Auftragsdatenverarbeitung

Deutsch Diskussion Shopify-Diskussionen

Topic summary

Die Diskussion dreht sich um die rechtlichen Anforderungen für einen Auftragsverarbeitungsvertrag (AVV) mit Shopify gemäß DSGVO.

Kernproblem:
Ein Nutzer fragt, wie ein AVV mit Shopify abgeschlossen werden kann. Shopify bietet ein Data Processing Addendum (DPA) an, das automatisch bei Nutzung der Services gilt, jedoch nicht als separater Vertrag unterzeichnet werden muss.

Kontroverse Positionen:

  • Kritische Sicht: Ein Teilnehmer argumentiert, dass Shopifys DPA den DSGVO-Anforderungen (Art. 28) nicht vollständig entspricht. Zusätzlich würden personenbezogene Daten unerlaubt nach Kanada und in die USA übertragen, da kein ausreichender Angemessenheitsbeschluss vorliege. Cookie-Banner könnten Datenexporte beim Checkout nicht verhindern.

  • Verteidigung: Ein anderer Nutzer verweist auf Shopifys Compliance-Maßnahmen: Kanada verfügt über einen EU-Angemessenheitsbeschluss (erneuert 2024), Shopify nutzt Standard-Vertragsklauseln (SCCs) und Binding Corporate Rules (BCRs). Das DPA decke alle wesentlichen DSGVO-Anforderungen ab. Ähnliche Mechanismen würden auch von Microsoft, Google und Amazon verwendet.

Offene Fragen:

  • Ob Shopifys DPA rechtlich ausreichend ist
  • Verantwortlichkeit für technische Umsetzung (Consent-Management, Impressum)
  • Vergleichbarkeit mit anderen SaaS-Plattformen

Die Diskussion bleibt ohne eindeutige Lösung, mit grundsätzlich unterschiedlichen Rechtsauffassungen.

Summarized with AI on November 8. AI used: claude-sonnet-4-5-20250929.
8

Danke Jürgen!

Alles eine gute und wichtige Debatte! Und Artikel 28 DSGVO erfordert spezifische Bedingungen in Auftragsverarbeitungsverträgen und Shopify bietet ein umfassendes Data Processing Addendum (DPA) an, das die Verantwortlichkeiten von Shopify als Auftragsverarbeiter und die Rechte der Händler als Datenverantwortliche festlegt, sprich, umfasst wesentliche Punkte wie Vertraulichkeit, Unterauftragsverarbeiter, Sicherheitsmaßnahmen, Unterstützung bei Datenschutzanfragen und Audits​ (Shopify Help Center)​​ (Shopify Help Center)​.

Das DPA von Shopify enthält alle notwendigen Klauseln, um die Einhaltung der Anforderungen von Artikel 28 DSGVO sicherzustellen und Shopify verpflichtet sich ja, angemessene technische und organisatorische Maßnahmen zu implementieren, um den Datenschutz zu gewährleisten.

Bzgl. alle SaaS Platforms, wenn deine beschriebenen Bedenken tatsächlich recht hätten, wäre die Nutzung, wie du sagst, von SaaS-Plattformen wie u.a. Amazon Web Services, Microsoft Azure und Office 365, Google Workspace und Cloudflare ebenfalls nicht compliant. Diese Plattformen verwenden ja ähnliche Mechanismen wie SCCs, DPAs und BCRs, um die Einhaltung der DSGVO sicherzustellen.

IT-Recht-Kanzlei und Dienste wie Google Fonts, Maps, reCAPTCHA V.3 usw.

Der Google Font (wie auch andere Google Webdienste, wie Google Maps, oder das reCAPTCHA V.3 von Google) wird auch als “notwendiger Web-Dienst” gesehen. Erst neulich hat die IT-Recht-Kanzlei genau dieses Thema aufgegriffen. Die sagen dass anders, als man meinen könnte, ist die IP-Übertragung durch die Webfonts-Komponente nicht eigenständig als datenschutzrechtliches Problem zu werten.

Bereits originär wird bei der Einbindung beider Dienste nämlich die IP-Adresse des Nutzers erhoben und an Google übermittelt und das geschieht meistens über ein Skript. Die Google Fonts Web API wurde unter Berücksichtigung des Datenschutzes entwickelt und sammelt oder verwendet keine Endnutzerdaten für das Profiling oder jegliche Werbung. Die IP-Adresserhebung -und Übermittlung dient hier der Verifizierung der Quelle des Aufrufs und somit einer automatischen Entscheidung über weitere Legitimierungsanforderungen, wie z. B. zur Abwehr automatisierter Seitenaufrufe und DDoS (Distributed Denial of Service) Attacken. Insoweit ist die IP-Adressübermittlung an Google grundsätzlich über die sog. berechtigte Interessen an der Funktionalität der Website und an der Missbrauchsprävention gem. Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt.

Das heisst im Grunde, dass die Einbindung von Google Fonts insoweit nicht unbedingt problematisch ist, wenn dieser Dienst einem berechtigten Interesse gleichkommt und Google Fonts hier nur dazu dient, das korrekte Funktionieren eines Online Shops zu gewährleisten. Google selbst betont ja, dass die Privatsphäre und Datensammlung bei der Verwendung der Google Fonts Web API berücksichtigt wird. Eine weitere Möglichkeit besteht darin, das Einverständnis des Nutzers einzuholen, bevor Google Fonts geladen werden. Dies kann durch die Verwendung eines Consent Management Platforms (CMP) erreicht werden, sprich, eine Cookie Banner App, wie unser Customer Privacy Banner, oder die GDPR von Beeclever, die sicherstellt, dass Schriftarten nur nach der Zustimmung des Nutzers geladen werden​ (Mehr dazu hier von Usercentrics)​.

Im Grunde scheinen sich die Datenschutzbehörden nicht einig bzgl. Google Fonts zu sein. Genau wie die Technik funktioniert, ob und wie PII (personally identifiable information) des Users an US Server gesendet werden, sind sich die behörden auch nicht einig und Gerichtsentscheidungen, wie die aus München, tendieren dazu “alles mit einem Besen zu fegen” ohne sich wirklich mit der Technik auszukennen. Die Entscheidung hat z. B. NICHT zw. primäre PII (IP Adresse, Browser usw.) und sekundäre PII (dein Name, physische Adresse, E-Mail, Tel. Nr usw.) unterschieden.

Primäre und sekundäre PII sind fundamental voneinander zu unterscheiden von einem Daten-Standpunkt aus. Und somit wird diesbzgl. auch viel FUD in den deutschen Foren und auf Social Media verbreitet. Die Google Server sind ja auch innerhalb der EU in Irland located, worüber die Behörden sich auch nicht einig sind.

Mein Sandkästchen dass du testen kannst

Gerne kannst du in meinem Shopify Sandbox hier (Link ist auf 2 Tage befristet) alle Cookies über den Cookie Banner von Beeclever nicht erlauben und das dann mit deinen Tools testen und die Ergebnisse hier mit uns teilen, Jürgen!