Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Shopify datenschutzwidrig? Native Shop-Struktur löst Untersagungsverfügung von Datenschutzbehörde aus

15.11.2022, 17:00 Uhr | Lesezeit: 7 min
Shopify datenschutzwidrig? Native Shop-Struktur löst Untersagungsverfügung von Datenschutzbehörde aus

Der kanadische Shopsystem-Anbieter Shopify stellt Händler abnahmefertige Online-Shopauftritte bereit und ist vor allem für seine Bedienungsfreundlichkeit beliebt. Hierfür greift Shopify auf diverse Dienste von Drittanbietern zurück, die nativ in die Shop-Matrix integriert sind. Genau dies wurde einem Händler nun aber zum Verhängnis. Eine deutsche Datenschutzbehörde untersagte dem Händler den Einsatz US-basierter Content-Delivery-Networks, die unmodifizierbarer Bestandteil aller Shopify-Shops sind, aufgrund vermeintlich datenschutzwidriger Datentransfers in die USA. Was hinter den Vorwürfen steckt, ob diese berechtigt sind und ob Shopify-Händler nun allgemein die Datenschutzwidrigkeit ihrer Internetauftritte befürchten müssen, lesen Sie hier.

I. Untersagungsverfügung von Datenschutzbehörde: Shopify-CDNs vermeintlich datenschutzwidrig

Das Shopify-Universum befindet sich derzeit in schierem Aufruf.

Hintergrund ist das jüngste Publikwerden einer datenschutzbehördlichen Anordnung gegenüber einem Shopify-Händler, den Einsatz sogenannter Content-Delivery-Networks (CDN) von Cloudflare, Cloudfront und Fastly zu unterbinden.

Bei Content-Delivery-Networks handelt es sich um Online-Dienste, die Server-Anfragen durch ein Netz verteilter und miteinander verbundener Server streuen, so für kürzere Ladezeiten von Webseiten und Seiteninhalten sorgen und die Performance im Shop verbessern.

Beim Einsatz von Content-Delivery-Networks (CDN) können (müssen aber nicht) auch personenbezogene Seitenbesucherdaten für das dynamische Laden von Inhalten von den Netzwerkservern verarbeitet werden.

Regelmäßig ist immerhin die Nutzer-IP-Adresse, ein personenbezogenes Datum, betroffen, das an den Network-Anbieter übermittelt wird.

Dies ist vor allem dann problematisch, wenn die CDN-Betreibergesellschaften ihren Sitz im außereuropäischen Ausland haben, da dann durch die IP-Übermittlung die Gefahr rechtswidriger Drittstaatentransfers droht.

Von der Problematik besonders betroffen sind CDN-Anbieter mit Sitz in den USA. Für die Weitergabe von personenbezogenen Daten in die USA existiert derzeit nämlich keine hinreichende Rechtsgrundlage, welche den Grundsätzen der Art. 44 ff. DSGVO für die Datensicherheit bei Transfers außerhalb der EU Rechnung tragen könnte.
Hintergrund sind weitreichende Zugriffskompetenzen US-amerikanischer Geheimdienste auf Datenbestände in den USA, welche Datenübermittlungen in die Vereinigten Staaten aktuell potenziell stets rechtswidrig machen.

Sich hierauf berufend, sah der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Bundeslandes Rheinpfalz nun die Verwendung der US-basierten CDNs von Cloudfare, Cloudfront und Fastly in einem Shopify-Shop als datenschutzwidrig an.

Konkret heißt es im der IT-Recht Kanzlei vorliegenden Schreiben:

Da es sich bei allen drei um US-amerikanische Unternehmen handelt, ist es möglich, dass US-Behörden unter anderem auf Grundlage des CLOUD Acts zu strafrechtlichen Zwecken auf diese Daten zugreifen können. Dies gilt unabhängig davon, ob die personenbezogenen Daten auf Servern in den USA oder auf europäischen Servern gespeichert sind.

