Wie wirkt sich die DSGVO auf dich aus?

Die Datenschutz-Grundverordnung (DSGVO) betrifft alle Shopify-Händler, die in Europa ansässig sind oder europäische Kunden bedienen. Während Shopify alles daransetzt, den Anforderungen zu entsprechen, und es seinen Händlern ermöglicht, ebenfalls den Anforderungen der DSGVO sofort am 25. Mai 2018 gerecht zu werden, muss darauf hingewiesen werden, dass die DSGVO auch Maßnahmen deinerseits unabhängig von der Shopify-Plattform erforderlich macht.

Shopify möchte Händlern helfen, sich ideal zu positionieren, um das Gesetz einhalten zu können. Dieser Artikel enthält Fragen, die du berücksichtigen solltest und die dir dabei helfen sollen, deine Verpflichtungen zu ermessen, um sicherzustellen, dass du dein Geschäft gesetzeskonform eingerichtet hast.

Dies ist jedoch keine Rechtsberatung. Die DSGVO ist eine komplizierte Verordnung und wird für verschiedene Händler unterschiedlich gelten. Du solltest einen Anwalt konsultieren, um herauszufinden, was du konkret tun musst.

Informationen zur Verarbeitung von Datenanfragen findest du unter Verarbeitung von DSGVO-Datenanfragen.

Warum kann Shopify die DSGVO-Konformität für die Händler nicht handhaben?

Die DSGVO erlegt verschiedene Verpflichtungen für Datenverantwortliche und Datenverarbeiter auf. Als Datenverarbeiter erfüllt Shopify seine eigenen gesetzlichen Verpflichtungen gemäß der DSGVO. Händler (als Verantwortliche) haben jedoch auch eigene gesonderte Verpflichtungen, die sie beachten müssen.

Shopify bietet Händlern eine Plattform, die so konfiguriert werden kann, dass sie der DSGVO entspricht. Du musst dir jedoch selbst überlegen, wie du dein Unternehmen führen möchtest.

Zur weiteren Orientierung haben die folgenden Verordnungsgeber in der Europäischen Union spezifische Leitlinien zur DSGVO bereitgestellt:

Sammeln von persönlichen Daten

Die DSGVO schützt die Grundrechte von Personen innerhalb der Europäischen Union in Bezug auf die Verarbeitung personenbezogener Daten.

Beispiele für persönliche Daten sind:

  • Name
  • Adresse
  • E-Mail-Adresse
  • Social-Media-Konto
  • Digitale Kennung wie eine IP-Adresse oder eine Cookie-ID.

Denke über die folgenden Fragen nach:

  • Erhebe persönliche Daten von Kunden in Europa? Die meisten Webseiten sind für Einwohner Europas verfügbar und fallen somit unter die DSGVO.
  • Wenn dein Geschäft Apps oder Themes von Drittanbietern verwendet, erfolgt die Erfassung und Verarbeitung der Daten in Übereinstimmung mit der DSGVO? Um diesen Vorgang zu vereinfachen, fordert Shopify von allen Apps, dass sie eine Datenschutzerklärung veröffentlichen, in der ihre Datenverarbeitungspraktiken detailliert beschrieben werden, damit du beurteilen kannst, ob du mit den Datenpraktiken dieser App zufrieden bist. Die von Shopify entwickelte Apps fallen unter den Datenverarbeitungszusatz und Shopify ist für deren Konformität verantwortlich.
  • Erfolgt die Datenerfassung und Datenverarbeitung durch die von dir verwendeten Kanäle und Zahlungsgateways in Übereinstimmung mit der DSGVO? Du solltest nachfragen, um sicherzustellen, dass dies der Fall ist.
  • Verfügst du über eine Liste aller Arten von persönlichen Daten, die du von deinen Kunden erfasst, und über alle Arten, in denen du diese Daten verwendest? Gemäß Artikel 30 der DSGVO musst du eine aktuelle Übersicht deiner Datenpraktiken haben.

Datenschutzerklärung

Die DSGVO (insbesondere die Artikel 12 bis 14) schreibt vor, dass du Personen, deren Daten du verarbeitest, bestimmte Informationen zur Verfügung stellst, im Allgemeinen in Form einer Datenschutzerklärung oder Datenschutzerklärung.

