Nicht DSGVO konform: Deutscher Shopify Shop wechselt Shopsystem
Der Fall eines Onlinehändlers aus Rheinland-Pfalz wurde auf vielen Kanälen diskutiert. In diesem Artikel erläutern wir die Hintergründe für die Aufregung um den Online-Kaffee-Shop Betreiber. Dieser erhielt Abmahnungen wegen der Datensicherheit von Shopify-Diensten und sah sich gezwungen, das Shopsystem zu wechseln.
Der Shopify-Shop des Händlers, der seit mehr als sieben Jahren betrieben wird, wurde über die Landesdatenschutzbehörde in Rheinland-Pfalz im Juni 2022 abgemahnt. Die Behörde erklärte den Einsatz der von Shopify verwendeten Content Delivery Networks (CDN) Fastly und Cloudflare für rechtswidrig. Die Nutzung dieser Dienste über den cloudbasierten Shopanbieter Shopify verstößt gegen geltendes Datenschutzrecht, da über die Seite des Onlineshops Nutzungsdaten an US-amerikanische Diensteanbieter übermittelt werden.
Da von Shopify keine Unterstützung kam, um die Situation zu klären oder dem Händler zu helfen, und ein fünfstelliger Abmahnbescheid drohte, entschied sich dieser zu einem drastischen und auch kostspieligen Schritt: Innerhalb weniger Wochen baute er einen neuen Shop auf. Aufgrund des Geschäftsmodells musste er mehr als 1.000 Abokunden darüber informieren und diese bitten, im neuen Shop ein neues Abo zu buchen.
Den ausführlichen Bericht zu dem Fall gibt es auf T3N zu lesen.
Shopify selbst widerspricht der Abmahnung in einem Blog-Post seines Privacy Officers (https://www.shopify.com/de/blog/shopify-dsgvo-konform-deutschland). Bisher gibt es keine weitere Meldung zur Sachlage. Zur Cloudflare-Problematik wird ganz allgemein darauf hingewiesen, dass Shopify seiner Pflicht nachkommt, Händler in Bezug auf Unterauftragsverarbeiter pflichtgemäß zu informieren.
Warum ist eine kurze Ladezeit für meinen Shop wichtig?
Laut Google verlässt jeder zweite Smartphone-Nutzer eine Website, wenn sie länger als drei Sekunden lädt. Bei einem Onlinekauf ist der Anteil noch höher. Laut Google steigen die Conversions (hier sind die Kaufabschlüsse gemeint) um bis zu 8%, wenn die Seite nur 0,1 Sekunden schneller lädt als vorher. Manche Studien kommen zu dem Ergebnis, dass eine Sekunde Ladezeitverzögerung 7% Conversion-Rate Einbuße zur Folge hat. Für Shops, die vor allem mobile Besucher:innen haben, sind schnelle Ladezeiten noch wichtiger.
Beispiele aus dem E-Commerce, die oft zitiert werden, sind Amazon, das die Ladezeit um 0,1 Sekunden senkte und die Conversion Rate um 1% steigern konnte. Zalando erzielte durch die verringerte Ladezeit von 0,1 Sekunden einen Gewinnanstieg von 0.7%.
Shopify Cloud: CDN Dienste Fastly und Cloudflare in der Kritik
Während Shopify als cloudbasiertes Shopsystem selbst nicht in der direkten Kritik steht, so sind es doch die von Shopify genutzten SaaS-basierten Content Delivery Networks Fastly und Cloudflare, die unter bestimmten Aspekten nicht dem aktuellen Datenschutzrecht entsprechen. Neben diesen Diensten gehören auch andere cloudbasierte Produkte, wie Jira, Zendesk und diverse US-basierte CRM-Systeme (z.B. ZoHo) sowie viele von WordPress-Seiten genutzte Plugins zu den Unternehmen, die nicht mehr vom Privacy Shield geschützt sind. Alle diese Anbieter sind vom Schrems II-Urteil des EuGHs aus Mitte 2020 betroffen. Das Urteil besagt, dass die Übermittlung personenbezogener Daten in die USA datenschutzwidrig und das Privacy Shield Abkommen der Europäischen Union unwirksam ist.
Fastly und Cloudflare, beide ebenfalls in den USA beheimatet, werden von vielen Webseiten- und Shopbetreiber:innen genutzt. Sie stellen Proxy-, Cache-, Optimierungs- und andere Cloud/SaaS-basierte Sicherheitsdienste zur Verfügung. Zur Nutzung von Cloudflare hat das OLG in Köln im Oktober 2022 entschieden , dass Cloudflare für Urheberrechtsverletzungen haftet.
