IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de

Nach Kippen des EU-US-Privacy-Shields: Hosting über Shopify weiterhin möglich?

20.07.2020, 15:26 Uhr | Lesezeit: 3 min
Nach Kippen des EU-US-Privacy-Shields: Hosting über Shopify weiterhin möglich?

Jüngst hat der EuGH das EU-US-Privacy Shield für ungültig erklärt, das lange Zeit als geeignete Garantie für Datenübermittlungen in die USA galt. Unternehmen, die personenbezogene Daten aus der EU auf US-Servern verarbeiten, können dies nicht mehr auf Basis des „Privacy Shield“ tun. Vor diesem Hintergrund wurden wir gefragt, ob auch das Hosting via Shopify betroffen und Shopify-Shops daher zu schließen sind. Wir klären auf.

Shopify ist ein kanadischer Anbieter von Shopsoftware, der Händlern eine Hosting-Umgebung für ihren Shop bereitstellt.

Hierbei kommt Shopify zwangsweise mit den Daten von Kunden seiner Händler in Berührung und übernimmt die informationstechnologische Abwicklung und Organisation von Bestellungen und Zahlungen. Datenschutzrechtlich agiert Shopify bei dieser Verarbeitung von Kundendaten seiner Händler als sogenannter Auftragsverarbeiter.

Im Rahmen der Auftragsverarbeitung verarbeitet Shopify Kundendaten von EU-Händlern zwar überwiegend auf europäischen Servern. Möglich ist aber stark vereinzelt auch eine Übermittlung solcher Daten in die USA.

Bei der Übermittlung von personenbezogenen Daten in Drittländer außerhalb der EU (egal, ob die Übermittlung an eigenständig Verantwortliche oder an Auftragsverarbeiter erfolgt) verpflichtet die DSGVO zum Vorhalten geeigneter Garantien für die Datensicherheit. Diese sollen sicherstellen, dass die Daten in Drittländern denselben Schutzstandards unterliegen wie in der EU.

Als geeignete Garantien kennt die DSGVO unter anderem:

  • Angemessenheitsbeschlüsse der EU-Kommission (die Kommission beschließt die Datensicherheit bei Datenübermittlungen in ein konkretes Land)
  • Datenschutzübereinkommen zwischen der EU und Drittländern (wie mit den USA das nunmehr ungültige Privacy Shield)
  • Standarddatenschutzklauseln nach EU-Vorlage zwischen Datenimporteur (im Drittland) und Datenexporteur (in der EU)

Ohne geeignete Garantien sind Datenübermittlungen in Drittländer nach der DSGVO verboten, erfolgen also widerrechtlich.

Für Shopify-Händler ist das Risiko, dass bei der Nutzung von Shopify Daten Ihrer Kunden widerrechtlich in die USA als Drittland übermitteln, allerdings minimal gering:

Einerseits greift Shopify für nahezu alle Verarbeitungstätigkeiten bei EU-Händlern auf EU-Server zurück. Kommt es zu direkten Datenübermittlung ins Ausland, werden Daten ausschließlich an kanadische Server der Shopify Inc. in Kanada übertragen. Datenübermittlungen nach Kanada sind aber durch einen Angemessenheitsbeschluss der EU legitimiert. Gegebenenfalls kann es zwar zu Datenübertragungen aus Kanada an Unterauftragsverarbeiter in den USA kommen. Hierbei verpflichtet die kanadische Shopify Inc. die Unterauftragsverarbeiter aber zur Einhaltung strenger Datenschutzpflichten.

Shopify-Händler sind, was den Verbleib von Kundendaten im Shopify-Netzwerk angeht, demzufolge deutlich rechtssicherer aufgestellt als Kunden von Shopsoftware-Anbietern, die Ihre Aktivitäten direkt von den USA aus betreiben und/oder Daten aus der EU direkt in die Vereinigten Staaten übermitteln.

Ein Anlass dazu, im Angesicht des Wegfalls des EU-US-Privacy-Shield über eine Schließung von Shopify-Shops nachzudenken, besteht nach Ansicht der IT-Recht Kanzlei definitiv nicht.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

1 Kommentar

H
Hans Erherdt 04.11.2020, 10:24 Uhr
Woher nehmen Sie die Einschätzung?
Lieber Herr Salewski,

Sie schreiben von strenger Datenschutzpflichten die Shopify seinen Unterauftragsverarbeitern auferlegt. Woher haben Sie diese Informationen? Weder aus dem GDPR Whitepaper noch in der Erklärung zum Wegfall des EU Privacy Shields (siehe: https://help.shopify.com/pdf/cross-border-whitepaper.pdf) ist davon explizit die Rede. Woran machen Sie das angemessene Datenschutz Niveau fest?

Shopify unterzeichnet keine SCCs und BCRs sind ebenfalls nicht in Kraft.

Grüße, H.E.

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de

© 2004-2024 · IT-Recht Kanzlei