Data Processing Addendum von Shopify

I. ZWECK

Dieses Data Processing Addendum von Shopify („DPA“) ergänzt die Allgemeinen Geschäftsbedingungen von Shopify sowie alle Bestimmungen, die für alle weiteren Shopify-Services gelten, für deren Nutzung Sie sich entschieden haben (die „Geschäftsbedingungen“), und wird durch Verweis in diese aufgenommen, und zwar durch und zwischen Ihnen (oder „Händler“) und dem Shopify-Vertragspartner, wie in den Geschäftsbedingungen dargelegt („Shopify“), in denen die spezifischen geschäftlichen Zwecke und Dienstleistungen im Zusammenhang mit diesem DPA beschrieben werden. Im Falle eines Widerspruchs zwischen den Geschäftsbedingungen und diesem DPA hat das DPA in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten, wie unten definiert, Vorrang.

Sie und Shopify (jeweils eine „Partei“, zusammen die „Parteien“) vereinbaren, dass dieses DPA die Verpflichtungen der Parteien in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten festlegt. Sie handeln als Datenverantwortlicher und Shopify als Datenverarbeiter in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten in Verbindung mit Ihrer Nutzung unserer Dienstleistungen, die auf der Verarbeitung Ihrer personenbezogenen Kundendaten durch uns beruht, mit Ausnahme der in Anhang E beschriebenen Dienstleistungen.

Wenn die Verarbeitung personenbezogener Daten im Rahmen des DPA den Datenschutzanforderungen im Europäischen Wirtschaftsraum (dem „EWR“), dem Vereinigten Königreich (dem „UK“) oder der Schweiz unterliegt und Shopify als Datenverarbeiter agiert, ergänzt Anhang C dieses DPA. Im Falle eines Widerspruchs zwischen Anhang C und anderen Paragrafen dieses DPA hat Anhang C Vorrang in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten, die den Datenschutzanforderungen des Europäischen Wirtschaftsraums, des Vereinigten Königreichs und der Schweiz unterliegen. Zur Vermeidung von Zweifeln gilt Anhang C nicht für die in Anhang E beschriebenen Verarbeitungsaktivitäten.

Wenn die Verarbeitung personenbezogener Daten im Rahmen dieser DPA den US-Datenschutzgesetzen unterliegt und Shopify als Datenverarbeiter oder Dienstleister agiert, ergänzt Anhang D dieses DPA. Im Falle eines Widerspruchs zwischen Anhang D und anderen Paragrafen dieses DPA hat Anhang D Vorrang in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten, die den U.S.-Datenschutzgesetzen unterliegen. Zur Vermeidung von Zweifeln gilt Anhang D nicht für die in Anhang E beschriebenen Verarbeitungsaktivitäten.

Wenn Sie erweiterte Dienstleistungen von Shopify erhalten (wie in Paragraf 9.2 der Allgemeinen Geschäftsbedingungen definiert) verarbeitet Shopify Ihre personenbezogenen Kundendaten als Datenverantwortlicher oder Unternehmen wie in Anhang E dargelegt. Im Falle eines Widerspruchs zwischen Anhang E und anderen Paragrafen dieses DPA hat Anhang E Vorrang in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten durch Shopify als Datenverantwortlicher oder Unternehmen.

Zur Vermeidung von Zweifeln gilt dieses DPA nicht für die Verarbeitung personenbezogener Daten über Kunden durch Shopify, die Shopify als Ergebnis der Beziehung des Kunden zu Shopify über Dienstleistungen wie Shop und Shop Pay erhält.

II. DEFINITIONEN

Bestimmte Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die gleiche Bedeutung, die ihnen in den Bedingungen zugewiesen wird:

A. Geltende(s) Datenschutzgesetz(e): Alle Datenschutzgesetze, die auf die Verarbeitung personenbezogenen Daten durch Shopify im Rahmen der Geschäftsbedingungen, ihrer Durchführungsverordnungen und des abgeleiteten Rechts anwendbar sind, jeweils in der von Zeit zu Zeit geänderten, aktualisierten oder ersetzten Fassung, einschließlich solcher Gesetze, die auf der Grundlage des Standorts oder Wohnsitzes des Händlers und/oder Ihrer Kunden gelten.

B. Kunde: Eine natürliche oder juristische Person, die Ihren Shop besucht, mit den Funktionen des Shops interagiert und/oder dort ein Produkt, eine Ware oder einen Service erwirbt.

C. Antrag auf Datenrechte: Ein gültiger und rechtmäßiger Antrag einer Person auf Ausübung ihrer Rechte in Bezug auf die personenbezogenen Daten im Rahmen eines geltenden Datenschutzgesetzes.

D. Datenverantwortlicher: Die Partei, die die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegt, oder wie anderweitig unter einem geltenden Datenschutzgesetz definiert.

E. Datenverarbeiter oder Dienstanbieter: Die Partei oder eine andere juristische Person oder ein Unternehmen, das im Auftrag des Datenverantwortlichen Dienstleistungen erbringt und personenbezogene Daten auf Anweisung und im Namen des Datenverantwortlichen verarbeitet. Diese Tätigkeit ist in den anwendbaren Datenschutzgesetzen definiert.

F. Personenbezogene Daten: Informationen oder Daten, die unter den geltenden Datenschutzgesetzen als „personenbezogene Daten“, „personenbezogene Informationen“ oder „persönlich identifizierbare Informationen“ (oder analoge Begriffe) definiert sind.

G. Verletzung des Schutzes personenbezogener Daten: In Bezug auf Ihre personenbezogenen Kundendaten ist der Begriff „Verletzung des Schutzes personenbezogener Daten“ in Übereinstimmung mit den geltenden Datenschutzgesetzen auszulegen.

H. „Verarbeiten“, „Verarbeitung“ oder „Verarbeitet“: (a) Alle Vorgänge oder Kombinationen von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten oder Datensätzen vorgenommen werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; oder (b) die Definition dieses Begriffs bzw. dieser Begriffe nach dem geltenden Datenschutzrecht.

