Nach Kippen des EU-US-Privacy-Shields: Hosting über Shopify weiterhin möglich?
Jüngst hat der EuGH das EU-US-Privacy Shield für ungültig erklärt, das lange Zeit als geeignete Garantie für Datenübermittlungen in die USA galt. Unternehmen, die personenbezogene Daten aus der EU auf US-Servern verarbeiten, können dies nicht mehr auf Basis des „Privacy Shield“ tun. Vor diesem Hintergrund wurden wir gefragt, ob auch das Hosting via Shopify betroffen und Shopify-Shops daher zu schließen sind. Wir klären auf.
Shopify ist ein kanadischer Anbieter von Shopsoftware, der Händlern eine Hosting-Umgebung für ihren Shop bereitstellt.
Hierbei kommt Shopify zwangsweise mit den Daten von Kunden seiner Händler in Berührung und übernimmt die informationstechnologische Abwicklung und Organisation von Bestellungen und Zahlungen. Datenschutzrechtlich agiert Shopify bei dieser Verarbeitung von Kundendaten seiner Händler als sogenannter Auftragsverarbeiter.
Im Rahmen der Auftragsverarbeitung verarbeitet Shopify Kundendaten von EU-Händlern zwar überwiegend auf europäischen Servern. Möglich ist aber stark vereinzelt auch eine Übermittlung solcher Daten in die USA.
Bei der Übermittlung von personenbezogenen Daten in Drittländer außerhalb der EU (egal, ob die Übermittlung an eigenständig Verantwortliche oder an Auftragsverarbeiter erfolgt) verpflichtet die DSGVO zum Vorhalten geeigneter Garantien für die Datensicherheit. Diese sollen sicherstellen, dass die Daten in Drittländern denselben Schutzstandards unterliegen wie in der EU.
Als geeignete Garantien kennt die DSGVO unter anderem:
- Angemessenheitsbeschlüsse der EU-Kommission (die Kommission beschließt die Datensicherheit bei Datenübermittlungen in ein konkretes Land)
- Datenschutzübereinkommen zwischen der EU und Drittländern (wie mit den USA das nunmehr ungültige Privacy Shield)
- Standarddatenschutzklauseln nach EU-Vorlage zwischen Datenimporteur (im Drittland) und Datenexporteur (in der EU)
Ohne geeignete Garantien sind Datenübermittlungen in Drittländer nach der DSGVO verboten, erfolgen also widerrechtlich.
Für Shopify-Händler ist das Risiko, dass bei der Nutzung von Shopify Daten Ihrer Kunden widerrechtlich in die USA als Drittland übermitteln, allerdings minimal gering:
Einerseits greift Shopify für nahezu alle Verarbeitungstätigkeiten bei EU-Händlern auf EU-Server zurück. Kommt es zu direkten Datenübermittlung ins Ausland, werden Daten ausschließlich an kanadische Server der Shopify Inc. in Kanada übertragen. Datenübermittlungen nach Kanada sind aber durch einen Angemessenheitsbeschluss der EU legitimiert. Gegebenenfalls kann es zwar zu Datenübertragungen aus Kanada an Unterauftragsverarbeiter in den USA kommen. Hierbei verpflichtet die kanadische Shopify Inc. die Unterauftragsverarbeiter aber zur Einhaltung strenger Datenschutzpflichten.
Shopify-Händler sind, was den Verbleib von Kundendaten im Shopify-Netzwerk angeht, demzufolge deutlich rechtssicherer aufgestellt als Kunden von Shopsoftware-Anbietern, die Ihre Aktivitäten direkt von den USA aus betreiben und/oder Daten aus der EU direkt in die Vereinigten Staaten übermitteln.
Ein Anlass dazu, im Angesicht des Wegfalls des EU-US-Privacy-Shield über eine Schließung von Shopify-Shops nachzudenken, besteht nach Ansicht der IT-Recht Kanzlei definitiv nicht.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar
Sie schreiben von strenger Datenschutzpflichten die Shopify seinen Unterauftragsverarbeitern auferlegt. Woher haben Sie diese Informationen? Weder aus dem GDPR Whitepaper noch in der Erklärung zum Wegfall des EU Privacy Shields (siehe: https://help.shopify.com/pdf/cross-border-whitepaper.pdf) ist davon explizit die Rede. Woran machen Sie das angemessene Datenschutz Niveau fest?
Shopify unterzeichnet keine SCCs und BCRs sind ebenfalls nicht in Kraft.
Grüße, H.E.