Verarbeitung von DSGVO-Datenanforderungen

Die DSGVO erweitert das Recht eines Einzelnen, in Bezug auf den Zugriff auf persönliche Daten und auf die Kontrolle dieser. Diese Seite enthält:

  • Eine Aufschlüsselung dieser Rechte.
  • Wie du die Shopify-Plattform nutzen kannst, um Anforderungen für jedes Recht zu bearbeiten.
  • Was du unabhängig von Shopify tun musst, wenn du für jedes Recht eine Anforderung erhältst.

Zugriffs- und Portabilitätsanforderungen eines Betroffenen verstehen

Die DSGVO gibt Einzelpersonen das Recht, unter bestimmten Umständen eine Kopie ihrer persönlichen Daten anzufordern, die von einem Unternehmen verarbeitet werden.

Die DSGVO schreibt daher vor, dass du deinen Kunden eine Kopie ihrer persönlichen Daten in einem Format bereitstellen kannst, das:

  • Geläufig
  • Leicht lesbar
  • und portierbar ist.

Dadurch können Kunden ihre Daten bei einem anderen Dienstanbieter verwenden. Shopify ermöglicht es dir, die meisten Daten direkt von deinem Adminbereich aus im CSV- oder Excel-Format zu exportieren (z. B. Bestellung, Auszahlung, Produkt- und Kundeninformationen).

Im Allgemeinen solltest du innerhalb von 30 Tagen auf eine Anforderung antworten. Verlängerungen sind erlaubt, wenn es außergewöhnlich schwierig ist, die Anforderung zu erfüllen.

Zugriffs- und Portabilitätsanforderungen eines Betroffenen bearbeiten

Wenn du eine Zugriffs- oder Portabilitätsanforderung erhältst, musst du zunächst die Identität des Anfordernden überprüfen (damit du nicht versehentlich die persönlichen Daten deines Kunden an jemand anderen weitergibst).

Schritte:

  1. Klicke in deinem Shopify-Adminbereich auf Kunden.

  2. Klicke auf den Namen des Kunden, für den du ein Protokoll anfordern möchtest.

  3. Klicke auf Kundendaten anfordern.

Hinweis: Nur der Shop-Inhaber kann eine Anforderung von Kundendaten senden.

Die Kundeninformationen werden dem Shop-Inhaber per E-Mail zugesandt, damit dieser sie dem anfordernden Kunden zur Verfügung stellen kann.

Gemäß Artikel 15 der DSGVO musst du außerdem einen zusätzlichen Kontext dafür bereitstellen, wie du die von dir bereitgestellten Daten verwendest, einschließlich:

  • Die Zwecke, zu denen die Daten des Kunden verarbeitet wurden.
  • Die Drittanbieter, die diese Daten erhalten haben.
  • Alle relevanten Aufbewahrungsfristen.
  • Woher die Informationen stammen (wenn nicht direkt vom Kunden).
  • Ob die Daten im Rahmen einer automatisierten Entscheidungsfindung verwendet wurden oder nicht.

Außerdem musst du gewährleisten können:

  • Dass der Kunde das Recht hat, anzufordern, dass Informationen, korrigiert oder gelöscht werden.
  • Dass der Kunde das Recht hat, gegen die Art und Weise, wie seine Informationen verarbeitet wurden, Widerspruch zu erheben.
  • Dass der Kunde das Recht hat, sich bei einer Regulierungsbehörde zu beschweren.

Hinweis: Weitere Informationen darüber, wie Zugriffsanforderungen zu beantworten sind, kannst du in diesem Post des Amtes des Informationsbeauftragten des Vereinigten Königreichs lesen.

Denke über die folgenden Fragen nach:

  • Kannst du den erforderlichen Kontext rund um die Kundendaten bereitstellen, wenn du danach gefragt wirst? Versuche dich im Voraus auf eine Anforderung vorzubereiten, indem du eine Übersicht über alle persönlichen Daten, die du (oder die von dir verwendeten Dienstanbieter, wie Shopify) von deinen Kunden speicherst.
  • Hast du andere Dienstanbieter berücksichtigt, die du benutzt und die möglicherweise Zugriff auf die persönlichen Daten deiner Kunden haben? Dazu können Apps von Drittanbietern, Kanäle und Zahlungsgateways gehören.
  • Hast du Kontaktinformationen für alle von dir verwendeten Dienste von Drittanbietern, die möglicherweise persönliche Daten deiner Kunden speichern?

Anforderungen zur Löschung bearbeiten

Die DSGVO gibt Einzelpersonen das Recht, unter bestimmten Umständen zu verlangen, dass ihre persönlichen Daten gelöscht werden oder dass ein Unternehmen die Verarbeitung ihrer personenbezogenen Daten einschränkt.