I. „Unterauftragsverarbeiter“: Verbundene Unternehmen oder externe Datenverarbeiter oder Dienstanbieter, die personenbezogene Daten auf Anweisung von Shopify zum Zweck der Bereitstellung der Dienstleistungen verarbeiten können.

J. „Sie“, „Ihr“ oder „Händler“: Bezeichnet jedes Unternehmen, das Sie betreiben und das die Dienstleistungen, die erweiterten Dienstleistungen oder andere zusätzliche Dienstleistungen nutzt oder davon profitiert und eine Partei der Bedingungen mit Shopify ist.

K. „Ihre personenbezogenen Kundendaten“: Personenbezogene Daten von oder über Ihre Kunden, mit Ausnahme von personenbezogenen Daten über Kunden, die Shopify als Ergebnis der Beziehung des Kunden mit Shopify erhält, die durch die Datenschutzrichtlinie für Verbraucher von Shopify und nicht durch dieses DPA geregelt sind.

III. DIE ART DER VERARBEITUNG UND DIE ROLLEN DER PARTEIEN

Shopify als Datenverarbeiter oder Dienstanbieter. Shopify erhält und verarbeitet Ihre personenbezogenen Kundendaten, um Ihnen die Services zur Verfügung zu stellen und wie anderweitig im Folgenden dargelegt. Je nachdem, welche der Services Sie anfordern oder nutzen, verarbeitet Shopify die in Anhang A aufgeführten Kategorien personenbezogener Daten in der dort beschriebenen Weise und auf den dort genannten Grundlagen.

Shopify verarbeitet Ihre personenbezogenen Kundendaten als Datenverarbeiter oder Dienstleister nur, um die in den Bedingungen und ergänzenden Bedingungen angegebenen Dienstleistungen zu erbringen, und soweit dies für die Erbringung, Entwicklung und Verbesserung seiner Dienstleistungen erforderlich ist, sowie für alle anderen Zwecke, die nach den geltenden Datenschutzgesetzen zulässig sind.

Shopify als Datenverantwortlicher oder Unternehmen. Shopify verarbeitet Ihre personenbezogenen Kundendaten als Datenverantwortlicher oder Unternehmen (a) unter den Umständen und in der Art und Weise, wie in Anhang E dargelegt, und (b) für alle zusätzlichen Zwecke, die mit den Anweisungen des Kunden und dem geltenden Datenschutzgesetz vereinbar sind.

IV. VERPFLICHTUNGEN DER PARTEIEN

Im folgenden Paragrafen werden die jeweiligen Verpflichtungen der Parteien in Bezug auf die Verarbeitung personenbezogener Daten beschrieben, die unter dieses DPA fallen.

A. Allgemeine Einhaltung der Bestimmungen

1. Die Parteien erfüllen ihre jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen.

2. Shopify ist nicht verpflichtet, Sie in Bezug auf Ihre Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu beraten oder eine weiterführende Erklärung abzugeben, auch nicht in Bezug auf die Verarbeitung personenbezogener Daten, die unter dieses DPA fallen. Sie sind allein dafür verantwortlich, sich über Ihre rechtlichen und regulatorischen Verpflichtungen zu informieren, einschließlich der Beurteilung, ob die technischen und organisatorischen Maßnahmen der Services mit Ihren eigenen rechtlichen und regulatorischen Verpflichtungen vereinbar sind.

B. Verpflichtungen von Shopify

1. Datensicherheit
Shopify setzt angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung ein und erhält diese aufrecht, wie in Anhang B dargelegt.

2. Benachrichtigung und Untersuchung von Verletzungen des Schutzes personenbezogener Daten

a) Wie von den geltenden Datenschutzgesetzen vorgeschrieben, werden Sie von Shopify benachrichtigt, sobald Shopify eine Verletzung des Schutzes personenbezogener Daten bestätigt.

b) Eine solche Benachrichtigung muss die nach den geltenden Datenschutzgesetzen erforderlichen Informationen enthalten, soweit diese Informationen Shopify nach vernünftigem Ermessen zur Verfügung stehen. Die Reaktion von Shopify auf eine Verletzung des Schutzes personenbezogener Daten oder die Benachrichtigung darüber stellt kein Eingeständnis eines Fehlers oder einer Haftung seitens Shopify dar.

c) Shopify verpflichtet sich, jeden Verstoß gegen den Schutz personenbezogener Daten zu untersuchen und alle wirtschaftlich vertretbaren Anstrengungen zu unternehmen, um die Auswirkungen zu identifizieren, zu verhindern, zu mindern und zu beheben.

C. Ihre Verpflichtungen in Bezug auf personenbezogene Daten

1. Datenschutzerklärung und Transparenz: Sie sichern zu und gewährleisten, dass Sie alle Verpflichtungen gemäß den geltenden Datenschutzgesetzen einhalten, um Ihrer Verarbeitung der personenbezogenen Kundendaten gemäß den Bedingungen und in Verbindung mit Ihrer Nutzung der Dienstleistungen offenzulegen und transparent zu machen. In Übereinstimmung mit den geltenden Datenschutzgesetzen teilen Sie den betroffenen Personen alle Informationen mit, die Shopify benötigt, um Ihre personenbezogenen Kundendaten in Verbindung mit dieser DPA rechtmäßig und fair zu verarbeiten, einschließlich wenn Sie erweiterte Dienstleistungen oder andere zusätzliche Dienstleistungen in Anspruch nehmen. Dazu müssen Sie einen Link zu den Datenschutzrichtlinien von Shopify für Verbraucher und zu Ihren Datenschutzrichtlinien bereitstellen und andere Informationen, wie in Paragraf 9.2.5 der Bedingungen dargelegt, bereitstellen.

2. Rechte und Berechtigungen des Kunden: Sie sichern zu und gewährleisten, dass Sie über alle erforderlichen Rechte, Genehmigungen und Zustimmungen verfügen, um Shopify Ihre personenbezogenen Kundendaten zur Verfügung zu stellen und Shopify zu gestatten, Ihre personenbezogenen Kundendaten zu verarbeiten, damit Sie die Dienstleistungen, einschließlich der Erweiterten Dienstleistungen oder anderer zusätzlicher Dienstleistungen, die Sie erhalten, in Übereinstimmung mit den Bedingungen, dieser DPA und den geltenden Datenschutzgesetzen in Anspruch nehmen können.

