Was ist Identity Linking im Kontext von UCP und DSGVO?

Identity Linking ist der Prozess, bei dem personenbezogene Daten wie Name, Lieferadresse, Telefonnummer und E-Mail-Adresse vom KI-Agenten an den Händler übermittelt werden, um eine Bestellung zu ermöglichen. Gemäß DSGVO ist die primäre Rechtsgrundlage hierfür die Vertragserfüllung.

Welche Rechtsgrundlagen gibt es für die Datenverarbeitung im Rahmen von UCP?

Die Hauptrechtsgrundlagen sind die Vertragserfüllung (Art. 6.1.b DSGVO) für die Lieferung, die rechtliche Verpflichtung (Art. 6.1.c DSGVO) für die Aufbewahrung von Transaktionsdaten zu Buchhaltungszwecken und das berechtigte Interesse (Art. 6.1.f DSGVO) für die Protokollierung von Transaktionen zur Betrugsprävention.

Wer ist für die Einholung der Einwilligung bei Identity Linking verantwortlich?

Die anfängliche Einwilligung des Nutzers zur Datenweitergabe über Identity Linking wird vom KI-Agenten (z.B. Google Gemini, ChatGPT) eingeholt, nicht vom Händler. Der Händler muss jedoch sicherstellen, dass der übermittelnde KI-Agent UCP-zertifiziert ist und die Daten nicht über den Bestellzweck hinaus verwendet werden, ohne zusätzliche direkte Einwilligung des Käufers einzuholen.

Welche Rechte haben betroffene Personen im UCP-Kontext?

Betroffene Personen haben das Recht auf Auskunft (Art. 15 DSGVO) über ihre Daten und das Recht auf Löschung (Art. 17 DSGVO), es sei denn, es bestehen gesetzliche Aufbewahrungspflichten (z.B. für Rechnungen). Händler müssen in der Lage sein, diese Rechte zu erfüllen.

Mit wem müssen Händler Datenverarbeitungsverträge (DPAs) im UCP-Ökosystem abschließen?

DPAs sind mit Zahlungsdienstleistern (z.B. Stripe, Adyen), Spediteuren und gegebenenfalls mit Drittanbietern, die die UCP-Infrastruktur verwalten, abzuschließen. Mit den KI-Agenten selbst (z.B. Google, OpenAI) ist kein DPA erforderlich, da sie als unabhängige Dritte und nicht als Auftragsverarbeiter agieren.

UCP und DSGVO: Compliance-Leitfaden für europäische Händler

Personenbezogene Daten bei einer UCP-Transaktion

Eine Universal Commerce Protocol-Transaktion umfasst mehrere Kategorien personenbezogener Daten:

Identity Linking-Daten: Vorname, Nachname, Lieferadresse, Telefonnummer, E-Mail, vom KI-Agenten pro Bestellung an den Händler übermittelt
AP2-Token: kryptografisches Pseudonym, das mit einer echten Zahlungsmethode verknüpft ist und vom Zahlungsabwickler verarbeitet wird
Bestelldaten: gekaufte Produkte, Betrag, Datum, vom Händler gespeichert
Transaktionsprotokolle: Zeitstempel, verwendeter KI-Agent, aufgerufener Endpunkt, technische Transaktionsdaten
Lieferdaten: Spediteur, Sendungsverfolgungsnummer, Status, mit dem Spediteur geteilt

Alle diese Daten fallen unter die DSGVO, sobald sich der Händler oder Käufer im Europäischen Wirtschaftsraum befindet.

Rechtsgrundlagen für die UCP-Datenverarbeitung

Vertragserfüllung (Artikel 6.1.b DSGVO)

Die primäre Rechtsgrundlage für die Verarbeitung von Identity Linking-Daten ist die Erfüllung des Kaufvertrags. Ohne Name und Lieferadresse kann der Händler die Bestellung nicht versenden. Diese Verarbeitung ist für den zwischen Käufer und Händler über den KI-Agenten geschlossenen Vertrag notwendig.

Wichtig: Diese Rechtsgrundlage deckt nur das ab, was für die Lieferung unbedingt erforderlich ist. Die Verwendung der Lieferadresse für Newsletter oder Werbeangebote erfordert eine separate Rechtsgrundlage (Einwilligung, Artikel 6.1.a).