Du kannst den (englischsprachigen) Generator für Datenschutzerklärungen verwenden, um damit zu beginnen. Du findest ihn in deinen Einstellungen unter Checkout oder online.

Denke über die folgenden Fragen nach:

  • Hast du auf deiner Website eine Datenschutzerklärung, die alle Informationen enthält, die du gemäß der Verordnung bereitstellen musst? Beinhaltet diese zumindest, wie Kunden mit dir in Bezug auf Datenschutzfragen in Kontakt treten können und wie Kunden ihre Rechte ausüben können, zum Beispiel das Recht auf Löschung oder Berichtigung (Änderung oder Korrektur) ihrer Daten und das Recht darauf zuzugreifen?
  • Steht in deiner Datenschutzerklärung, dass Shopify die persönlichen Daten deiner Kunden für automatisiertes Risiko- und Betrugs-Scoring verwenden darf? Die DSGVO schreibt vor, dass du angibst, wann du (oder deine Dienstleister) ihre Informationen in Verbindung mit automatisierter Entscheidungsfindung verwendest. Shopify nutzt die personenbezogenen Daten deiner Kunden, um bestimmte Transaktionen, die durch automatisierte Entscheidungen als betrügerisch erscheinen, zu blockieren. Shopifys (englischsprachiger) Generator für Datenschutzerklärungen enthält diese Informationen. Weitere Informationen zu diesem System findest du unter Automatisierte Entscheidungsfindung.

Ernennung eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter (DSB) überwacht, wie deine Organisation persönliche Daten erfasst und verarbeitet. Wenn du mit deinem Unternehmen Online-Tracking in großem Umfang betreibst, schreibt die DSGVO vor, dass du einen DSB einsetzt und Kontaktinformationen für den DSB in deiner Datenschutzerklärung angibst.

Die DSGVO enthält spezifische Aufgaben, die ein DSB erfüllen muss, z. B. die Durchführung von Datenschutz-Folgenabschätzungen, wenn deine Organisation die Art, wie persönliche Daten erfasst und verarbeitet werden, ändert. Der DSB kann eine interne Person sein, die über Kenntnisse in Bezug auf die DSGVO und Datenschutzanforderungen verfügt, du kannst jedoch auch mit einem Berater oder einer Firma zusammenzuarbeiten, die dann als externer DSB fungiert.

Denke über die folgenden Fragen nach:

  • Wie viele Menschen sind von Tracking-Technologien in deiner Storefront betroffen? Dazu können verhaltensorientierte Werbungs-Apps oder sogar Retargeting-Apps gehören. Ob die Anzahl der betroffenen Personen "umfangreich" ist oder nicht, ist eine rechtliche Entscheidung, und du solltest dich je nach deinen Umständen mit einem Anwalt beraten.
  • Solltest du freiwillig einen DSB einsetzen? Selbst wenn du gesetzlich nicht verpflichtet bist, einen DSB einzusetzen, solltest du dies, wenn deine Präsenz in Europa groß genug ist, unter Umständen freiwillig tun, um sicherzustellen, dass du die Daten deiner Kunden ausreichend schützt.

Datenverarbeitungsvereinbarungen

Artikel 28 schreibt vor, dass du, wenn du als Datenverantwortlicher im Rahmen der DSGVO einen Datenverarbeiter (wie Shopify) mit der Verarbeitung der Daten deiner Kunden beauftragst, strenge vertragliche Anforderungen auferlegst, was die Verwendung und Verarbeitung dieser Daten betrifft. Dies geschieht in der Regel über einen Data Processing Addendum oder DPA.

Shopify hat automatisch eine Datenverarbeitungsvereinbarung (https://www.shopify.com/legal/dpa) in seine Nutzungsbedingungen aufgenommen, in der die Anforderungen von Artikel 28 behandelt werden.

Die Beziehung von Shopify Plus-Händlern zu Shopify wird von ihren ausgehandelten Verträgen geregelt. Plus-Händler können ein Data Processing Addendum unterschreiben, um ihren Anforderungen gerecht zu werden. Shopify Plus-Händler, die kein Data Processing Addendum unterzeichnen, unterliegen dem Online Data Processing Addendum von Shopify.

