Fragen und Antworten zur DSGVO

Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen zur Datenschutz-Grundverordnung. Die Informationen dienen nur der Information und stellen keine professionelle Rechtsberatung dar. Bitte konsultieren Sie eine unabhängige Rechtsberatung, wenn Sie konkrete Informationen für Ihr Land und Ihre Umstände benötigen.

Warum schließt Shopify beim Checkout nicht das Kästchen 'Zustimmung zu AGB und Datenschutz' ein?

Shopify hat sich sehr intensiv mit der DSGVO beschäftigt. Unsere Plattform sind so konzipiert, dass unsere Händler ein erstklassiges Handelssystem nutzen können, das den Datenschutzgesetzen wie etwa der DSGVO entspricht.

Eine ausdrückliche Einwilligung der Kunden zur Verarbeitung ihrer Daten anzufordern, kann bei richtiger Umsetzung eine hilfreiche Möglichkeit sein, Transparenz zu schaffen und das Vertrauen des Kunden zu gewinnen. Eine nicht ordnungsgemäße Implementierung kann bei den Kunden jedoch zu Verwirrung und widersprüchlichen Erwartungen führen und sogar rechtliche Probleme für Händler im Rahmen der DSGVO schaffen. Wir haben uns aufgrund dieser Bedenken dazu entschlossen, unseren Checkout-Workflow nicht um ein Kontrollkästchen "Zustimmung zu AGB und Datenschutzrichtlinie" zu ergänzen.

Die DSGVO stellt insbesondere klar, dass Händler personenbezogene Daten von Kunden aus zahlreichen Gründen erfassen und verarbeiten können – beispielsweise, weil die Kunden ihre Einwilligung erteilt haben. Laut DSGVO gibt es jedoch zahlreiche Umstände, unter denen personenbezogene Daten auch unabhängig von der und ohne die Einwilligung des Kunden verarbeitet werden müssen. Hier sind beispielsweise folgende Fälle zu nennen:

Händler werden wahrscheinlich auf viele dieser rechtlichen Gründe in Bezug auf die verschiedenen Möglichkeiten, wie sie eventuell die Daten ihrer Kunden verarbeiten, zurückgreifen. Zum Beispiel könnte ein Händler die Versandadresse eines Kunden verwenden müssen, um die Bestellung tatsächlich auszuführen und den Vertrag des Händlers mit dem Kunden zu erfüllen. Ebenso kann ein Händler gesetzlich verpflichtet sein, personenbezogene Daten zu verarbeiten, um auf eine Vorladung oder im Rahmen einer Steuerprüfung zu reagieren. Außerdem kann ein Händler personenbezogene Daten für eine beliebige Anzahl anderer legitimer Interessen verarbeiten.

Gleichzeitig haben die EU-Regulierungsbehörden deutlich gemacht, dass sie die Einwilligung als die wichtigste Rechtfertigung betrachten. Insbesondere haben die Behörden angedeutet, dass sich ein Händler, sobald er die Einwilligung zur Verarbeitung von Daten für einen bestimmten Zweck verlangt, möglicherweise nicht mehr auf die oben genannten rechtlichen Gründe (wie Verträge oder legitime Interessen) berufen kann. Darüber hinaus haben die Behörden darauf hingewiesen, dass die Einwilligung keine Bedingung für den Erhalt von Waren oder Dienstleistungen sein kann.

Warum spielt das alles eine Rolle? Angenommen, ein Händler würde beim Checkout ein Kontrollkästchen "Zustimmung zu AGB und Datenschutzrichtlinie" einfügen. Wenn der Kunde nicht einwilligt (oder, wenn der Kunde einwilligt und dann seine Einwilligung gemäß seinen in der DSGVO verbrieften Rechten zurückzieht), dann kann sich ein Händler nicht mehr auf die anderen oben aufgeführten Rechtfertigungen berufen. Der Händler kann also in eine Lage geraten, in der er die persönlichen Daten des Kunden nicht gemäß der DSGVO verarbeiten und somit einen Auftrag nicht bearbeiten oder ausführen kann. Gleichzeitig würde die Einwilligung, wenn der Händler den Checkout so ändert, dass dieses Kontrollkästchen zum Abschluss der Transaktion obligatorisch würde, eine Vorbedingung für den Empfang der Waren oder Dienstleistungen darstellen und wäre daher möglicherweise nicht DSGVO-konform.

