Nachtrag zur Datenverarbeitung von Shopify

1. Definitionen

(a) "Europäische Datenschutzgesetze" bezeichnet die Verordnung (EU) 2016/679 (die "Datenschutz-Grundverordnung"), das britische Datenschutzgesetz 2018 ("DPA"), die Datenschutz-Grundverordnung des Vereinigten Königreichs im Sinne des DPA in der Fassung der Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019 (zusammen mit dem DPA die der deutschen DSGVO entsprechende GDPR des Vereinigten Königreichs) und alle relevanten Gesetze, Statuten, Verordnungen, Regeln oder andere verbindliche Instrumente, die das Vorstehende umsetzen oder sich anderweitig auf den Datenschutz, den Schutz der Privatsphäre, die Datensicherheit oder die Verarbeitung personenbezogener Daten in einem europäischen Mitgliedsstaat oder dem Vereinigten Königreich beziehen, jeweils in der geltenden Fassung und in der von Zeit zu Zeit geänderten, konsolidierten, wieder in Kraft gesetzten oder ersetzten Fassung.

(b) "Personenbezogene Daten" werden in Übereinstimmung mit den europäischen Datenschutzgesetzen und den US-Datenschutzgesetzen, soweit anwendbar, ausgelegt und beziehen sich auf eine identifizierbare oder identifizierte Person, die Ihren Shop besucht oder über ihn Transaktionen durchführt (ein "Kunde"), die Shopify als Datenverarbeiter oder Dienstleister (wie in diesen Gesetzen definiert) im Zuge der Bereitstellung der Dienstleistungen für Sie als Verantwortlicher oder Unternehmen (wie in diesen Gesetzen definiert) verarbeitet. Der Begriff "Personenbezogene Daten" umfasst auch "Personenbezogene Informationen" gemäß der Definition in den US-Datenschutzgesetzen. Ungeachtet des vorstehenden Satzes umfassen personenbezogene Daten keine Informationen, die Shopify im Rahmen von Dienstleistungen verarbeitet, die es einem Verbraucher direkt zur Verfügung stellt, wie z. B. durch seine verbraucherorientierten Anwendungen wie Shop und Shop Pay.

(c) "US-Datenschutzgesetze" bezeichnet den California Consumer Privacy Act in der Fassung des California Privacy Rights Act ("CCPA"), den Virginia Consumer Data Protection Act ("VCDPA"), den Colorado Privacy Act ("CPA"), den Utah Consumer Privacy Act ("UCPA") den Connecticut Act Concerning Personal Data Privacy and Online Monitoring ("CTDPA") und andere ähnliche umfassende staatliche Datenschutzgesetze, die einem Unternehmen oder einer verantwortlichen Person Verpflichtungen in Bezug auf personenbezogene Daten (wie in diesen Gesetzen definiert) auferlegen, sowie alle relevanten Vorschriften, Regeln oder anderen verbindlichen Instrumente zur Umsetzung dieser Gesetze, jeweils in der geltenden Fassung und in der von Zeit zu Zeit geänderten, konsolidierten, wieder in Kraft gesetzten oder ersetzten Fassung.

(d) "US-Verbraucher" bezeichnet eine Person, die ein "Verbraucher" im Sinne der US-Datenschutzgesetze ist.

(e) Alle anderen großgeschriebenen Begriffe in diesem Nachtrag haben die gleiche Definition wie in der Vereinbarung.

2. Details zur Datenverarbeitung

2.1. Die Parteien sind sich einig, dass Anhang 1 dieses Nachtrags den Gegenstand und die Einzelheiten der Verarbeitung von personenbezogenen Daten beschreibt. Shopify kann personenbezogene Daten zusammenfassen, anonymisieren oder de-identifizieren und diese Daten für die in Anhang 1 genannten Zwecke oder wie anderweitig nach geltendem Recht zulässig verarbeiten. Soweit Shopify von Ihnen personenbezogene Daten erhält, die de-identifiziert wurden (wie in Abschnitt 5.1 dieses Nachtrags definiert), wird Shopify diese Daten nur in de-identifizierter Form aufbewahren und verwenden.