"Persönliche Daten" sind alle Daten, die zur Identifizierung einer Person verwendet werden können, einschließlich:

  • Name
  • Adresse
  • E-Mail
  • IP-Adresse
  • Kreditkartennummer.

Persönliche Daten umfassen keine Informationen, die rein finanzieller Art sind und nicht mit einer Person verknüpft werden können, wie zum Beispiel:

  • Wie oft ein bestimmtes Produkt verkauft wurde
  • Wie viel Umsatz dein Geschäft gemacht hat

Hinweis: Rein finanzielle Informationen müssen nicht offengelegt oder gelöscht werden, wenn du einen Antrag gemäß der DSGVO erhältst. In bestimmten Gerichtsbarkeiten, in denen du möglicherweise aus rechtlichen oder steuerlichen Gründen verpflichtet bist, Bestellungsunterlagen zu führen, darfst du dies womöglich sogar rechtlich gar nicht tun.

Wenn du einen Antrag auf Löschung erhältst (manchmal als Redigieren oder Löschen bezeichnet), solltest du zunächst die Identität des Kunden überprüfen. Du solltest dich auch vergewissern, dass es keinen Grund gibt, die Daten des Kunden zu behalten (z. B. wenn der Kunde auch ein Angestellter ist).

Schritte:

  1. Klicke in deinem Shopify-Adminbereich auf Kunden.

  2. Klicke auf den Namen des Kunden, für den du eine Löschung beantragen möchtest.

  3. Klicke auf Persönliche Daten löschen.

Hinweis: Nur der Shop-Inhaber kann anfordern, dass die Daten eines Kunden entfernt werden.

Nachdem du eine Löschung über deinen Adminbereich angefordert hast, sendet Shopify deinen Antrag auf Löschung an alle Apps, die du zu dem Zeitpunkt installiert hast, an dem du den Antrag stellst, und die möglicherweise Zugriff auf die Daten dieses Kunden haben.

Sobald du eine Löschung innerhalb deines Adminbereichs beantragst, beginnt ein 10-tägiger Pufferzeitraum, in dem du den Antrag abbrechen kannst, falls du ihn versehentlich gestellt hast. Um einen ausstehenden Antrag auf Löschung abzubrechen, sende bitte eine E-Mail an Shopify unter privacy@shopify.com und füge deine Geschäftsinformationen und die entsprechende Kunden-ID hinzu.

Wenn du eine Löschung beantragst, wird Shopify nur personenbezogene Daten (wie Name und Adresse) löschen. deine anonymisierten Bestellinformationen bleiben erhalten, wenn du sie zu Abrechnungszwecken benötigst. Sobald die relevanten persönlichen Daten gelöscht wurden, senden wir dir eine Bestätigungs-E-Mail.

Standardmäßig löscht Shopify keine persönlichen Daten, wenn der Kunde in den letzten 6 Monaten (180 Tage) eine Bestellung getätigt hat, für den Fall, dass eine Rückbuchung erfolgt. Wenn in diesem Zeitraum ein Antrag auf Löschung eingereicht wird, wird er als ausstehend angezeigt, und Shopify wird ihn ausführen, sobald die entsprechende Zeit verstrichen ist. Du brauchst keinen weiteren Antrag einreichen.

Wenn du diese Zeitverzögerung außer Kraft setzen möchtest (unabhängig vom Risiko einer Rückbuchung), sende eine E-Mail an Shopify unter privacy@shopify.com.

Denke über die folgenden Fragen nach:

  • Speichere Kundendaten auf deinen eigenen Computern oder in Papierform?
  • Gibt es andere Drittanbieter, z. B. Kanäle oder Zahlungsgateways, die du möglicherweise kontaktieren musst, um die Löschung der persönlichen Daten eines Kunden anzufordern?
  • Gibt es örtliche Anforderungen, z. B. Steuergesetze, in denen du möglicherweise die persönlichen Daten deiner Kunden aufbewahren musst, auch wenn diese eine Löschung beantragen? Wende dich an einen örtlichen Anwalt, der mit den Anforderungen zur Datenspeicherung vertraut ist, um diese Frage zu beantworten.

Lade das Whitepaper von Shopify zur DSGVO herunter

Um weitere Informationen darüber zu erhalten, wie Shopify den Vorgaben der DSGVO entspricht, und um sicherzustellen, dass du in Bezug auf deine Verwendung von Shopify ebenfalls in der Lage bist, diese zu erfüllen, lade das Whitepaper von Shopify zur DSGVO herunter (auf Englisch verfügbar).

Bereit, mit Shopify zu verkaufen?

Kostenlos ausprobieren