Aufgrund dieser Komplexität warnen eine Reihe von Regulierungsbehörden davor, eine Einwilligung einzuholen oder sich darauf zu stützen, wenn dies nicht angemessen ist. Das britische UK Information Commissioner's Office empfiehlt beispielsweise Folgendes:

"Eine Einwilligung ist angemessen, wenn Sie das Vertrauen und Engagement der Kunden ausbauen und ihnen daher eine echte Auswahl und Kontrolle über die Verwendung ihrer Daten ermöglichen möchten. Wenn die Kunden jedoch keine tatsächliche Wahl haben, ist die Einholung der Einwilligung unangemessen. Wenn die Daten auch ohne die Einwilligung verarbeitet würden, ist es irreführend und nicht gerecht, die Einwilligung einzuholen.

Die Einwilligung zur Voraussetzung für eine Dienstleistung zu machen, ist wahrscheinlich nicht die beste gesetzliche Grundlage.

Öffentliche Behörden, Arbeitgeber und andere Organisationen, die sich in einer Machtposition gegenüber Einzelpersonen befinden, sollten es vermeiden, sich auf eine Einwilligung zu berufen, es sei denn, sie können nachweisen, dass diese freiwillig erteilt wurde."

Wir wollen unsere Händler bestmöglich unterstützen und ihnen dabei helfen, problematische rechtliche Konsequenzen zu vermeiden. Gleichzeitig ist uns bewusst, dass Händler letztlich sicher sein müssen, dass sie das Vertrauen ihrer Kunden haben. Daher können Händler auf der Seite "Warenkorb" (nicht der Seite "Checkout") das Kontrollkästchen "Allgemeine Geschäftsbedingungen akzeptieren" hinzufügen. Weitere Informationen hierzu finden Sie in den Hilfedokumenten.

Hinweis: An dieser Stelle wird ein Kontrollkästchen für eine Einwilligung zu einem Checkout erläutert. Sie können Einwilligungen auch aus anderen Gründen einholen, zum Beispiel für Marketingzwecke oder zur Erfassung besonders vertraulicher Daten.

Warum kann ich keine Datenverarbeitungsvereinbarung (DPA) mit Shopify abschließen?

Laut DSGVO müssen Datenverarbeiter zur Verarbeitung personenbezogener Daten einen schriftlichen Vertrag (auch in elektronischer Form möglich) mit jedem einzelnen Verantwortlichen abschließen. In diesen Verträgen muss angegeben sein, welche personenbezogenen Daten verarbeitet werden und welche Pflichten und Rechte die Auftragsverarbeiter und die Verantwortlichen haben. Diese Verträge werden oft als Datenverarbeitungsverträge (Data Processing Agreements, DPA) bezeichnet. Ein DPA ist im Wesentlichen ein Vertrag, in dem festgelegt wird, dass Shopify die personenbezogenen Daten nur in der vom Händler (dem Verantwortlichen) angegebenen Weise verarbeitet.

Hierfür hat Shopify die Nutzungsbedingungen um einen Datenverarbeitungszusatz ergänzt. (Dieser "Zusatz" wird nicht als "Vertrag" bezeichnet, da er die Nutzungsbedingungen ergänzt und keinen eigenständigen Vertrag darstellt.)