Denke über die folgenden Fragen nach:

  • Sind andere Datenverarbeiter, mit denen du außerhalb von Shopify zusammenarbeiten, vertraglich verpflichtet, die Daten deiner Kunden zu schützen? Viele Apps von Drittanbietern, Kanälen, Payment Gateways oder anderen Datenverarbeitern nehmen automatisch eine Datenverarbeitungsvereinbarung in ihre Bedingungen mit auf. Hast du dich mit jedem dieser Drittanbieter beraten?

  • Bist du ein Shopify Plus-Händler mit einem ausgehandelten Vertrag? Wenn du ein Data Processing Addendum (DPA) unterzeichnen möchtest, wende dich an den Shopify Plus Support. Du kannst deine Shopifys Vorlage der DPA zum Signieren zur Verfügung stellen.

Zustimmung des Kunden

Gemäß der DSGVO musst du möglicherweise die Einwilligung deiner Kunden zur Verarbeitung der personenbezogenen Daten einholen oder ändern, wie du diese Zustimmung derzeit erhältst.

Beispielsweise musst du möglicherweise die Zustimmung deiner Kunden einholen, wenn du deinen Kunden Marketingnachrichten sendest oder wenn du Online-Werbung oder Retargeting-Apps verwendest.

Wenn du eine Zustimmung einholen musst, besagt die DSGVO, dass:

  • Sie freiwillig erfolgen muss: Sie muss völlig freiwillig sein und sollte nicht mit anderen Waren oder Dienstleistungen gebündelt werden.
  • Sie spezifisch sein muss: Sie muss an klar erklärte Anwendungsfällen gebunden sein.
  • Der Betroffene muss informiert sein: Sie kann nur gegeben werden, wenn die betroffene Person ausreichend darüber informiert wird, welche persönlichen Daten erfasst und verwendet werden.
  • Sie eindeutig sein muss: Sie muss durch eine bestätigende Handlung des Händlers erfolgen (das heißt, einfach die Dienste weiter zu benutzen, reicht nicht aus).

Dies bedeutet, dass der Kunde detaillierte Informationen über den speziellen Anwendungsfall erhalten muss und dass er bestätigende Handlungen durchführen muss, um seine Zustimmung zu zeigen.

Wenn du deinen Kunden schließlich die Möglichkeit bietest, ihre Zustimmung zu erteilen, schreibt die DSGVO weiter vor, dass deine Kunden auch die Möglichkeit geben müssen, ihre Zustimmung zu widerrufen. Dies kann oft durch eine Abmeldefunktion erreicht werden. Wenn du Fragen dazu hast, wann und wie du die Zustimmung zur Erhebung persönlicher Daten einholen musst oder in welchem Umfang deine Kunden ihre Zustimmung widerrufen dürfen, solltest du mit einem Anwalt sprechen, der mit den Datenschutzgesetzen vertraut ist.

Die Zustimmung ist jedoch nur eine von vielen Rechtsgrundlagen in der DSGVO, die die Verarbeitung persönlicher Daten rechtfertigen können. Du kannst persönliche Daten auch verarbeiten, um vertragliche Anforderungen zu erfüllen, oder wenn du gesetzlich dazu verpflichtet bist, Daten zu verarbeiten.

Einige europäische Regulierungsbehörden haben vorgeschlagen, dass, wenn du zuerst um Zustimmung bitten und dein Kunde ablehnt bzw. zustimmt, aber dann seine Zustimmung zurückzieht, du dich möglicherweise nicht mehr auf andere Rechtsgrundlagen verlassen kannst, um persönliche Daten zu verarbeiten. Daher solltest du dich nur in den Fällen auf die Zustimmung verlassen, in denen du nicht beabsichtigst (oder dies nicht notwendig ist), dich auf eine andere Rechtsgrundlage zur Verarbeitung persönlicher Daten zu stützen.

Hinweis: Auf der Website des Informationsbeauftragten des Vereinigten Königreichs kannst du mehr über die verschiedenen Rechtsgrundlagen zur Unterstützung der Datenverarbeitung lesen.

