Trustpilot und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Trustpilot in Form eingebetteter TrustBox-Widgets ein, verarbeitet er beim Aufruf der Seite Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen und grobe Standortdaten der Besucher zum Zweck der Anzeige von Bewertungen, in der Regel auf Basis einer Drittanbieter-Inhalte-Einwilligung oder hilfsweise berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Diese Seite fasst die wesentlichen Trustpilot-Datenschutz-Themen zusammen, ordnet sie der DSGVO zu und erläutert, was dazu in die Datenschutzerklärung der eigenen Webseite gehört.

Die Darstellung beruht auf den öffentlich zugänglichen Angaben von Trustpilot (Privacy Policy, Data Processing Agreement, Hilfe-Center) und auf öffentlich recherchierbaren Quellen. Sie ersetzt keine Einzelfallprüfung durch den Webseitenbetreiber.

A. Zweck und Funktionsweise von Trustpilot

Trustpilot ist eine offene Bewertungsplattform aus Dänemark, auf der Verbraucher Unternehmen bewerten können. Für Webseitenbetreiber besonders relevant ist die Integration von Trustpilot auf der eigenen Webseite, vor allem in zwei Ausprägungen: zum einen die als TrustBox bezeichneten Widgets, mit denen Sterne-Rating, einzelne Bewertungen oder Listen von Bewertungen direkt auf der Webseite eingeblendet werden, zum anderen das automatisierte Versenden von Bewertungseinladungen per E-Mail über den Automatic Feedback Service (AFS) nach einem Kauf oder Vertragsabschluss.

Diese Seite konzentriert sich auf die Integrations-Funktion TrustBox-Widget als am häufigsten relevanten Berührungspunkt zwischen Webseitenbesucher und Trustpilot. Technisch wird ein kleiner JavaScript-Loader (https://widget.trustpilot.com/bootstrap/v5/tp.widget.bootstrap.min.js) eingebunden, der zur Laufzeit die jeweiligen Widget-Inhalte – etwa Carousel, Mini, Slider, Micro, Review-Liste oder Drop-Down – von den Servern von Trustpilot nachlädt und im Markup des Webseitenbetreibers darstellt. Die parallele Funktion des AFS wird in dieser Darstellung kurz mit aufgegriffen, weil sie in der Praxis häufig zusammen mit dem Widget eingesetzt wird; sie ist aber eine separate Verarbeitung mit eigener rechtlicher Bewertung.

Nicht Gegenstand dieser Seite sind die Plattform-Funktionen von Trustpilot selbst (eigene Profilseite eines Unternehmens auf trustpilot.com, Antworten auf Bewertungen, interne Reportings) sowie die Verarbeitung der Daten der Bewertenden durch Trustpilot als eigene Plattform.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Trustpilot

Die DSGVO verlangt vom Webseitenbetreiber – über die allgemeinen Angaben zu Verantwortlichem, Aufsichtsbehörde und Betroffenenrechten hinaus – beim Einsatz eines Tools wie Trustpilot konkrete Pflichtangaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO), Angaben zu Drittlandtransfers (Art. 13 Abs. 1 lit. f DSGVO) sowie die Speicherdauer oder die Kriterien für deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO). Werden Daten nicht beim Betroffenen selbst erhoben, treten die Kategorien der personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO) hinzu.

Diese Pflichtangaben werden in den folgenden Abschnitten konkret für Trustpilot aufgeschlüsselt.

In der Praxis hat es sich eingebürgert, jedes einzelne Tool – also auch Trustpilot – mit einem eigenen, häufig anwaltlich vorformulierten Textbaustein in der Datenschutzerklärung abzubilden. Diese „Textbaustein-pro-Tool"-Logik ist eine schlechte Manier: Sie bläht die Datenschutzerklärung auf, wiederholt inhaltlich identische Aussagen (Serverlogs, IP-Adresse, berechtigte Interessen) immer wieder und macht den Text für Nutzer kaum lesbar – das Gegenteil dessen, was Art. 12 Abs. 1 DSGVO mit dem Transparenzgebot fordert. Sachgerechter ist ein themenorientierter Ansatz: Die Verarbeitungen werden übergreifend nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Verkauf …) beschrieben, und die konkreten Dienstleister – darunter Trustpilot – werden in einer Empfängerliste im Anhang gebündelt aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Trustpilot

