Nachtrag zur Datenverarbeitung von Shopify
Data Processing Addendum von Shopify
I. ZWECK
Dieses Data Processing Addendum von Shopify ("DPA") ergänzt die Allgemeinen Geschäftsbedingungen von Shopify sowie alle Bestimmungen, die für alle weiteren Shopify-Services gelten, für deren Nutzung Sie sich entschieden haben (die "Geschäftsbedingungen"), und wird durch Verweis in diese aufgenommen, und zwar durch und zwischen Ihnen (oder "Händler") und dem Shopify-Vertragspartner, wie in den Geschäftsbedingungen dargelegt ("Shopify"), in denen die spezifischen geschäftlichen Zwecke und Dienstleistungen im Zusammenhang mit dem DPA beschrieben werden. Im Falle eines Widerspruchs zwischen den Geschäftsbedingungen und diesem DPA hat das DPA in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten Vorrang.
Wenn die Verarbeitung personenbezogener Daten im Rahmen des DPA den Datenschutzanforderungen im Europäischen Wirtschaftsraum (dem "EWR"), dem Vereinigten Königreich (dem "UK") oder der Schweiz unterliegt, ergänzt Anhang C dieses DPA. Im Falle eines Widerspruchs zwischen Anhang C und anderen Abschnitten dieses DPA hat Anhang C Vorrang in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten, die den Datenschutzanforderungen des Europäischen Wirtschaftsraums, des Vereinigten Königreichs und der Schweiz unterliegen.
Sie und Shopify (jeweils eine "Partei", zusammen die "Parteien") vereinbaren, dass dieses DPA die Verpflichtungen der Parteien hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten in Verbindung mit den Bestimmungen und Ihrer Nutzung der Services festlegt. Um Zweifel auszuschließen, gilt dieses DPA nicht für die Verarbeitung personenbezogener Daten durch Shopify als Datenverantwortlicher, also auch nicht für die Verarbeitung personenbezogener Daten von Kunden, die Shopify infolge der direkten Beziehung oder der absichtlichen Interaktion des Kunden mit Shopify erhält, wie z. B. durch die für Verbraucher bestimmten Services von Shopify wie Shop und Shop Pay.
II. DEFINITIONEN
Großgeschriebene Begriffe, die in diesem DPA verwendet, aber nicht definiert werden, haben die gleiche Bedeutung, die ihnen in den Bedingungen zugewiesen wird:
A. Geltende(s) Datenschutzgesetz(e): Alle Datenschutzgesetze, die auf die Verarbeitung Ihrer personenbezogenen Daten durch Shopify im Rahmen der Geschäftsbedingungen, ihrer Durchführungsverordnungen und des abgeleiteten Rechts anwendbar sind, jeweils in der von Zeit zu Zeit geänderten, aktualisierten oder ersetzten Fassung, einschließlich (ggf. auf der Grundlage des Standorts oder Wohnsitzes des Händlers und/oder Ihrer Kunden):
1. Das kanadische Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente von 1 ("PIPEDA", Personal Information Protection and Electronic Documents Act 2000);
2. Den (a) California Consumer Privacy Act, in der Fassung des California Privacy Rights Act ("CCPA"), (b) Virginia Consumer Data Protection Act, (c) Colorado Privacy Act, (d) Connecticut Data Privacy Act, (e) Utah Consumer Privacy Act, (f) Oregon Consumer Privacy Act, (g) Texas Data Privacy and Security Act, (h) Montana Consumer Data Privacy Act und (i) nach Inkrafttreten ähnliche umfassende Datenschutzgesetze in anderen Bundesstaaten der USA (zusammen "U.S. Data Protection Laws");
3. Die Allgemeine Datenschutzverordnung (Verordnung (EU) 3) ("GDPR") und alle geltenden nationalen Umsetzungsgesetze;
4. EU-Richtlinie über den Datenschutz für die elektronischen Kommunikation (Richtlinie 4/EG) in ihrer geänderten Fassung ("ePrivacy-Richtlinie");
5. UK General Data Protection Regulation ("UK GDPR") und der UK Data Protection Act 5 ("UK DPA");
6. Das Gesetz zum Schutz personenbezogener Daten von Singapur von 6 ("PDPA"); und
7. Schweizerisches Bundesgesetz über den Datenschutz ("Swiss FDPA")
B. Kunde: Eine natürliche oder juristische Person, die Ihren Shop besucht, mit den Funktionen des Shops interagiert und/oder dort ein Produkt, eine Ware oder einen Service erwirbt.
C. Personenbezogene Daten: Informationen oder Daten, die unter den geltenden Datenschutzgesetzen als "personenbezogene Daten" oder "persönliche Informationen" (oder ähnliche Begriffe) von Ihren oder über Ihre Kunden definiert sind, die Shopify (oder Dritten, die im Namen von Shopify handeln) von Ihnen (oder Dritten, die in Ihrem Namen handeln) im Rahmen der Nutzung der Services zur Verfügung gestellt werden, sowie andere personenbezogene Daten, die Sie Shopify über Ihre Kunden im Rahmen der Nutzung der Services mitteilen. Aus Gründen der Klarheit umfassen personenbezogene Daten keine personenbezogenen Daten über Kunden, die Shopify als Datenverantwortlicher verarbeitet und/oder als Ergebnis einer direkten Beziehung oder absichtlichen Interaktion des Kunden mit Shopify oder mit anderen Shopify-Händlern erhält.
