Auftragsdatenverarbeitung

Deutsch Diskussion Shopify-Diskussionen

Topic summary

Die Diskussion dreht sich um die rechtlichen Anforderungen für einen Auftragsverarbeitungsvertrag (AVV) mit Shopify gemäß DSGVO.

Kernproblem:
Ein Nutzer fragt, wie ein AVV mit Shopify abgeschlossen werden kann. Shopify bietet ein Data Processing Addendum (DPA) an, das automatisch bei Nutzung der Services gilt, jedoch nicht als separater Vertrag unterzeichnet werden muss.

Kontroverse Positionen:

  • Kritische Sicht: Ein Teilnehmer argumentiert, dass Shopifys DPA den DSGVO-Anforderungen (Art. 28) nicht vollständig entspricht. Zusätzlich würden personenbezogene Daten unerlaubt nach Kanada und in die USA übertragen, da kein ausreichender Angemessenheitsbeschluss vorliege. Cookie-Banner könnten Datenexporte beim Checkout nicht verhindern.

  • Verteidigung: Ein anderer Nutzer verweist auf Shopifys Compliance-Maßnahmen: Kanada verfügt über einen EU-Angemessenheitsbeschluss (erneuert 2024), Shopify nutzt Standard-Vertragsklauseln (SCCs) und Binding Corporate Rules (BCRs). Das DPA decke alle wesentlichen DSGVO-Anforderungen ab. Ähnliche Mechanismen würden auch von Microsoft, Google und Amazon verwendet.

Offene Fragen:

  • Ob Shopifys DPA rechtlich ausreichend ist
  • Verantwortlichkeit für technische Umsetzung (Consent-Management, Impressum)
  • Vergleichbarkeit mit anderen SaaS-Plattformen

Die Diskussion bleibt ohne eindeutige Lösung, mit grundsätzlich unterschiedlichen Rechtsauffassungen.

Summarized with AI on November 8. AI used: claude-sonnet-4-5-20250929.
6

Danke Jürgen aber du bietest keinen Backup oder Beweise für deine Behauptungen.

Es ist richtig, dass auch bei einem Angemessenheitsbeschluss für Kanada oder dem Vorhandensein der BCRs die Notwendigkeit eines DPAs mit Shopify nicht entfällt. Shopify stellt ja einen solchen DPA zur Verfügung (egal ob du einen anderen gewohnt bist - das spielt hier keine Rolle was für dich die Gewohnheit oder deine Erfahrung damit ist), der die Verantwortlichkeiten zwischen Händlern und Shopify als Datenverarbeiter festlegt und sicherstellt, dass personenbezogene Daten gemäß den europäischen Datenschutzgesetzen verarbeitet werden. Es gibt ja einen Grund, warum Shopify als SaaS es so macht. Machen es auch andere Saas’s auch so wie z. B. MIcrosoft’s Office 365? Wenn ich MS Word verwende, muss ich da auch eine AV Vertrag zuerst eingehen? Ja, wenn ich Kundendaten an Dritte weiterleite.

Aber was du sagst betrifft somit ALLE SaaS’s wie Microsoft, Google Workspace usw. Wenn wir damit gehen was du sagst, dann sollten alle User sofort das Verwenden einer diesen SaaS’s einstellen und nur ein eigenes Hosting anwenden wie mit Oxid usw. Ist es das was du anprangerst?

Kanada hat einen von der Europäischen Kommission bestätigten Angemessenheitsbeschluss, was bedeutet, dass personenbezogene Daten ohne zusätzliche Schutzmaßnahmen nach Kanada übertragen werden können. Für Übertragungen, die nicht durch den Angemessenheitsbeschluss abgedeckt sind, verwendet Shopify die genehmigten SCCs die ein hohes Maß an Datenschutz bieten.

Jeder Händler, der Shopify nutzt, geht diesen DPA mit Shopify ein sobald er/sie ein Shop startet. Das wird ja jeden User auch vorher erklärt. Shopify stellt diesen Vertrag zur Verfügung, um sicherzustellen, dass personenbezogene Daten gemäß den europäischen Datenschutzgesetzen verarbeitet werden​. Es werden auch genügend Tools zur Verwaltung der Datenschutzeinstellungen und zur Einholung der Einwilligung von Nutzern von Shopify angeboten wenn man sein Shop startet. Alleine der Free Customer Privacy Banner von Shopify dekt vieles ab. Wenn es um Tracking Tools wie GTM und Pixel geht dann muss man halt ein Cookie Banner im Shop implementiert werden, der diese auch abdeckt wie der Cookie Banner von Beeclever. Oder nicht?

Alarmismus und FUD waren mal Mode in den letzten 2 Jahren aber heute - komm doch, we have to move on

Es ist die Verantwortung jedes einzelnen Händler diese Tools korrekt anzuwenden, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt werden​ (Pandectes)​​ (Shopify Help Center)​. Die Einhaltung der rechtlichen Anforderungen, wie das Bereitstellen eines Impressums, liegt in der Verantwortung des Shopbetreibers, nicht in die von Shopify. Shopify kann nicht alles für jeden Händler machen und dauernd die eines jeden Händler halten…

Shopify bietet jedoch die technischen Mittel, um dies korrekt umzusetzen und somit ist es wichtig, die bereitgestellten Tools und Konfigurationsmöglichkeiten zu nutzen, um sicherzustellen, dass alle rechtlichen Anforderungen erfüllt werden.

Shopify stellt somit alle notwendigen rechtlichen Mechanismen und technischen Lösungen bereit, so dass ein Shopinhaber die DSGVO-Konformität gewährleisten kann.

VG,