3. Europäische Union und Vereinigtes Königreich

3.1. Dieser Abschnitt gilt nur insoweit, als die Verarbeitung personenbezogener Daten durch Shopify den europäischen Datenschutzgesetzen unterliegt. In diesem Abschnitt werden die Begriffe "Datenverarbeiter", "Verantwortlicher", "betroffene Person", "Verarbeitung", "Unterauftragsverarbeiter" und "Aufsichtsbehörde" in Übereinstimmung mit den europäischen Datenschutzgesetzen ausgelegt.

3.2. Sie erkennen an, dass Shopify als unabhängiger Verantwortlicher in Bezug auf personenbezogene Daten handelt, die es von Verbrauchern in Verbindung mit seinen verbraucherorientierten Anwendungen und Dienstleistungen wie Shop und Shop Pay erhebt.

3.3. Wenn eine betroffene Person im Europäischen Wirtschaftsraum oder im Vereinigten Königreich ansässig ist, werden die personenbezogenen Daten dieser betroffenen Person von Shopify International Ltd. ("Shopify EU"), dem Shopify-Affiliate in Irland, verarbeitet. Im Rahmen der Erbringung der Services können diese personenbezogenen Daten in andere Regionen übermittelt werden, unter anderem nach Kanada und in die Vereinigten Staaten. Diese Übermittlungen erfolgen im Einklang mit den jeweiligen Datenschutzgesetzen.

3.4. Wenn Shopify EU bei der Erbringung der Services personenbezogene Daten verarbeitet, wird Shopify:

  • 3.4.1. die personenbezogenen Daten als Auftragsverarbeiter und/oder Service-Anbieter verarbeiten, und zwar nur für die Erbringung der Services gemäß den dokumentierten Anweisungen von Ihnen (sofern diese Anweisungen mit den Funktionen der Services zu vereinbaren sind) und möglicherweise entsprechend Ihrer Zustimmung im Anschluss. Wenn Shopify EU gesetzlich zur Verarbeitung der personenbezogenen Daten für andere Zwecke verpflichtet ist, informiert Shopify EU Sie im Voraus über diese Verpflichtung, es sei denn, es ist Shopify EU gesetzlich untersagt, Sie auf diese Weise zu informieren;

  • 3.4.2 Als Teil der Bereitstellung der Services überträgt Shopify EU auf Ihre Anweisung hin personenbezogene Daten an MaxMind, einen Betrugserkennungsdienst, der personenbezogene Daten verarbeitet, um Ihnen Risikobewertungen zur Verfügung zu stellen, damit Sie betrügerische Transaktionen vermeiden können. In dieser Rolle tritt MaxMind in Bezug auf alle personenbezogenen Daten von Kunden, die MaxMind verarbeitet, als unabhängiger Verantwortlicher auf, und wir sind nicht dafür verantwortlich, wie MaxMind diese Daten verarbeitet. Weitere Informationen über die Datenschutzpraktiken von MaxMind finden Sie unter diesem Link: www.maxmind.com/en/privacy-policy;

  • 3.4.3. Sie informieren, wenn Ihre Anweisung für die Verarbeitung personenbezogener Daten nach Einschätzung von Shopify EU die einschlägigen europäischen Datenschutzgesetze verletzt;

  • 3.4.4. Sie im Falle einer Anfrage oder Beschwerde von einer Aufsichtsbehörde bezüglich der Verarbeitung der personenbezogenen Daten durch Shopify EU unverzüglich, soweit gesetzlich zulässig, informieren;

  • 3.4.5. angemessene technische und organisatorische Maßnahmen ergreifen, die es Ihnen ermöglichen, Anfragen in Bezug auf die personenbezogenen Daten Ihrer Kunden, zu deren Erfüllung Sie verpflichtet sind, auszuführen;