D. Antrag auf Datenrechte: Ein gültiger und rechtmäßiger Antrag einer Person auf Ausübung ihrer Rechte in Bezug auf die personenbezogenen Daten im Rahmen eines geltenden Datenschutzgesetzes.
E. Datenverantwortlicher: Die Partei, die die Zwecke und die Mittel zur Verarbeitung personenbezogener Daten festlegt, oder wie anderweitig unter einem geltenden Datenschutzgesetz definiert.
F. Datenverarbeiter oder Dienstanbieter: Die Partei oder eine andere juristische Person oder ein Unternehmen, die bzw. das im Auftrag des Datenverantwortlichen Dienstleistungen erbringt und personenbezogene Daten auf Anweisung und im Namen des Datenverantwortlichen verarbeitet. Diese Tätigkeit ist in Übereinstimmung mit den geltenden Datenschutzgesetzen auszulegen.
G. Verletzung des Schutzes personenbezogener Daten: In Bezug auf Ihre personenbezogenen Daten ist der Begriff "Verletzung des Schutzes personenbezogener Daten" in Übereinstimmung mit dem geltenden Datenschutzrecht auszulegen.
H. "Verarbeiten", "Verarbeitung" oder "Verarbeitet": (a) Alle Vorgänge oder Kombinationen von Vorgängen, die mit oder ohne Hilfe automatisierter Verfahren an personenbezogenen Daten oder Datensätzen vorgenommen werden, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; oder (b) die Definition dieses Begriffs bzw. dieser Begriffe nach dem geltenden Datenschutzrecht.
I. "Unterauftragsverarbeiter": Verbundene Unternehmen oder externe Datenverarbeiter oder Dienstanbieter, die personenbezogene Daten auf Anweisung von Shopify zum Zweck der Bereitstellung der Services verarbeiten können.
J. "Sie", "Ihr" oder "Händler": Bezeichnet das Unternehmen, das die Services nutzt und eine Vertragspartei der Geschäftsbedingungen mit Shopify ist.
III. DIE ART DER VERARBEITUNG UND DIE ROLLEN DER PARTEIEN
Shopify erhält und verarbeitet Ihre personenbezogenen Daten, um Ihnen die Services zur Verfügung zu stellen und wie anderweitig im Folgenden dargelegt. Je nachdem, welche der Services Sie anfordern oder nutzen, verarbeitet Shopify die in Anhang A aufgeführten Kategorien personenbezogener Daten in der dort beschriebenen Weise und auf den dort genannten Grundlagen.
Shopify verarbeitet Ihre personenbezogenen Daten als Datenverarbeiter oder Dienstanbieter nur in dem Maße, wie es für die Bereitstellung und Verbesserung der Services erforderlich ist oder wie es die geltenden Datenschutzgesetze erlauben. Im Rahmen der Bereitstellung und ständigen Verbesserung der Services kann Shopify Ihre personenbezogenen Daten zusammenfassen, anonymisieren oder de-identifizieren.
Wenn Shopify von Ihnen personenbezogene Daten erhält, die de-identifiziert wurden, pflegt und nutzt Shopify die Daten nur in einer de-identifizierten Form.
IV. VERPFLICHTUNGEN DER PARTEIEN
Im folgenden Abschnitt werden die jeweiligen Verpflichtungen der Parteien in Bezug auf die Verarbeitung personenbezogener Daten beschrieben, die unter dieses DPA fallen.
A. Allgemeine Einhaltung der Bestimmungen
1. Die Parteien erfüllen ihre jeweiligen Verpflichtungen gemäß den geltenden Datenschutzgesetzen.
2. Shopify ist nicht verpflichtet, Sie in Bezug auf Ihre Verpflichtungen gemäß den geltenden Datenschutzgesetzen zu beraten oder eine weiterführende Erklärung abzugeben, auch nicht in Bezug auf personenbezogene Daten, die unter dieses DPA fallen. Sie sind allein dafür verantwortlich, sich über Ihre rechtlichen und regulatorischen Verpflichtungen zu informieren, einschließlich der Beurteilung, ob die technischen und organisatorischen Maßnahmen der Services mit Ihren eigenen rechtlichen und regulatorischen Verpflichtungen vereinbar sind.
B. Verpflichtungen von Shopify
1. Datensicherheit Shopify setzt angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung ein, wie in Anhang B dargelegt.
**2. Benachrichtigung und Untersuchung von Verstößen gegen den Schutz personenbezogener Daten ** a) Wie von den geltenden Datenschutzgesetzen vorgeschrieben, werden Sie von Shopify benachrichtigt, sobald Shopify einen Verstoß gegen den Schutz personenbezogener Daten bestätigt.
b) Eine solche Benachrichtigung muss die nach den geltenden Datenschutzgesetzen erforderlichen Informationen enthalten, soweit diese Informationen Shopify nach vernünftigem Ermessen zur Verfügung stehen. Die Reaktion von Shopify auf eine Verletzung des Schutzes personenbezogener Daten oder die Benachrichtigung darüber stellt kein Eingeständnis eines Fehlers oder einer Haftung seitens Shopify dar.
c) Shopify verpflichtet sich, jeden Verstoß gegen den Schutz personenbezogener Daten zu untersuchen und alle wirtschaftlich vertretbaren Anstrengungen zu unternehmen, um die Auswirkungen zu identifizieren, zu verhindern, zu mindern und zu beheben.