Als Händler erklären Sie sich mit den Servicebedingungen und mit dem Zusatz zur Datenverarbeitung einverstanden, wenn Sie sich für die Dienste von Shopify anmelden. Durch die fortgesetzte Nutzung der Dienste stimmen Sie den Aktualisierungen der Nutzungsbedingungen zu (z. B. der Aktualisierung zur Datenverarbeitung).

Die Nutzungsbedingungen unterliegen dem Recht der kanadischen Provinz Ontario und nicht des Landes, in dem Sie sich befinden. Andere regionale Gesetze, wie etwa die DSGVO, gelten für Ihr Unternehmen und die Art der Datenverarbeitung und erfordern möglicherweise einen verbindlichen Vertrag zwischen Ihnen und Ihren Dienstleistern (wie Shopify). Diese Gesetze schreiben jedoch nicht unbedingt vor, ob ein Vertrag verbindlich ist. Im Falle Ihres Vertrags mit uns wird die Frage, ob der DPA ein verbindlicher Vertrag ist, unter Bezugnahme auf die Gesetze der Provinz Ontario bestimmt.

Selbst wenn gemäß den gesetzlichen Regelungen in Ihrem Land ein Vertrag wie der DPA abgeschlossen werden muss, ist dies in Bezug auf Ihren DPA nicht von Belang. Nach unserer Auffassung des Rechts der Provinz Ontario gelten die neuen, geänderten Nutzungsbedingungen für Shopify und Sie als verbindlich, sobald Sie unseren Service nach der Änderung der Nutzungsbedingungen wieder verwenden. Wenn Sie Shopify weiter nutzen, gehen Sie nach unserer Auffassung einen verbindlichen Vertrag mit uns ein, der den von der DSGVO verlangten Zusatz zur Datenverarbeitung umfasst.

Hinweis: Für Plus-Händler mit einem ausgehandelten DPA gilt dieser DPA anstelle des Online-DPA.

An wen wende ich mich, wenn ich weitere Fragen zur DSGVO oder den örtlich geltenden Datenschutzgesetzen habe?

Wenden Sie sich an einen lokalen Rechtsanwalt, der sich auf Datenschutzrecht spezialisiert hat.

Bei wem erhalte ich weitere Informationen zu den Praktiken von Shopify?

Wenden Sie sich an privacy@shopify.com, wenn Sie mehr über die Praktiken von Shopify erfahren möchten.

Erfüllt mein Unternehmen die Vorgaben der DSGVO, wenn ich Shopify als Host für meinen Shop nutze?

Nicht automatisch. Die Geschäftsabläufe von Shopify entsprechen der DSGVO. Shopify stellt seinen Vertragshändlern darüber hinaus Tools zur Einhaltung der Bestimmungen zur Verfügung. Dennoch liegt es in der Verantwortung jedes Händlers, dafür zu sorgen, dass sich sein Unternehmen an die Gesetze des Landes hält, in dem es tätig ist.

Die alleinige Nutzung der Plattform von Shopify ist keine Garantie dafür, dass ein Unternehmen die DSGVO einhält.

Stimmt Shopify Standard-Vertragsklauseln zu?

Nein. Wie im Abschnitt "Datenübertragungen" in unserem Whitepaper erläutert, hat Shopify seine Datenflüsse so strukturiert, dass Händler Daten an die irische Tochtergesellschaft von Shopify in Europa übertragen. Aus diesem Grund sind Standardvertragsklauseln nicht geeignet, da sie für Übertragungen zwischen einer Vertragspartei in der EU und einer Partei außerhalb der EU zugelassen sind.

Darüber hinaus würde sich Shopify bei direkten Übertragungen an Shopify Inc. auf die Angemessenheitsentscheidung der Europäischen Kommission in Bezug auf das kanadische Datenschutzgesetz berufen, das sich auf Shopify Inc. als kanadisches Unternehmen erstreckt.

Sind Sie bereit, mit Shopify zu verkaufen?

Probieren Sie es kostenlos aus