3. Anträge auf Ausübung der Datenrechte: Sie sichern zu und gewährleisten, dass Sie Ihren Kunden die Möglichkeit einräumen, ihre Datenrechte gemäß den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Kundendaten durch Shopify, für die Sie der Datenverantwortliche sind, geltend zu machen.

4. Anfragen von Behörden: Sofern dies nicht durch geltendes Recht untersagt ist, informieren Sie uns in Übereinstimmung mit der Benachrichtigungsklausel in den Geschäftsbedingungen unverzüglich über alle behördlichen, regulatorischen oder sonstigen Anfragen oder Beschwerden Dritter im Zusammenhang mit Ihrer Nutzung der Services.

V. SONSTIGES

A. Globale Datenübertragungen
Sie erkennen an, dass Ihre personenbezogenen Kundendaten in alle Länder übertragen und dort verarbeitet werden können, in denen Shopify, seine verbundenen Unternehmen oder Drittanbieter von Services ihren Standort haben (einschließlich Singapur und Kanada). Alle Übertragungen Ihrer personenbezogenen Kundendaten an diese Empfänger erfolgen in Übereinstimmung mit den geltenden Datenschutzgesetzen. Weitere Informationen zu internationalen Datenübertragungen, bei denen Shopify den Datenschutzbestimmungen des EWR, des Vereinigten Königreichs oder der Schweiz unterliegt, finden Sie in Paragraf II(B)(8) des Anhangs C.

B. Antwort auf rechtliche Anfragen

1. Sie erkennen an, dass Shopify im Rahmen der Erbringung der Services für Sie Ihre personenbezogenen Kundendaten weitergeben kann, (i) um gesetzliche Anforderungen zu erfüllen oder um auf gerichtliche Anordnungen oder andere ähnliche staatliche oder behördliche Anforderungen zu reagieren; oder (ii) um mutmaßlichen Betrug, Bedrohungen der physischen Sicherheit, illegale Aktivitäten oder Verstöße gegen einen Vertrag (wie die allgemeine Geschäftsbedingungen) oder unsere Richtlinien (wie unsere [Nutzungsbedingungen(/at/legal/aup)) zu verhindern oder zu untersuchen.

2. Shopify unternimmt vor der Herausgabe Ihrer personenbezogenen Kundendaten alle zumutbaren Anstrengungen, um sicherzustellen, dass eine solche Offenlegung gemäß den geltenden Datenschutzgesetzen zulässig ist und als vertrauliche Informationen gemäß dem geltenden Rechtsrahmen behandelt wird.

C. Offenlegung bei Unternehmenstransaktionen
Sie erkennen an, dass Shopify im Rahmen der Erbringung der Dienstleistungen für Sie verpflichtet sein kann, Ihre personenbezogene Kundendaten an potenzielle Gegenparteien einer Unternehmens- oder Umstrukturierungstransaktion weiterzugeben.

D. Nutzung von Dienstanbietern durch Shopify

1. Sie erkennen an und erklären sich damit einverstanden, dass Shopify bei der Erbringung der Dienstleistungen für Sie Dienstleister einsetzen kann, um Ihre personenbezogene Kundendaten zu verarbeiten. Shopify unterhält eine aktualisierte Liste aller eingesetzten Dienstleister. Wenn Ihnen die geltenden Datenschutzgesetze ein entsprechendes Recht einräumen, können Sie gegen den Einsatz eines Dienstleisters durch Shopify Einspruch erheben, und wenn Shopify nicht in der Lage oder nicht willens ist, derartigen Forderungen nachzukommen, können Sie in Übereinstimmung mit diesen Gesetzen Ihre Nutzung der betroffenen Dienstleistungen innerhalb von 30 Tagen nach einer solchen Benachrichtigung in Übereinstimmung mit den Geschäftsbedingungen beenden.

2. Die Inanspruchnahme von Dienstanbietern durch Shopify zur Verarbeitung Ihrer personenbezogenen Kundendaten, die Sie bereitstellen, erfolgt in Übereinstimmung mit den geltenden Datenschutzgesetzen. Wenn Shopify einen Dienstanbieter beauftragt, schließt Shopify eine schriftliche Vereinbarung mit dem Dienstanbieter ab, der vertragliche Verpflichtungen auferlegt, die im Wesentlichen mit denen in diesem DPA übereinstimmen.

E. Änderung des DPA** Sie erkennen an und erklären sich damit einverstanden, dass Shopify dieses DPA von Zeit zu Zeit ändern kann, indem das entsprechende geänderte und neu gefasste DPA auf der Website von Shopify veröffentlicht wird, die unter https://shopify.com/legal/dpa abrufbar ist, und dass solche Änderungen am DPA ab dem Datum der Veröffentlichung wirksam werden. Ihre fortgesetzte Nutzung der Services nach der Veröffentlichung der geänderten Fassung des DPA auf der Website von Shopify bedeutet, dass Sie der geänderten Fassung des DPA zustimmen und sie akzeptieren. Wenn Sie mit den Änderungen des DPA nicht einverstanden sind, dürfen Sie die Dienstleistung nicht weiter nutzen.

VI. ANHÄNGE

1. Anhang A – Kategorien von personenbezogenen Daten

2. Anhang B – Datensicherheit

3. Anhang C – DSGVO, UK GDPR und Schweiz – Anhang zur Datenverarbeitung

4. Anhang D –Datenschutzgesetze in den USA

5. Anhang E – Shopify als Datenverantwortlicher oder Unternehmen für erweiterte Dienstleistungen

ANHANG A: KATEGORIEN VON PERSONENBEZOGENEN DATEN

Im Rahmen der Nutzung der Services durch Sie und je nachdem, welche Services Sie nutzen, können wir im Rahmen der Bereitstellung der Services die folgenden Kategorien personenbezogener Daten erhalten und verarbeiten:

● Name, E-Mail-Adresse, Kontaktdaten, Rechnungs- und Versanddaten der Kunden.

● Kauf- und andere Transaktionsdaten von Ihrem(n) Shop(s).

● Aktualisierung(en) zum Status der Transaktion(en) mit Ihnen oder Ihrem(n) Shop(s).