3. Anträge auf Ausübung der Datenrechte a) In dem Maße, wie es nach den geltenden Datenschutzgesetzen erforderlich ist, unterstützt Shopify Sie bei der Verarbeitung und Beantwortung von Anträgen auf die Ausübung ihrer Datenrechte durch Ihre Kunden im Zusammenhang mit Ihrer Nutzung der Services.
b) Um Unterstützung bei der Beantwortung eines solchen Antrags auf Ausübung von Datenrechten zu erhalten, leiten Sie den Antrag über den Adminbereich/das Portal des Shopify-Händlers an Shopify weiter, es sei denn, Shopify teilt Ihnen einen anderen Mechanismus mit.
C. Ihre Verpflichtungen in Bezug auf personenbezogene Daten
1. Datenschutzerklärung und Transparenz: Sie sichern zu und gewährleisten, dass Sie alle Verpflichtungen gemäß den geltenden Datenschutzgesetzen einhalten, um die Verarbeitung personenbezogener Daten gemäß den Bedingungen und in Verbindung mit Ihrer Nutzung der Services offenzulegen und transparent zu machen. Soweit dies nach den geltenden Datenschutzgesetzen erforderlich ist, teilen Sie den betroffenen Personen alle Informationen mit, die Shopify benötigt, um personenbezogene Daten im Zusammenhang mit diesem DPA rechtmäßig und fair zu verarbeiten, einschließlich eines Links zur Datenschutzerklärung von Shopify oder zu Ihrer eigenen Datenschutzerklärung.
2. Rechte und Genehmigungen des Kunden: Sie sichern zu und gewährleisten, dass Sie alle erforderlichen Rechte, Genehmigungen und Zustimmungen besitzen, um Shopify personenbezogene Daten in Übereinstimmung mit den Geschäftsbedingungen, Ihrer Nutzung der von Ihnen erhaltenen Services und den geltenden Datenschutzgesetzen zur Verfügung zu stellen.
3. Anträge auf Ausübung der Datenrechte: Sie sichern zu und gewährleisten, dass Sie Ihren Kunden die Möglichkeit einräumen, ihre Datenrechte gemäß den geltenden Datenschutzgesetzen in Bezug auf alle von Shopify verarbeiteten personenbezogenen Daten, für die Sie der Datenverantwortliche sind, geltend zu machen.
4. Anfragen von Behörden: Sofern dies nicht durch geltendes Recht untersagt ist, informieren Sie uns in Übereinstimmung mit der Benachrichtigungsklausel in den Geschäftsbedingungen unverzüglich über alle behördlichen, regulatorischen oder sonstigen Anfragen oder Beschwerden Dritter im Zusammenhang mit Ihrer Nutzung der Services.
V. DATENSCHUTZGESETZE IN DEN USA
Dieser Abschnitt gilt nur in dem Umfang, in dem: (i) US-Datenschutzgesetze im Zusammenhang mit Ihrer Nutzung der Services für Sie gelten; und (ii) die folgenden Bestimmungen durch US-Datenschutzgesetze vorgeschrieben sind und Sie ein "Unternehmen" oder ein "Verantwortlicher" im Sinne dieser Gesetze sind.
A. Shopify verpflichtet sich, das Folgende zu unterlassen: (i) solche personenbezogenen Daten außerhalb der direkten Geschäftsbeziehung mit Ihnen oder zu anderen Zwecken als den in diesem DPA und/oder den Geschäftsbedingungen angegebenen begrenzten und festgelegten Zwecken zu speichern, zu verwenden oder offenzulegen, einschließlich der Speicherung, Verwendung oder Offenlegung solcher personenbezogener Daten zu einem anderen kommerziellen Zweck als den in diesem DPA und/oder den Geschäftsbedingungen angegebenen begrenzten und festgelegten Zwecken, (ii) solche personenbezogenen Daten im Sinne des CCPA zu "verkaufen" oder "weiterzugeben" oder (iii) solche personenbezogenen Daten mit personenbezogenen Daten zu kombinieren, die Shopify aus anderen Quellen erhält, jeweils mit Ausnahme der Fälle, in denen dies gemäß den Datenschutzgesetzen der USA erlaubt ist.
B. Shopify verpflichtet sich, (i) das gleiche Maß an Datenschutz bereitzustellen, das von Unternehmen oder Datenverantwortlichen gemäß diesen Gesetzen verlangt wird, und Sie zu informieren, wenn Shopify feststellt, dass das Unternehmen diesen Verpflichtungen nicht mehr nachkommen kann; in diesem Fall können Sie angemessene und geeignete Schritte unternehmen, um die unbefugte Verarbeitung dieser personenbezogenen Daten zu unterbinden oder zu korrigieren, (ii) sicherzustellen, dass die Mitarbeiter, die von Shopify zur Verarbeitung personenbezogener Daten ermächtigt werden, entweder schriftliche Vertraulichkeitsvereinbarungen abschließen oder gesetzlichen Vertraulichkeitsverpflichtungen unterliegen, (iii) auf angemessene schriftliche Anfrage und als Teil Ihrer Möglichkeiten, angemessene und geeignete Schritte zu unternehmen, um sicherzustellen, dass Shopify diese personenbezogenen Daten in einer Weise verwendet, die den US-Datenschutzgesetzen entsprechen, den SOC2-Bericht vorzulegen, der eine angemessene Beurteilung des Informationssicherheitsprogramms von Shopify verbrieft; und (iv) bei Beendigung der Services für Sie, einen Bereinigungsprozess einzuleiten, um die personenbezogenen Daten zu löschen oder zu de-identifizieren.
