Ist Shopify rechtswidrig? Datenschutzbehörde bringt Händler in Bedrängnis
Wie viel Verantwortung hat Shopify für die rechtliche Unbedenklichkeit der eigenen Plattform? (Foto: TonelsonProductions / Shutterstock)
Ein interessanter Fall sorgt derzeit in den einschlägigen Händlerforen im Internet für Aufsehen. Christian Häfner betreibt seit 2015 ein Kaffee-Online-Business mit einem zwischenzeitlich immerhin siebenstelligen Umsatz. Der Händler bezeichnet sich als Fan von Shopify und hat auch in der Vergangenheit gute Erfahrungen mit dem Shopsystem in der Cloud gemacht. „Shopify ist aus meiner Sicht das Shopsystem mit den meisten Innovationen und der mit Abstand besten User-Experience. Bis heute“, schwärmt Häfner.
Doch nun sieht es so aus, dass dem Händler die deutsche Verwaltung einen Strich durch die Rechnung macht. Auch wenn in den EMEA-Ländern nur ein Bruchteil des Umsatzes gemacht wird (die Rede ist von 16 Prozent), spielt der EU-Raum für Shopify eine wichtige Rolle, zumal Tobias Lütke, Gründer von Shopify, Deutscher ist und in sofern den hiesigen Markt und die mit Deutschland verbundene strenge Linie in Sachen Datenschutz kennt.
Die Landesdatenschutzbehörde für Rheinland-Pfalz erklärte im Juni diesen Jahres den Einsatz der von Shopify verwendeten CDN Fastly und Cloudflare für rechtswidrig, wie der Händler erklärt – ein ernsthaftes Problem für viele Händler wie Häfner und eine Aussage mit dramatischen Folgen. So erhielt Häfner einen Brief des Landesdatenschutzbeauftragten von Rheinland-Pfalz, in dem ein Beschwerdeführer geltend mache, „dass über Ihre Webseite … Nutzungsdaten an US-amerikanische Diensteanbieter übermittelt werden“.
Wer dieser Beschwerdeführer war, der sich da beschwert hat, bleibt unklar. Doch auch nachdem der Händler das Problem, das mit einem Consent-Banner zu tun hatte, behob, gab es keine Ruhe. In einem zweiten Brief wurden Localstorage und Third Party Requests bemängelt, danach in einem weiteren Schreiben unter Strafandrohung die verwendeten Dienste Cloudflare, Fastly und Cloudfront.
Der Händler musste ein neues Shopsystem finden
Letzten Endes gelang es dem Händler auch nicht, unter Hinzuziehung von Shopify und einem eigenen externen Datenschutzbeauftragten, das Problem aus der Welt zu schaffen. Weder der Support von Shopify noch deren Legal Support konnten beziehungsweise wollten die Behörde überzeugen, sodass sich der Händler genötigt sah, seinen Shop von dem Dienst zurückzuziehen und sich eine andere Lösung zu suchen.
Es habe zu dem Zeitpunkt, so erklärt Häfner, auch kein Engagement gegeben, das Problem seitens Shopify zu lösen. „Es gab leider zu dem Zeitpunkt auch keine Bemühungen von Shopify, direkt mit der Behörde Kontakt aufzunehmen oder mir einen internen Legal Experten an die Hand zu geben. Auch das vom Datenschutzexperten empfohlene Transfer-Impact-Assessment (TIA) erhielt ich nicht.“
Shopify meldet sich zu Wort – anders als erwartet
Erst jetzt, nachdem die Sache auch international für Aufsehen gesorgt hat und in den einschlägigen Gruppen eskaliert, erklärt CEO Tobi Lütke via Twitter, man hätte hier klarer kommunizieren müssen, dass man sich in Deutschland auf legalem Boden befinde, und den Kontakt zu den Behörden suchen müssen. „Natürlich ist das falsch und Shopify ist in Deutschland völlig legal. Das ist genau der Grund, warum diese ganze Regulierungslast kleine Unternehmen so viel schlimmer trifft als große Unternehmen.“
Und damit trifft er einen wichtigen Punkt, auch wenn der nächste Satz von wenig Einsicht zeugt: „Warum er (gemeint ist Häfner – d. Red.) beschlossen hat, noch mehr FUD zu posten, ist mir allerdings schleierhaft.“ FUD steht für „Fear, Uncertainty and Doubt“ – also Verunsicherung. Denn anstatt sich zu beklagen, dass Häfner den Fall öffentlich macht, sollte das Unternehmen hier schon im eigenen Interess und in dem der zahlreichen Kunden, die Shopify-Instanzen verwenden, für Klarheit und Rechtssicherheit sorgen. Sich hier als Anbieter einer nicht ganz kleinen Plattform rauszuhalten, kann nicht die Lösung sein, gerade in einem nicht ganz kleinen Markt wie Deutschland.
„Es scheint an Wissen seitens der Behörden und/oder Dokumentation seitens Shopify zu mangeln“, erklärt Häfner als Antwort. „Als Inhaber eines kleinen Unternehmens sollte ich nicht derjenige sein, der sich um die Klärung kümmert. Ich habe vor vier Monaten versucht, die Dinge mit Shopify über verschiedene Kanäle zu klären. Es war eine Sackgasse für mich und ich fühlte mich von Shopify im Stich gelassen.“ Angesichts des drohenden Bußgelds im fünfstelligen Umfang durchaus nachvollziehbar, dass sich der Händler hier in Zugzwang befand.
Wichtig ist aber gerade für kleinere Händler, dass eine Plattform, die sich als Cloud-Partner auf die Fahnen geschrieben hat, für die Händler das ganze Geschäft des Hostings der Shoplösung zu übernehmen, ihren Kunden dann auch tatsächlich solche rechtlichen Fragen im jeweiligen Land abnimmt. Denn dass ein Händler in dieser Art zwischen die Mühlen der Justiz geraten kann, ist nicht nur erschreckend, sondern eigentlich auch gerade das, was nicht passieren darf.
Rechtsunsicherheit auch für andere Händler?
Denn Häfner musste binnen weniger Wochen einen neuen Shop aufbauen und mehr also 1.000 Abokunden darüber informieren und sie bitten, im neuen Shop ein neues Abo zu buchen, da eine nahtlose Überführung aus rechtlichen wie technischen Gründen nicht möglich war. „Das in Kombination mit einem ohnehin schwierigen Kaffeemarkt (steigende Rohkaffee- und Gaspreise) und der anhaltenden Inflation belastet unseren Kaffee-Shop recht stark. 2022 wird für uns das erste Jahr mit negativem Wachstum.“
Ihm nutzt die zumindest geäußerte Einsicht von Shopify wenig, da er „nichts Handfestes“ gegenüber der Behörde in die Hand bekommen hat und sich dem Vernehmen nach auch zehn Tage nach seiner ersten Veröffentlichung Shopify noch nicht vermittelnd eingesetzt habe. Auch wenn sich auf höherer politischer Ebene die Datenschützer der EU und der USA um eine Lösung des eigentlichen Sachverhalts bemühen, bleibt für viele Onlinehändler und Websitebetreiber die Unsicherheit, wie sie mit US-Dienstleistern im Sinne der DSGVO umzugehen haben.
Es handelt sich bekanntermaßen nicht um ein neues Betätigungsfeld von Abmahnenden, auch wenn der neue Fall einmal mehr aufzeigt, wie gravierend die Auswirkungen für Handeltreibende sein können. Möglicherweise ist hier aber der Onlinehändler im Coffee-Umfeld nicht der einzige, den das Schicksal ereilt hat, Post von den Datenschützern zu bekommen – auch wenn bislang keine weiteren Fälle dieser Art bekannt wurden. Weitere Betroffene können sich gerne bei uns melden.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Tja. Shopify macht den Fehler für den EWR nicht auf US-Server und dIenste zu verzichten und Häfner den Fehler überhaupt Shopify in betracht zu ziehen obwohl ungeklärte Risiken bestehen. Als Unternehmer ist man eigenverantwortlich sich ind ie regulierung einzuarbeiten oder eben das Unternehmerum aufzugeben.
Als kleine(r) Unternehmer(in) ist es faktisch unmöglich, sich „in die Regulierung einzuarbeiten“. Man kann sich da nur auf die Aussagen der genutzten Anbieter verlassen. Das gilt auch für vermeintlich in Deutschland ansässige Anbieter, bei denen man letztlich auch nie 100 % weiß, ob da nicht irgendwo Datenschutzfallen lauern. Auch da kann man nur den Aussagen des jeweiligen Anbieters in seinen AGB und Datenschutzerklärungen glauben.
Am einfachsten ist es natürlich, man gibt wie du vorschlägst das Unternehmertum auf und begibt sich in die sichere Festanstellung. Abhängig Beschäftigte sind dem deutschen Staat ja auch am liebsten.