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben von Trustpilot:

• Trustpilot A/S
• Pilestræde 58, 5. Stock
• DK-1112 Kopenhagen K, Dänemark
• CVR-Nr.: 30276582

Sitz und Hauptverarbeitung liegen damit innerhalb der Europäischen Union; ein Drittlandtransfer ist für die Verarbeitung durch Trustpilot selbst nicht zwingend angelegt. Trustpilot betreibt Tochtergesellschaften unter anderem in Großbritannien, den USA und Australien. Soweit Subprozessoren in Drittländern eingesetzt werden, weist Trustpilot dies in seiner Subprozessoren-Liste aus (siehe https://corporate.trustpilot.com/legal/for-businesses/subprocessors).

Die für den TrustBox-Einsatz und AFS einschlägigen Datenschutzhinweise und Verträge von Trustpilot sind insbesondere:

• End-User Privacy Policy: https://corporate.trustpilot.com/legal/for-reviewers/privacy-policy-end-user
• Business Privacy Policy: https://corporate.trustpilot.com/legal/for-businesses/business-privacy-policy
• Data Processing Agreement (DPA): https://corporate.trustpilot.com/legal/for-businesses/data-processing-agreement
• Cookie-Liste: https://legal.trustpilot.com/legal/cookie-list

D. Datenverarbeitung durch Trustpilot – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Trustpilot

Beim reinen TrustBox-Embed werden im Rahmen der Auslieferung der Widget-Ressourcen typischerweise IP-Adresse des Internetanschlusses, Datum und Uhrzeit der Anfrage, die URL der einbettenden Seite (Referrer), Browser- und Betriebssystem-Angaben sowie die anhand der IP grob ermittelte Region erhoben. Trustpilot kann nach den öffentlich zugänglichen Angaben Cookies setzen, etwa zur technischen Auslieferung und zum Missbrauchsschutz; eine aktuelle Übersicht stellt Trustpilot in seiner Cookie-Liste bereit. Beim AFS kommen zusätzlich die vom Webseitenbetreiber an Trustpilot übermittelten Bestell- und Kontaktdaten hinzu, vor allem E-Mail-Adresse, Name, eine Bestell-/Referenznummer und der Bestellzeitpunkt sowie ggf. die erworbenen Produkte.

Diese Daten lassen sich folgenden standardisierten Datenarten-Klassen zuordnen:

• Webserver-Protokolldaten: Daten, die der Server bei jeder Widget-Anfrage erhält, z. B. IP-Adresse, Datum und Uhrzeit, URL der einbettenden Seite, Referrer, User-Agent, Statuscode, übertragene Datenmenge.
• Endgeräte-Daten: Angaben zum Endgerät, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, ggf. Spracheinstellungen.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt- oder Regionsebene.
• Nutzungskonto-Daten (nur bei AFS, soweit der Webseitenbetreiber Bestandskunden-Daten überträgt): insbesondere E-Mail-Adresse als Kontaktkennung des Empfängers.

Bei Nutzung des AFS treten zusätzlich Bestelldaten (Bestellnummer, Datum, ggf. Produktkennzeichnung) hinzu, die Trustpilot ausschließlich zur Versandsteuerung der Einladung verwendet.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von Trustpilot

Der Webseitenbetreiber bindet TrustBox-Widgets typischerweise ein, um vorhandene Bewertungen für Besucher sichtbar zu machen, das Vertrauen in das eigene Angebot zu erhöhen und eine unabhängige Bewertungsquelle zu zitieren. Beim AFS-Versand verfolgt er das Ziel, möglichst viele authentische Kundenbewertungen einzuholen, um die eigene Reputation messbar zu machen und das Produkt- und Serviceangebot weiterzuentwickeln.

Diese Zwecke lassen sich folgenden standardisierten Nutzungszweck-Klassen zuordnen:

• Funktionsbereitstellung: Auslieferung des Widgets und Anzeige der Bewertungs-Inhalte, Fehlererkennung und Fehlerbehebung beim Rendering.
• Sicherheit und Missbrauchsschutz: Schutz vor Manipulationsversuchen, Bot-Aktivität und sonstiger missbräuchlicher Nutzung der Bewertungs-Anzeige.
• Allgemeine Produktverbesserung: Auswertung von Reichweite und Anzeige-Häufigkeit auf Aggregat-Ebene zur bedarfsgerechten Gestaltung der eigenen Webseite.
• Allgemeines Marketing: Sichtbarmachung von Bewertungen als allgemeine, nicht nutzerindividuelle Marketing-Maßnahme; Erfolgsmessung von Bewertungs-Einbindungen über Plattform-Reportings.
• Kommunikation (bei AFS): Versand der Bewertungseinladung an den Kunden im Anschluss an einen Vertragsschluss.

G. Rechtsgrundlagen für den Einsatz von Trustpilot

Trustpilot fällt in der hier behandelten Integrations-Funktion in die Tool-Kategorie Drittanbieter-Inhalte (Bewertungen); AFS ist eine flankierende Funktion mit eigener rechtlicher Einordnung als kundenbezogene Direktwerbung/Kommunikation.

Für die Einbindung der TrustBox-Widgets kommen nach den öffentlich zugänglichen Angaben des Anbieters und gängiger Bewertung typischerweise folgende Rechtsgrundlagen in Betracht:

• Drittanbieter-Inhalte-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, ggf. i. V. m. § 25 Abs. 1 TDDDG, soweit auf das Endgerät zugegriffen wird, etwa durch Cookies). Wird die TrustBox erst nach erteilter Einwilligung geladen, ist dies regelmäßig die saubere Rechtsgrundlage.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) an Effizienz, Sicherheit und Allgemeinem Marketing (Sichtbarkeit unabhängiger Bewertungen). Diese Grundlage kommt in Betracht, wenn das Widget ohne Einwilligung ausgeliefert wird und keine über das Erforderliche hinausgehenden Tracking-Mechanismen aktiviert sind. Ob die Interessenabwägung im konkreten Fall trägt, ist einzelfallabhängig zu prüfen.

Für den AFS-Versand kommen typischerweise in Betracht:

• Berechtigte Interessen an Werbung und Verbesserung (Art. 6 Abs. 1 lit. f DSGVO) i. V. m. § 7 Abs. 3 UWG, wenn der Empfänger im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung seine E-Mail-Adresse hinterlassen hat, die Einladung zur Bewertung der eigenen ähnlichen Ware oder Dienstleistung dient, der Kunde bei Erhebung und in jeder Mail klar und deutlich auf das Widerspruchsrecht hingewiesen wurde und nicht widersprochen hat.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG), wenn die Voraussetzungen des § 7 Abs. 3 UWG nicht vollständig vorliegen – insbesondere bei Neukunden ohne vorhergehenden Kauf, bei Bewertungseinladungen für andersartige Produkte oder bei fehlendem Widerspruchshinweis bei Erhebung. § 7 UWG verbietet im Geltungsbereich des deutschen Wettbewerbsrechts grundsätzlich unzumutbare Belästigung durch elektronische Post; Bewertungseinladungen werden in der Rechtsprechung regelmäßig als Werbung im Sinne des § 7 UWG qualifiziert.

Welche Rechtsgrundlage einschlägig ist, hängt vom konkreten Einsatzszenario, vom Consent-Banner-Setup, von der Tracking-Konfiguration und der UWG-Compliance der Bewertungseinladung ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Trustpilot

• EU-Sitz, kein Drittlandtransfer für die Trustpilot-Verarbeitung als solche: Trustpilot A/S sitzt in Dänemark und führt die Hauptverarbeitung nach den öffentlich zugänglichen Angaben innerhalb des EWR. Das ist gegenüber Bewertungs-Anbietern aus den USA ein praktischer Vorteil – dennoch ist die Subprozessoren-Liste auf etwaige Drittlandbezüge hin zu prüfen.
• Rolle: Für die Trustpilot-Plattform und das Anzeigen-System tritt Trustpilot nach eigenen Angaben als eigenständiger Verantwortlicher auf. Für den Versand der Bewertungseinladungen über AFS bietet Trustpilot dagegen einen Auftragsverarbeitungsvertrag (DPA) an und handelt insoweit typischerweise als Auftragsverarbeiter. Die endgültige Einordnung ist vom Webseitenbetreiber im Einzelfall zu prüfen.
• AVV/DPA: Der Standard-DPA von Trustpilot ist über das Business-Konto und unter https://corporate.trustpilot.com/legal/for-businesses/data-processing-agreement zugänglich. Vor produktivem AFS-Einsatz ist der Abschluss bzw. die Annahme dringend zu empfehlen.
• Subprozessoren: Die aktuelle Liste ist unter https://corporate.trustpilot.com/legal/for-businesses/subprocessors veröffentlicht. Sie ist vor Inbetriebnahme einmalig und danach regelmäßig zu sichten.
• Cookies und Consent-Integration: Die TrustBox kann nach den öffentlich zugänglichen Angaben Cookies setzen. Aus Compliance-Sicht empfiehlt es sich, das Widget hinter einem Consent-Wrapper auszuliefern (z. B. Consent-Banner mit Drittanbieter-Inhalte-Einwilligung) und erst nach Zustimmung zu laden.
• Einstellungen für den Webseitenbetreiber: Bei AFS ist auf eine Double-Opt-In-freie, aber wettbewerbsrechtlich saubere Versandlogik zu achten: ausreichender Hinweis auf das Widerspruchsrecht bereits bei Datenerhebung, klarer Abmeldelink in jeder Einladungs-E-Mail, Sperrung von Widerspruchs-Adressen, Einhaltung der § 7 Abs. 3 UWG-Voraussetzungen.
• Opt-Out für Endnutzer: Endnutzer können die Bewertungseinladung jederzeit über den Abmeldelink in der E-Mail beenden; die TrustBox-Anzeige selbst lässt sich primär über das Consent-Banner steuern.
• Gefahr „Fake-Reviews": UWG- und Pflichtinformations-Vorgaben (Verbraucherrechte-Richtlinie, § 5b Abs. 3 UWG) zu Echtheits- und Verifizierungsangaben bei Bewertungen sind separat zu prüfen; dies ist eine wettbewerbsrechtliche, keine datenschutzrechtliche Frage.

I. FAQ zu Trustpilot und Datenschutz

J. Fazit und Call-to-Action zu Trustpilot

Trustpilot ist als europäisches Bewertungsportal für deutsche Webseitenbetreiber datenschutzrechtlich vergleichsweise unkompliziert: Die Hauptverarbeitung findet im EWR statt, Trustpilot stellt für AFS einen DPA bereit, und die TrustBox-Widgets lassen sich technisch sauber hinter einem Consent-Banner ausliefern. Die kritischen Punkte liegen weniger im Drittlandtransfer als in der korrekten Einordnung der Rolle (Verantwortlicher beim Widget, Auftragsverarbeiter beim AFS), in der UWG-Compliance der Bewertungseinladungen und in der laufenden Pflege der Subprozessoren-Liste.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für Trustpilot einen separaten Textbaustein in die Datenschutzerklärung aufzunehmen. Solche Tool-Bausteine wiederholen sich inhaltlich (Webserver-Protokolldaten, IP-Adresse, berechtigte Interessen) immer wieder und blähen die Datenschutzerklärung auf – das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, das eine präzise, transparente und leicht zugängliche Information verlangt.

Empfehlenswerter ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Drittanbieter-Inhalte, Bewertungseinladungen, Verkauf …) übergreifend erklärt, und Trustpilot taucht zusammen mit anderen Dienstleistern lediglich im Empfänger-Anhang mit Rolle, Sitz und Datenschutzhinweisen auf. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com