Wer nun aber denkt, sich des Problems durch ein bloßes Deinstallieren der CDNs in seinem Shopify-Shop entledigen zu können, der sei eines Besseren belehrt:

Die CDN-Anbindungen sind nativer Bestandteil eines jeden Shopify-Shops, funktioneller Bestandteil der Shopify-Matrix und lassen sich nicht individuell deaktivieren.

In jedem Shopify-Shop sind demgemäß immer zwingend auch die CDNs der genannten 3 US-Anbieter „eingebunden“.

Die gerügte Datenschutzverletzung kann, sofern sie denn tatsächlich vorliegt (s. dazu sogleich), für jeden Shopify-Shop angenommen werden.

Banner Premium Paket

II. CDN-Anbindung auf Shopify: Tatsächlich datenschutzwidrig?

Immerhin der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz ist überzeugt:

Die CDN-Einbindung im Shopify-Shop ist aufgrund drohender US-Transfers datenschutzwidrig.

Eine konkrete Herleitung dieser Erkenntnis bleibt das der IT-Recht Kanzlei vorliegende Schreiben allerdings schuldig.

Tatsächlich wird vielmehr vom bloßen US-Hauptsitz der drei CDN-Anbieter auf eine Datenschutzverletzung geschlossen.

Dass aber überhaupt

  • erstens personenbezogene Daten über die CDNs tatsächlich erhoben werden und
  • zweitens auch tatsächlich in die USA übermittelt werden,

stellt der Landesbeauftragte nicht fest.

Rechtlich gesehen vermag die Argumentationsführung des Landesbeaufragten insofern nicht zu überzeugen.

1.) Überhaupt Verarbeitung personenbezogener Daten von Shopbesuchern?

Zunächst ist fraglich, ob infolge der nativen Einbindung der CDNs in die Shopify-Matrix überhaupt personenbezogene Daten von Shop-Besuchern tatsächlich im Sinne der DSGVO verarbeitet werden.

Dazu trägt das der IT-Recht Kanzlei vorliegende Schreiben des Landesdatenschutzbeauftragten für Rheinland-Pfalz nichts vor.

Wahrscheinlich ist es zwar, dass CDNs zum Ausspielen der Seiteninhalte immerhin die IP-Adresse von Shop-Besuchern erheben. Einen technisch unabdingbaren Rückschluss lässt dies allerdings nicht zu.

Vielmehr kann es nämlich auch sein, dass Shopify für eine datenschutzfreundliche Implementierung durch eine Zwischenschaltung Shopify-eigener IPs gesorgt hat.

So ist es möglich, dass für ein Laden von Seiteninhalten über CDNs nicht die IP-Adresse des Shopbesuchers selbst, sondern ausschließlich eine IP-Adresse aus dem Shopify-Netzwerk an die CDNs übermittelt wird.

Technisch erfolgt diese Zwischenschaltung so, dass der Browser des Shop-Besuchers die Anfrage an das Shopify-Netzwerk sendet, die IP an Shopify überträgt, Shopify die Anfrage weiterverarbeitet, unter Verwendung einer eigenen IP den Abruf des CDN-Inhalts anfragt, diesen erhält und dann über die ursprüngliche IP an den Nutzer ausspielt.

In diesem Fall würde eine IP-Adresse des Shopbesuchers zu keinem Zeitpunkt an das CDN übermittelt und von einem solchen mithin auch nicht verarbeitet.

2.) Shopify versichert rein EU-interne Server

Hinzukommt, dass Shopify in einer der IT-Recht Kanzlei vorliegenden Stellungnahme versichert, unabhängig vom Hauptsitz der US-amerikanischen CDN-Anbieter dafür Sorge getragen zu haben, dass die operativen Leistungen der CDNs ausschließlich von EU-Servern aus erbracht werden und allein shopbezogenen Daten, die potenzielle Shop-Besucher nicht beträfen, in den USA gespeichert würden:

Shopify 1

Quelle: https://lsww.de/shopify-illegal/

Ausgeschlossen wäre demnach ein CDN-basierter Datentransfer von (irgendwie gearteten) Shop-Besucherinformation an Server in den USA.

