Hey @TeBe77
Danke für deine vielen Fragen bzgl. den Shopify “technical and organizational measures” und da wäre ich (oder andere hier in der Community) gerne qualifiziert genug oder in der Lage dir eine ausführliche juristische Antwort geben zu können - dennoch habe ich ein paar Infos gegooglet und für dich zusammengesammelt (allerdings im englischen O-Ton). Siehe auch unser FAQs zu diesem Thema hier.
Shopify Technical measures:
● Shopify encrypts credit card information in transit and at rest, and is PCI compliant.
● Shopify maintains a SOC II Type 2 and SOC 3 report .
● Shopify conducts regular third-party penetration testing and vulnerability assessments.
● Shopify participates in a bug-bounty program to receive security reports.
● Employee access to Shopify infrastructure is controlled by a Single Sign-On (SSO) account with two-factor authentication required (2FA).
● Shopify maintains employee internal access policies based on “least privilege”.
● Shopify provides merchants with the technical capability to honor all data subject requests.
● All merchant personal data is redacted after account termination, unless we are legally required to retain information for a specified period of time.
Contractual measures:
● In its contracts with its merchants, Shopify contractually commits to comply with all applicable data protection laws.
● Shopify requires all vendors which receive personal data to agree to Data Protection Addenda which include comparable contractual commitments to those that Shopify guarantees its merchants. These DPA include requirements to use data only to provide the services, to not sell personal information, to report all data incidents within specified timelines, to implement reasonable security measures, to effect data subject rights, to object to compelled disclosure where possible or allow Shopify to object, and to delete all data upon termination of the contract.
Organizational measures:
● Shopify publicly commits to object to any voluntary disclosure of data it holds, unless it is legally bound to produce information. When possible, Shopify commits to informing merchants of third party requests to access their data.
● Shopify publishes an annual Transparency Report detailing when Shopify is legally required to produce information.
● All Shopify employees receive privacy and security training.
● Shopify incident response teams are on-call 24 hours a day.
● All Shopify employees and contractors agree to confidentiality clauses in their employment contracts, and agree to abide by Shopify’s internal data protection policies.
● Shopify maintains an internal Privacy Working Group which raises and resolves privacy issues across the organization. If needed, issues are escalated to a Privacy Committee and the Board of Directors.
● Shopify does not knowingly disclose (or permit access to) the personal data it processes in a massive, disproportionate and indiscriminate manner to (or by) any governmental authority.
Bitte beachte, dass bei Verwendung unserer Plattform unserer Online-DPA zugestimmt wird, und zwar sofort zu Begin unsere Dienste zu nutzen, und daher ist eine Unterschrift nicht erforderlich. Hier verweise ich nochmal auf unsere FAQ, die diese Frage beantwortet.
Dann verlangt die Schrems-II-Entscheidung von Unternehmen, dass sie eine Risikobewertung des Datentransfers vornehmen und gegebenenfalls “ergänzende Maßnahmen” zusätzlich zu den Datenexportmechanismen ergreifen, auf die sie sich bei der Übermittlung personenbezogener Daten in Nicht-EWR-Länder verlassen. Diese ergänzenden Maßnahmen sollen in Verbindung mit Datenexportmechanismen sicherstellen, dass Daten, die außerhalb des EWR verarbeitet werden, nach einem Standard geschützt bleiben, der im Wesentlichen mit der DSGVO gleichwertig ist.
Während wir glauben, dass Shopify ein Datentransferregime implementiert hat, das ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, unterhält Shopify weiterhin ein Datenschutzprogramm, das Empfehlungen des EDPB einbezieht, um Händlern weitere Sicherheit für ihre Daten zu bieten. Die drei Kategorien der empfohlenen Zusatzmaßnahmen sind, wie oben beriests aufgelistet: technisch, vertraglich und organisatorisch.
Informationen zum Datentransfer über internationale Grenzen hinweg findet man in unserer Datenschutzrichtlinie (https://www.shopify.com/legal/privacy) und im GDPR-Whitepaper (https://help.shopify.com/pdf/gdpr-whitepaper.pdf).. )
Falls du mehr brauchst werde ich halt schauen was ich noch aufgraben kann aber unserer Legal Department wäre hier der beste Ansprechpartner → legal@shopify.com.