C. Da Sie sich verpflichtet haben, die Vertraulichkeit der Daten zu wahren, werden Sie keine personenbezogenen Daten von Personen an Shopify weitergeben, die ihr Recht auf Widerruf ausgeübt haben, oder die der Verarbeitung solcher vertraulicher Daten nicht zugestimmt haben.
VI. SONSTIGES
A. Globale Datenübertragungen Sie erkennen an, dass personenbezogene Daten in alle Länder übertragen und dort verarbeitet werden können, in denen Shopify, seine verbundenen Unternehmen oder Drittanbieter von Services ihren Standort haben (einschließlich Singapur und Kanada). Alle Übertragungen personenbezogener Daten an diese Empfänger erfolgen in Übereinstimmung mit den geltenden Datenschutzgesetzen. Weitere Informationen zu internationalen Datenübertragungen, bei denen Shopify den Datenschutzbestimmungen des EWR, des Vereinigten Königreichs oder der Schweiz unterliegt, finden Sie in Abschnitt II(B)(8) des Anhangs C.
B. Antwort auf rechtliche Anfragen
Sie erkennen an, dass Shopify im Rahmen der Erbringung der Services für Sie Ihre personenbezogenen Daten weitergeben kann, (i) um gesetzliche Anforderungen zu erfüllen oder um auf gerichtliche Anordnungen oder andere ähnliche staatliche oder behördliche Anforderungen zu reagieren; oder (ii) um mutmaßlichen Betrug, Bedrohungen der physischen Sicherheit, illegale Aktivitäten oder Verstöße gegen einen Vertrag (wie die Geschäftsbedingungen) oder unsere Richtlinien (wie unsere Nutzungsbedingungen) zu verhindern oder zu untersuchen.
Shopify unternimmt vor der Herausgabe solcher personenbezogener Daten alle zumutbaren Anstrengungen, um sicherzustellen, dass eine solche Offenlegung gemäß den geltenden Datenschutzgesetzen zulässig ist und als vertrauliche Information gemäß dem geltenden Rechtsrahmen behandelt wird.
C. Offenlegung bei Unternehmenstransaktionen Sie erkennen an, dass Shopify im Rahmen der Erbringung der Services für Sie verpflichtet sein kann, personenbezogene Daten an potenzielle Gegenparteien einer Unternehmens- oder Umstrukturierungstransaktion weiterzugeben.
D. Nutzung von Unterauftragsverarbeitern/Dienstanbietern durch Shopify
Sie erkennen an, dass Shopify bei der Erbringung der Services für Sie Unterauftragsverarbeiter einsetzen kann, um personenbezogene Daten zu verarbeiten. Shopify unterhält eine aktualisierte Liste aller eingesetzten Unterauftragsverarbeiter. Wenn Ihnen die geltenden Datenschutzgesetze ein entsprechendes Recht einräumen, können Sie gegen den Einsatz eines Unterauftragsverarbeiters durch Shopify Einspruch erheben, und wenn Shopify nicht in der Lage oder nicht willens ist, derartigen Forderungen nachzukommen, können Sie in Übereinstimmung mit diesen Gesetzen Ihre Nutzung der betroffenen Services innerhalb von 30 Tagen nach einer solchen Benachrichtigung in Übereinstimmung mit den Geschäftsbedingungen beenden.
Die Inanspruchnahme von Unterauftragsverarbeitern durch Shopify zur Verarbeitung personenbezogener Daten, die Sie bereitstellen, erfolgt in Übereinstimmung mit den geltenden Datenschutzgesetzen. Wenn Shopify einen Unterauftragsverarbeiter beauftragt, schließt Shopify einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab, der vertragliche Verpflichtungen auferlegt, die im Wesentlichen mit denen in diesem DPA übereinstimmen.
E. Änderung des DPA Sie erkennen an und erklären sich damit einverstanden, dass Shopify dieses DPA von Zeit zu Zeit ändern kann, indem das entsprechende geänderte und neu gefasste DPA auf der Website von Shopify veröffentlicht wird, die unter https://shopify.com/de/legal/dpa abrufbar ist, und dass solche Änderungen am DPA ab dem Datum der Veröffentlichung wirksam werden. Ihre fortgesetzte Nutzung der Services nach der Veröffentlichung der geänderten Fassung des DPA auf der Website von Shopify bedeutet, dass Sie der geänderten Fassung des DPA zustimmen und sie akzeptieren. Wenn Sie mit den Änderungen des DPA nicht einverstanden sind, dürfen Sie den Service nicht weiter nutzen.
VII Anhänge
- Anhang A – Kategorien von personenbezogenen Daten
- Anhang B – Datensicherheit
- Anhang C – GDPR, UK GDPR und Schweiz – Anhang zur Datenverarbeitung
ANHANG A: KATEGORIEN VON PERSONENBEZOGENEN DATEN
Im Rahmen der Nutzung der Services durch Sie und je nachdem, welche Services Sie nutzen, können wir im Rahmen der Bereitstellung der Services die folgenden Kategorien personenbezogener Daten erhalten und verarbeiten:
- Name, E-Mail-Adresse, Kontaktdaten, Rechnungs- und Versanddaten der Kunden.
- Kauf- und andere Transaktionsdaten von Ihrem(n) Shop(s).
- Aktualisierung(en) zum Status der Transaktion(en) mit Ihnen oder Ihrem(n) Shop(s)
- Kundenaktivitäten in Ihrem(n) Shop(s), einschließlich der angezeigten und/oder in den Warenkorb gelegten Produkte.
- Kundenpräferenzsignale, einschließlich Global Privacy Control ("GPC"), Opt-out- und Opt-in-Signale.
- Gerätedaten von Kunden für das/die Gerät(e), das/die beim Besuch Ihres Shops/ihrer Shops verwendet wurde(n), einschließlich IP-Adresse, Browser und Netzwerkaktivität.
- Sonstige Informationen über die Beziehung zwischen den Kunden und Ihnen.
- Alle sonstigen personenbezogenen Daten, die Sie Shopify zur Verfügung stellen.
ANHANG B: DATENSICHERHEIT
Shopify unterhält ein Informationssicherheitsprogramm, das dafür entwickelt wurde, (a) Sie in die Lage zu versetzen, Ihre personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, Änderung oder Offenlegung zu schützen; (b) nach vernünftigem Ermessen vorhersehbare Risiken für die Sicherheit und Verfügbarkeit der Services, die Sie erhalten, zu identifizieren; und (c) Sicherheitsrisiken für die Services zu minimieren.
I. Das Informationssicherheitsprogramm von Shopify umfasst die folgenden Sicherheitsvorkehrungen:
A. Logische Sicherheit
Zugangskontrollen Shopify macht seine Systeme nur autorisiertem Personal zugänglich, und zwar nur in dem Maße, wie es für die Wartung und Bereitstellung der Services erforderlich ist. Shopify unterhält Zugangskontrollen und -richtlinien, um die Berechtigungen für den Zugang zu seinen Systemen zu verwalten, unter anderem durch den Einsatz von Firewalls und/oder anderen Technologien und Authentifizierungskontrollen.
Eingeschränkter Nutzerzugang In Übereinstimmung mit den Grundsätzen der geringsten Berechtigung, basierend auf den Aufgaben des Personals, gewährt und beschränkt Shopify (i) den Zugang zu seinen Systemen und verlangt (ii) eine Zwei-Faktor-Authentifizierung (2FA) für den Zugang zu seinen Systemen.
Beurteilungen von Schwachstellen Shopify unterhält ein Programm zur Beurteilung von Schwachstellen und zur Durchführung von Penetrationstests. Dieses Programm ist dafür verantwortlich, festgestellte Probleme mit den Services zu untersuchen und zu verfolgen und gegebenenfalls zu lösen.
Anwendungssicherheit Shopify unterhält ein Programm für Anwendungssicherheit, das für den Schutz der Services vor Bedrohungen der Anwendungssicherheit verantwortlich ist.
Änderungsmanagement Shopify setzt Kontrollen ein, um Änderungen an bestehenden Service-Ressourcen zu protokollieren, zu autorisieren, zu testen, zu genehmigen und zu dokumentieren. Dabei werden die Änderungsdetails in den Tools für das Änderungsmanagement oder die Bereitstellung dokumentiert. Shopify testet die Änderungen gemäß seinen Änderungsmanagementstandards, bevor sie in die Produktion überführt werden.
Datenintegrität Shopify setzt gegebenenfalls Kontrollen ein, um die Datenintegrität während der Übertragung, Speicherung und Verarbeitung innerhalb der Services zu gewährleisten.
Verfügbarkeit Shopify wird (i) gegebenenfalls Redundanz für die Services implementieren, um die Auswirkungen einer Störung auf die Services zu minimieren, (ii) die Services so entwickeln, dass sie Ausfälle antizipieren und tolerieren, und (iii) geeignete Prozesse implementieren, um den Traffic personenbezogener Daten aus den betroffenen Bereichen zu verlagern, wenn dies zur Erholung von Ausfällen erforderlich ist.
Geschäftskontinuität und Disaster Recovery Shopify setzt ein Risikomanagementprogramm ein, das die Kontinuität der kritischen Geschäftsfunktionen unterstützen soll, einschließlich Prozessen und Verfahren zur Identifizierung von, Reaktion auf und Wiederherstellung nach Ereignissen, die die Bereitstellung der von Ihnen erhaltenen Services durch Shopify verhindern oder wesentlich beeinträchtigen könnten.
Management von Vorfällen Shopify stellt Ihnen Unterlagen zur Verfügung, mit denen Sie Sicherheits- oder Verfügbarkeitsvorfälle melden, Fragen zur Sicherheit oder Verfügbarkeit stellen und Informationen über potenzielle Sicherheits- oder Verfügbarkeitsprobleme einreichen können. Shopify pflegt Pläne für Abhilfemaßnahmen und Notfallpläne, um potenzielle Sicherheitsbedrohungen für die Services zu erkennen, abzumildern, zu untersuchen und darauf zu reagieren.
B. Physische Sicherheit Soweit dies zum Schutz der Services erforderlich ist, wird Shopify (i) angemessene Maßnahmen ergreifen, um unbefugten physischen Zugang, Beschädigung oder Störung der Services zu verhindern, (ii) geeignete Kontrollvorrichtungen einsetzen, um den physischen Zugang zu den Services auf autorisiertes Personal zu beschränken, das einen berechtigten geschäftlichen Grund für diesen Zugang hat, und (iii) regelmäßige Überprüfungen durchführen, um die Einhaltung dieser Standards zu bestätigen.
C. Mitarbeiter von Shopify Die Mitarbeiter von Shopify mit der Berechtigung zum Zugriff auf personenbezogene Daten sind im Rahmen ihrer Arbeitsverträge zur Vertraulichkeit verpflichtet. Shopify führt Sicherheitsschulungsprogramme für Mitarbeiter in Bezug auf die Anforderungen von Shopify an die Informationssicherheit ein und pflegt diese Programme. Die Schulungsprogramme zum Sicherheitsbewusstsein werden regelmäßig überprüft und aktualisiert.
II. Änderungen an diesem Anhang
Shopify überprüft von Zeit zu Zeit seine Sicherheitsmaßnahmen und behält sich vor, diesen Anhang nach eigenem Ermessen zu aktualisieren. Solche Aktualisierungen ersetzen frühere Fassungen dieses Anhangs ab dem Datum, an dem Shopify die aktualisierte Fassung veröffentlicht.
ANHANG C: GDPR, UK GDPR UND SCHWEIZ – ANHANG ZUR DATENVERARBEITUNG
Sofern die Verarbeitung personenbezogener Daten im Rahmen des DPA den Datenschutzbestimmungen des Europäischen Wirtschaftsraums (des "EWR"), des Vereinigten Königreichs (des "UK") oder der Schweiz (zusammenfassend als "europäische Datenschutzgesetze" bezeichnet) unterliegt, ergänzt Anhang C dieses DPA.
I. Die Art der Verarbeitung und die Rolle der Parteien
A. Personenbezogene Daten
- Im Rahmen dieses Anhangs handeln Sie als Datenverantwortlicher und Shopify als Datenverarbeiter in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten, wie in Anhang 1 beschrieben, soweit dies erforderlich ist, um die in den Geschäftsbedingungen dargelegten Geschäftszwecke auszuführen und Ihnen die von Ihnen gewählten Services zur Verfügung zu stellen.
- Um Zweifel auszuschließen, handelt Shopify als unabhängiger Datenverantwortlicher in Bezug auf personenbezogene Daten von Kunden, die Shopify im Rahmen einer direkten Beziehung oder absichtlichen Interaktion des Kunden mit Shopify erhält, wie in der Datenschutzerklärung von Shopify beschrieben.
II. Verpflichtungen der Parteien
A. Ihre Verpflichtungen
Sie sind verpflichtet, sich an die folgenden Bestimmungen zu halten:
- Die europäischen Datenschutzgesetze, die für Sie bei der Erfüllung der Bestimmungen dieses Anhangs verbindlich sind; und
- Ihre Verpflichtungen, die im DPA dargelegt werden, einschließlich der in diesem Anhang aufgeführten Verpflichtungen.
Sie sichern zu und gewährleisten, dass Sie über eine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügen (einschließlich der Bereitstellung solcher Daten an Shopify) und dass Sie alle erforderlichen Zustimmungen, Berechtigungen und Genehmigungen eingeholt und alle erforderlichen Mitteilungen an Einzelpersonen in Bezug auf Ihre Weitergabe personenbezogener Daten an Shopify gemacht haben, um Shopify die Verarbeitung personenbezogener Daten zur Bereitstellung der Services zu ermöglichen, wie es die europäischen Datenschutzgesetze vorschreiben.
B. Verpflichtungen von Shopify
1. Anweisungen des Verantwortlichen und Verletzung der europäischen Datenschutzgesetze
a) Die Parteien vereinbaren, dass die Geschäftsbedingungen zusammen mit diesem DPA die dokumentierten Anweisungen bezüglich der Verarbeitung Ihrer personenbezogenen Daten durch Shopify darstellen ("dokumentierte Anweisungen").
b) Shopify verarbeitet personenbezogene Daten als Auftragsverarbeiter nur: (i) gemäß Ihren dokumentierten Anweisungen oder (ii) zur Erfüllung der Verpflichtungen von Shopify nach geltendem Recht, vorbehaltlich eventueller Mitteilungspflichten nach dem Recht der Europäischen Union oder der Mitgliedsstaaten der Europäischen Union, dem Shopify unterliegt.
c) Shopify benachrichtigt Sie, wenn es eine Weisung erhält, die nach vernünftigem Ermessen gegen europäische Datenschutzgesetze verstößt (Shopify ist jedoch nicht verpflichtet, Ihre Einhaltung der europäischen Datenschutzgesetze aktiv zu überwachen).
2. Verpflichtung zur Vertraulichkeit
Shopify gewährleistet, dass die Personen, die von Shopify ermächtigt werden, personenbezogene Daten zu verarbeiten, entweder schriftliche Vertraulichkeitsvereinbarungen abschließen oder einer gesetzlichen Geheimhaltungspflicht unterliegen.
3. Sicherheitsmaßnahmen
a) Shopify setzt angemessene technische und organisatorische Maßnahmen zum Schutz Ihrer personenbezogenen Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung, Diebstahl, unbefugten Zugriff, Änderung oder Offenlegung ein, wie in Anhang 2 dargelegt.
b) Unter Berücksichtigung der Art der personenbezogenen Daten und der damit verbundenen Verarbeitung leistet Shopify die notwendige Unterstützung, die Sie berechtigterweise verlangen können, um Ihnen zu helfen, Ihre Sicherheitsverpflichtungen gemäß den europäischen Datenschutzgesetzen auszuführen.
c) Shopify benachrichtigt Sie unverzüglich, sobald eine Sicherheitsverletzung bekannt wird, bei der es zu einer versehentlichen oder rechtswidrigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Offenlegung oder einem Zugriff auf Ihre übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten gekommen ist.
d) Shopify verpflichtet sich, eine solche Sicherheitsverletzung zu untersuchen und wirtschaftlich angemessene Anstrengungen zu unternehmen, um die Auswirkungen abzumildern.
4. Unterauftragsverarbeiter
a) Sie erteilen Shopify generell die Erlaubnis, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen. Sie stimmen ferner zu, dass Shopify seine Affiliates als Unterverarbeiter einsetzen kann.
b) Wenn Shopify Unterauftragsverarbeiter zur Verarbeitung Ihrer personenbezogenen Daten einsetzt, geschieht dies in Übereinstimmung mit den europäischen Datenschutzgesetzen.
c) Shopify führt eine aktualisierte Liste aller Unterauftragsverarbeiter, wie in Anhang 3 dargelegt. Shopify wird die Liste der Unterauftragsverarbeiter bei Bedarf aktualisieren und Ihnen ein Verfahren an die Hand geben, mit dem Sie über die Aufnahme oder den Austausch eines Unterauftragsverarbeiters informiert werden. Sie können der Inanspruchnahme eines neuen Unterauftragsverarbeiters durch Shopify widersprechen.
d) Sofern Sie der Inanspruchnahme eines Unterauftragsverarbeiters durch Shopify widersprechen und Shopify nicht in der Lage oder nicht gewillt ist, diesen Wünschen nachzukommen, können Sie die Nutzung der betroffenen Services innerhalb von 30 Tagen nach einer solchen Benachrichtigung in Übereinstimmung mit den Geschäftsbedingungen beenden.
e) Wenn Shopify einen neuen Unterauftragsverarbeiter beauftragt, schließt Shopify einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter ab. Shopify überträgt dem Unterauftragsverarbeiter vertragliche Verpflichtungen, die im Wesentlichen denen entsprechen, die in diesem DPA dargelegt sind. Shopify haftet in vollem Umfang für die Handlungen und Unterlassungen seiner Unterauftragsverarbeiter, und zwar in demselben Umfang, in dem Shopify haften würde, wenn es die Services der jeweiligen Unterauftragsverarbeiter unmittelbar gemäß den Bedingungen dieses DPA ausführen würde. Die Haftung von Shopify unterliegt jedoch den in den Geschäftsbedingungen dargelegten Bedingungen und Haftungsbeschränkungen.
5. Unterstützung des Verantwortlichen Unter Berücksichtigung der Art Ihrer personenbezogenen Daten und der damit zusammenhängenden Verarbeitung leistet Shopify die angemessene Unterstützung, die Sie vernünftigerweise verlangen können, um Sie bei der Einhaltung Ihrer Verpflichtungen zu unterstützen:
- bei der Beantwortung von Anfragen zu Datenrechten gemäß den europäischen Datenschutzgesetzen;
- die zuständigen Behörden und/oder die betroffenen Personen über einen Verstoß gegen personenbezogene Daten zu informieren;
- bei der Durchführung von Datenschutz-Impact-Beurteilungen und vorherigen Konsultationen;
- bei der Gewährleistung der Sicherheit bei der Verarbeitung in Übereinstimmung mit Abschnitt 3.
6. Beurteilung der Einhaltung von Vorschriften
a) Shopify kann Ihr Recht auf Prüfung gemäß den europäischen Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten ausüben, indem Ihnen – auf Ihre schriftliche Anfrage und unter Wahrung der Vertraulichkeit – das Folgende zur Verfügung gestellt wird:
(i) Die jüngsten Audit-Berichte von Shopify, die entweder aus den Selbstaudits von Shopify stammen oder von einem unabhängigen Dritten erstellt wurden; (ii) zusätzliche Informationen, die sich im Besitz von Shopify befinden, wenn eine Datenschutz- oder staatliche Behörde sie anfordert.
b. Unter der Voraussetzung und nur in dem Umfang, in dem die europäischen Datenschutzgesetze Ihnen dieses Recht gewähren, können Sie Ihr Audit-Recht ausüben: (i) in dem Umfang, in dem ein unabhängiger, international anerkannter Prüfer bescheinigt, dass die Bereitstellung eines Audit-Berichts durch Shopify keine ausreichenden Informationen für Sie bereitstellt, um die Einhaltung dieses DPA und der europäischen Datenschutzgesetze durch Shopify zu überprüfen, oder (ii) in dem Umfang, der für Sie erforderlich ist, um auf eine behördliche Prüfung zu reagieren. Jeder Audit muss den folgenden Parametern entsprechen: (i) Der Audit muss von einem unabhängigen Dritten durchgeführt, der mit Shopify eine Vertraulichkeitsvereinbarung abschließt; (ii) der Umfang muss sich auf die Punkte beschränken, die für die Beurteilung der Einhaltung dieses DPA durch Shopify und der Einhaltung der europäischen Datenschutzgesetze durch die Parteien angemessen ist und im gegenseitigen Einvernehmen festgelegt wurde; (iii) an einem gemeinsam vereinbarten Datum und zu einer gemeinsam vereinbarten Uhrzeit und nur während der regulären Geschäftszeiten von Shopify stattfinden; (iv) nicht mehr als einmal pro Jahr stattfinden (es sei denn, dies ist gemäß den europäischen Datenschutzgesetzen erforderlich); (v) nur Einrichtungen umfassen, die von Shopify kontrolliert werden; (vi) die Ergebnisse nur auf personenbezogene Daten beschränken; und (vii) alle Ergebnisse als vertrauliche Informationen behandeln, soweit dies gemäß den europäischen Datenschutzgesetzen zulässig ist. Zur Klarstellung: Shopify hält alle Ihre Rechte gemäß diesem Abschnitt 6 in Übereinstimmung mit seinen Vertraulichkeitsverpflichtungen gegenüber Dritten ein.
7. Ende der Verarbeitung
a) Während Ihrer Nutzung der Services können Sie mithilfe von Account Tools auf personenbezogene Daten zugreifen, diese an sich selbst zurückgeben oder löschen.
b) Nach der Kündigung wird Shopify nach Ihrem Ermessen Ihre personenbezogenen Daten löschen oder zurückgeben. Ungeachtet des Vorstehenden kann Shopify personenbezogene Daten aufbewahren: (i) soweit dies gesetzlich vorgeschrieben ist, einschließlich der europäischen Datenschutzgesetze, und (ii) in Übereinstimmung mit seinen Standardrichtlinien für die Datensicherung oder Aufbewahrung von Aufzeichnungen, vorausgesetzt, dass Shopify in beiden Fällen die Vertraulichkeit der aufbewahrten personenbezogenen Daten wahrt und die geltenden Bestimmungen dieses DPA in Bezug auf die aufbewahrten personenbezogenen Daten einhält und die aufbewahrten personenbezogenen Daten nicht weiter verarbeitet, es sei denn für den/die Zweck/e und die Dauer, die nach den geltenden Gesetzen zulässig sind.
8. Internationale Übertragungen
a) Vorbehaltlich der Einhaltung der europäischen Datenschutzgesetze kann Shopify International Ltd. personenbezogene Daten, die im Rahmen der Bestimmungen dieses Anhangs verarbeitet werden, in Länder außerhalb des EWR, des Vereinigten Königreichs und der Schweiz übertragen, soweit dies für die Erbringung seiner Services erforderlich ist ("Internationale Übertragungen").
b) Solche Übertragungen bestehen in erster Linie in der Übermittlung personenbezogener Daten an Shopify Inc. mit Sitz in Kanada. Laut einer Entscheidung der EU-Kommission 2002/2/EG vom 20. Dezember 2001 schützt das Land personenbezogene Daten durch das Gesetz zum Schutz personenbezogener Daten und elektronischer Dokumente in einem ausreichenden Maß.
c) Alle internationalen Übermittlungen in Länder, die kein angemessenes Datenschutzniveau im Sinne der europäischen Datenschutzgesetze gewährleisten, unterliegen angemessenen Sicherheitsvorkehrungen einschließlich der folgenden Übertragungsmechanismen:
- die entsprechenden Module gemäß den Standardvertragsklauseln von 2021, die von der Europäischen Kommission in ihrem Beschluss 2021/914/EG vom 4. Juni 2021 genehmigt wurden;
- das Addendum für den internationalen Datentransfer zu den Standardvertragsklauseln der Europäischen Kommission für den internationalen Datentransfer, herausgegeben vom UK Information Commissioner's Office gemäß S119A(1) des UK Data Protection Act 2018;
- die Standardvertragsklauseln von 2021 in ihrer geänderten Fassung, um den Anforderungen des Schweizer Bundesgesetzes über den Datenschutz (in seiner jeweils gültigen Fassung) vom 19. Juni 1992 in der Fassung vom 25. September 2001 zu genügen; und
- alle Standardvertragsklauseln, internationalen Datenübertragungsergänzungen oder andere Klauseln, Ergänzungen oder Übertragungsmechanismen, die die aktuellen Klauseln und Ergänzungen ersetzen könnten.
d) Shopify kann nach eigenem Ermessen jeden Übertragungsmechanismus ersetzen, um sicherzustellen, dass die Datenübertragungen den geltenden Gesetzen entsprechen. Sofern eine Übertragung auf Standardvertragsklauseln beruht und diese Klauseln von den zuständigen Behörden auf den neuesten Stand gebracht werden, werden diese aktualisierten Klauseln oder ähnliche Vereinbarungen in dieses DPA aufgenommen, so als ob sie hier vollständig aufgeführt wären.
ANHANG 1 – PERSONENBEZOGENE DATEN
BESCHREIBUNG DER VERARBEITUNG DER PERSONENBEZOGENEN DATEN
I. Gegenstand der Verarbeitung
Bereitstellung von Shopify Services für Händler.
II – Kategorien von betroffenen Personen
Kunden des Händlers.
III. Kategorien personenbezogener Daten, die verarbeitet werden
Siehe Anhang A weiter oben.
IV. Häufigkeit der Übertragung
Kontinuierlich.
V. Art der Verarbeitung
Erhebung, Aufzeichnung, Hosting, Zugriff auf, Nutzung, Übertragung und Löschung personenbezogener Daten wie in den Geschäftsbedingungen beschrieben.
VI. Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Zur Durchführung und Verbesserung der Services wie in den Geschäftsbedingungen beschrieben.
VII. Dauer der Verarbeitung
Die Dauer der Services im Rahmen der Geschäftsbedingungen oder der geltenden Vereinbarung, zuzüglich des Zeitraums nach Ablauf dieser Bedingungen bis zur Anonymisierung, Rückgabe oder Löschung der Daten.
VIII. Zuständige Aufsichtsbehörde Die Data Protection Commission of Ireland ist die zuständige Aufsichtsbehörde.
ANHANG 2 – SICHERHEITSMASSNAHMEN
Informationen zu den Sicherheitsmaßnahmen finden Sie in Anhang B des DPA.
ANHANG 3 – LISTE DER UNTERAUFTRAGSVERARBEITER
Die Unterauftragsverarbeiter, die Shopify für die Erbringung der Services im Rahmen der Geschäftsbedingungen einsetzt, sind hier aufgeführt.
Die Unterauftragsverarbeiter verarbeiten die oben beschriebenen Kategorien personenbezogener Daten in Verbindung mit den Services für die Dauer ihrer Vereinbarung mit Shopify.