  • 3.4.6. geeignete technische und organisatorische Maßnahmen treffen und aufrechterhalten, um die personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, Zerstörung, Schädigung, Diebstahl, Änderung oder Offenlegung zu schützen. Diese Maßnahmen sind für den Schaden, der durch eine unbefugte oder unrechtmäßige Verarbeitung, den unbeabsichtigten Verlust, die Zerstörung, Schädigung oder den Diebstahl personenbezogener Daten entstehen könnte, sowie für die Art der personenbezogenen Daten angemessen, die zu schützen sind;

  • 3.4.7. auf Anfrage angemessene Informationen zur Verfügung stellen, um Sie bei der Durchführung Ihrer Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit den Aufsichtsbehörden zu unterstützen;

  • 3.4.8. Ihnen auf Anfrage aktuelle Bestätigungen, Berichte oder Auszüge dieser Daten zur Verfügung stellen, sofern sie von einer Quelle beschafft werden können, die mit der Prüfung der Datenschutzpraktiken von Shopify EU beauftragt wurde (z. B. externe Prüfer, interne Prüfer, Datenschutzprüfer), oder geeignete Zertifizierungen, damit Sie die Einhaltung der Bestimmungen dieses Nachtrags beurteilen können;

  • 3.4.9. Sie unverzüglich benachrichtigen, sobald eine versehentliche, unbefugte oder rechtswidrige Verarbeitung, Weitergabe oder der Zugriff auf die personenbezogenen Daten bekannt und bestätigt wird;

  • 3.4.10. sicherstellen, dass seine Mitarbeiter, die Zugang zu den personenbezogenen Daten haben, der Geheimhaltungspflicht unterliegen; und

  • 3.4.11. bei Beendigung der Vereinbarung unverzüglich seinen Bereinigungsprozess einleiten, um die personenbezogenen Daten zu löschen oder zu anonymisieren. Sie können auch innerhalb von 60 Tagen nach der Kündigung verlangen, dass Shopify diese personenbezogenen Daten zurückgibt.

3.5. Im Zuge der Erbringung der Dienstleistungen erkennen Sie an und erteilen Shopify EU eine allgemeine schriftliche Genehmigung zur Nutzung von Unterauftragsverarbeitern, die online aufgeführt sind unter: https://help.shopify.com/de/ ("Liste der Unterauftragsverarbeiter"), um die personenbezogenen Daten zu verarbeiten. Die Nutzung eines bestimmten Unterauftragsverarbeiters durch Shopify EU zur Verarbeitung der personenbezogenen Daten muss im Einklang mit den europäischen Datenschutzgesetzen stehen und durch einen Vertrag zwischen Shopify EU und dem Unterauftragsverarbeiter geregelt sein, der vergleichbare Schutzmaßnahmen wie diesen Nachtrag zur Datenverarbeitung vorsieht. Wenn Shopify EU einen neuen Unterauftragsverarbeiter ernennt oder beabsichtigt, Änderungen in Bezug auf die Hinzufügung oder den Austausch von Unterauftragsverarbeitern vorzunehmen, werden diese Änderungen in unserer Liste der Unterauftragsverarbeiter vorgenommen. Sie haben sieben (7) Tage ab dem Datum der Aktualisierung unserer Liste der Unterauftragsverarbeiter Zeit, der Änderung zu widersprechen. Wenn Sie der Ernennung eines Unterauftragsverarbeiters widersprechen, können Sie diese Vereinbarung in Übereinstimmung mit der Vereinbarung und Ihrer Shopify Plus-Vereinbarung, falls zutreffend, kündigen.

3.6. Sie garantieren, dass Sie die europäischen Datenschutzgesetze eingehalten haben und weiterhin einhalten werden, insbesondere, dass Sie alle erforderlichen Zustimmungen eingeholt oder alle erforderlichen Mitteilungen gemacht haben und dass Sie anderweitig einen legitimen Grund haben, Daten an Shopify EU weiterzugeben und die Verarbeitung personenbezogener Daten durch Shopify EU wie in diesem Vertrag dargelegt zu ermöglichen.

