Shopify und das EU-US Privacy Shield: Neue EDPB-Bestimmungen 2021/2022

Illustration einer halben Weltkugel mit dem Titel "Shopify und das EU-US-Privacy Shield-Abkommen"

Der Europäische Gerichtshof (EuGH) erließ am 16. Juli 2020 ein Urteil, welches das EU-US Privacy Shield-Abkommen für ungültig erklärt. Das Abkommen diente dazu, Unternehmen eine Möglichkeit zu geben, Daten aus der EU legal in die USA zu transferieren.

Shopify-Nutzer:innen sind von dieser Entscheidung des EuGH nicht betroffen.

Shopify ist ein kanadisches Unternehmen mit Firmensitz in der Hauptstadt Ottawa. Bei der Verarbeitung und dem Schutz der Daten greift hier also das kanadische Datenschutzgesetz (PIPEDA), welches von der Europäischen Kommission für angemessen erklärt wurde.

Shopify nimmt den Datenschutz sehr ernst. Aus diesem Grund haben wir uns vertraglich gegenüber unseren Händler:innen zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) verpflichtet und unsere Infrastruktur so gestaltet, dass die grenzüberschreitende Datenübertragung DSGVO-konform ist. Dabei werden personenbezogene Daten von Personen aus Europa zuerst innerhalb von Europa (in Irland, dem europäischen Sitz von Shopify) empfangen und verarbeitet, bevor wir diese Daten weiter nach Kanada zur Muttergesellschaft und an andere Standorte übertragen.

Weitere Informationen zur grenzüberschreitenden Datenübertragung und Dateninfrastruktur bei Shopify findest du in unserem Whitepaper "Shopify & Datenübertragungen".

White Paper "Shopify & Datenübertragungen" herunterladen

Inhaltsverzeichnis



Was tut Shopify, um die Daten gemäß der DSGVO zu schützen?

Ein Handy mit einem Schloss-Icon liegt auf einem Tisch und steht für den Datenschutz nach dem EU-US Privacy Shield

Die DSGVO sieht verschiedene Schutzmaßnahmen vor, um personenbezogene Daten von in Europa ansässigen Personen außerhalb Europas zu übertragen. Dazu zählt, dass das Datenschutzgesetz des Ziellandes für angemessen befunden werden muss, um sicherzustellen, dass die Daten geschützt sind (Artikel 45 DSGVO - Angemessenheitsbeschluss).

Die Europäische Kommission hat entschieden, dass das kanadische Datenschutzgesetz „Personal Information Protection and Electronic Documents Act“ (PIPEDA), das für die Verarbeitung von Daten durch die Muttergesellschaft von Shopify gilt, diese Daten angemessen schützt.

Lesetipp: In diesem Guide haben wir für dich zusammengestellt, wie mit AliExpress Dropshipping funktioniert.

Personenbezogene Daten dürfen innerhalb einer Unternehmensgruppe übertragen werden (z.B. zwischen Shopify Inc. (Kanada) und Shopify in den USA), wenn diese Unternehmen über eine interne Richtlinie zum Schutz der Daten verfügen. Diese bezeichnet man als „Verbindliche Unternehmensregeln“ (Binding Corporate Rules, BCRs), die durch eine europäische (in Irland ansässige) Datenschutzbehörde genehmigt werden (Artikel 47 DSGVO). Die verbindlichen Unternehmensregeln von Shopify befinden sich gerade im Genehmigungsprozess.

Zudem werden die Daten bei der Übertragung und Speicherung verschlüsselt. Dadurch können persönliche Daten nicht ohne Weiteres entschlüsselt werden. Die unzureichende Verschlüsselung war übrigens einer der Hauptgründe, warum das EU-US Privacy Shield-Abkommen vom EuGH für unzureichend befunden wurde.

Lesetipp: Du möchtest auch endlich in den Wachstumsmarkt E-Commerce einsteigen? Dann haben wir in diesem Beitrag alles für dich zusammengefasst, was du über den Onlinehandel wissen musst.

