsten Öffnen des Popups oder bis zum Schließen des Browsers |
| Daten bei externen APIs | Unterliegt den Datenschutzrichtlinien der jeweiligen Anbieter (ARIN, abuse.ch, Sectigo, Internet Archive) – der Betreiber dieser Erweiterung hat darauf keinen Einfluss |
Gemäß der DSGVO stehen dir folgende Rechte zu. Da diese Erweiterung keine personenbezogenen Daten auf eigenen Servern speichert, betrifft die praktische Ausübung dieser Rechte in erster Linie den lokalen Browser-Speicher (jederzeit über die Einstellungsseite der Erweiterung löschbar) sowie Anfragen an die externen API-Anbieter.
Zur Ausübung deiner Rechte wende dich per E-Mail an: [email protected]
Du hast das Recht, dich gemäß Art. 77 DSGVO bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die zuständige Behörde richtet sich nach deinem Wohnsitz, Arbeitsplatz oder dem Ort des mutmaßlichen Verstoßes.
In Deutschland sind die Aufsichtsbehörden auf Landesebene zuständig. Die für den Sitz des Verantwortlichen zuständige Behörde ist:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44
40102 Düsseldorf
E-Mail: [email protected]
Website: https://www.ldi.nrw.de/kontakt
Diese Datenschutzerklärung wird bei wesentlichen Änderungen der Erweiterung oder der Rechtslage aktualisiert. Die jeweils aktuelle Version ist dauerhaft abrufbar unter: https://online-sicher.de/datenschutz
Das Datum der letzten Änderung ist im Kopf dieses Dokuments angegeben. Bei grundlegenden Änderungen, die neue Verarbeitungsvorgänge betreffen, wird dies in den Versionshinweisen der Erweiterung im Chrome Web Store kommuniziert.
Bei Fragen oder Anliegen zum Datenschutz wende dich bitte an:
Kolja Kiss
E-Mail: [email protected]
Wir bemühen uns, Anfragen innerhalb von 30 Tagen zu beantworten, wie von Art. 12 Abs. 3 DSGVO vorgesehen.