Denke über die folgenden Fragen nach:

  • Welche rechtliche Grundlage hast du für die jeweils unterschiedlichen Arten der Nutzung oder Verarbeitung deiner Kundendaten? Erfolgt die Datenverarbeitung basierend auf ihrer Zustimmung? Erfolgt die Verarbeitung, weil du dem Kunden gegenüber eine vertragliche Verpflichtung zu erfüllen hast? Erfolgt die Verarbeitung, um deine berechtigten Geschäftsinteressen zu fördern? Du solltest die Rechtsgrundlage in der Übersicht deiner Datenpraktiken erfassen, die unter Sammeln von persönlichen Daten beschrieben wird.
  • Ist die Zustimmung, die du erhältst, in den Fällen, in denen du auf die Zustimmung angewiesen bist, mit den Waren oder Dienstleistungen gebündelt, die du anbietest? Zum Beispiel sind Aussagen wie by purchasing these goods, you agree to our use of your personal information möglicherweise im Rahmen der DSGVO nicht mehr erlaubt.
  • Mache detaillierte Angaben darüber, wie du die umstrittenen persönlichen Daten verwenden wirst, um sicherzustellen, dass du von dem Kunden eine informierte Zustimmung erhältst?
  • Wird die Zustimmung des Kunden aufgezeichnet und irgendwo gespeichert?
  • Benötigst du eine Zustimmung, um Marketingmitteilungen an deine Kunden zu senden? Selbst wenn du keine Zustimmung gemäß der DSGVO benötigst, verlangen lokale Gesetze unter Umständen von dir, dass du die Zustimmung einholst, um Marketingmitteilungen an deine Kunden zu senden. Spreche mit einem Anwalt über die spezifischen Anforderungen, die für dein Geschäft gelten könnten.
  • Wenn du der Ansicht bist, dass du die Zustimmung zum Senden von Marketingmitteilungen benötigst, ist das Kontrollkästchen für die Marketing-Zustimmung für dein Geschäft standardmäßig deaktiviert? Überlege dir, deine Storefront so einzurichten, dass das Kontrollkästchen für die Marketing-Zustimmung, das deine Kunden sehen, nicht bereits im Vorfeld standardmäßig aktiviert ist, um sicherzustellen, dass deine Kunden eine bestätigende Handlung durchführen müssen, um deine Zustimmung zu geben.

Zustimmung der Eltern

Die DSGVO enthält spezifische Anforderungen, was die Zustimmung der Eltern angeht in Bezug auf die Verarbeitung persönlicher Daten von Benutzern unter 16 (dieses Alter kann in bestimmten Ländern niedriger sein).

Denke über die folgenden Fragen nach:

  • Musst du ändern, wie du Kundendaten verarbeitest, indem du entweder keine Daten von Benutzern unter 16 Jahren mehr verarbeitest oder vor der Verarbeitung die Zustimmung der Eltern einholen musst? Du kannst dies tun, indem du Benutzern unter 16 Jahren den Zugriff auf deine Seite verbietest. Dies kann entweder mit einer App zur Altersbestimmung aus dem Shopify App Store erfolgen, oder indem du die Besucher aufforderst, zu bestätigen, dass sie volljährig sind.

Automatisierte Entscheidungsfindung

Die DSGVO schreibt vor, Kunden zu benachrichtigen, wenn du ihre personenbezogenen Daten verwendest, um irgendwelche automatisierte Entscheidungen vorzunehmen.

Automatisierte Entscheidungsfindung bedeutet, mithilfe automatischer Algorithmen zu entscheiden, ob eine Person für bestimmte Dienstleistungen oder Angebote berechtigt ist, ob ihr ein bestimmter Preis berechnet werden soll oder die Person voraussichtlich an bestimmten Arten von Waren oder Dienstleistungen interessiert ist.

Wenn du irgendwelche Prozesse verwendest, bei denen vollautomatische Entscheidungsfindungen (das heißt, ohne menschliches Zutun) stattfinden, die für den Kunden eine erhebliche rechtliche Auswirkung haben, benötigst du die Zustimmung des Kunden.