Rechtliche Verpflichtung (Artikel 6.1.c DSGVO)

Die Aufbewahrung von Transaktionsdaten (Bestellungen, Rechnungen, Beträge) zu Buchhaltungszwecken (typischerweise 7-10 Jahre, je nach Anforderungen des Mitgliedstaats) ist durch eine rechtliche Verpflichtung gerechtfertigt.

Berechtigtes Interesse (Artikel 6.1.f DSGVO)

Die Speicherung von Agentic-Transaktionsprotokollen zur Sicherheit und Betrugsprävention kann auf dem berechtigten Interesse des Händlers basieren, mit dokumentierter Begründung und begrenzter Aufbewahrungsfrist (typischerweise 12 bis 24 Monate).

Identity Linking und Einwilligung: Wo liegt die Verantwortung?

Die anfängliche Nutzereinwilligung zur Datenweitergabe über Identity Linking wird vom KI-Agenten (Google Gemini, ChatGPT usw.) eingeholt, nicht vom Händler. Der Händler erhält personenbezogene Daten, deren Einwilligung von einem Dritten (dem KI-Agenten) eingeholt wurde. Der Händler muss daher:

Überprüfen, ob der übermittelnde KI-Agent UCP-zertifiziert ist (was eine ordnungsgemäße Einholung der Einwilligung garantiert)
In seinem Verzeichnis der Verarbeitungstätigkeiten dokumentieren, dass die Datenquelle UCP Identity Linking ist
Diese Daten nicht über den Zweck der Bestellung hinaus verwenden, ohne eine zusätzliche direkte Einwilligung des Käufers einzuholen

Rechte der betroffenen Personen im UCP-Kontext

Auskunftsrecht (Artikel 15 DSGVO)

Wenn ein Nutzer Zugang zu den Daten verlangt, die Sie über ihn gespeichert haben (einschließlich Identity Linking-Daten), müssen Sie diese innerhalb eines Monats bereitstellen können. Stellen Sie sicher, dass Ihr System alle mit einer Person verknüpften Daten identifizieren und extrahieren kann, einschließlich Daten aus dem Agentic-Kanal.

Recht auf Löschung (Artikel 17 DSGVO)

Der Nutzer kann die Löschung seiner Daten verlangen, außer wenn gesetzliche Verpflichtungen gelten (Rechnungsaufbewahrung). Unterscheiden Sie in Ihren Systemen klar zwischen "löschbaren" Daten (Profildaten, Browserverlauf) und "aufbewahrungspflichtigen" Daten (gesetzlich vorgeschriebene Transaktionsdaten).

Datenverarbeitungsverträge: Mit wem sind sie abzuschließen?

Im UCP-Ökosystem haben Sie mehrere Auftragsverarbeiter im Sinne der DSGVO:

Ihr Zahlungsdienstleister (Stripe, Adyen): Ein DPA muss unterzeichnet werden, typischerweise in den AGB des Dienstleisters enthalten, aber überprüfen Sie, ob ein DSGVO-spezifischer Zusatz existiert
Ihr Spediteur: DPA für die Weitergabe der Lieferadresse erforderlich
UCP-Infrastruktur: Wenn Sie einen Drittanbieterdienst zur Verwaltung Ihrer UCP-Endpunkte nutzen, ist ein DPA erforderlich
Der KI-Agent: Technisch gesehen sind Google (Gemini) oder OpenAI (ChatGPT) unabhängige Dritte, keine Auftragsverarbeiter. Es ist kein DPA erforderlich, aber dokumentieren Sie, dass Sie deren UCP-Zertifizierung überprüft haben.

Aktualisierung der Datenschutzerklärung

Fügen Sie einen Abschnitt in Ihrer Datenschutzerklärung hinzu, der erklärt:

Dass Sie Bestellungen über KI-Agenten (UCP-Kanal) annehmen
Welche Daten über Identity Linking empfangen und wie sie verarbeitet werden
Dass Zahlungsdaten über das AP2-Protokoll (Pseudonymisierung) verwaltet werden
Wie Rechte für Daten aus Agentic-Käufen ausgeübt werden können