IT-Recht Kanzlei
Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
von RA Phil Salewski

Nach Kippen des EU-US-Privacy-Shields: Hosting über Shopify weiterhin möglich?

Jüngst hat der EuGH das EU-US-Privacy Shield für ungültig erklärt, das lange Zeit als geeignete Garantie für Datenübermittlungen in die USA galt. Unternehmen, die personenbezogene Daten aus der EU auf US-Servern verarbeiten, können dies nicht mehr auf Basis des „Privacy Shield“ tun. Vor diesem Hintergrund wurden wir gefragt, ob auch das Hosting via Shopify betroffen und Shopify-Shops daher zu schließen sind. Wir klären auf.

Shopify ist ein kanadischer Anbieter von Shopsoftware, der Händlern eine Hosting-Umgebung für ihren Shop bereitstellt.

Hierbei kommt Shopify zwangsweise mit den Daten von Kunden seiner Händler in Berührung und übernimmt die informationstechnologische Abwicklung und Organisation von Bestellungen und Zahlungen. Datenschutzrechtlich agiert Shopify bei dieser Verarbeitung von Kundendaten seiner Händler als sogenannter Auftragsverarbeiter.

Im Rahmen der Auftragsverarbeitung verarbeitet Shopify Kundendaten von EU-Händlern zwar primär auf kanadischen und europäischen Servern. Möglich ist aber auch eine Übermittlung solcher Daten an die Shopify Inc. in den USA.

Bei der Übermittlung von personenbezogenen Daten in Drittländer außerhalb der EU (egal, ob die Übermittlung an eigenständig Verantwortliche oder an Auftragsverarbeiter erfolgt) verpflichtet die DSGVO zum Vorhalten geeigneter Garantien für die Datensicherheit. Diese sollen sicherstellen, dass die Daten in Drittländern denselben Schutzstandards unterliegen wie in der EU.

Als geeignete Garantien kennt die DSGVO unter anderem:

  • Angemessenheitsbeschlüsse der EU-Kommission (die Kommission beschließt die Datensicherheit bei Datenübermittlungen in ein konkretes Land)
  • Datenschutzübereinkommen zwischen der EU und Drittländern (wie mit den USA das nunmehr ungültige Privacy Shield)
  • Standarddatenschutzklauseln nach EU-Vorlage zwischen Datenimporteur (im Drittland) und Datenexporteur (in der EU)

Ohne geeignete Garantien sind Datenübermittlungen in Drittländer nach der DSGVO verboten, erfolgen also widerrechtlich.

Shopify als Auftragsverarbeiter stützte potenzielle Datenverarbeitungen auf seinen US-Servern bislang auf das EU-US-Privacy-Shield, das nun seine Gültigkeit verloren hat.

Für Shopify-Händler besteht damit das Risiko, dass Sie bei Nutzung von Shopify Daten Ihrer Kunden widerrechtlich in die USA als Drittland übermitteln und dafür belangt werden.

Aber: Dieses Risiko ist derzeit marginal. Einerseits greift Shopify für einen Großteil der Verarbeitungstätigkeiten bei EU-Händlern auf EU-Server oder kanadische Server zurück. Datenübermittlungen nach Kanada sind durch einen Angemessenheitsbeschluss der EU legitimiert. Andererseits ist selbst für auf US-Servern verarbeitete Daten ohne Datenschutz-Garantien das Risiko rechtlicher Konsequenzen derzeit sehr gering. Eine stringente behördliche Verfolgungspraxis gibt es bislang nicht.

Eine Shop-Schließung erscheint nach derzeitigen Erfahrungswerten also unverhältnismäßig.

Dennoch sollten Shopify-Händler bei Shopify dringend anfragen, wann für angemessene Garantien bei der Handhabung von Kundendaten durch die Shopify Inc. in den USA gesorgt werden kann. Shopify wird gehalten sein, schnell Standarddatenschutzklauseln zur Vereinbarung mit seinen EU-Händlern vorzulegen, um den Wegfall des Privacy Shield zu kompensieren.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Kontakt:

IT-Recht Kanzlei

Alter Messeplatz 2
80339 München

Tel.: +49 (0)89 / 130 1433 - 0
Fax: +49 (0)89 / 130 1433 - 60

E-Mail: info@it-recht-kanzlei.de