Weitergehende Übertragungen von personenbezogenen Daten
Damit wir dir unsere Dienste effektiv anbieten können, werden die personenbezogenen Daten, die du der Shopify-Entität, mit der du einen Vertrag abgeschlossen hast, zur Verfügung stellst, an die folgenden Empfänger weitergegeben:
- bestimmte andere Shopify-Entitäten
- sorgfältig ausgewählte und vertrauenswürdige Unterauftragnehmer
Dieser Abschnitt enthält Informationen darüber, wie weitergehende Übertragungen geregelt sind.
Auf dieser Seite
Weitergehende Übertragung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) und dem Vereinigten Königreich (UK)
Shopify International Limited, ein in Irland eingetragenes Unternehmen, ist Shopifys Hauptvertragspartner für Händler in der EMEA-Region (Europa, Naher Osten und Afrika) und der LATAM-Region (Lateinamerika). International Limited fungiert auch als Hauptniederlassung von Shopify für die Zwecke der Datenschutz-Grundverordnung (DSGVO).
Die Datenschutz-Grundverordnung und das entsprechende Gesetz im Vereinigten Königreich schreiben vor, dass bei der Weitergabe personenbezogener Daten an eine Stelle außerhalb des EWR und des Vereinigten Königreichs ein im Wesentlichen gleichwertiges Schutzniveau im Zielland gegeben sein muss. Aus diesem Grund müssen derartige internationale Übertragungen durch strenge rechtliche Mechanismen geschützt werden.
So erfüllt Shopify die DSGVO-Anforderungen an internationale Datenübertragungen
Um die Anforderungen zu erfüllen, stützt sich Shopify auf die Angemessenheitsentscheidung der Europäischen Kommission für Kanada, wenn Shopify International Limited personenbezogene Daten an seine in Kanada eingetragene Muttergesellschaft Shopify Inc. übermittelt. Mehr Informationen über Angemessenheitsentscheidungen.
Darüber hinaus verwendet Shopify umfassende Vereinbarungen zur Datenübertragung und -verarbeitung (DPAs), die die neueste Version der von der Europäischen Kommission genehmigten Standardvertragsklauseln (SCCs) einbeziehen, um Folgendes zu regulieren:
- alle Übertragungen innerhalb der Shopify-Gruppe
- weitergehende Übertragungen an unsere Unterauftragsverarbeiter
Wir bewerten unsere Unterauftragsverarbeiter sorgfältig, um sicherzustellen, dass sie über angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten verfügen, und führen angemessene Folgenabschätzungen für die Übertragung durch. Mehr Informationen über Standardvertragsklauseln (SCCs).
Sowohl die Angemessenheitsentscheidung als auch die Standardvertragsklauseln werden von den Datenschutzbehörden im EWR und im Vereinigten Königreich als rechtsgültige und ausreichende Übertragungsmechanismen angesehen.
Als ergänzende Maßnahme hat Shopify auch die Genehmigung der verbindlichen Unternehmensregeln beantragt, um die Übertragung von Daten innerhalb der Shopify-Gruppe weitergehend zu regulieren. Dieser Antrag wurde bei der für Shopify zuständigen Aufsichtsbehörde, der irischen Datenschutzkommission, für die Zwecke der DSGVO eingereicht. Diese Regeln stellen einen zusätzlichen rechtlichen Übertragungsmechanismus zur Sicherung der Übertragungen innerhalb unserer Unternehmensgruppe dar. Wir befinden uns in der Endphase dieses Antrags und erwarten, dass er bald genehmigt wird.
Weitergehende Übertragungen von personenbezogenen Daten aus allen anderen Regionen
Bestimmte Datenschutzgesetze in anderen Gerichtsbarkeiten als dem EWR und Vereinigten Königreich erfordern ebenfalls spezifische Schutzmaßnahmen bei der internationalen Übertragung von personenbezogenen Daten. Um diese Anforderungen zu erfüllen, enthalten die Datenverarbeitungsvereinbarungen (DPAs) von Shopify, die die Übertragung innerhalb der Shopify-Gruppe regeln, und die Datenverarbeitungsvereinbarungen (DPAs), die die weitergehende Übertragung an unsere Unterauftragsverarbeiter regeln, angemessene Schutzmaßnahmen, um die Einhaltung der Datenschutzgesetze in Kanada, den Vereinigten Staaten (USA) und Singapur zu gewährleisten, soweit diese anwendbar sind. Wir aktualisieren und pflegen diese Vereinbarungen nach Bedarf.
Daten-Hosting-Standorte
Shopify gleicht den Speicherplatz zwischen mehreren Google Cloud Platform-Regionen dynamisch aus, um sicherzustellen, dass wir eine zuverlässige und skalierbare Infrastruktur anbieten können, die unvorhersehbare Datenvolumen in unserer gesamten Händlerdatenbank verarbeiten kann. Wir müssen dazu in der Lage sein, Daten geografisch zu verschieben, um unsere Dienste zu betreiben. Wir haben Mechanismen eingerichtet, um dieses Vorgehen in Übereinstimmung mit den geltenden Gesetzen und Vorschriften, einschließlich der Datenschutz-Grundverordnung, auszuüben.
Shopify speichert nun bestimmte personenbezogene Daten von Händlern und Kunden in Europa (d. h. im EWR, im Vereinigten Königreich und/oder in der Schweiz) wie folgt:
- Neue Händler in Europa nutzen automatisch diese neue Infrastruktur. Ihre Shop-Daten, Bestelldaten und personenbezogenen Kundendaten werden in Europa nun standardmäßig als Daten im Ruhezustand gespeichert.
- Alle bestehenden Shopify-Funktionen können weiterhin verwendet werden.
- Auch wenn personenbezogene Daten von den Kunden der Händler in Europa gespeichert werden, sind wir zur Verarbeitung dieser personenbezogenen Daten auf internationale Datenübertragungen angewiesen.
So wählt Shopify seine Unterauftragsverarbeiter aus
Im Einklang mit der Datenschutz-Grundverordnung und anderen geltenden Datenschutzgesetzen ergreift Shopify eine Reihe von Best-Practice-Maßnahmen bei der Beauftragung von Unterauftragsverarbeitern:
- Wir wählen die Unternehmen, mit denen wir zusammenarbeiten, sorgfältig aus.
- Wir nutzen nur eine begrenzte Anzahl von Drittanbietern.
- Wir bestehen darauf, dass Unterauftragsverarbeiter eine umfassende Vereinbarung zur Datenverarbeitung (DPA) unterzeichnen, die die Standardvertragsklauseln (SCCs) enthält und zusätzlich zu den angemessenen Schutzmaßnahmen die Einhaltung der Datenschutzgesetze in Kanada, den USA und Singapur gewährleistet.
- Wir beschränken die Nutzung unserer Unterauftragsverarbeiter auf technische Dienste: Cloud-Hosting, Fehlerprotokollierung, Lastausgleich, Bereitstellung von Inhalten, Kartierung der Zustellung, Datenanalyse und interne Protokollierung (Protokolldateien).
- Die Übertragung erfolgt kontinuierlich und auf sicherer Basis.
- Außer auf Anweisung des Verantwortlichen werden absichtlich keine vertraulichen oder besonderen Kategorien personenbezogener Daten verarbeitet.
- Wir überprüfen die Datenschutz- und Sicherheitsprogramme unserer Unterauftragsverarbeiter sorgfältig.
Erfahre mehr über die wichtigsten Unterauftragsverarbeiter von Shopify.