Fragen und Antworten zur DSGVO

Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen zur Datenschutz-Grundverordnung. Die Informationen dienen nur der Information und stellen keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung, wenn du konkrete Informationen für dein Land und deine Umstände benötigst.

Warum schließt Shopify beim Checkout nicht das Kästchen 'Zustimmung zu AGB und Datenschutz' ein?

Shopify hat sich sehr intensiv mit der DSGVO beschäftigt. Unsere Plattform sind so konzipiert, dass unsere Händler ein erstklassiges Handelssystem nutzen können, das den Datenschutzgesetzen wie etwa der DSGVO entspricht.

Eine ausdrückliche Einwilligung der Kunden zur Verarbeitung ihrer Daten anzufordern, kann bei richtiger Umsetzung eine hilfreiche Möglichkeit sein, Transparenz zu schaffen und das Vertrauen des Kunden zu gewinnen. Eine nicht ordnungsgemäße Implementierung kann bei den Kunden jedoch zu Verwirrung und widersprüchlichen Erwartungen führen und sogar rechtliche Probleme für Händler im Rahmen der DSGVO schaffen. Wir haben uns aufgrund dieser Bedenken dazu entschlossen, unseren Checkout-Workflow nicht um ein Kontrollkästchen "Zustimmung zu AGB und Datenschutzerklärung" zu ergänzen.

Die DSGVO stellt insbesondere klar, dass Händler personenbezogene Daten von Kunden aus zahlreichen Gründen erfassen und verarbeiten können – beispielsweise, weil die Kunden ihre Einwilligung erteilt haben. Laut DSGVO gibt es jedoch zahlreiche Umstände, unter denen personenbezogene Daten auch unabhängig von der und ohne die Einwilligung des Kunden verarbeitet werden müssen. Hier sind beispielsweise folgende Fälle zu nennen:

Händler werden wahrscheinlich auf viele dieser rechtlichen Gründe in Bezug auf die verschiedenen Möglichkeiten, wie sie eventuell die Daten ihrer Kunden verarbeiten, zurückgreifen. Zum Beispiel könnte ein Händler die Versandadresse eines Kunden verwenden müssen, um die Bestellung tatsächlich auszuführen und den Vertrag des Händlers mit dem Kunden zu erfüllen. Ebenso kann ein Händler gesetzlich verpflichtet sein, personenbezogene Daten zu verarbeiten, um auf eine Vorladung oder im Rahmen einer Steuerprüfung zu reagieren. Außerdem kann ein Händler personenbezogene Daten für eine beliebige Anzahl anderer legitimer Interessen verarbeiten.

Gleichzeitig haben die EU-Regulierungsbehörden deutlich gemacht, dass sie die Einwilligung als die wichtigste Rechtfertigung betrachten. Insbesondere haben die Behörden angedeutet, dass sich ein Händler, sobald er die Einwilligung zur Verarbeitung von Daten für einen bestimmten Zweck verlangt, möglicherweise nicht mehr auf die oben genannten rechtlichen Gründe (wie Verträge oder legitime Interessen) berufen kann. Darüber hinaus haben die Behörden darauf hingewiesen, dass die Einwilligung keine Bedingung für den Erhalt von Waren oder Dienstleistungen sein kann.

Warum spielt das alles eine Rolle? Angenommen, ein Händler würde beim Checkout ein Kontrollkästchen "Zustimmung zu AGB und Datenschutzerklärung" einfügen. Wenn der Kunde nicht einwilligt (oder, wenn der Kunde einwilligt und dann seine Einwilligung gemäß seinen in der DSGVO verbrieften Rechten zurückzieht), dann kann sich ein Händler nicht mehr auf die anderen oben aufgeführten Rechtfertigungen berufen. Der Händler kann also in eine Lage geraten, in der er die persönlichen Daten des Kunden nicht gemäß der DSGVO verarbeiten und somit eine Bestellung nicht bearbeiten oder ausführen kann. Außerdem könnte Folgendes passieren: Wenn der Händler den Checkout so ändert, dass dieses Kontrollkästchen zum Abschluss der Transaktion obligatorisch ist, würde dies gleichzeitig eine Vorbedingung für den Empfang der Waren oder Dienstleistungen darstellen und wäre daher möglicherweise nicht DSGVO-konform.

Aufgrund dieser Komplexität warnen eine Reihe von Regulierungsbehörden davor, eine Einwilligung einzuholen oder sich darauf zu stützen, wenn dies nicht angemessen ist. Das britische UK Information Commissioner's Office empfiehlt beispielsweise Folgendes:

"Eine Einwilligung ist angemessen, wenn du das Vertrauen und Engagement der Kunden ausbaust und ihnen daher eine echte Auswahl und Kontrolle über die Verwendung ihrer Daten ermöglichen möchtest. Wenn die Kunden jedoch keine tatsächliche Wahl haben, ist die Einholung der Einwilligung unangemessen. Wenn die Daten auch ohne die Einwilligung verarbeitet würden, ist es irreführend und nicht gerecht, die Einwilligung einzuholen.

Die Einwilligung zur Voraussetzung für eine Dienstleistung zu machen, ist wahrscheinlich nicht die beste gesetzliche Grundlage.

Öffentliche Behörden, Arbeitgeber und andere Organisationen, die sich in einer Machtposition gegenüber Einzelpersonen befinden, sollten es vermeiden, sich auf eine Einwilligung zu berufen, es sei denn, sie können nachweisen, dass diese freiwillig erteilt wurde."