Während in anderen Ländern Dinge rund ums Internet erfunden werden, genutzt werden, die Wirtschaft ankurbeln, Arbeitsplätze schaffen ….
…. wird in Deutschland alles durch den Datenschutz verboten.
Ich denke nicht, daß es den Menschen in USA schlechter geht, weil die Händler, bei denen Sie bestellen, shopify nutzen…..
… aber Hauptsache, die deutschen Datenschutz-Terroristen bekommen wieder ihren Willen.
Datenschutz über alles! über alles in der Welt.
Wir schaffen uns ab. Nichts gegen den Schutz von wirklich wichtigen Daten (Konto, Gesundheit, …) – aber das hier ist übertrieben.
Nee, nee nee: das Problem ist doch nicht der Datenschutz oder die Datenschützer … das Problem sind die Gesetze!!
Geschaffen von Politikern, die lieber auf ihre Sponsoren als auf Fachleute hören. Unionspolitik, wohlwollend gestützt von der SPD. Deren jahrzehntelanges politisches Vollversagen führte eben genau zu solchen Gesetzen: alte Besitzstände sichern und Fortschritt verhindern (vom verjagen der weltführenden Solartechnik über die Behinderung von Sicherheitsforschung bis zur Verhinderung der Glasfaser). In DE genau so wie in Brüssel.
So zu tun, als läge es an den Datenschützen oder dem Datenschutz, ist … na sagen wir mal: bisschen kurz gedacht …
Das ist das Problem mit sämtlichen Anbietern, die außerhalb des EWR sitzen. Sei es Shopify, Slack, Zoom, WhatsApp, etc. pp. Einzig Microsoft hat meines Wissens bisher garantiert, dass EU-Kunden auch mit EU Servern für Office & Co. verbunden werden.
Meinen Kunden rate ich immer soweit wie möglich auf solche Dienste zu verzichten, es gibt im EWR genügend Alternativen: Jimdo, Zenkit, Jitsi, Threema und viele mehr. Da muss man eventuell mal vom UX ein paar Hürden mehr überwinden, aber wenn es eine Klage und diesen hier beschriebenen Hassel spart, dann zahlt sich das aus.
Aber das natürlich auch deutsche Behörden da Nachholbedarf haben ist auch offensichtlich. Schon berühmtes Google Fonts Urteil zeigt, dass da wenig Ahnung vorherrscht. Google betreibt auch in FFaM ein paar CDN Server, gleiches wird Cloudflare und Co auch machen. Das eine Anfrage aus Deutschland tatsächlich in den USA landet ist sehr sehr unwahrscheinlich.
Allerdings gibt es von diesen Unternehmen keine Garantie und genau das ist das Problem! Was sich meiner Meinung nach aber recht einfach lösen lässt.
Das würde sich dadurch lösen lassen, dass der Gesetzgeber die IP-Adresse endlich als nicht personenbezogen definiert.
wenn ich mich im Internet bewege hinterlasse ich meine IP-Adresse. theoretisch auf der ganzen Welt, denn einen Routing muss nicht unbedingt direkt auf den deutschen Server durch deutsches Gebiet gehen.
Das Argument mit Cloudflare klingt so lächerlich wie das mit Google Fonts. Der Vorteil von Cloud ist ja, dass die Server überall stehen können. Da funktioniert das Prinzip mit dem „Daten in ein Land übermitteln“ nicht.
Und selbst wenn die Daten in den USA landen, heißt das noch lange nicht, dass irgendwer einfach so drauf zugreifen kann.
Ich frage mich, was so schlimm daran ist, wenn FBI und co. mit Gerichtsbeschluss drauf zugreifen können. Soweit ich weiß, sind die USA Verbündete und nicht Nordkorea. Da wäre ich bei Huawei Diensten besorgter.
Dieser Artikel zeugt von mangelnder Recherche und/oder fehlender fachlicher Kompetenz. Ungeachtet der Rechtschreibfehler, ist der hier genannte Plattformanbieter ein kanadisches Unternehmen, und nicht wie hier aufgeführt, ein „US-Unternehmen“. Medienwirksam aufgezogener Einzelfall und t3n veröffentlicht das hier auch noch für möglichst viele Klicks. Peinlich!
Wo bezeichnet der Artikel Shopify denn als „US-Unternehmen“? In einem Absatz wird aus dem Schreiben des Landesdatenschutzbeauftragten zitiert, in einem anderen geht es nicht um Shopify, sondern um das von Shopify verwendete CDN Cloudflare, das seinen Sitz in den USA hat.