Shopify-Nachtrag zur Datenverarbeitung

Dieses Data Processing Addendum („DPA“) von Shopify ändert die Allgemeinen Geschäftsbedingungen von Shopify (die „Vereinbarung“) von und zwischen Ihnen und Shopify Inc., einem kanadischen Unternehmen mit Sitz unter der Adresse 151 O’Connor Street, Ground floor, Ottawa, ON, K2P 2L8, Kanada, im Auftrag von Shopify selbst, seinem in Singapur ansässigen zugehörigen Unternehmen Shopify Commerce Singapore PTE. LTD. und dem irischen zugehörigen Unternehmen Shopify International Ltd. (zusammen „Shopify“).

1. Begriffsbestimmungen

(a) „Datenschutzgesetze“ bezeichnet die EU-Richtlinie 2016/679 (die „Datenschutz-Grundverordnung“) oder den California Civil Code Section 1798.100-1798.199 (der „California Consumer Privacy Act of 2018“), soweit zutreffend, sowie alle Gesetze und/oder Vorschriften, die diese umsetzen oder im Rahmen dieser Richtlinien erlassen wurden oder sie ersetzen;

(b) Die Begriffe „Datenverarbeiter“, „Betroffene Person“, „Auftragsverarbeiter“, „Verarbeitung“, „Unterauftragsverarbeiter“ und „Aufsichtsbehörde“ sind im Einklang mit geltenden Datenschutzgesetzen auszulegen;

(c) „Service-Anbieter“ ist im Einklang mit dem California Consumer Privacy Act of 2018 zu interpretieren;

(d) „Personenbezogene Daten“ wie in diesem Addendum verwendet bezeichnet Informationen zu einer identifizierbaren oder identifizierten betroffenen Person, die Ihren Shop besucht oder Transaktionen darüber ausführt (ein „Kunde“), welche Shopify im Rahmen der Erbringung der Services für Sie als Auftragsverarbeiter verarbeitet. Ungeachtet des vorherigen Satzes umfassen personenbezogene Daten keine Informationen, die Shopify im Zusammenhang mit Services verarbeitet, die unmittelbar für einen Verbraucher erbracht werden, etwa durch verbraucherorientierte Anwendungen wie Frenzy, Arrive oder verbraucherorientierte Services wie Shop Pay;

(e) „Anfrage einer betroffenen Personen“ bezeichnet in diesem Addendum eine Anfrage auf Zugriff, Löschung, Richtigstellung oder Portabilität der personenbezogenen Daten Ihres Kunden; und

(f) alle anderen Begriffe in diesem Addendum haben dieselbe Definition wie in der Vereinbarung.

2. Datenschutz

2.1. Wenn eine betroffene Person im Europäischen Wirtschaftsraum ansässig ist, werden die personenbezogenen Daten dieser Person von Shopify International Ltd., dem mit Shopify verbundenen Unternehmen in Irland, verarbeitet. Im Rahmen der Erbringung der Services können diese personenbezogenen Daten in andere Regionen übermittelt werden, unter anderem nach Kanada und in die Vereinigten Staaten. Diese Übermittlungen erfolgen im Einklang mit den jeweiligen Datenschutzgesetzen.

2.2. Wenn Shopify bei der Erbringung der Services personenbezogene Daten verarbeitet, wird Shopify:

  • 2.2.1. die personenbezogenen Daten als Auftragsverarbeiter und/oder Service-Anbieter verarbeiten, und zwar nur für die Erbringung der Services gemäß den dokumentierten Anweisungen von Ihnen (sofern diese Anweisungen mit den Funktionen der Services zu vereinbaren sind) und wie möglicherweise im Anschluss von Ihnen zugestimmt. Wenn Shopify gesetzlich zur Verarbeitung der personenbezogenen Daten für andere Zwecke verpflichtet ist, informiert Shopify Sie im Voraus über diese Verpflichtung, es sei denn, es ist Shopify gesetzlich untersagt, Sie auf diese Weise zu informieren

  • 2.2.2. Sie informieren, wenn Ihre Anweisung für die Verarbeitung personenbezogener Daten nach Einschätzung von Shopify die einschlägigen Datenschutzgesetze verletzt

  • 2.2.3. Sie, soweit dies gesetzlich zulässig ist, unverzüglich informieren, sobald Shopify eine Anfrage oder Beschwerde von einer Aufsichtsbehörde im Zusammenhang mit der Verarbeitung der personenbezogenen Daten durch Shopify erhalten hat;

  • 2.2.4. geeignete technische und organisatorische Maßnahmen treffen, die es Ihnen ermöglichen, die Anfrage der betroffenen Person, der Sie nachkommen müssen, selbst auszuführen;

    • 2.2.5. geeignete technische und organisatorische Maßnahmen treffen und aufrechterhalten, um die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, Zerstörung, Schädigung, Diebstahl, Änderung oder Offenlegung zu schützen. Diese Maßnahmen sind für den Schaden, der durch eine unbefugte oder unrechtmäßige Verarbeitung, den unbeabsichtigten Verlust, die Zerstörung, Schädigung oder den Diebstahl personenbezogener Daten entstehen könnte, sowie für die Art der personenbezogenen Daten angemessen, die zu schützen sind
  • 2.2.6. Ihnen auf Anfrage aktuelle Bestätigungen, Berichte oder Auszüge dieser Daten zur Verfügung stellen, sofern sie von einer Quelle beschafft werden können, die mit der Prüfung der Datenschutzpraktiken von Shopify beauftragt wurde (z. B. externe Prüfer, interne Prüfer, Datenschutzprüfer), oder geeignete Zertifizierungen, damit Sie die Einhaltung der Bestimmungen dieses Addendums beurteilen können;

    • 2.2.7. Sie ohne unnötige Verzögerung informieren, sobald Shopify Kenntnis von einer unbeabsichtigten, unbefugten oder unrechtmäßigen Verarbeitung, Offenlegung der personenbezogenen Daten oder des Zugriffs darauf erlangt und bestätigt
  • 2.2.8. sicherstellen, dass seine Mitarbeiter, die auf die personenbezogenen Daten zugreifen, Vertraulichkeitsverpflichtungen unterliegen, die sie in ihrer Fähigkeit einschränken, die personenbezogenen Daten von Kunden offenzulegen, und

  • 2.2.9. mit Beendigung der Vereinbarung unverzüglich seinen Bereinigungsprozess einleiten, um die personenbezogenen Daten zu löschen oder zu anonymisieren. Wenn Sie innerhalb von 60 Tagen nach Beendigung eine Kopie dieser personenbezogenen Daten anfordern, stellt Shopify Ihnen eine Kopie dieser personenbezogenen Daten zur Verfügung.

2.3 Sie erkennen an und erklären sich damit einverstanden, dass Shopify im Laufe der Erbringung der Services Unterauftragsverarbeiter für die Verarbeitung der personenbezogenen Daten einsetzen darf. Die Verwendung eines bestimmten Unterauftragsverarbeiters für die Verarbeitung der personenbezogenen Daten durch Shopify muss im Einklang mit den Datenschutzgesetzen stehen und durch einen Vertrag zwischen Shopify und dem Unterauftragsverarbeiter geregelt werden.

3. Verschiedenes

3.1 Bei Konflikten oder Unstimmigkeiten zwischen den Bestimmungen der Vereinbarung und diesem Addendum haben die Bestimmungen dieses Addendums Vorrang. Zur Vermeidung von Zweifeln und soweit dies nach geltendem Recht zulässig ist, wird jegliche Haftung im Rahmen dieses Addendums, einschließlich Haftungsbeschränkungen, durch die jeweiligen Bestimmungen der Vereinbarung geregelt. Sie erkennen an und stimmen zu, dass Shopify dieses Addendum von Zeit zu Zeit durch Veröffentlichen des entsprechend geänderten und angepassten Addendums auf der Website von Shopify ändern kann, die unter https://www.shopify.com/legal/dpa verfügbar ist, und dass solche Änderungen des Addendums ab dem Datum der Veröffentlichung gültig sind. Wenn Sie nach Veröffentlichung des geänderten Addendums auf der Website von Shopify die Services weiterhin nutzen, gilt dies als Zustimmung und Annahme des geänderten Addendums durch Sie. Wenn Sie Änderungen am Addendum nicht zustimmen, dürfen Sie die Services nicht mehr nutzen.

3.2 Mit Ausnahme der in diesem Addendum ausdrücklich modifizierten und geänderten Abschnitte bleiben sämtliche Bedingungen, Bestimmungen und Anforderungen der Vereinbarung in vollem Umfang wirksam und regeln dieses Addendum. Wenn eine Bestimmung des Addendums in einem Gerichtsverfahren für rechtswidrig oder nicht durchsetzbar erklärt wird, wird diese Bestimmung abgetrennt und ist unwirksam, und die übrigen Bestimmungen des Addendums bleiben für die Parteien wirksam und verbindlich.

3.3 Die Bestimmungen dieses Addendums unterliegen den Gesetzen der Provinz Ontario und den dort anwendbaren Gesetzen Kanadas und werden entsprechend ausgelegt, ohne Berücksichtigung der Prinzipien des Kollisionsrechts. Die Parteien unterwerfen sich unwiderruflich und bedingungslos der ausschließlichen Zuständigkeit der Gerichte der Provinz Ontario in Bezug auf Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit diesem Addendum ergeben.