3.) Bloße ausländische Zugriffsmöglichkeit ist kein internationaler Datentransfer

Falsch ist insbesondere die Ansicht, dass eine Verarbeitung auf EU-Servern durch die US-Anbieter die Datenschutzkonformität nicht gewährleisten könne und dass bloße Zugriffsmöglichkeiten der US-Unternehmen für die Annahme einer Verletzung ausreichten.

Art. 44 ff. DSGVO, welche Anforderungen für die Rechtmäßigkeit von Datenströmen ins Nicht-EU-Ausland aufstellen, adressieren ausdrücklich allein die „Übermittlung“ von Daten in ein Drittland.

Als Übermittlung wird vom Verordnungsgeber nur ein Ende-zu-Ende-Transfer zwischen zwei Entitäten verstanden, also ein Vorgang, der aus einem Versendungs- und einem Empfangsmoment besteht.

Rechtswidrig sein und gegen Art. 44 ff. DSGVO verstoßen können insofern auch nur direkte Weitergaben von personenbezogenen Datensätzen an Akteure in einem Drittland wie den USA.

Maßgeblich käme es also darauf an, ob über ein CDN erhobene personenbezogenen Daten an einen US-amerikanischen Server gesendet würden.

Bloße Zugriffsmöglichkeiten aus einem Drittland sind der Rechtmäßigkeitskontrolle nach den Art. 44 ff. DSGVO dahingegen grundsätzlich nicht zugänglich und auch wirtschaftlich nicht praktikabel.

Würde man auch bloße Zugriffsmöglichkeiten eines Nicht-EU-Unternehmens auf Datensätze den Grundsätzen nach Art. 44 ff. DSGVO unterwerfen, führte dies zu einem faktischen Embargo der Leistungserbringung sämtlicher datenverarbeitender Nicht-EU-Unternehmen in der EU, für welche nicht im Einzelfall geeignete Datenschutzgarantien (Art. 46 DSGVO) eingreifen.

Gerade US-Unternehmen könnten, selbst wenn sie Daten aus der EU ausschließlich auf EU-Servern verarbeiteten, auf dem europäischen Markt nicht wirtschaftlich tätig werden.

Richtigerweise kommt es bei der Bewertung eines internationalen Datentransfers nicht auf Zugriffsmöglichkeiten, sondern darauf an, an welchem Serverstandort die Datensätze empfangen werden.

Maßgeblich bleibt es insofern bei der Frage, ob und inwiefern personenbezogene Shop-Besucherdaten über die nativen CDN-Anbindungen auf Shopify an US-Server übertragen werden.

III. Shopify unter Aufklärungsdruck

Die jüngsten Geschehnisse sorgen unter Shopify-Händlern aktuell für Unsicherheit, Besorgnis und rechtliche Bedenken.

Shopify hat zwar inzwischen auf verschiedenen Kanälen, unter anderem im systemeigenen Blog reagiert, mahnt zur Ruhe und beharrt auf die DSGVO-Konformität des Shopsystems.

In gleicher Manier wie der Landesdatenschutzbeauftragte für Rheinland-Pfalz, der den Rummel angestoßen hat, lässt Shopify aber noch tragbare Argumente vermissen, welche die Rechtsauffassung tragen.
Zur Entkräftung der Vorwürfe und auch zur Wahrung des eigenen Image läge es nun an Shopify, transparent darzulegen, wie die CDN-Anbindung konkret technisch implementiert ist und wie Datenströme über die CDN-Funktion tatsächlich abgewickelt werden.