4. US-Verbraucher

4.1. Dieser Abschnitt gilt nur insoweit, als Sie im Sinne der US-Datenschutzgesetze ein Unternehmen oder ein Verantwortlicher sind und Shopify im Rahmen der Erbringung der Dienstleistungen personenbezogene Daten über US-Verbraucher verarbeitet, die den US-Datenschutzgesetzen unterliegen. In diesem Abschnitt haben die Begriffe "Geschäft", "Geschäftszweck", "kommerzieller Zweck", "Verantwortlicher", "de-identifiziert", "Auftragsverarbeiter", "verkaufen", "Verkauf", "Dienstleister" die Bedeutung, die ihnen in den US-Datenschutzgesetzen zugewiesen wird, und "Anteil" hat die Bedeutung, die ihm im CCPA zugewiesen wird, und wird hier durch Bezugnahme aufgenommen.

4.2. In Bezug auf solche personenbezogenen Daten und in dem Umfang, der durch die geltenden US-Datenschutzgesetze vorgeschrieben ist, wird Shopify:

  • 4.2.1. personenbezogene Daten als Dienstleister und/oder Auftragsverarbeiter in Ihrem Namen verarbeiten, um die Dienstleistungen zu erbringen, oder wie anderweitig durch die US-Datenschutzgesetze erlaubt;

  • 4.2.2. personenbezogene Daten nicht außerhalb der direkten Geschäftsbeziehung mit Ihnen oder zu einem anderen Zweck als der Erbringung der Dienstleistungen aufbewahren, verwenden oder offenlegen, einschließlich der Aufbewahrung, Verwendung oder Offenlegung solcher personenbezogenen Daten für einen anderen kommerziellen Zweck als die Erfüllung der in der Vereinbarung beschriebenen Geschäftszwecke oder wie anderweitig durch die US-Datenschutzgesetze erlaubt;

  • 4.2.3. solche personenbezogenen Daten nicht verkaufen oder weitergeben;

  • 4.2.3. personenbezogene Daten, die in Verbindung mit der Erbringung der Dienstleistungen erhoben wurden, nicht mit personenbezogenen Daten kombinieren, die aus einer anderen Quelle stammen oder aus eigenen Interaktionen mit der Person erhoben wurden, es sei denn, die Dienstleistungen werden mit Zustimmung oder auf Anweisung erbracht oder sind anderweitig durch die US-Datenschutzgesetze erlaubt;

  • 4.2.4. im Zusammenhang mit der Verarbeitung der personenbezogenen Daten die Bestimmungen der US-Datenschutzgesetze einhalten, die für Dienstanbieter oder Auftragsverarbeiter gelten, einschließlich der Gewährleistung des gleichen Datenschutzniveaus, das die US-Datenschutzgesetze von Unternehmen oder Verantwortlichen verlangen, und Sie benachrichtigen, wenn Shopify feststellt, dass es diese Verpflichtungen nicht mehr erfüllen kann. Nach Erhalt einer solchen Benachrichtigung können Sie angemessene und geeignete Maßnahmen ergreifen, um die unbefugte Nutzung personenbezogener Daten durch Shopify zu beenden und zu beheben;

