Für Shopify benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist Shopify datenschutzrechtlich relevant?
Händler erheben über Shopify Kundendaten wie
- Name,
- E-Mail und
- Adresse.
Dabei handelt es sich um personenbezogene Daten. Shopify verarbeitet diese Daten vorwiegend auf europäischen Servern. Einige Daten schickt Shopify an seine kanadischen Server.
Datenübermittlungen nach Kanada sind durch einen Angemessenheitsbeschluss legitimiert. Vereinzelt versendet das Unternehmen Daten an Unterauftragsverarbeiter in den USA. Shopify verpflichtet diese jedoch dazu, strenge Datenschutzpflichten einzuhalten. Händler, die Shopify verwenden, müssen daher keine gesonderte Legitimation für den außereuropäischen Datentransfer, wie über Standardvertragsklauseln, beachten. Sie müssen jedoch verschiedene europäische Datenschutzpflichten erfüllen. Das schreibt die Datenschutz-Grundverordnung (DSGVO) für die Verarbeitung von personenbezogenen Daten vor.
Shopify datenschutzkonform verwenden
Um Shopify datenschutzkonform verwenden zu können, müssen Händler diesen Pflichten nachkommen:
Vertrag zur Auftragsverarbeitung abschließen
Händler, die Shopify nutzen, geben die Daten ihrer Kunden an den Anbieter weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung schließen. Das gibt Art. 28 DSGVO vor. Shop-Betreiber sollten in dem Vertrag erklären,
- welche Kundendaten Shopify speichert,
- warum es die personenbezogenen Daten speichert,
- wie lange es diese speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Händler müssen in ihrer Datenschutzerklärung aufführen, dass sie Shopify verwenden. In diesem Kontext müssen sie erklären, dass sie mit dem Anbieter der Software einen Vertrag zur Auftragsverarbeitung geschlossen haben. Dabei sollten sie erwähnen,
- warum Shopify die Kundendaten erhält,
- wie lange der Anbieter diese speichert,
- welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
- dass Kunden der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zu Shopify
Geben Händler personenbezogene Daten ihrer Kunden an Dritte weiter und schließen sie dafür keinen Vertrag zur Auftragsverarbeitung, droht ihnen ein Bußgeld. Per Gesetz kann dies bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent ihres weltweiten Jahresumsatzes liegen. Ein Versandunternehmen musste daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen Vertrag zur Auftragsverarbeitung geschlossen.