Nur, wenn Shopify nachvollziehbar dartun könnte, dass es über die Anbindung von CDNs an die Shop-Matrix entweder überhaupt nicht zu Transfers personenbezogener Daten potenzieller Shopbesucher an CDN-Server käme oder – sollte dies doch der Fall sein – ein Transfer ausschließlich an EU-Server erfolgt, kann der Vorwurf der Datenschutzwidrigkeit ausgeräumt werden.

IV. Shopify-Händler sollten Entwicklungen abwarten

Shopify-Händler sollten in Anbetracht der jüngsten Entwicklungen zwar aufmerksam, aber nicht übermäßig besorgt sein.

Einerseits ist festzuhalten, dass der Stein des Anstoßes der aktuellen Diskussionen eine Einzelfallintervention einer Landesdatenschutzbehörde gegenüber einem Shopify-Händler war.

Die ausgesprochene Untersagungsverfügung wirkt allein gegenüber diesem Händler und hat keine allgemeine Bedeutung oder Bindungswirkung.

Gleichermaßen steht durch das gegenständliche Verfahren auch nicht jeder Shopify-Händler unter „Generalverdacht“ und muss in Bälde mit ähnlichen behördlichen Maßnahmen rechnen.

Vielmehr zeigt die Praxiserfahrung, dass Datenschutzbehörden ihre Kapazitäten darauf konzentrieren, Eingriffsbefugnisse gegenüber „Big Playern“ oder solchen Akteuren wahrzunehmen, die bereits in der Vergangenheit einmal in ihr Visier geraten sind.

Auf der anderen Seite hat Shopify sich inhaltlich zu den geäußerten Vorwürfen die CDNs betreffend noch nicht positioniert. Eine fundierte Stellungnahme, die gegebenenfalls die Vorwürfe ganz oder teilweise entkräftet, ist also noch abzuwarten.

Über neue Entwicklungen in der Thematik hält die IT-Recht Kanzlei Sie selbstverständlich auf dem Laufenden.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Andreas 08.01.2024, 21:55 Uhr
*
Gibt es diesbezüglich irgendwelchen Neuigkeiten?
C
Carsten 19.11.2022, 13:31 Uhr
*
"Gerade US-Unternehmen könnten, selbst wenn sie Daten aus der EU ausschließlich auf EU-Servern verarbeiteten, auf dem europäischen Markt nicht wirtschaftlich tätig werden." In Anbetracht des Zustandes der US-Amerikanischen Demokratie wäre ein derartiges Embargo vielleicht gar nicht mal das Schlechteste...

weitere News

Shopify-Schnittstelle der IT-Recht Kanzlei: Automatische Absicherung von bereits mehr als 5.000 Händlern
(24.05.2023, 06:36 Uhr)
Shopify-Schnittstelle der IT-Recht Kanzlei: Automatische Absicherung von bereits mehr als 5.000 Händlern
Anleitung: Rechtstexte-Schnittstelle für Shopify-Shops einrichten
(30.10.2021, 09:42 Uhr)
Anleitung: Rechtstexte-Schnittstelle für Shopify-Shops einrichten
Shopify-Shops: IT-Recht Kanzlei bietet ab sofort Schnittstelle für Rechtstexte an
(12.10.2021, 07:41 Uhr)
Shopify-Shops: IT-Recht Kanzlei bietet ab sofort Schnittstelle für Rechtstexte an
Interview mit Ferry Hötzel von Shopify
(14.11.2019, 15:38 Uhr)
Interview mit Ferry Hötzel von Shopify
Neue Serie der IT-Recht Kanzlei: Shopify-Shops rechtlich absichern
(07.08.2019, 08:43 Uhr)
Neue Serie der IT-Recht Kanzlei: Shopify-Shops rechtlich absichern
Über Shopify rechtssicher versenden: Pflichtanhänge in der Bestellbestätigung, Newsletter und Facebook Pixel
(07.08.2019, 08:41 Uhr)
Über Shopify rechtssicher versenden: Pflichtanhänge in der Bestellbestätigung, Newsletter und Facebook Pixel
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei