FROM CACHE - de_header

EuGH-Urteil zum Privacy Shield

Gerd
Tourist
6 0 1

Was bedeutet das für unseren Shopify Onineshop? insbesondere auch für die ShopPay Dienstleistungen

 

Hier habe ich mal eine erste Stellungnahme zu diesem Urteil:

 

Einschätzung der DSK

Nach der Pressemitteilung der DSK habe das Urteil nach der ersten Einschätzung folgende Auswirkungen:

1. Die Übermittlung personenbezogener Daten in die USA auf der Grundlage des Privacy Shield ist unzulässig und muss unverzüglich eingestellt werden. Der EuGH hat das Privacy Shield für ungültig erklärt, weil das durch den EuGH bewertete US-Recht kein Schutzniveau bietet, das dem in der EU im Wesentlichen gleichwertig ist. Das US-Recht, auf das der EuGH Bezug genommen hat, betrifft z. B. die nachrichtendienstlichen Erhebungsbefugnisse nach Section 702 FISA und Executive Order 12 333.

2. Für eine Übermittlung personenbezogener Daten in die USA und andere Drittländer können die bestehenden Standardvertragsklauseln der Europäischen Kommission zwar grundsätzlich weiter genutzt werden. Der EuGH betonte jedoch die Verantwortung des Verantwortlichen und des Empfängers, zu bewerten, ob die Rechte der betroffenen Personen im Drittland ein gleichwertiges Schutzniveau wie in der Union genießen. Nur dann kann entschieden werden, ob die Garantien aus den Standardvertragsklauseln in der Praxis verwirklicht werden können. Wenn das nicht der Fall ist, sollte geprüft werden, welche zusätzlichen Maßnahmen zur Sicherstellung eines dem Schutzniveau in der EU im Wesentlichen gleichwertigen Schutzniveaus ergriffen werden können. Das Recht des Drittlandes darf diese zusätzlichen Schutzmaßnahmen jedoch nicht in einer Weise beeinträchtigen, die ihre tatsächliche Wirkung vereitelt. Nach dem Urteil des EuGH reichen bei Datenübermittlungen in die USA Standardvertragsklauseln ohne zusätzliche Maßnahmen grundsätzlich nicht aus.

3. Die Wertungen des Urteils finden auch auf andere Garantien nach Artikel 46 DSGVO Anwendung wie verbindliche interne Datenschutzvorschriften („binding corporate rules“ – BCR), auf deren Grundlage eine Übermittlung personenbezogener Daten in die USA und andere Drittstaaten erfolgt. Daher müssen auch für Datenübermittlungen auf der Grundlage von BCR ergänzende Maßnahmen vereinbart werden, sofern die Rechte der betroffenen Personen im Drittland nicht ein gleichwertiges Schutzniveau wie in der Union genießen. Auch diese Maßnahmen müssen für die übermittelten Daten ein im Wesentlichen gleichwertiges Datenschutzniveau wie in der EU garantieren können.

4. Die Übermittlung von personenbezogenen Daten aus der EU in die USA und andere Drittstaaten nach Artikel 49 DSGVO ist weiterhin zulässig, sofern die Bedingungen des Artikels 49 DSGVO im Einzelfall erfüllt sind. Zur Anwendung und Auslegung dieser Vorschrift hat der Europäische Datenschutzausschuss Leitlinien veröffentlicht.

5. Verantwortliche, die weiterhin personenbezogene Daten in die USA oder andere Drittländer übermitteln möchten, müssen unverzüglich überprüfen, ob sie dies unter den genannten Bedingungen tun können. Der EuGH hat keine Übergangs- bzw. Schonfrist eingeräumt.

 

5 ANTWORTEN 5

Gabe
Shopify Staff
16357 2587 3853

Hey @Gerd 

Gabe hier aus Shopify! Vielen Dank für die gute Frage bezüglich der Privacy Shield Regelung, dessen Ungültigkeitserklärung durchaus für Aufsehen gesorgt hat, speziell bei sehr vielen Online Händlern, was wir natürlich vollkommen verstehen.

Vorweg es ist ein weitverbreitetes jedoch unwahres Gerücht das man keine Daten aus der EU heraus transferieren darf, dies ist problemlos möglich, jedoch muss sich die Firma welche dies tut an strikte Vorgaben und Richtlinien halten, welche Regulieren wie und in welchem Umfang dies geschehen kann.

Hierbei zu beachten sind 2 Dinge:


1. Wie und Ob Daten nach außerhalb der EU transferiert werden
2. Welche Maßnahmen sind vorhanden um den EU Regelungen gerecht zu werden.

Die EU ist hierbei sehr klar, das keine Daten aus der EU heraus transferiert werden dürfen sofern nicht Schutzmechanismen angewandt werden welche von der EU anerkannt werden und hiervon gibt es mehrere:


- Adequate Länder: Die Liste kann hier eingesehen werden und auf der Liste befindet sich ebenfalls Canada wo Shopify den Hauptsitz hat.
- EU-US Privacy Shield: Wenngleich nun für ungültig erklärt, dieser hatte nie direkten Einfluss auf Datentransfers von Shopify nach Canada, nur für Transfers in US Datencenters.
- SCC ( Standard Contractual Clauses 😞 Dies sind Beispiel Verträge welche Internationale Firmen nutzen um Daten sicher nach außerhalb der EU zu transferieren und welche auch von Shopify angewendet werden. Mehr dazu findest Du hier auf der EU Seite.

