Möchtest du einen Onlineshop erstellen?

Shopify und das EU-US Privacy Shield-Abkommen

shopify privacy shield

Der Europäische Gerichtshof (EuGH) erließ am 16. Juli 2020 ein Urteil, welches das EU-US Privacy Shield-Abkommen für ungültig erklärt. Das Abkommen diente dazu, Unternehmen eine Möglichkeit zu geben, Daten aus der EU legal in die USA zu transferieren.

Shopify-Nutzer sind von dieser Entscheidung des EuGH nicht betroffen.

Shopify ist ein kanadisches Unternehmen mit Firmensitz in der Hauptstadt Ottawa. Bei der Verarbeitung und dem Schutz der Daten greift hier also das kanadische Datenschutzgesetz (PIPEDA), welches von der Europäischen Kommission für angemessen erklärt wurde.

Shopify nimmt den Datenschutz sehr ernst. Aus diesem Grund haben wir uns vertraglich gegenüber unseren Händlern zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) verpflichtet und unsere Infrastruktur so gestaltet, dass die grenzüberschreitende Datenübertragung DSGVO-konform ist. Dabei werden personenbezogene Daten von Personen aus Europa zuerst innerhalb von Europa (in Irland, dem europäischen Sitz von Shopify) empfangen und verarbeitet, bevor wir diese Daten weiter nach Kanada zur Muttergesellschaft und an andere Standorte übertragen.

Weitere Informationen zur grenzüberschreitenden Datenübertragung und Dateninfrastruktur bei Shopify findest du in unserem Whitepaper "Shopify & Datenübertragungen"

White Paper "Shopify & Datenübertragungen" herunterladen


Interesse geweckt? Teste Shopify jetzt komplett kostenlos!

14 Tage lang gratis—keine Kreditkarte oder Kündigung erforderlich.


Was tut Shopify, um die Daten gemäß der DSGVO zu schützen?

Die DSGVO sieht verschiedene Schutzmaßnahmen vor, um personenbezogene Daten von in Europa ansässigen Personen außerhalb Europas zu übertragen. Dazu zählt, dass das Datenschutzgesetz des Ziellandes für angemessen befunden werden muss, um sicherzustellen, dass die Daten geschützt sind (Artikel 45 DSGVO - Angemessenheitsbeschluss).

Die Europäische Kommission hat entschieden, dass das kanadische Datenschutzgesetz „Personal Information Protection and Electronic Documents Act“ (PIPEDA), das für die Verarbeitung von Daten durch die Muttergesellschaft von Shopify gilt, diese Daten angemessen schützt.

Personenbezogene Daten dürfen innerhalb einer Unternehmensgruppe übertragen werden (z.B. zwischen Shopify Inc. (Kanada) und Shopify in den USA), wenn diese Unternehmen über eine interne Richtlinie zum Schutz der Daten verfügen. Diese bezeichnet man als „Verbindliche Unternehmensregeln“ (Binding Corporate Rules, BCRs), die durch eine europäische (in Irland ansässige) Datenschutzbehörde genehmigt werden (Artikel 47 DSGVO). Die verbindlichen Unternehmensregeln von Shopify befinden sich gerade im Genehmigungsprozess.

Zudem werden die Daten bei der Übertragung und Speicherung verschlüsselt. Dadurch können persönliche Daten nicht ohne Weiteres entschlüsselt werden. Die unzureichende Verschlüsselung war übrigens einer der Hauptgründe, warum das EU-US Privacy Shield-Abkommen vom EuGH für unzureichend befunden wurde.

Auch wenn wir an dieser Stelle keine verbindliche Rechtsberatung geben dürfen, kann man unserer Meinung nach feststellen, dass die Ungültigkeitserklärung des EU-US Privacy Shield-Abkommens keine Auswirkung auf die Nutzung von Shopify hat, weil wir die Daten gemäß des kanadischen Datenschutzgesetzes und internen Shopify-Richtlinien DSGVO-konform verarbeiten und schützen.


Template Icon

Kostenloses Webinar: In 30 Minuten zum eigenen Onlineshop

Du willst selbst mal sehen, wie schnell du einen Shop aufsetzen kannst?

Der Shopify-Experte und leidenschaftliche Shop-Betreiber Adrian Piegsa zeigt dir, wie du dich anmeldest, eine Domain verknüpfst, Produkte auswählst und natürlich alle rechtlichen Vorgaben umsetzt.

Jetzt kostenlos teilnehmen

Was müssen Händler tun, um Shopify datenschutzkonform zu nutzen?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) ein verbindlich geltendes Recht in Europa. Händler müssen seitdem strengere Regeln einhalten, um personenbezogene Daten zu schützen.

Alle Informationen zur DSGVO findest du in unserem Help-Center und in unserem Shopify DSGVO Whitepaper.

Als Verarbeiter der Daten deiner Kunden schützt Shopify, wie im Abschnitt zuvor erklärt, diese Daten und stellt die DSGVO-Konformität sicher. Alle Informationen zu den Verpflichtungen von Shopify als Datenverarbeiter deiner Kundendaten findest du im Anhang zur Datenverarbeitung (DPA).

Shopify tut zwar alles, um dich für den Erfolg zu rüsten, es gibt jedoch auch Maßnahmen, die du selbst ergreifen musst. Du solltest daher folgende Überlegungen anstellen:

  • Musst du Verarbeitungsverzeichnisse erstellen?
  • Benötigst du einen Datenschutzbeauftragten?
  • Muss deine Datenschutzerklärung angepasst werden?
  • Welche Verträge zur Auftragsverarbeitung benötigst du?
  • Brauchst du die Zustimmung deiner Kunden, um Daten zu verarbeiten?
  • Nutzt du externe Anwendungen, Themes oder Apps und sind diese regelkonform mit der DSGVO?

Wenn du dir bei der Beantwortung der Fragen nicht sicher bist, empfehlen wir dir entsprechende Rechtsberatung einzuholen, um darüber zu sprechen und offene Fragen zu klären.

Wie du fit für die DSGVO wirst, schildern wir dir Schritt-für-Schritt in unserem Beitrag von Volljuristin Bernadette Mohme. Schau dir auch unser Webinar von IT-Recht Kanzlei an “In 10 Minuten: So machst du deinen Shopify Onlineshop rechtssicher”.

White Paper "Shopify & Datenübertragungen" herunterladen


Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung für Informationen, die spezifisch für dein Land und deine Umstände sind. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.
Themen: