Verarbeitung von DSGVO-Datenanforderungen

Die DSGVO erweitert das Recht eines Einzelnen, in Bezug auf den Zugriff auf persönliche Daten und auf die Kontrolle dieser. Diese Seite enthält:

  • Eine Aufschlüsselung dieser Rechte.
  • Wie Sie die Shopify-Plattform nutzen können, um Anforderungen für jedes Recht zu bearbeiten.
  • Was Sie unabhängig von Shopify tun müssen, wenn Sie für jedes Recht eine Anforderung erhalten.

Zugriffs- und Portabilitätsanforderungen eines Betroffenen verstehen

Die DSGVO gibt Einzelpersonen das Recht, unter bestimmten Umständen eine Kopie ihrer persönlichen Daten anzufordern, die von einem Unternehmen verarbeitet werden.

Die DSGVO schreibt daher vor, dass Sie Ihren Kunden eine Kopie ihrer persönlichen Daten in einem Format bereitstellen können, das:

  • Geläufig
  • Leicht lesbar
  • und portierbar ist.

Dadurch können Kunden ihre Daten bei einem anderen Dienstanbieter verwenden. Shopify ermöglicht es Ihnen, die meisten Daten direkt von Ihrem Adminbereich aus im CSV- oder Excel-Format zu exportieren (z. B. Bestellung, Auszahlung, Produkt- und Kundeninformationen).

Im Allgemeinen sollten Sie innerhalb von 30 Tagen auf eine Anforderung antworten. Verlängerungen sind erlaubt, wenn es außergewöhnlich schwierig ist, die Anforderung zu erfüllen.

Zugriffs- und Portabilitätsanforderungen eines Betroffenen bearbeiten

Wenn Sie eine Zugriffs- oder Portabilitätsanforderung erhalten, müssen Sie zunächst die Identität des Anfordernden überprüfen (damit Sie nicht versehentlich die persönlichen Daten Ihres Kunden an jemand anderen weitergeben).

Führen Sie die folgenden Schritte aus, um ein Protokoll für einen bestimmten Kunden anzufordern:

  1. Klicken Sie in Ihrem Shopify-Adminbereich auf Kunden.

  2. Klicken Sie auf den Namen des Kunden, für den Sie ein Protokoll anfordern möchten.

  3. Klicken Sie auf Kundendaten anfordern.

Hinweis: Nur der Kontoinhaber kann eine Anforderung von Kundendaten senden.

Die Kundeninformationen werden dem Kontoinhaber per E-Mail zugesandt, damit dieser sie dem anfordernden Kunden zur Verfügung stellen kann.

Gemäß Artikel 15 der DSGVO müssen Sie außerdem einen zusätzlichen Kontext dafür bereitstellen, wie Sie die von Ihnen bereitgestellten Daten verwenden, einschließlich:

  • Die Zwecke, zu denen die Daten des Kunden verarbeitet wurden.
  • Die Drittanbieter, die diese Daten erhalten haben.
  • Alle relevanten Aufbewahrungsfristen.
  • Woher die Informationen stammen (wenn nicht direkt vom Kunden).
  • Ob die Daten im Rahmen einer automatisierten Entscheidungsfindung verwendet wurden oder nicht.

Außerdem müssen Sie gewährleisten können:

  • Dass der Kunde das Recht hat, anzufordern, dass Informationen, korrigiert oder gelöscht werden.
  • Dass der Kunde das Recht hat, gegen die Art und Weise, wie seine Informationen verarbeitet wurden, Widerspruch zu erheben.
  • Dass der Kunde das Recht hat, sich bei einer Regulierungsbehörde zu beschweren.

Hinweis: Weitere Informationen darüber, wie Zugriffsanforderungen zu beantworten sind, können Sie in diesem Post des Amtes des Informationsbeauftragten des Vereinigten Königreichs lesen.

Denken Sie über die folgenden Fragen nach:

  • Können Sie den erforderlichen Kontext rund um die Kundendaten bereitstellen, wenn Sie danach gefragt werden? Versuchen Sie sich im Voraus auf eine Anforderung vorzubereiten, indem Sie eine Übersicht über alle persönlichen Daten, die Sie (oder die von Ihnen verwendeten Dienstanbieter, wie Shopify) von Ihren Kunden speichern, unterhalten.
  • Haben Sie andere Dienstanbieter berücksichtigt, die Sie benutzen und die möglicherweise Zugriff auf die persönlichen Daten Ihrer Kunden haben? Dazu können Apps von Drittanbietern, Kanäle und Zahlungsgateways gehören.
  • Haben Sie Kontaktinformationen für alle von Ihnen verwendeten Dienste von Drittanbietern, die möglicherweise persönliche Daten Ihrer Kunden speichern?

Anforderungen zur Löschung bearbeiten

Die DSGVO gibt Einzelpersonen das Recht, unter bestimmten Umständen zu verlangen, dass ihre persönlichen Daten gelöscht werden oder dass ein Unternehmen die Verarbeitung ihrer personenbezogenen Daten einschränkt.

"Persönliche Daten" sind alle Daten, die zur Identifizierung einer Person verwendet werden können, einschließlich:

  • Name
  • Adresse
  • E-Mail
  • IP-Adresse
  • Kreditkartennummer.

Persönliche Daten umfassen keine Informationen, die rein finanzieller Art sind und nicht mit einer Person verknüpft werden können, wie zum Beispiel:

  • Wie oft ein bestimmtes Produkt verkauft wurde
  • Wie viel Umsatz Ihr Geschäft gemacht hat

Hinweis: Rein finanzielle Informationen müssen nicht offengelegt oder gelöscht werden, wenn Sie einen Antrag gemäß der DSGVO erhalten. In bestimmten Gerichtsbarkeiten, in denen Sie möglicherweise aus rechtlichen oder steuerlichen Gründen verpflichtet sind, Bestellungsunterlagen zu führen, dürfen Sie dies womöglich sogar rechtlich gar nicht tun.

Wenn Sie einen Antrag auf Löschung erhalten (manchmal als Redigieren oder Löschen bezeichnet), sollten Sie zunächst die Identität des Kunden überprüfen. Sie sollten sich auch vergewissern, dass es keinen Grund gibt, die Daten des Kunden zu behalten (z. B. wenn der Kunde auch ein Angestellter ist).

Führen Sie die folgenden Schritte aus, um das Löschen von Kundeninformationen anzufordern:

  1. Klicken Sie in Ihrem Shopify-Adminbereich auf Kunden.

  2. Klicken Sie auf den Namen des Kunden, für den Sie eine Löschung beantragen möchten.

  3. Klicken Sie auf Kundenlöschung beantragen.

Nachdem Sie eine Löschung über Ihren Adminbereich angefordert haben, sendet Shopify Ihren Antrag auf Löschung an alle Apps, die Sie zu dem Zeitpunkt installiert haben, an dem Sie den Antrag stellen, und die möglicherweise Zugriff auf die Daten dieses Kunden haben.

Sobald Sie eine Löschung innerhalb Ihres Adminbereichs beantragen, beginnt ein 7-tägiger Pufferzeitraum, während dem Sie den Antrag abbrechen können, falls Sie ihn versehentlich gestellt haben. Um einen ausstehenden Antrag auf Löschung abzubrechen, senden Sie bitte eine E-Mail an Shopify unter privacy@shopify.com und fügen Sie Ihre Geschäftsinformationen und die entsprechende Kunden-ID hinzu.

Wenn Sie eine Löschung beantragen, wird Shopify nur persönliche Informationen (wie Name und Adresse) löschen. Ihre anonymisierten Bestellinformationen bleiben erhalten, wenn Sie sie zu Abrechnungszwecken benötigen. Sobald die relevanten persönlichen Daten gelöscht wurden, senden wir Ihnen eine Bestätigungs-E-Mail.

Standardmäßig löscht Shopify keine persönlichen Daten, wenn der Kunde in den letzten 6 Monaten (180 Tage) eine Bestellung getätigt hat, für den Fall, dass eine Rückbuchung erfolgt. Wenn in diesem Zeitraum ein Antrag auf Löschung eingereicht wird, wird er als ausstehend angezeigt, und Shopify wird ihn ausführen, sobald die entsprechende Zeit verstrichen ist. Sie brauchen keinen weiteren Antrag einreichen.

Wenn Sie diese Zeitverzögerung außer Kraft setzen möchten (unabhängig vom Risiko einer Rückbuchung), senden Sie eine E-Mail an Shopify unter privacy@shopify.com.

Denken Sie über die folgenden Fragen nach:

  • Speichern Sie Kundendaten auf Ihren eigenen Computern oder in Papierform?
  • Gibt es andere Drittanbieter, z. B. Kanäle oder Zahlungsgateways, die Sie möglicherweise kontaktieren müssen, um die Löschung der persönlichen Daten eines Kunden anzufordern?
  • Gibt es örtliche Anforderungen, z. B. Steuergesetze, in denen Sie möglicherweise die persönlichen Daten Ihrer Kunden aufbewahren müssen, auch wenn diese eine Löschung beantragen? Wenden Sie sich an einen örtlichen Anwalt, der mit den Anforderungen zur Datenspeicherung vertraut ist, um diese Frage zu beantworten.

Laden Sie das Whitepaper von Shopify zur DSGVO herunter

Hinweis: Weitere Informationen darüber, wie Shopify sicherstellen wird, dass es den Vorgaben der DSGVO bei Inkrafttreten der Regulierung am 25. Mai entspricht, und um sicherzustellen, dass Sie in Bezug auf Ihre Verwendung von Shopify ebenfalls in der Lage sind, diese zu erfüllen, laden Sie das Whitepaper-Dokument von Shopify zur DSGVO herunter.

Sind Sie bereit, mit Shopify zu verkaufen?

Probieren Sie es kostenlos aus