  • 4.2.5. nur Unterauftragnehmer mit der Verarbeitung personenbezogener Daten in seinem Namen beauftragen, und zwar auf der Grundlage eines schriftlichen Vertrags, der vergleichbare Schutzmaßnahmen wie dieser Nachtrag zur Datenverarbeitung vorsieht. Im Rahmen der Erbringung der Dienstleistungen erkennen Sie an und erteilen Shopify hiermit die allgemeine schriftliche Genehmigung, Unterauftragnehmer, die online unter: https://help.shopify.com/de/ ("Liste der Unterauftragsverarbeiter") verzeichnet sind, einzusetzen, um die personenbezogenen Daten zu verarbeiten. Die Nutzung eines bestimmten Unterauftragsverarbeiters durch Shopify zur Verarbeitung der personenbezogenen Daten muss in Übereinstimmung mit den US-Datenschutzgesetzen erfolgen und durch einen Vertrag zwischen Shopify und dem Unterauftragnehmer geregelt werden, der vergleichbare Schutzmaßnahmen wie dieses Data Processing Addendum vorsieht. Wenn Shopify einen neuen Unterauftragnehmer ernennt oder beabsichtigt, Änderungen in Bezug auf die Hinzufügung oder den Austausch von Unterauftragnehmern vorzunehmen, werden diese Änderungen in unserer Liste der Unterauftragsverarbeiter vorgenommen. Sie haben sieben (7) Tage ab dem Datum der Aktualisierung unserer Liste der Unterauftragsverarbeiter Zeit, der Änderung zu widersprechen. Sollten wir keine Antwort von Ihnen erhalten, gilt die Änderung als angenommen. Wenn Sie der Ernennung eines Unterauftragnehmers widersprechen, können Sie diese Vereinbarung gemäß der Vereinbarung und Ihrer Shopify Plus-Vereinbarung, falls zutreffend, kündigen.

  • 4.2.6. sicherstellen, dass sein Personal, das die personenbezogenen Daten verarbeitet, in Bezug auf diese Informationen der Geheimhaltungspflicht unterliegt;

  • 4.2.7. nach einer angemessenen schriftlichen Mitteilung Ihrerseits und vorbehaltlich der in der Vereinbarung festgelegten Vertraulichkeitsverpflichtungen angemessene und geeignete Schritte unternehmen, um Sie bei der Bestätigung zu unterstützen, dass die Verwendung personenbezogener Daten durch Shopify im Einklang mit Ihren Verpflichtungen gemäß den US-Datenschutzgesetzen steht;

  • 4.2.8. auf Anfrage einen Bericht über eine angemessene Bewertung der Richtlinien sowie der technischen und organisatorischen Maßnahmen von Shopify zur Unterstützung seiner Verpflichtungen gemäß den geltenden US-Datenschutzgesetzen unter Verwendung eines geeigneten und anerkannten Kontrollstandards oder Rahmens und Bewertungsverfahrens für solche Bewertungen vorlegen; und

  • 4.2.9 bei Beendigung der Vereinbarung unverzüglich seinen Bereinigungsprozess einleiten, um die personenbezogenen Daten zu löschen oder zu de-identifizieren. 60 Tage nach der Beendigung können Sie außerdem verlangen, dass Shopify diese personenbezogenen Daten zurückgibt.

4.3. Sie erklären und garantieren, dass Sie:

  • 4.3.1. alle erforderlichen Zustimmungen, Rechte und Genehmigungen eingeholt und alle erforderlichen Mitteilungen an Einzelpersonen bezüglich Ihrer Weitergabe von personenbezogenen Daten an Shopify gemacht haben, um Shopify die Verarbeitung personenbezogener Daten zur Erbringung der Dienstleistungen zu ermöglichen, wie es das geltende Recht verlangt;

  • 4.3.2. Shopify keine personenbezogenen Daten von Personen zur Verfügung stellen, die den US-Datenschutzgesetzen unterliegen und eine Opt-Out-Klausel ausgeübt haben, zu deren Einhaltung Sie sich verpflichtet haben;

  • 4.3.3. Shopify keine sensiblen Daten von US-Verbrauchern zur Verfügung stellen, die der Verarbeitung ihrer sensiblen Daten nicht zugestimmt haben;

  • 4.3.4. Shopify über alle rechtlichen Anfragen informieren, die Einzelpersonen gemäß den US-Datenschutzgesetzen an Sie richten und denen Shopify nachkommen muss, und die Informationen bereitzustellen, die Shopify benötigt, um den Anfragen nachzukommen; und

  • 4.3.5. allein für die Einhaltung dieser Gesetze verantwortlich sind.