● Kundenaktivitäten in Ihrem(n) Shop(s), einschließlich der angezeigten und/oder in den Warenkorb gelegten Produkte.

● Kundenpräferenzsignale, einschließlich Global Privacy Control („GPC“), Opt-out- und Opt-in-Signale.

● Gerätedaten von Kunden für das/die Gerät(e), das/die beim Besuch Ihres Shops/ihrer Shops verwendet wurde(n), einschließlich IP-Adresse, Browser und Netzwerkaktivität.

● Sonstige Informationen über die Beziehung zwischen den Kunden und Ihnen.

● Alle sonstigen personenbezogenen Daten, die Sie oder Ihre Kunden Shopify zur Verfügung stellen.

ANHANG B: DATENSICHERHEIT

Shopify unterhält ein Informationssicherheitsprogramm, das dafür entwickelt wurde, (a) Sie in die Lage zu versetzen, Ihre personenbezogenen Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung zu schützen; (b) nach vernünftigem Ermessen vorhersehbare Risiken für die Sicherheit und Verfügbarkeit der Services, die Sie erhalten, zu identifizieren; und (c) Sicherheitsrisiken für die Services zu minimieren.

I. Das Informationssicherheitsprogramm von Shopify umfasst die folgenden Sicherheitsvorkehrungen:

A. Logische Sicherheit

Zugangskontrollen Shopify macht seine Systeme nur autorisiertem Personal zugänglich, und zwar nur in dem Maße, wie es für die Wartung und Bereitstellung der Services erforderlich ist. Shopify unterhält Zugangskontrollen und -richtlinien, um die Berechtigungen für den Zugang zu seinen Systemen zu verwalten, unter anderem durch den Einsatz von Firewalls und/oder anderen Technologien und Authentifizierungskontrollen.

2. Eingeschränkter Nutzerzugang: In Übereinstimmung mit den Grundsätzen der geringsten Berechtigung, basierend auf den Aufgaben des Personals, gewährt und beschränkt Shopify (i) den Zugang zu seinen Systemen und verlangt (ii) eine Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu seinen Systemen.

3. Beurteilungen von Schwachstellen: Shopify unterhält ein Programm zur Beurteilung von Schwachstellen und zur Durchführung von Penetrationstests. Dieses Programm ist dafür verantwortlich, festgestellte Probleme mit den Services zu untersuchen und zu verfolgen und gegebenenfalls zu lösen.

4. Anwendungssicherheit: Shopify unterhält ein Programm für Anwendungssicherheit, das für den Schutz der Dienstleistungen vor Bedrohungen der Anwendungssicherheit verantwortlich ist.

5. Änderungsmanagement: Shopify setzt Kontrollen ein, um Änderungen an bestehenden Service-Ressourcen zu protokollieren, zu autorisieren, zu testen, zu genehmigen und zu dokumentieren. Dabei werden die Änderungsdetails in den Tools für das Änderungsmanagement oder die Bereitstellung dokumentiert. Shopify testet die Änderungen gemäß seinen Änderungsmanagementstandards, bevor sie in die Produktion überführt werden.

6. Datenintegrität: Shopify setzt gegebenenfalls Kontrollen ein, um die Datenintegrität während der Übertragung, Speicherung und Verarbeitung innerhalb der Services zu gewährleisten.

Verfügbarkeit: Shopify wird (i) gegebenenfalls Redundanz für die Services implementieren, um die Auswirkungen einer Störung auf die Services zu minimieren, (ii) die Services so entwickeln, dass sie Ausfälle antizipieren und tolerieren, und (iii) geeignete Prozesse implementieren, um den Traffic personenbezogener Daten aus den betroffenen Bereichen zu verlagern, wenn dies zur Erholung von Ausfällen erforderlich ist.

Geschäftskontinuität und Disaster Recovery: Shopify setzt ein Risikomanagementprogramm ein, das die Kontinuität der kritischen Geschäftsfunktionen unterstützen soll, einschließlich Prozessen und Verfahren zur Identifizierung von, Reaktion auf und Wiederherstellung nach Ereignissen, die die Bereitstellung der von Ihnen erhaltenen Services durch Shopify verhindern oder wesentlich beeinträchtigen könnten.

Management von Vorfällen: Shopify stellt Ihnen Unterlagen zur Verfügung, mit denen Sie Sicherheits- oder Verfügbarkeitsvorfälle melden, Fragen zur Sicherheit oder Verfügbarkeit stellen und Informationen über potenzielle Sicherheits- oder Verfügbarkeitsprobleme einreichen können. Shopify pflegt Pläne für Abhilfemaßnahmen und Notfallpläne, um potenzielle Sicherheitsbedrohungen für die Services zu erkennen, abzumildern, zu untersuchen und darauf zu reagieren.

B. Physische Sicherheit: Soweit dies zum Schutz der Services erforderlich ist, wird Shopify (i) angemessene Maßnahmen ergreifen, um unbefugten physischen Zugang, Beschädigung oder Störung der Dienstleistungen zu verhindern, (ii) geeignete Kontrollvorrichtungen einsetzen, um den physischen Zugang zu den Dienstleistungen auf autorisiertes Personal zu beschränken, das einen berechtigten geschäftlichen Grund für diesen Zugang hat, und (iii) regelmäßige Überprüfungen durchführen, um die Einhaltung dieser Standards zu bestätigen.

C. Mitarbeiter von Shopify: Die Mitarbeiter von Shopify mit der Berechtigung zum Zugriff auf Ihre personenbezogenen Kundendaten sind im Rahmen ihrer Arbeitsverträge zur Vertraulichkeit verpflichtet. Shopify führt Sicherheitsschulungsprogramme für Mitarbeiter in Bezug auf die Anforderungen von Shopify an die Informationssicherheit ein und pflegt diese Programme. Die Schulungsprogramme zum Sicherheitsbewusstsein werden regelmäßig überprüft und aktualisiert.

II. Änderungen an diesem Anhang

Shopify überprüft von Zeit zu Zeit seine Sicherheitsmaßnahmen und behält sich vor, diesen Anhang nach eigenem Ermessen zu aktualisieren. Solche Aktualisierungen ersetzen frühere Fassungen dieses Anhangs ab dem Datum, an dem Shopify die aktualisierte Fassung veröffentlicht.

