Was macht Shopify?
Shopify ist eine E-Commerce-Software, mit der Händler einen Onlineshop erstellen können. Sie können mit der Software zudem ihre gesamten logistischen Prozesse abwickeln. Shopify verarbeitet dabei unter anderem Bestellungen und übernimmt den Zahlungsverkehr. Was müssen Händler datenschutzrechtlich beachten, wenn sie Shopify für ihr Business verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Shopify datenschutzrechtlich relevant?
Händler erheben über Shopify Kundendaten wie
- Name,
- E-Mail und
- Adresse.
Dabei handelt es sich um personenbezogene Daten. Shopify verarbeitet diese Daten vorwiegend auf europäischen Servern. Einige Daten schickt Shopify an seine kanadischen Server. Datenübermittlungen nach Kanada sind durch einen Angemessenheitsbeschluss legitimiert. Vereinzelt versendet das Unternehmen Daten an Unterauftragsverarbeiter in den USA. Shopify verpflichtet diese jedoch dazu, strenge Datenschutzpflichten einzuhalten. Händler, die Shopify verwenden, müssen daher keine gesonderte Legitimation für den außereuropäischen Datentransfer, wie über Standardvertragsklauseln, beachten. Sie müssen jedoch verschiedene europäische Datenschutzpflichten erfüllen. Das schreibt die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) für die Verarbeitung von personenbezogenen Daten vor.
Shopify datenschutzkonform verwenden
Um Shopify datenschutzkonform verwenden zu können, müssen Händler diesen Pflichten nachkommen:
Vertrag zur Auftragsverarbeitung abschließen
Händler, die Shopify nutzen, geben die Daten ihrer Kunden an den Anbieter weiter. Dieser verarbeitet die Daten für Händler weisungsgebunden. Dafür müssen sie mit Shopify einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Das gibt Art. 28 DSGVO vor. Der Vertrag sollte erklären,
- welche Kundendaten Shopify speichert,
- warum es die personenbezogenen Daten speichert,
- wie lange es diese speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Shopify hat in seine allgemeinen Geschäftsbedingungen ein Data Processing Addendum integriert. Dies dient als AV-Vertrag. Händler schließen diesen automatisch ab, wenn sie die Geschäftsbedingungen akzeptieren.
Datenschutzerklärung anpassen
Händler müssen in ihrer Datenschutzerklärung aufführen, dass sie Shopify verwenden. In diesem Kontext müssen sie erklären, dass sie mit dem Anbieter der Software einen AV-Vertrag geschlossen haben. Dabei sollten sie erwähnen,
- warum Shopify die Kundendaten erhält,
- wie lange der Anbieter diese speichert,
- welche Rechtsgrundlage das ermöglicht (Art. 6 Abs. 1 lit. c DSGVO) und
- dass Kunden der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zu Shopify
Zu Shopify liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Datenschutzbehörden sprechen jedoch Strafen aus, wenn Unternehmen es versäumen, mit Dritten einen AV-Vertrag abzuschließen:
Datenschutzbehörde Hamburg zum AV-Vertrag
Geben Händler personenbezogene Daten ihrer Kunden zur weisungsgebundenen Verarbeitung an Dritte weiter und schließen sie dafür keinen AV-Vertrag, droht ihnen ein Bußgeld. Per Gesetz kann dies bei bis zu 10 Millionen Euro oder alternativ bei bis zu 2 Prozent ihres weltweiten Jahresumsatzes liegen. Ein Versandunternehmen musste daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Es hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußballclub VfB Stuttgart arbeitete mit mehreren Dienstleistern zusammen, um Mitgliederdaten verarbeiten zu lassen. Er schloss mit diesen jedoch keinen AV-Vertrag. Das bestrafte die Datenschutzbehörde Baden-Württemberg im März 2021 mit einem Bußgeld in Höhe von 300.000 Euro. Denn: Der Verein hatte mit seinem Vorgehen gegen die DSGVO verstoßen.