Voraussetzungen für automatische Entscheidungsfindungsprozesse
Prozess Anforderung
Automatisierte Entscheidungsfindung Benachrichtigungen
Vollautomatisierte Entscheidungsfindung mit erheblicher rechtlicher Auswirkung Zustimmung

Shopify führt im Allgemeinen keine vollautomatischen Entscheidungsfindungen mit den persönlichen Daten deiner Kunden durch.

Die einzige Ausnahme ist das Risiko- und Betrugs-Screening von Shopify, bei dem Shopify möglicherweise nach einer bestimmten Anzahl fehlgeschlagener Zahlungsversuche automatisch eine Zahlungskartennummer oder IP-Adresse blockiert. Shopify ist nicht der Ansicht, dass dies eine erhebliche rechtliche Auswirkung auf Kunden hat, da die automatische Sperrung nur für kurze Zeit erfolgt.

Denke über die folgenden Fragen nach:

  • Hast du in deine Datenschutzerklärung aufgenommen, dass das Risiko- und Betrugs-Screening von Shopify die persönlichen Daten von Kunden für die automatisierte Entscheidungsfindung verwenden könnte? Weitere Informationen zu den automatisierten Entscheidungsfindungs-Praktiken von Shopify findest du in Abschnitt 13 der Datenschutzerklärung. Du solltest dich, basierend auf deinen besonderen Umständen, auch von einem Anwalt bestätigen lassen, dass dieser Service keine erheblichen rechtlichen Auswirkungen auf deine Kunden hat.
  • Verwende irgendwelche Apps von Drittanbietern, die möglicherweise automatisierten Entscheidungsfindungen betreiben? Du solltest besonders die Risiko- und Betrugsdienste von Drittanbietern überprüfen, die du in Verbindung mit deinem Shop verwendest, oder jegliche Art von Marketing-- oder Werbe-Apps, die Profile oder Zielsegmente deiner Kunden erstellen.
  • Wenn du Apps von Drittanbietern verwendest, die automatisierte Entscheidungsfindung betreiben, musst du dann deine Kunden benachrichtigen oder die Zustimmung zur Benutzung dieser Apps einholen?

Benachrichtigung bei Datenschutzverletzungen

Wenn die DSGVO auf dich zutrifft und du eine Datenverletzung feststellst, musst du möglicherweise betroffene Benutzer oder bestimmte Regulierungsbehörden benachrichtigen.

Insbesondere fordert die DSGVO eine Benachrichtigung, wenn eine Datenschutzverletzung mit großer Wahrscheinlichkeit ein hohes Risiko der Beeinträchtigung der Rechte und Freiheiten von Einzelpersonen birgt.

Dies ist vermutlich der Fall, wenn die Informationen, die durch die Datenverletzung erhalten wurden:

  • Zahlungsdetails enthalten.
  • Benutzt werden könnten, um peinliche oder personenbezogene Daten preiszugeben.
  • Benutzt werden könnten, um auf die Konten oder Dienstleistungen einer Einzelperson zuzugreifen.

Gegebenenfalls musst du dies innerhalb von 72 Stunden nach Bekanntwerden der Verletzung mitteilen.

Denke über die folgenden Fragen nach:

  • Hast du mit einem Anwalt gesprochen, um festzustellen, welche der von deinen erfassten Informationen möglicherweise erfordern, dass du eine Benachrichtigung schickst, wenn du eine Datenschutzverletzung feststellst?
  • Hast du einen Reaktionsplan für dein Unternehmen im Falle einer Datenschutzverletzung, damit du auf ein solches Ereignis vorbereitet bist?
  • Zahlungsdetails enthalten.
  • Benutzt werden könnten, um peinliche oder personenbezogene Daten preiszugeben.
  • Benutzt werden könnten, um auf die Konten oder Dienstleistungen einer Einzelperson zuzugreifen.

Die DSGVO stellt Anforderungen an ein Unternehmen, das Drittanbieter und Dienstanbieter zur Verarbeitung der personenbezogenen Daten seiner Nutzer verwendet.

Shopify lässt die Daten deiner Kunden von einer Reihe von Auftragsverarbeitern verarbeiten. Weitere Informationen zu den Auftragsverarbeitern von Shopify findest du unter Auftragsverarbeiter von Shopify.