ANHANG C: DSGVO, UK GDPR UND SCHWEIZ – ANHANG ZUR DATENVERARBEITUNG

Sofern die Verarbeitung Ihrer personenbezogenen Kundendaten im Rahmen des DPA den Datenschutzbestimmungen des Europäischen Wirtschaftsraums (des „EWR“), des Vereinigten Königreichs (des „UK“) oder der Schweiz (zusammenfassend als „europäische Datenschutzgesetze“ bezeichnet) unterliegt und Shopify als Datenverarbeiter fungiert, ergänzt Anhang C dieses DPA.

I. Die Art der Verarbeitung und die Rolle der Parteien

A. Personenbezogene Daten

Im Rahmen dieses Anhangs handeln Sie als Datenverantwortlicher und Shopify als Datenverarbeiter in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten, wie in Anhang 1 beschrieben, soweit dies erforderlich ist, um die in den Geschäftsbedingungen dargelegten Geschäftszwecke auszuführen und Ihnen die von Ihnen gewählten Services zur Verfügung zu stellen.

II. Verpflichtungen der Parteien

A. Ihre Verpflichtungen

Sie sind verpflichtet, sich an die folgenden Bestimmungen zu halten:

● Europäische Datenschutzgesetze, die für Sie in Bezug auf Ihre Nutzung der Dienstleistungen bindend sind; und

● Ihre Verpflichtungen, die im DPA dargelegt werden, einschließlich Ihrer in diesem Anhang aufgeführten Verpflichtungen.

Sie sichern zu und gewährleisten, dass Sie über eine gültige Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Kundendaten verfügen (einschließlich der Bereitstellung solcher Daten an Shopify) und dass Sie alle erforderlichen Zustimmungen, Berechtigungen und Genehmigungen eingeholt und alle erforderlichen Mitteilungen an Einzelpersonen gemacht haben, um Shopify die Verarbeitung Ihrer personenbezogener Kundendaten zur Bereitstellung der Dienstleistungen zu ermöglichen, wie es die europäischen Datenschutzgesetze vorschreiben.

B. Verpflichtungen von Shopify

1. Anweisungen des Verantwortlichen und Verletzung der europäischen Datenschutzgesetze

a) Die Parteien vereinbaren, dass die Geschäftsbedingungen zusammen mit diesem DPA die dokumentierten Anweisungen bezüglich der Verarbeitung Ihrer personenbezogenen Kundendaten durch Shopify darstellen („dokumentierte Anweisungen“).

b) Shopify verarbeitet Ihre personenbezogenen Kundendaten als Datenverarbeiter: (i) gemäß Ihren dokumentierten Anweisungen oder (ii) zur Erfüllung der Verpflichtungen von Shopify nach geltendem Recht, vorbehaltlich eventueller Mitteilungspflichten nach dem Recht des EWR, der EWR-Mitgliedstaaten, des Vereinigten Königreichs oder der Schweiz, dem Shopify unterliegt.

c) Shopify benachrichtigt Sie, wenn es eine Weisung erhält, die nach vernünftigem Ermessen gegen europäische Datenschutzgesetze verstößt (Shopify ist jedoch nicht verpflichtet, Ihre Einhaltung der europäischen Datenschutzgesetze aktiv zu überwachen).

2. Verpflichtung zur Vertraulichkeit

Shopify gewährleistet, dass die Personen, die von Shopify ermächtigt werden, Ihre personenbezogenen Kundendaten zu verarbeiten, entweder schriftliche Vertraulichkeitsvereinbarungen abschließen oder einer gesetzlichen Vertraulichkeitspflicht unterliegen.

3. Sicherheitsmaßnahmen

a) Shopify setzt angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Kundendaten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, unbefugten Zugriff, Änderung oder Offenlegung ein und erhält diese aufrecht, wie in Anhang 2 dargelegt.

b) Unter Berücksichtigung der Art Ihrer personenbezogenen Kundendaten und der damit verbundenen Verarbeitung leistet Shopify die notwendige Unterstützung, die Sie berechtigterweise verlangen können, um Ihnen zu helfen, Ihre Sicherheitsverpflichtungen gemäß den europäischen Datenschutzgesetzen auszuführen.

c) Shopify benachrichtigt Sie unverzüglich, sobald eine Sicherheitsverletzung bekannt wird, bei der es zu einer versehentlichen oder rechtswidrigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem Zugriff auf Ihre übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Kundendaten gekommen ist.

d) Shopify verpflichtet sich, eine solche Sicherheitsverletzung zu untersuchen und wirtschaftlich angemessene Anstrengungen zu unternehmen, um die Auswirkungen abzumildern.

4. Unterauftragsverarbeiter

a) Sie erteilen Shopify generell die Erlaubnis, Unterauftragsverarbeiter mit der Verarbeitung Ihrer personenbezogenen Kundendaten zu beauftragen. Sie stimmen ferner zu, dass Shopify seine Affiliates als Unterverarbeiter einsetzen kann.

b) Wenn Shopify Unterauftragsverarbeiter zur Verarbeitung Ihrer personenbezogenen Kundendaten einsetzt, geschieht dies in Übereinstimmung mit den europäischen Datenschutzgesetzen.

c) Shopify führt eine aktualisierte Liste aller Unterauftragsverarbeiter, wie in Anhang 3 dargelegt. Shopify wird die Liste der Unterauftragsverarbeiter bei Bedarf aktualisieren und Ihnen ein Verfahren an die Hand geben, mit dem Sie über die Aufnahme oder den Austausch eines Unterauftragsverarbeiters informiert werden. Sie können der Inanspruchnahme eines neuen Unterauftragsverarbeiters durch Shopify widersprechen.

d) Sofern Sie der Inanspruchnahme eines Unterauftragsverarbeiters durch Shopify widersprechen und Shopify nicht in der Lage oder nicht gewillt ist, diesen Wünschen nachzukommen, können Sie die Nutzung der betroffenen Services innerhalb von 30 Tagen nach einer solchen Benachrichtigung in Übereinstimmung mit den Geschäftsbedingungen beenden.

e) Wenn Shopify einen neuen Unterauftragsverarbeiter beauftragt, schließt Shopify einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab. Shopify überträgt dem Unterauftragsverarbeiter vertragliche Verpflichtungen, die im Wesentlichen denen entsprechen, die in diesem DPA dargelegt sind. Shopify haftet in vollem Umfang für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter, und zwar in demselben Umfang, in dem Shopify haften würde, wenn es die Services der jeweiligen Unterauftragsverarbeiter unmittelbar gemäß den Bedingungen dieses DPA ausführen würde. Die Haftung von Shopify unterliegt jedoch den in den Geschäftsbedingungen dargelegten Bedingungen und Haftungsbeschränkungen.

5. Unterstützung des Verantwortlichen
Unter Berücksichtigung der Art Ihrer personenbezogenen Kundendaten und der damit zusammenhängenden Verarbeitung leistet Shopify die angemessene Unterstützung, die Sie vernünftigerweise verlangen können, um Sie bei der Einhaltung Ihrer Verpflichtungen zu unterstützen:

● bei der Beantwortung von Anfragen zu Datenrechten gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung der personenbezogenen Kundendaten durch Shopify;

● bei der Benachrichtigung der zuständigen Behörden und/oder der betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten;

● bei der Durchführung von Datenschutz-Folgenabschätzungen und vorherigen Konsultationen;

● bei der Gewährleistung der Sicherheit bei der Verarbeitung in Übereinstimmung mit Paragraf 3.

6. Beurteilung der Einhaltung von Vorschriften

a) Shopify kann Ihr Recht auf Prüfung gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung Ihrer personenbezogenen Kundendaten ausüben, indem Ihnen – auf Ihre schriftliche Anfrage und unter Wahrung der Vertraulichkeit – das Folgende zur Verfügung gestellt wird:

(i) die jüngsten Audit-Berichte von Shopify, die entweder aus den Selbstaudits von Shopify stammen oder von einem unabhängigen Dritten erstellt wurden;
(ii) zusätzliche Informationen, die sich im Besitz von Shopify befinden, wenn eine Datenschutz- oder staatliche Behörde sie anfordert.

b) Unter der Voraussetzung und nur in dem Umfang, in dem die europäischen Datenschutzgesetze Ihnen dieses Recht gewähren, können Sie Ihr Audit-Recht ausüben: (i) in dem Umfang, in dem ein unabhängiger, international anerkannter Prüfer bescheinigt, dass die Bereitstellung eines Audit-Berichts durch Shopify keine ausreichenden Informationen für Sie bereitstellt, um die Einhaltung dieses DPA und der europäischen Datenschutzgesetze durch Shopify zu überprüfen, oder (ii) in dem Umfang, der für Sie erforderlich ist, um auf eine behördliche Prüfung zu reagieren. Jeder Audit muss den folgenden Parametern entsprechen: (i) Der Audit muss von einem unabhängigen Dritten durchgeführt werden, der mit Shopify eine Vertraulichkeitsvereinbarung abschließt; (ii) der Umfang muss sich auf die Punkte beschränken, die für die Beurteilung der Einhaltung dieses DPA durch Shopify und der Einhaltung der europäischen Datenschutzgesetze durch die Parteien angemessen ist und im gegenseitigen Einvernehmen festgelegt wurde; (iii) an einem gemeinsam vereinbarten Datum und zu einer gemeinsam vereinbarten Uhrzeit und nur während der regulären Geschäftszeiten von Shopify stattfinden; (iv) nicht mehr als einmal pro Jahr stattfinden (es sei denn, dies ist gemäß den europäischen Datenschutzgesetzen erforderlich); (v) nur Einrichtungen umfassen, die von Shopify kontrolliert werden; (vi) die Ergebnisse nur auf Ihre personenbezogenen Kundendaten beschränken; und (vii) alle Ergebnisse als vertrauliche Informationen behandeln, soweit dies gemäß den europäischen Datenschutzgesetzen zulässig ist. Zur Klarstellung: Shopify hält alle Ihre Rechte gemäß diesem Paragraf 6 in Übereinstimmung mit seinen Vertraulichkeitsverpflichtungen gegenüber Dritten ein.

7. Ende der Verarbeitung

a) Während Ihrer Nutzung der Dienstleistungen können Sie mithilfe von Account Tools auf Ihre personenbezogene Kundendaten zugreifen, diese an sich selbst zurückgeben oder löschen.

b) Nach der Kündigung wird Shopify nach Ihrem Ermessen Ihre personenbezogenen Kundendaten löschen oder zurückgeben. Ungeachtet des Vorstehenden kann Shopify Ihre personenbezogenen Kundendaten aufbewahren: (i) soweit dies gesetzlich vorgeschrieben ist, einschließlich der europäischen Datenschutzgesetze, und (ii) in Übereinstimmung mit seinen Standardrichtlinien für die Datensicherung oder Aufbewahrung von Aufzeichnungen, vorausgesetzt, dass Shopify in beiden Fällen die Vertraulichkeit Ihrer aufbewahrten personenbezogenen Kundendaten wahrt und die geltenden Bestimmungen dieses DPA in Bezug auf die aufbewahrten personenbezogenen Kundendaten einhält und die aufbewahrten personenbezogenen Daten nicht weiter verarbeitet, es sei denn für den/die Zweck/e und die Dauer, die nach den geltenden Gesetzen zulässig sind.

8. Internationale Übertragungen

a) Vorbehaltlich der Einhaltung der europäischen Datenschutzgesetze kann Shopify International Ltd. Ihre personenbezogene Kundendaten, die im Rahmen der Bestimmungen dieses Anhangs verarbeitet werden, in Länder außerhalb des EWR, des Vereinigten Königreichs und der Schweiz übertragen, soweit dies für die Erbringung seiner Services erforderlich ist („Internationale Übertragungen“).

b) Solche Übertragungen bestehen in erster Linie in der Übermittlung Ihrer personenbezogenen Kundendaten an Shopify Inc. mit Sitz in Kanada. Laut einer Entscheidung der EU-Kommission 2002/2/EG vom 20. Dezember 2001 schützt das Land personenbezogene Daten durch das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente in einem ausreichenden Maß.

c) Alle internationalen Übermittlungen in Länder, die kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzgesetze gewährleisten, unterliegen angemessenen Sicherheitsvorkehrungen einschließlich der folgenden Übertragungsmechanismen:

● die entsprechenden Module gemäß den Standardvertragsklauseln von 2021, die von der Europäischen Kommission in ihrem Beschluss 2021/914/EG vom 4. Juni 2021 genehmigt wurden;

● der Nachtrag zur internationalen Datenübertragung zu den Standardvertragsklauseln der Europäischen Kommission für die internationale Datenübertragung, herausgegeben vom UK Information Commissioner's Office gemäß S119A(1) des UK Data Protection Act 2018;

● die Standardvertragsklauseln von 2021 in ihrer geänderten Fassung, um den Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (in seiner jeweils gültigen Fassung) vom 19. Juni 1992 in der Fassung vom 25. September 2001 zu genügen; und

● alle Standardvertragsklauseln, internationalen Datenübertragungsergänzungen oder andere Klauseln, Ergänzungen oder Übertragungsmechanismen, die die aktuellen Klauseln und Ergänzungen ersetzen könnten.

d) Shopify kann nach eigenem Ermessen jeden Übertragungsmechanismus ersetzen, um sicherzustellen, dass die Datenübertragungen den geltenden Gesetzen entsprechen. Sofern eine Übertragung auf Standardvertragsklauseln beruht und diese Klauseln von den zuständigen Behörden auf den neuesten Stand gebracht werden, werden diese aktualisierten Klauseln oder ähnliche Vereinbarungen in dieses DPA aufgenommen, so als ob sie hier vollständig aufgeführt wären.

ANHANG 1 – PERSONENBEZOGENE DATEN

BESCHREIBUNG DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN

I. Gegenstand der Verarbeitung

Bereitstellung von Shopify Services für Händler.

II. Kategorien von betroffenen Personen

Kunden des Händlers.

III. Kategorien personenbezogener Daten, die verarbeitet werden

Siehe Anhang A weiter oben.

IV. Häufigkeit der Übertragung

Kontinuierlich.

V. Art der Verarbeitung

Erhebung, Aufzeichnung, Hosting, Zugriff auf, Nutzung, Übertragung und Löschung personenbezogener Daten wie in den Geschäftsbedingungen beschrieben.

VI. Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Zur Durchführung und Verbesserung der Services wie in den Geschäftsbedingungen beschrieben.

VII. Dauer der Verarbeitung

Die Dauer der Services im Rahmen der Geschäftsbedingungen oder der geltenden Vereinbarung, zuzüglich des Zeitraums nach Ablauf dieser Bedingungen bis zur Anonymisierung, Rückgabe oder Löschung der Daten.

VIII. Zuständige Aufsichtsbehörde Die Data Protection Commission of Ireland ist die zuständige Aufsichtsbehörde.

ANHANG 2 – SICHERHEITSMASSNAHMEN

Informationen zu den Sicherheitsmaßnahmen finden Sie in Anhang B des DPA.

ANHANG 3 – LISTE DER UNTERAUFTRAGSVERARBEITER

Die Unterauftragsverarbeiter, die Shopify für die Erbringung der Services im Rahmen der Geschäftsbedingungen einsetzt, sind hier aufgeführt.

Die Unterauftragsverarbeiter verarbeiten die oben beschriebenen Kategorien personenbezogener Daten in Verbindung mit den Services für die Dauer ihrer Vereinbarung mit Shopify.

Anhang D: Datenschutzgesetze in den USA

Dieser Paragraf gilt nur in dem Umfang, in dem: (i) Datenschutzgesetze in den USA im Zusammenhang mit Ihrer Nutzung der Services für Sie und/oder Ihre personenbezogenen Kundendaten gelten; (ii) die folgenden Bestimmungen durch Datenschutzgesetze in den USA vorgeschrieben sind; und (iii) Shopify als Datenverarbeiter oder Dienstanbieter handelt. Um Zweifel auszuschließen, gilt dieser Anhang D nicht für die in Anhang E beschriebenen Verarbeitungstätigkeiten.

1. Die Parteien vereinbaren, dass die Geschäftsbedingungen zusammen mit diesem DPA die dokumentierten Anweisungen bezüglich der Verarbeitung Ihrer personenbezogenen Kundendaten durch Shopify darstellen („dokumentierte Anweisungen“).

2. Mit Ausnahme der in Anhang E beschriebenen Fälle, in denen Sie bestimmte verbesserte Services erhalten, wird Shopify nicht: (i) Ihre personenbezogenen Kundendaten außerhalb der direkten Geschäftsbeziehung mit Ihnen oder zu anderen Zwecken als den in diesem DPA und/oder den Geschäftsbedingungen genannten beschränkten und spezifizierten Zwecken aufbewahren, verwenden oder offenlegen, einschließlich der Bereitstellung, Entwicklung und Verbesserung der Services oder wie anderweitig durch die geltenden Datenschutzgesetze in den USA erlaubt ist, oder (ii) Ihre personenbezogenen Kundendaten „verkaufen“ oder „weitergeben“ oder „gezielte Werbung“ mit Ihren personenbezogenen Kundendaten im Sinne des CCPA oder anderer Datenschutzgesetze in den USA betreiben; oder (iii) Ihre personenbezogenen Kundendaten mit personenbezogenen Daten kombinieren, die Shopify aus anderen Quellen erhält, es sei denn, dies ist nach den Datenschutzgesetzen in den USA zulässig.

3. Shopify verpflichtet sich, (i) das gleiche Maß an Datenschutz bereitzustellen, das von Unternehmen oder Datenverantwortlichen gemäß den Datenschutzgesetzen in den USA verlangt wird, und Sie zu informieren, wenn Shopify feststellt, dass das Unternehmen diesen Verpflichtungen nicht mehr nachkommen kann; in diesem Fall können Sie angemessene und geeignete Schritte unternehmen, um die unbefugte Verarbeitung Ihrer personenbezogenen Kundendaten zu unterbinden oder zu korrigieren, (ii) sicherzustellen, dass die Mitarbeiter, die von Shopify zur Verarbeitung Ihrer personenbezogenen Kundendaten ermächtigt werden, entweder schriftliche Vertraulichkeitsvereinbarungen abschließen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen, (iii) auf angemessene schriftliche Anfrage und als Teil Ihrer Möglichkeiten, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass Shopify Ihre personenbezogenen Kundendaten in einer Weise verwendet, die den Datenschutzgesetzen in den USA entsprechen, den SOC2-Bericht vorzulegen, der eine angemessene Beurteilung des Informationssicherheitsprogramms von Shopify verbrieft; und (iv) bei Kündigung der Services für Sie, einen Bereinigungsprozess einzuleiten, um Ihre personenbezogenen Kundendaten zu löschen, zurückzugeben oder zu de-identifizieren, die Shopify ausschließlich zur Verarbeitung als Datenverarbeiter oder Dienstanbieter zur Verfügung gestellt wurden.

4. Da Sie sich verpflichtet haben, die Vertraulichkeit der Daten zu wahren, werden Sie keine personenbezogenen Daten von Personen an Shopify weitergeben, die ihr Recht auf Widerruf ausgeübt haben, oder die der Verarbeitung solcher vertraulicher Daten nicht gemäß den Anforderungen der geltenden Datenschutzgesetze zugestimmt haben.

Anhang E: Shopify als Datenverantwortlicher oder Unternehmen für verbesserte Services

Shopify fungiert als Datenverantwortlicher oder Unternehmen, wenn Sie die in Paragraf 9.2 den Allgemeinen Geschäftsbedingungen definierten verbesserten Services erhalten. Shopify kann die Services und Produkte, für die es als Datenverantwortlicher oder Unternehmen handelt, von Zeit zu Zeit aktualisieren.

Im Rahmen der Bereitstellung der Verbesserten Services durch Shopify erklären Sie sich damit einverstanden, dass Shopify Ihre personenbezogenen Kundendaten als Datenverantwortlicher oder Unternehmen gemäß den geltenden Datenschutzgesetzen verarbeitet, um Ihnen Analysen, Produktanpassungen, Werbung und andere Services bereitzustellen, zu entwickeln und zu verbessern, die die Interaktionen und Transaktionen Ihrer Kunden mit Ihrem Shop, mit anderen Händlern und mit Shopify einbeziehen. Wenn Shopify Ihre personenbezogenen Kundendaten auf diese Weise verarbeitet, gelten die Datenschutzrichtlinie für Verbraucher von Shopify und dieser Anhang E dieses DPA. Sie können die Verwendung Ihrer personenbezogenen Kundendaten durch Shopify deaktivieren, indem Sie Shopify Network Intelligence hier deaktivieren, obwohl Sie dann bestimmte Apps oder Funktionen nicht nutzen können, wie hier angegeben.

1. Datenschutzerklärungen, Transparenz und Rechte. In Übereinstimmung mit den geltenden Datenschutzgesetzen übermitteln Sie den betroffenen Personen alle Angaben, die Shopify benötigt, um Ihre personenbezogenen Kundendaten rechtmäßig und fair zu verarbeiten, um Ihnen in Verbindung mit diesem Anhang E des DPA verbesserte Services zu erbringen, einschließlich der Bereitstellung eines Links zur Datenschutzrichtlinie für Verbraucher von Shopify in Ihrer Datenschutzrichtlinie und der Bereitstellung der in Paragraf 9.2.5 der Allgemeinen Geschäftsbedingungen genannten Angaben.

2. Europäische Anforderungen. Wenn Sie im EWR, im Vereinigten Königreich oder in der Schweiz ansässig sind oder wenn Ihre Kunden im EWR, im Vereinigten Königreich oder in der Schweiz ansässig sind, erklären Sie sich damit einverstanden und sichern zu, dass Sie die Zustimmung der Kunden eingeholt haben und den Kunden die Möglichkeit geben, ihr Recht auf Widerruf der Zustimmung auszuüben, gegen eine bestimmte Verarbeitung Einspruch zu erheben und von einer bestimmten Verarbeitung zurückzutreten, sofern dies nach den geltenden Datenschutzgesetzen erforderlich ist. Um jeden Zweifel auszuschließen, müssen Sie die Zustimmung für gezielte Werbung als Teil der verbesserten Services und die Verwendung von Cookies oder anderen lokalen Speichertechnologien einholen, soweit dies durch die geltenden Datenschutzgesetze vorgeschrieben ist. Weitere Informationen zur Umsetzung dieser Anforderungen finden Sie hier.

3. Verantwortlichkeiten des Verantwortlichen. Sie sind ein Verantwortlicher für Ihre personenbezogenen Kundendaten und legen die Zwecke und Mittel Ihrer Verarbeitung Ihrer personenbezogenen Kundendaten sowie die Art und Weise der Nutzung und Verarbeitung Ihrer personenbezogenen Kundendaten selbst fest, einschließlich der Festlegung der Rechtsgrundlage für Ihre Verarbeitung gemäß dem geltenden Datenschutzgesetz. Shopify ist ein Datenverantwortlicher für Ihre personenbezogenen Kundendaten, die es in Übereinstimmung mit diesem Anhang E verarbeitet, und bestimmt selbst die Zwecke und Mittel seiner Verarbeitung dieser personenbezogenen Daten und die Art und Weise, wie diese personenbezogenen Daten verwendet und verarbeitet werden, einschließlich der Festlegung der Rechtsgrundlage für seine Verarbeitung gemäß dem geltenden Datenschutzgesetz.

Jede Partei ist selbst für die Beantwortung von Anträgen auf Ausübung der Datenrechte verantwortlich, die sie im Zusammenhang mit der Verarbeitung Ihrer personenbezogenen Kundendaten als Datenverantwortlicher erhält.

4. Keine Auswirkung auf das übrige DPA. Dieser Anhang E hat keine Auswirkungen auf andere Geschäftsbedingungen, einschließlich des übrigen DPA, die eine Beziehung zwischen dem Datenverantwortlichen und dem Datenverarbeiter zwischen Händlern und Shopify widerspiegeln.