Diese sind auch weiterhin wirksam für Datentransfers in die USA und US Datencenter.

Hinzu kommen noch weitere Schutzmechanismen aus der GDPR Regulierung welche es erfordert das ein Europäischer Datenschutz Beauftragter vorhanden ist.

In unserem Fall, ist dies, Dublin und der irische Datenschutzbeauftragte:

Shopify International Limited
Attn: Data Protection Officer
c/o Intertrust Ireland
2nd Floor 1-2 Victoria Buildings
Haddington Road
Dublin 4, D04 XN32
Irland

Shopify stellt zum Thema Datentransfer innerhalb der EU und außerhalb der EU auch ein umfangreiches Informations Dokument zur Verfügung. Du kannst das White Paper hier einsehen.

Um dies zusammen zu fassen, auch wenn der EU - US Privacy Shield für ungültig erklärt wurde und ohnehin die Daten erst in Europa verarbeitet werden bevor sie eventuell nach Canada oder in die USA in Datencenter transferiert werden, so gelten weiterhin die SCCs ( Standard Contractual Clauses ), welche dies absichern.

Beachte bitte das dies nur für Shopify selbst geltend ist, nicht für Apps welche Daten ausserhalb Shopify speichern, hier müsstest Du mit dem jeweiligen App Entwickler in Verbindung treten wie dieser Datenübertragungen handhabt und ob diese überhaupt transferiert werden, was in vielen Fällen nicht der Fall ist.

Solltest Du weitere Fragen haben, dann zögere bitte nicht uns per E-Mail, auf Facebook oder Twitter zu kontaktieren. Du kannst auch auf diese E-Mail antworten und ich werde Dir dann best möglich weiter helfen. Falls es dringend ist, haben wir auch einen Englischen 24/7 Support mit echtzeit Chat.

Mit freundlichen Grüßen,

Gabe

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

Thipparos
Besucher
1 0 0

Hallo,

wir planen, mit Shopify einen Shop zu eröffnen. Da die Daten in Ihr Datencenter nach Kanada transferiert werden, benötigen wir für die Rechtstexte den Namen, die Anschrift und Kontaktdaten des Hostproviders. Können Sie mir hier behilflich sein, oder mir sagen, an wen ich mich wenden kann?

 

Vielen Dank im Voraus 

rolf 

Gabe
Shopify Staff
16357 2587 3853

Hey Rolf! @Thipparos 

Gabe hier aus Shopify! Vielen Dank für die gute Frage. Siehe dazu Seite 8-9 in unserem Whitepaper hier (leider nur auf EN).

Der Sachverhalt:

Wie im GDPR-Whitepaper beschrieben, überträgt ein Händler, wenn er persönliche Daten einer europäischen betroffenen Person an Shopify überträgt, diese an Shopify International Ltd. (Dublin Irland) innerhalb des Europäischen Wirtschaftsraums, so dass es keinen grenzüberschreitenden Datentransfer gibt und Standardvertragsklauseln (Standard Contractual Clauses) zwischen dem Händler und Shopify nicht angemessen wären.

Shopify International Limited

Attn: Data Protection Officer
c/o Intertrust Ireland
2nd Floor 1-2 Victoria Buildings
Haddington Road
Dublin 4, D04 XN32
Ireland

Shopify überträgt nur dann Basisdaten gemäß unserer eigenen Datenschutzstruktur nach Kanada und an andere Standorte (wie im Diagramm unten beschrieben) wenn z. B. ein Shop geschlossen wird oder wenn es einer Anklage unterliegt aufgrund betrügerischen Aktivitäten.

image.png

Wir verpflichten uns dazu, dies in Übereinstimmung mit den entsprechenden rechtlichen Anforderungen in Abschnitt 2.1 unserer Datenverarbeitungszusätze zu tun. Zu keinem Zeitpunkt überträgt ein Händler Daten direkt an eine Shopify-Einheit außerhalb des Europäischen Wirtschaftsraums, so dass Standardvertragsklauseln zwischen dem Händler und Shopify unnötig sind.

Mehr dazu hier:

Hoffe das hilft!

Gabe

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog

dilaw
Besucher
2 0 0

hey @Gabe,

zählen die Apps von Shopify dazu? Also muss man sich sorgen machen, wenn man Apps von Shopify  benutzt? 

Gabe
Shopify Staff
16357 2587 3853

Hey @dilaw 

Bei der Installierung einer App wirst du mit der Datenschutzerklärung der App vertraut gemacht, z. B. genau wie die App mit User Daten umgeht usw.

image.png

Viele Apps (Facebook, Printful, Google, Searchanize usw.) legen Cookies in einem Shop und bei der Installierung einer App sieht man auch die Kontaktdaten der App Entwickler. Wenn du diese kontaktierst kannst du am besten das mit denen besprechen und dann entsprechend in deiner eigenen D-Schutzerklärung eintragen.

image.png

Gabe | Social Care @ Shopify
 - War meine Antwort hilfreich? Klicke Like um es mich wissen zu lassen! 
 - Wurde deine Frage beantwortet? Markiere es als Akzeptierte Lösung 
 - Um mehr zu erfahren, besuche das Shopify Help Center oder den Shopify Blog