Denke über die folgenden Fragen nach:

  • Hast du die Datenschutzpraktiken der von dir verwendeten Anbieter und Dienstanbieter, einschließlich Shopify, daraufhin überprüft, ob sie die personenbezogenen Daten deiner Kunden angemessen schützen?

Apps von Drittanbietern

Die DSGVO schreibt vor, dass du eine Reihe von zustimmenden Schritten in Bezug auf die Erfassung und Nutzung personenbezogener Daten durch deine und deine Drittanbieter unternimmst. Dazu gehören Shopify, aber auch Apps von Drittanbietern, die du möglicherweise in Verbindung mit deinem Shopify Store verwendest.

Shopify hat Maßnahmen ergriffen, um dir zu verdeutlichen, auf welche persönlichen Daten die von dir installierten Apps zugreifen können.

Schritte:

  1. Klicke im Shopify-Adminbereich auf Apps.

  2. Klicke in der App, für die du Berechtigungen überprüfen möchtest, auf Details anzeigen.

Du kannst App-Berechtigungen auch überprüfen, bevor du eine App auf dem Installationsbildschirm im App Store installierst.

Darüber hinaus gibt es im App Store für jede App einen Abschnitt mit einem Link zu einer Datenschutzerklärung, in der ausführlicher erläutert wird, welche Daten App-Entwickler erfassen und wie du sie verwendest.

Während Shopify es dir so leicht wie möglich machen möchte, die Datenpraktiken der Apps zu beurteilen, die du installieren möchtest, liegt es an dir, sicherzustellen, dass du Apps von Drittanbietern so verwendest, dass die DSGVO eingehalten wird.

Denke über die folgenden Fragen nach:

  • Abhängig von deinem Standort, den Standorten deiner Kunden, den Standorten deiner App-Entwickler und deiner Implementierung jeder einzelnen App verwende die Apps von Drittanbietern so, dass die DSGVO eingehalten wird? Konsultiere einen Anwalt, wenn du Fragen dazu hast, ob die Datenpraktiken einer bestimmten App zusätzliche Überlegungen erfordern, bzw. sorge deinerseits dafür, dass die DSGVO eingehalten wird.

Internationale Datenübertragungen

Die DSGVO verbietet den Export persönlicher Daten von Europäern außerhalb Europas. Es sei denn, diese Informationen werden ausreichend geschützt.

Shopify schützt persönliche Daten gemäß den Anforderungen der DSGVO, wenn sie in die Vereinigten Staaten und nach Kanada übertragen und dort verarbeitet werden.

Shopify hat seine Datenströme so eingerichtet, dass diese Anforderungen für Händler erfüllt werden. Wie in Abschnitt 12 der Shopify Datenschutzerklärung beschrieben, werden alle europäischen persönlichen Daten, die ursprünglich von Händlern erhalten werden, in Irland von Shopifys irischer Tochtergesellschaft Shopify International Ltd. verarbeitet. Shopify überträgt diese Daten dann in Übereinstimmung mit der DSGVO:

DSGVO internationale Datenübertragungen

Weitere Informationen darüber, wie personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) und dem Vereinigten Königreich von Shopify gemäß DSGVO-Standards und Best Practices zur Informationssicherheit empfangen und verarbeitet werden, findest du im DSGVO-Whitepaper von Shopify (auf Englisch).

Denke über die folgenden Fragen nach:

Hast du dich vergewissert, dass andere Parteien, an die du Daten übermittelst, diese Daten über die internationalen Grenzen in Übereinstimmung mit der DSGVO übertragen werden? Du kannst dies tun, indem du dir die Datenschutzerklärungen deiner Drittanbieter-Apps, Kanäle, Zahlungsgateways oder anderer Anbieter ansiehst und prüfst, ob sie erklären, wie sie europäische Daten schützen.

Lade das Whitepaper von Shopify zur DSGVO herunter

Um weitere Informationen darüber zu erhalten, wie Shopify den Vorgaben der DSGVO entspricht, und um sicherzustellen, dass du in Bezug auf deine Verwendung von Shopify ebenfalls in der Lage bist, diese zu erfüllen, lade das Whitepaper von Shopify zur DSGVO herunter (auf Englisch verfügbar).

Bereit, mit Shopify zu verkaufen?

Kostenlos ausprobieren