Schocknachricht für Shopify-Nutzer: Die Datenschutzbehörde Rheinland Pfalz erklärt die Nutzung von Shopify für DSGVO-widrig.
Was ist Shopify?
Inhalt dieser Seite
Shopify ist beliebt unter Online-Shop Betreibern. Eine SaaS Lösung („Software-as-a-Service“) für Online-Shops, schnell, standardisiert, erschwinglich. Stell dir vor, du möchtest einen Online-Shop betreiben, scheust aber den Aufwand, einen solchen auf deinem Server zu installieren. Dann bietet dir Shopify die Möglichkeit, dass der gesamte Shop dort gehostet wird. Dein Kunde bewegt sich also in Wahrheit auf dem Server von Shopify (merkt es aber nicht zwingend). Das ist sehr schnell und günstig für dich, weil Shopify stark standardisiert ist.
Was hat die Datenschutzbehörde entschieden?
Ein Power-User, Christian Häfner, hat nun enorme Schwierigkeiten bekommen. Die Datenschutzbehörde Rheinland Pfalz (Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland–Pfalz) schreibt ihm sinngemäß, dass eine Datenübermittlung in die USA nur in Ausnahmefällen möglich ist.
Shopify sagt zwar, dass es nur Daten in das aus EU-Sicht „sichere“ Drittland Kanada übermittelt. Von dort aus gelangen Daten aber wiederum in weitere Drittländer. Diese scheinen zwar aus kanadischer Sicht sicher zu sein, gelten aber für europäische Datenschutzbehörden als unsicher (z. B. die USA).
Insbesondere das CDN (Content Delivery Network) Cloudflare ist der Datenschutzbehörde sauer aufgestoßen. Ein CDN ist so eine Art „Zwischenserver“, damit Daten nicht immer vom eigentlichen Server – Shopify – geladen werden müssen. Shopify lässt eine Deaktivierung der CDNs nicht zu. Das Problem kann also nicht vom Nutzer behoben werden.
Wann darf ich Daten in die USA übermitteln
Zur Erinnerung: Datenübermittlungen in ein unsicheres Drittland wie die USA sind nach der DSGVO nur in engen Grenzen möglich (vgl. Art. 49 DSGVO). Das ist hier der Fall, weil weder ein Angemessenheitsbeschluss (Art. 45 DSGVO) noch Standardvertragsklauseln (Art. 46 DSGVO) für die USA existieren. Damit dann eine ausnahmsweise Übermittlung personenbezogener Daten in die USA zulässig ist,
- muss die Übermittlung zur Erfüllung eines Vertrags nötig sein oder
- der Betroffene einwilligen.
Der Haken dieser letztgenannten besonderen Einwilligung: eine solche Einwilligung gilt nur für den konkreten Einzelfall. Eine „Generaleinwilligung“ zu Beginn des Seitenbesuchs über den Cookie-Banner ist damit wohl ausgeschlossen. Zudem müssen sämtliche besonderen Risiken der Datenübermittlung in das „unsichere“ Drittland USA erläutert werden (u. a. die Bedeutung des Cloud Acts, die fehlenden Rechtsschutzmöglichkeiten des Betroffenen etc.).
Liegen die vorgenannten Rechtsgrundlagen nicht vor, gibt es noch eine weitere Ausnahme mit sehr strengen Voraussetzungen. Nach Art. 49 Abs. 1 S. 2 DSGVO darf die Datenübermittlung auch dann in ein unsicheres Drittland erfolgen, wenn
- sie nicht wiederholt,
- sie nur eine begrenzte Zahl von betroffenen Personen betrifft,
- sie für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist(und die Interessen oder die Rechte und Freiheiten der betroffenen Person dürfen nicht überwiegen),
- der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorsieht,
- sie der Aufsichtsbehörde mitgeteilt wird.
Du erkennst sicher, dass diese Voraussetzungen auf Nutzerdaten bei Websites nicht zutreffen, denn da haben wir ja eine Vielzahl gleichgelagerter Übermittlungsvorgänge. Eine konkrete Einwilligung für jeden Einzelfall einer IP-Übermittlung ist so gut wie nicht praktikabel.
Was für Folgen hat die Behördenentscheidung?
Der Shopify-Nutzer musste sein Shopsystem innerhalb weniger Wochen auf einen anderen Anbieter umstellen, weil Shopify ja nicht zulässt, dass du die CDNs deaktivierst. Größere Unternehmen hätten da möglicherweise enorme Schwierigkeiten. Aus meiner Erfahrung dauern Migrationsprojekte von SaaS-Lösungen (Shopify) zu eigenen Serverlösungen (Oxid) oft Monate lang, gerade wenn es sich um sehr komplexe Online-Shops mit zahlreichen Schnittstellen handelt.
Der Umsatzverlust ist dann nicht wieder aufzuholen, wenn dein Online-Shop einen wesentlichen Teil deines Jahresumsatzes ausmacht.
Hätte der Nutzer die Behördenentscheidung ignorieren können? Nein. Das Druckmittel eines hohen Bußgelds ist zu schwerwiegend und kann ein Unternehmen in die Knie zwingen.
Was sagt Shopify dazu?
Wie reagiert Shopify? Der CEO twittert gestern, das Ganze sei ein Missverständnis und in Deutschland kannst du Shopify DSGVO-konform nutzen.
Was solltest du nun tun?
Wenn Shopify nicht schnellstens reagiert und die Einschaltung von CDNs in unsicheren Drittländern deaktiviert (oder sie dich deaktivieren lässt), ist Shopify für Betreiber in Deutschland nicht DSGVO-konform und damit langfristig mit einem hohen Risiko verbunden. Du weiß sicher, dass die Bußgelder für Datenschutzverstöße empfindlich sein können.
Wenn du Shopify nutzt, solltest du dir gut überlegen, nicht auf kurz oder lang auf ein „on premise“ System (also auf deinem eigenen Server) umzusteigen. Oxid, WooCommerce, Shopware & Co. sind Lösungen, die du beispielsweise auf deinem eigenen Server hosten kannst.
Update (12.12.2022)
Shopify reagiert mit einem „Gastbeitrag“ auf seiner Website. Der Clou: Shopify geht nicht wirklich auf die nachvollziehbare rechtliche Argumentation der Datenschutzbehörde ein sondern sagt vielmehr:
Deutsche Händler müssen keinen Zweifel daran haben, dass Shopify in Deutschland legal ist.
Und weiter heißt es:
Konkret bedeutet dies, dass der Datenfluss für europäische Händler EU zu EU ist. Wir führen außerdem zusätzliche Maßnahmen durch, um den Datenaustausch zu schützen, der von unseren EU-Unternehmen zu unseren Nicht-EU-Unternehmen stattfindet. Dies gilt ebenfalls hinsichtlich unserer Unterauftragsverarbeiter außerhalb der EU, die für Shopify Produkte unerlässlich sind und auf die sich unsere Händler verlassen. Als Verarbeiter geben wir unseren Händlern die Informationen an die Hand, die sie benötigen, um ihren Verpflichtungen nachzukommen. Das ist die Basis unserer Produktphilosophie.
Hilft das den Shop-Betreibern weiter? Nein, denn Shopify macht es sich leicht und erklärt sich selbst schlicht für DSGVO-konform. Wenn du aber als Händler vergleichbare Schwierigkeiten mit einer Behörde bekommst und in sehr kurzer Zeit zu einem anderen System migrieren musst, wird dir Shopify vermutlich nicht helfen oder dich gar von den dann entstehenden Kosten freistellen.
Shopify wird dann sagen: „Ja, das konnten wir nicht wissen. Wir halten unser System nach wie vor für DSGVO-konform“.