Auch wenn wir an dieser Stelle keine verbindliche Rechtsberatung geben dürfen, kann man unserer Meinung nach feststellen, dass die Ungültigkeitserklärung des EU-US Privacy Shield-Abkommens keine Auswirkung auf die Nutzung von Shopify hat, weil wir die Daten gemäß des kanadischen Datenschutzgesetzes und internen Shopify-Richtlinien DSGVO-konform verarbeiten und schützen.


Template Icon

Kostenloses Webinar: In 30 Minuten zum eigenen Onlineshop

Du willst selbst mal sehen, wie schnell du einen Shop aufsetzen kannst?

Der Shopify-Experte und leidenschaftliche Shop-Betreiber Adrian Piegsa zeigt dir, wie du dich anmeldest, eine Domain verknüpfst, Produkte auswählst und natürlich alle rechtlichen Vorgaben umsetzt.

Jetzt kostenlos teilnehmen

Gibt es einen Nachfolger des EU-US Privacy Shields?

Nachdem das Privacy Shield 2020 aufgehoben wurde, folgte ein Jahr der Unsicherheit bei der Übermittlung personenbezogener Daten nach außerhalb der EU. Klarheit schaffte der Europäische Datenschutzausschuss (EDPB) im Juni 2021 mit aktualisierten Empfehlungen für Website-Eigentümer:innen.

Dropshipping lohnt nicht? Wir haben den Test gemacht! Erfahre in diesem Beitrag, wie wir im Selbstexperiment mit Shopify Dropshipping innerhalb weniger Tage einen beachtlichen Umsatz erzielt haben!

Die Empfehlungen umfassen einen fünfstufigen Leitfaden zur Bewertung der eigenen Datentransfermaßnahmen sowie die EU Essential Guarantees. Letzteres sollen bei der Beurteilung helfen, ob Datenübertragungen in ein Land außerhalb der EU sicher sind. Website-Betreiber:innen arbeiten bei der Prüfung der eigenen Maßnahmen zum Datentransfer die folgenden Fragen und Aufgaben ab:

  1. In welche Länder werden personenbezogenen Daten gesendet? Werden Daten außerhalb der EU gesendet, wird mit dem nächsten Schritt fortgefahren.
  2. Wie werden die Daten gesendet? Die zulässigen Übertragungsinstrumente sind in Artikel 46 der DGVO festgelegt.
  3. Werden die Daten nach der Übermittlung im entsprechenden Land geschützt? Das Land, in welches Daten übermittelt werden, muss über ein der DSGVO gleichwertiges Datenschutzabkommen verfügen. Bei der Bewertung helfen die EU Essential Guarantees.
  4. Festlegung zusätzlicher Datenschutzmaßnahmen: Können die übermittelten Daten im entsprechenden Land nicht ausreichend geschützt werden, müssen zusätzliche Schutzmaßnahmen erfolgen, z. B.: technische, vertragliche und organisatorische Maßnahmen.
  5. Dokumentation und regelmäßige Neubewertung des Datentransfers: Die angewandten Praktiken und Schutzmaßnahmen zur Datenübertragung müssen dokumentiert und regelmäßig auf Gültigkeit geprüft werden.

Lesetipp: Ordnungsgemäßer Datenschutz ist ebenso wie das Impressum Pflicht für eine Website. Wir beantworten 13 wichtige Fragen zum Impressum.

Was müssen Händler:innen tun, um Shopify datenschutzkonform zu nutzen?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) ein verbindlich geltendes Recht in Europa. Händler:innen müssen seitdem strengere Regeln einhalten, um personenbezogene Daten zu schützen.

Lesetipp: Die Social-Media-Plattform TikTok bietet Marken ein breites, junges Publikum, um Anzeigen zu schalten und über die Funktion TikTok Shop zu verkaufen. 

Alle Informationen zur DSGVO findest du:

Als Verarbeiter der Daten deiner Kundschaft schützt Shopify, wie im Abschnitt zuvor erklärt, diese Daten und stellt die DSGVO-Konformität sicher. Alle Informationen zu den Verpflichtungen von Shopify als Datenverarbeiter deiner Kundendaten findest du im Anhang zur Datenverarbeitung (DPA).


    Abonniere am besten direkt den Shopify Podcast und verpasse keine Folge mehr!