Cloud-Daten in den USA – Auch sensible Nutzerdaten sind betroffen
Cloudflare leitet Daten nicht nur durch, sondern speichert Webseiten ganz oder teilweise zwischen, um die Anzahl der Durchleitungen zu verringern. Dies führt zu schnelleren Webseiten, da diese die Vorteile von Cloudflares Content Delivery Network und für das Zwischenspeichern von Daten (Caching) nutzen können. Kurz gesagt: Die Daten sind näher am Enduser, und Seiten müssen nicht jedes Mal neu generiert werden.
Das Problem, das nun entsteht ist, dass Cloudflare damit in eine gemeinsame Verantwortung mit dem Webseitenbetreiber tritt. Da Cloudflare aber keine Verantwortung für die Inhalte ihrer Nutzer:innnen übernimmt, in diesem Fall den Shopbetreiber:innen, ist eine DSGVO-konforme Nutzung schwierig. (https://dr-dsgvo.de/cloudflare-datentransfers-und-die-dsgvo/). Konkret heißt dies, dass auch wenn direkte Nutzerdaten nicht geloggt werden (z.B. von einloggten Kunden und Kundinnen im Shopify-Shop) werden, dennoch persönliche Daten wie IP-Adressen gespeichert werden. Und das ist im Rahmen des Privacy Shield-Abkommens nicht erlaubt.
Nutzer eines Enterprise-Plans von Cloudflare können die Data Localization Suite (DLS) einsetzen. (https://support.cloudflare.com/hc/en-us/articles/360061946171-Data-Localization-Suite) Dadurch ist es möglich zu kontrollieren, in welcher Region die Daten gespeichert werden. Allerdings gilt bei Unternehmen aus den USA, dass diese auf Anfrage von US-Behörden hin ihre gespeicherten Daten an die Behörden weitergeben müssen. Cloudflare hat sich selbst verpflichtet, dies nur in Ausnahmefällen zu tun. Da es aber der dortigen Rechtsprechung unterliegt, ist selbst beim Einsatz der DLS nicht gewährleistet, dass Daten in die USA, ein aktuell als unsicherer Drittstaat geltendes Land, ausgeleitet werden.
Tipps zur Einhaltung des Datenschutzes bei Cloud-Diensten
Wir weisen an dieser Stelle darauf hin, dass wir keine Rechtsberatung leisten. Dennoch sollten Shopbetreiber:innen folgende Punkte beachten, um möglichst DSGVO-konform mit Diensten umzugehen, deren Daten außerhalb der EU gespeichert werden:
- Wählen Sie Dienste und Anbieter, die aktiv Datenschutz betreiben und wichtige Dateien und persönlich identifizierbare Informationen verschlüsseln.
- In Grenzfällen und Grauzonen wie Google Analytics ist es zwingend erforderlich, dass Sie ihre Nutzer:innen auf die Verarbeitung personenbezogener Daten hinweisen und deren Zustimmung einholen. Gleichzeitig müssen Sie ebenfalls mit dem Dienstanbieter eine Datenverarbeitungserklärung abschließen.
- Bei Diensten wie Google Fonts sollten Inhalte vom eigenen Server aus geladen werden.
- Als Shopbetreiberin, die in einem europäischen Land selber Seiten hostet und keine US-amerikanischen Dienste einsetzt, ist man gegen DSGVO-Verstöße geschützter.
- Um grundsätzlichen Problemen aus dem Weg zu gehen, was den Datenschutz und Dienste außerhalb von Europa angeht, sollte man mögliche Alternativen prüfen. So gibt es mit Matomo oder eTracker Alternativen zu Google Analytics. Weitere Informationen zu alternativen Diensten zu Cloudflare und Co. finden Sie im Link.
- Im Zweifel sollten Sie auf jeden Fall die Unterstützung von entsprechend spezialisierten Anwälten einholen oder einen externen Datenschutzbeauftragten befragen.
Sie möchte mit Ihrem Shop umziehen? Oder suchen ein in Deutschland gehostetes Shop-, ERP- oder CRM System? Als Full Service E-Commerce Dienstleister unterstützen und beraten wir Sie bei der Auswahl der für Sie passenden Systeme. Mehr über die von uns unterstützten Shopsysteme sowie unser Angebot an ERP/CRM Systemen lesen Sie im Bereich Full Service E-Commerce auf der Webseite.