4.4 Sie und Shopify stimmen darin überein, dass die Existenz dieses Nachtrags kein Eingeständnis darstellt, dass die gemeinsame Nutzung von personenbezogenen Daten einen Verkauf oder eine Freigabe darstellt.

5. Allgemeines

5.1. Im Falle eines Widerspruchs oder einer Unstimmigkeit zwischen den Bestimmungen des Vertrags und dieses Nachtrags haben die Bestimmungen dieses Nachtrags Vorrang, es sei denn, diese Bestimmungen stehen im Widerspruch zu einer Anforderung nach geltendem Recht; in diesem Fall hat diese Anforderung Vorrang. Zur Vermeidung von Zweifeln und soweit dies nach geltendem Recht zulässig ist, unterliegt jegliche Haftung im Rahmen dieses Nachtrags, einschließlich der Haftungsbeschränkungen, den entsprechenden Bestimmungen des Vertrags. Sie erkennen an und erklären sich damit einverstanden, dass Shopify diesen Nachtrag von Zeit zu Zeit ändern kann, indem es den entsprechenden geänderten und neu formulierten Nachtrag auf der Website von Shopify unter der Adresse https://shopify.com/de/legal/impressum veröffentlicht. Solche Änderungen des Nachtrags sind ab dem Datum der Veröffentlichung wirksam. Ihre fortgesetzte Nutzung der Services nach der Veröffentlichung des geänderten Zusatzes auf der Website von Shopify bedeutet, dass Sie dem geänderten Zusatz zustimmen und ihn akzeptieren. Wenn Sie mit den Änderungen des Zusatzes nicht einverstanden sind, dürfen Sie den Service nicht weiter nutzen.

5.2. Mit Ausnahme der in diesem Nachtrag ausdrücklich modifizierten und geänderten Abschnitte bleiben sämtliche Bedingungen, Bestimmungen und Anforderungen der Vereinbarung in vollem Umfang wirksam und regeln diesen Nachtrag. Wenn eine Bestimmung des Nachtrags in einem Gerichtsverfahren für rechtswidrig oder nicht durchsetzbar erklärt wird, wird diese Bestimmung ausgeklammert und unwirksam, und die übrigen Bestimmungen des Nachtrags bleiben für die Parteien wirksam und verbindlich.

5.3. Die Bestimmungen dieses Nachtrags unterliegen den Gesetzen der Provinz Ontario und den dort anwendbaren Gesetzen Kanadas und werden entsprechend ausgelegt, ohne Berücksichtigung der Prinzipien des Kollisionsrechts. Die Parteien unterwerfen sich unwiderruflich und bedingungslos der ausschließlichen Zuständigkeit der Gerichte der Provinz Ontario in Bezug auf Streitigkeiten oder Ansprüche, die sich aus oder im Zusammenhang mit diesem Nachtrag ergeben.

Anhang 1: Details zur Datenverarbeitung

Art und Zweck der Verarbeitung: Bereitstellung und Verbesserung der Dienstleistungen gemäß den Allgemeinen Geschäftsbedingungen von Shopify und allen anderen Bedingungen, in die dieser Nachtrag integriert ist, sowie Bereitstellung des damit verbundenen Supports für Kunden, soweit dies gemäß den europäischen Datenschutzgesetzen oder den US-Datenschutzgesetzen zulässig ist oder von Ihnen von Zeit zu Zeit veranlasst wird.

Gegenstand, Arten von personenbezogenen Daten und Kategorien von betroffenen Personen: personenbezogene Daten von Kunden.

Dauer der Verarbeitung: Die Laufzeit dieses Nachtrags plus der Zeitraum ab dem Ende der Laufzeit bis zur Löschung aller personenbezogenen Daten der Kunden durch Shopify in Übereinstimmung mit seinen Verpflichtungen gemäß diesem Nachtrag.