Wir wollen unsere Händler bestmöglich unterstützen und ihnen dabei helfen, problematische rechtliche Konsequenzen zu vermeiden. Gleichzeitig ist uns bewusst, dass Händler letztlich sicher sein müssen, dass sie das Vertrauen ihrer Kunden haben. Daher können Händler auf der Seite "Warenkorb" (nicht der Seite "Checkout") das Kontrollkästchen "Allgemeine Geschäftsbedingungen akzeptieren" hinzufügen. Weitere Informationen hierzu findest du in den Hilfedokumenten.

Hinweis: An dieser Stelle wird ein Kontrollkästchen für eine Einwilligung zu einem Checkout erläutert. Du kannst Einwilligungen auch aus anderen Gründen einholen, zum Beispiel für Marketingzwecke oder zur Erfassung besonders vertraulicher Daten.

Warum kann ich keine Datenverarbeitungsvereinbarung (DPA) mit Shopify abschließen?

Laut DSGVO müssen Datenverarbeiter zur Verarbeitung personenbezogener Daten einen schriftlichen Vertrag (auch in elektronischer Form möglich) mit jedem einzelnen Verantwortlichen abschließen. In diesen Verträgen muss angegeben sein, welche personenbezogenen Daten verarbeitet werden und welche Pflichten und Rechte die Auftragsverarbeiter und die Verantwortlichen haben. Diese Verträge werden oft als Datenverarbeitungsverträge (Data Processing Agreements, DPA) bezeichnet. Ein DPA ist im Wesentlichen ein Vertrag, in dem festgelegt wird, dass Shopify die personenbezogenen Daten nur in der vom Händler (dem Verantwortlichen) angegebenen Weise verarbeitet.

Hierfür hat Shopify die Nutzungsbedingungen um einen Datenverarbeitungszusatz ergänzt. (Dieser "Zusatz" wird nicht als "Vertrag" bezeichnet, da er die Nutzungsbedingungen ergänzt und keinen eigenständigen Vertrag darstellt.)

Als Händler erklärst du dich mit den Servicebedingungen und mit dem Zusatz zur Datenverarbeitung einverstanden, wenn du dich für die Dienste von Shopify anmeldest. Durch die fortgesetzte Nutzung der Dienste stimmst du den Aktualisierungen der Nutzungsbedingungen zu (z. B. der Aktualisierung zur Datenverarbeitung).

Die Nutzungsbedingungen unterliegen dem Recht der kanadischen Provinz Ontario und nicht des Landes, in dem du dich befindest. Andere regionale Gesetze, wie etwa die DSGVO, gelten für dein Unternehmen und die Art der Datenverarbeitung und erfordern möglicherweise einen verbindlichen Vertrag zwischen dir und deinen Dienstleistern (wie Shopify). Diese Gesetze schreiben jedoch nicht unbedingt vor, ob ein Vertrag verbindlich ist. Im Falle deines Vertrags mit uns wird die Frage, ob der DPA ein verbindlicher Vertrag ist, unter Bezugnahme auf die Gesetze der Provinz Ontario bestimmt.

Selbst wenn gemäß den gesetzlichen Regelungen in deinem Land ein Vertrag wie der DPA abgeschlossen werden muss, ist dies in Bezug auf deinen DPA nicht von Belang. Nach unserer Auffassung des Rechts der Provinz Ontario gelten die neuen, geänderten Nutzungsbedingungen für Shopify und dich als verbindlich, sobald du unseren Service nach der Änderung der Nutzungsbedingungen wieder verwendest. Wenn du Shopify weiter nutzt, gehst du nach unserer Auffassung einen verbindlichen Vertrag mit uns ein, der den von der DSGVO verlangten Zusatz zur Datenverarbeitung umfasst.

Hinweis: Für Shopify Plus-Händler mit einem ausgehandelten DPA gilt dieser DPA anstelle des Online-DPA.

An wen wende ich mich, wenn ich weitere Fragen zur DSGVO oder den örtlich geltenden Datenschutzgesetzen habe?

Wende dich an einen lokalen Rechtsanwalt, der sich auf Datenschutzrecht spezialisiert hat.

Bei wem erhalte ich weitere Informationen zu den Praktiken von Shopify?

Wende dich an privacy@shopify.com, wenn du mehr über die Praktiken von Shopify erfahren möchtest.

Erfüllt mein Unternehmen die Vorgaben der DSGVO, wenn ich Shopify als Host für meinen Shop nutze?

Nicht automatisch. Die Geschäftsabläufe von Shopify entsprechen der DSGVO. Shopify stellt seinen Vertragshändlern darüber hinaus Tools zur Einhaltung der Bestimmungen zur Verfügung. Dennoch liegt es in der Verantwortung jedes Händlers, dafür zu sorgen, dass sich sein Unternehmen an die Gesetze des Landes hält, in dem es tätig ist.

Die alleinige Nutzung der Plattform von Shopify ist keine Garantie dafür, dass ein Unternehmen die DSGVO einhält.

Stimmt Shopify Standardvertragsklauseln zu?

Nein. Wie im Abschnitt "Data transfers" (Datenübertragungen) in unserem Whitepaper (auf Englisch) erläutert, hat Shopify seine Datenströme so strukturiert, dass Händler Daten an die irische Tochtergesellschaft von Shopify in Europa übertragen. Aus diesem Grund sind Standardvertragsklauseln nicht geeignet, da sie für Übertragungen zwischen einer Vertragspartei in der EU und einer Partei außerhalb der EU zugelassen sind.

Darüber hinaus würde sich Shopify bei direkten Übertragungen an Shopify Inc. auf die Angemessenheitsentscheidung der Europäischen Kommission in Bezug auf das kanadische Datenschutzgesetz berufen, das sich auf Shopify Inc. als kanadisches Unternehmen erstreckt.

Bereit, mit Shopify zu verkaufen?

Kostenlos ausprobieren