    Shopify tut zwar alles, um dich für den Erfolg zu rüsten, es gibt jedoch auch Maßnahmen, die du selbst ergreifen musst. Du solltest daher folgende Überlegungen anstellen:

    • Musst du Verarbeitungsverzeichnisse erstellen?
    • Benötigst du einen Datenschutzbeauftragten?
    • Muss deine Datenschutzerklärung angepasst werden?
    • Welche Verträge zur Auftragsverarbeitung benötigst du?
    • Brauchst du nach der EU-Cookie-Richtlinie die Zustimmung deiner Kundschaft, um Daten zu verarbeiten? 
    • Nutzt du externe Anwendungen, Themes oder Apps und sind diese regelkonform mit der DSGVO?

    Wenn du dir bei der Beantwortung der Fragen nicht sicher bist, empfehlen wir dir entsprechende Rechtsberatung einzuholen, um darüber zu sprechen und offene Fragen zu klären. Eine Hilfe für abmahnsichere Rechtstexte findest du mit der neuen App "IT-Recht AGB-Schnittstelle"

    Hier beantworten wir deine zusätzlichen Fragen zur Nutzung von Shopify in Deutschland

    Wie du fit für die DSGVO wirst, schildern wir dir Schritt-für-Schritt in unserem Beitrag von Volljuristin Bernadette Mohme. Schau dir auch unser Webinar von IT-Recht Kanzlei an “In 10 Minuten: So machst du deinen Shopify Onlineshop rechtssicher”.

    White Paper "Shopify & Datenübertragungen" herunterladen


    Haftungsausschluss: Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine professionelle Rechtsberatung dar. Bitte konsultiere eine unabhängige Rechtsberatung für Informationen, die spezifisch für dein Land und deine Umstände sind. Shopify haftet in keiner Weise für deine Verwendung oder dein Vertrauen in diese Informationen.

    Häufig gestellte Fragen zum EU-US Privacy Shield

    Was ist das EU-US Privacy Shield?

    Mit dem EU-US Privacy Shield sollte gewährleistet werden, dass personenbezogene Daten von EU-Bürger:innen DSGVO-konform an US-Unternehmen übermittelt werden. Im Juli 2020 wurden diese Bestimmungen durch das Urteil Schrems II des EuGH abgeschafft.

    Wodurch wird das EU-US Privacy Shield ersetzt?

    Nachdem das EU-US Privacy Shield im Juli 2020 vom Europäischen Gerichtshof für nichtig erklärt wurde, gibt es seit 4. Juni 2021 neue Empfehlungen des EDPB. Diese enthalten einen Leitfaden in fünf Schritten, der Website-Besitzern helfen soll, die eigenen Datentransferpraktiken zu überprüfen und zu bewerten, ob weitere Schutzmaßnahmen notwendig sind.

    Welche Schritte empfiehlt die EDPB nach Abschaffung des EU-US Privacy Shield?

    Onlineshop-Besitzer:innen der EU müssen die folgenden 5 Schritte der EDPB nacheinander durchgehen, um herauszufinden, ob sie ihre Art der Datenübertragung anpassen müssen: 1. Feststellen, wohin Daten übertragen werden. 2. Herausfinden, wie Daten übertragen werden. 3. Recherchieren, ob Daten nach der Übertragung ausreichend geschützt werden. 4. Gegebenenfalls zusätzliche Schutzmaßnahmen anwenden. 5. Aktuelle Datentransferpraktiken dokumentieren und regelmäßig nach Schritt 1 - 4 neu bewerten.

    Betrifft das EU-US Privacy Shield Shopify?

    Nein. Da Shopify ein kanadisches Unternehmen mit Sitz in Ottawa ist, greift bei der Verarbeitung personenbezogener Daten das kanadische Datenschutzgesetz PIPEDA. Dieses wurde von der Europäischen Kommission als gleichwertig zur DSGVO erklärt.

    Which method is right for you?Geposted von Hendrik Breuer: Hendrik ist Redakteur des deutschen Shopify-Blogs. Möchtest du einen Gastbeitrag veröffentlichen? Dann lies bitte zuerst diesen Leitfaden.

    Themen: