Ist Shopify illegal?
Abmahnung der Datenschutzbehörde
Ist das Shop System Shopify illegal? Aktuell sorgt ein Fall bei allen Shopify-Shops für Aussehen und schlaflose Nächte. Denn eine Datenschutzbehörde hat die Nutzung von einigen Shopify-Diensten für rechtswidrig erklärt und mit Bußgeld gedroht. Sie behauptet, diese Apps von Shopify seien nicht DSGVO-konform. Die Folge: Der deutsche Händler hat mittlerweile den Shop gewechselt.
Wo liegt das Problem mit der Behörde? Was bedeutet das für Shopify-Shops bei anderen Händlern? Und wie vermeiden Shop Inhaber ein Schreiben der Datenschutzbehörde? In diesem Blog-Beitrag finden wir es heraus.
Was ist Shopify?
Bei Shopify kannst Du einfach und schnell Deinen eigenen Online-Shop aufbauen. Daneben können über die Plattform die gesamte Logistik verwaltet, die Bestellungen und die Zahlung auch ohne große Entwickler-Kenntnisse abgewickelt werden. Damit hast Du alles an der Hand, um ein erfolgreiches Online-Business aufzubauen. Das Shopsystem bietet dabei das Komplettpaket aus Software, Infrastruktur, Hosting und CDN (Content Delivery Network) an.
Shopify selbst wurde 2006 von Tobi Lütke in Kanada gegründet und zählt zu den größten Online-Shop-Anbietern der Welt. Shopify für den deutschen Markt ist seit 2018 verfügbar und wird von vielen E Commerce Website Betreibern genutzt. Über 1.000.000 Shops sollen mittlerweile den Service Shopifys nutzen. Damit ist das Unternehmen als E-Commerce-Plattform für viele Waren-Firmen fast nicht mehr wegzudenken.
Vorteile von Shopify
Was Shopify gerade für kleine und mittlere Händler interessant macht, haben wir hier kurz zusammengefasst:
- Dein Online-Store muss nicht auf Standby, wenn Wartungsarbeiten anstehen. Du verkaufst also ohne Unterbrechung.
- Shopify ist auch bei hohem Traffic leistungsstark und ausfallsicher.
- Shopify arbeitet geräteunabhängig. Du bist also auch am Smartphone oder Tablet aktiv.
- Die Plattform ist einfach zu bedienen und daher auch für Einsteiger ideal.
- Bei Shopify sind keine technischen Vorkenntnisse notwendig. Du legst einfach los.
- Die Shopify-Apps sind bereits integriert und Du musst sie nicht extra herunterladen und installieren.
- Du bezahlst erst im Nachhinein und kannst die ersten Schritte kostenlos testen. Danach wählst Du zwischen verschiedenen Zahlungsmethoden aus.
- Der Shopify-App-Store bietet viele Erweiterungen und ein individuelles Design.
- Die internationale Community hilft Dir bei Problemen, auch in Deutschland.
- Daneben bietet das Shopify-Support-Team kostenlose Hilfe bei Fragen und Problemen zu Deinem Shopify Stores.
- Neben Deutsch und Englisch sind die Apps und Plattform von Shopify in vielen weiteren Sprachen verfügbar. Das ist besonders bei weltweiten Business-Aktivitäten interessant.
Aber Shopify ist nicht der einzige Anbieter von attraktiven Shop-Lösungen mit positiver User Experience. Wir haben da noch eine Alternative, die besonders bei einem Shopwechsel interessant ist. Weiter unten im Artikel mehr dazu!
Welche Daten speichern Online-Shops?
Als Händler und Betreiber eines Online-Shops in Deutschland solltest Du wissen, welche Kundendaten über Shopify erhoben werden. Wichtig sind dabei die personenbezogenen Daten, die auch in der Datenschutzerklärung aufgeführt sind:
- Kundennamen
- E-Mail-Adressen
- Rechnungsadressen
Wenn diese Daten von Kundinnen und Kunden auf der Webseite eingegeben werden, verarbeitet Shopify diese primär auf europäischen Servern. Da Shopify ein kanadisches Unternehmen ist, landen ein paar Daten auch auf kanadischen Server. So weit, so gut. Allerdings versendet das Unternehmen ebenso Daten wie IP- und E-Mail-Adressen an US-Server. Hintergrund ist der sogenannte Cloud Act (Gesetz zum Zugriff auf Online-Daten), aber später im Artikel mehr dazu. Und genau das scheint oft das Problem deutscher Datenschutzbehörden mit Google & Co. zu sein ‒ unter anderem aber auch bei Shopify.
Die Datenschutz-Grundverordnung
Seit 2018 regelt die Europäische Datenschutz-Grundverordnung (DSGVO) die Nutzung personenbezogener Daten im Internet. Damit sollen Menschen einheitlich innerhalb der EU geschützt werden. Das europaweit geltende Recht verpflichtet auch Betreiber von Online-Shops, sich an dieses Gesetz zu halten. Und das ist durchaus ernst zu nehmen, denn es drohen im schlimmsten Fall ein Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes ‒ das Ergebnis im aktuellen Fall.
Um ein Bußgeld zu vermeiden, solltest Du Dich als Online-Händler mit dem Thema Datenschutzerklärung, Kundendaten, Cookies und DSGVO intensiv vor der Shop Einrichtung beschäftigen. Auch, um einen Datenschutzverstoß durch die Behörde zu vermeiden.
Wir analysieren Deinen Shop und machen ihn auch für zukünftige Probleme für Dich fit.
Das aktuelle Problem
Wir sehen: Die Datenschutzauflagen innerhalb der EU sind ziemlich streng, das weiß auch Shopify. Daher geht das Unternehmen strenge Pflichten zum Schutz der Daten ein. Shopify-Händler müssen daher eigentlich keine gesonderte Einwilligung zu den Kundendaten beachten ‒ eigentlich. Denn die DSGVO gibt auch für Händler verschiedene Datenschutzpflichten vor.
Und genau diesen Maßnahmen ist der deutsche Händler im aktuellen Fall laut Ansicht der Datenschutzbehörde nicht ausreichend nachgekommen. Der Einsatz verschiedener US-Dienste und CDN von Fastly, Cloudflare und Amazon sollen bei der Nutzung von Shopify rechtswidrig sein. Von der Seite der Datenschutzbehörde kam die Begründung, dass US-Behörden mit dem Cloud-Act personenbezogene Daten wie die IP-Adresse einer Person auf US- und europäischen Servern zur Strafverfolgung nutzen.
Wo speichert Shopify die Kundendaten?
Die Antwort von Shopify zu diesem Thema kam prompt. Darin versichert das Software-Unternehmen, dass Nutzer "keinen Zweifel daran haben müssen, dass Shopify in Deutschland legal ist." Shopify geht dabei als Verarbeiter der Kundendaten der Händler auf die aktuelle Problematik zu diesem Thema ein. Die Datenverarbeitung erfolgt laut Shopify innerhalb der Shops von EU zu EU, denn alle personenbezogenen Daten werden auf einem Server in Irland gesichert. Mit ungenannten zusätzlichen Maßnahmen werden außerdem Kundendaten von EU-Händlern zu nichteuropäischen Unternehmen sichergestellt.
Shopify & DSGVO bisher
Um Shopify DSGVO-konform zu verwenden, reichte bisher ein Vertrag zur Auftragsverarbeitung zwischen Händler und Shopify. Den gibt es vom Anbieter automatisch, wenn Du den allgemeinen Geschäftsbedingungen (AGB) zustimmst. Konkret geht es beim AV-Vertrag darum,
- welche Kundendaten Dein Shopify-Onlineshop speichert.
- aus welchem Grund die Daten gespeichert werden.
- wie lange die Daten nach Einwilligung gespeichert werden.
- welche Rechte und Pflichten Du und Deine Kunden haben.
Außerdem musst Du als Händler in Deiner Datenschutzerklärung aufführen, dass Du Shopify und die Software des Shops verwendest. Neben dem Grund und der Dauer der Datenspeicherung sollte in der Datenschutzerklärung auch der Hinweis zur DSGVO enthalten sein. Deine Kunden sollten über die Webseite der Datenerhebung jederzeit widersprechen können
Unser Kommentar
Da es bisher zu Shopify und auch zu ähnlichen Plattformbetreibern keine bekannten Fälle gibt, ist es schwer, den Erfahrungsbericht des Blog-Betreibers einzuordnen. Das Thema ist aber ernst zu nehmen ‒ nicht nur für Shopify-Händler, sondern auch für andere Seitenbetreiber. Aktuell ist es also erstmal ein Hinweis, den Online-Store, den Blog oder jede andere Seite datenschutzkonform zu betreiben. Eine professionelle Webagentur hilft dabei und hat für jede Frage die passende Antwort. Auch wir von lass machen helfen bei der Einführung und beim Betreiben des Shopify-Onlineshops.
Ich habe einen Shopify-Shop! Was tun?
Zunächst solltest Du die Situation genau beobachten und nicht gleich den Kopf in den Sand zu stecken. Suche Unterstützung für die anstehenden Prozesse und hebe Deinen Onlineshop auf das aktuellste DSGVO-Level an. Wichtig ist: Werde aktiv!
Zwar sind wir von lass machen keine Rechtsanwälte und können Dir bei Rechtsfragen keine wasserfesten Antworten liefern, aber wir holen Dich mit ins Boot. In gemeinsamen Gesprächen schauen wir, ob Du in Deinem Shopify-Store Apps und Dienste verwendest, die für eine Behörde relevant sein können. Wir wissen, dass jetzt jeder Stein umgedreht werden muss. So vermeidest Du auch in Zukunft Probleme mit der Datenschutz-Grundverordnung und kannst Deinen Online Handel bedenkenlos fortführen.
Die richtigen Schritte
Denn schon jetzt solltest Du Dein Online-Business auf den aktuellsten Stand bringen, damit Du nach bestem Wissen und Gewissen handelst. Willst Du ein Bußgeld vermeiden, solltest Du jeden Punkt abhaken können:
1) Ein Verarbeitungsverzeichnis erstellen
Auch vor der Einführung der DSGVO war ein Verarbeitungsverzeichnis schon Pflicht. Darin sind alle Verfahren zu den personenbezogenen Daten aufgelistet. Neu ist, dass die Kontrollen und Bußgelder für Online-Händler stark gestiegen sind.
2) Datenschutzerklärung anpassen
Auch die Datenschutzerklärung ist für Onlineshop-Betreiber nichts Neues. Allerdings muss die seit 2018 die geplante Speicherdauer enthalten. Besonders wichtig für den Shopify-Store: Wenn die Daten an Dritte weitergeleitet werden, muss der Hinweis auch mit in die Datenschutzerklärung.
3) Einwilligung zur Datenschutzerklärung nach DSGVO
Der Punkt ist etwas nervig, klar. Aber unbedingt notwendig ist die Einwilligung der Datenschutzerklärung. Personen müssen freiwillig ihr Häkchen hinter der Datenschutzerklärung setzen können. Am besten dokumentierst Du auch diese Einwilligungen, denn es besteht Nachweispflicht.
4) Rechte und Pflichten
Du hast eine Webseite oder einen Shop? Dann haben Deine Besucher und Kunden das Recht, Informationen über die erhobenen Daten zu erhalten und diese auch löschen bzw. übertragen zu lassen.
5) Meldung von Datenpannen
Wirst Du Opfer eines Hackerangriffs, musst Du direkt oder über einen Datenschutzbeauftragten das der Aufsichtsbehörde innerhalb von 72 Stunden melden. Die Datenschutz-Grundverordnung hierzu:
- Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
- (Quelle: WKO)
6) Nicht benötigte Shopify-Apps löschen
Wenn Du in Deinem Shopify-Store nicht alle Apps verwendest, lösche die am besten. Denn gerade jetzt ist oft nicht abschließend geklärt, welche Apps von den Behörden als datenschutzkonform gelten. Halte die Liste der Anbieter mit Zugriff auf personenbezogene Daten so klein wie möglich.
7) Der Cookies-Hinweis
Hast Du einen Onlineshop, setzt Du als Händler hier und da auch Cookies ein. Die Cookie-Daten können dabei zur Nutzung von Google Analytics, zur Online-Kaufabwicklung von Waren, zur Einwilligung der Datenschutzerklärung oder für die Verfolgung von User-Verhalten dienen. Ganz egal, Du musst darauf hinweisen.
Das geht mit Cookie-Erweiterungen im Shopify-App-Store, mit unabhängigen Cookie-Programmen oder Du lässt Cookie-Experten von digitalen Agenturen ran.
8) Google Analytics DSGVO-konform einsetzen
Das ist die aktuell größte Frage hinter Google Analytics: Ist der Dienst für Shopify DSGVO-konform oder muss ich darauf verzichten? Im Zweifel folgt nach dem Artikel der Schritt zum Anwalt oder zum Datenschutzbeauftragten.
Unsicher? Wir helfen beim Shopwechsel
Aktuell erreichen uns auch viele Anfragen von Shopify-Nutzern, die über einen Shopwechsel nachdenken. Neben dem Aufbau einer komplett neuen Shopseite, steht auch die Herausforderung eines möglichst nahtlosen Übergangs. Denn die Kunden sollen ja nicht verloren gehen und der Verkauf soll weiterhin stattfinden.
Die gute Nachricht: Wir haben da schon eine Lösung am Start! Was die Behörden freuen wird, denn die Alternative zu Shopify kommt aus Deutschland. Shopware ist ebenfalls ein E Commerce System, mit dem Du Deinen eigenen Online-Store erstellen kannst. Shopware wurde im Jahr 2003 im Münsterland gegründet und kennt als deutsches Unternehmen die strengen Datenschutzauflagen.
lass machen unterstützt Dich
Melde Dich bei uns per E-Mail! Wir bringen Deine Seite auf den neusten Stand der Datenschutz-Grundverordnung. Außerdem entfernen wir alle für den deutschen Markt fraglichen Apps und Dienste wie Google Fonts aus Deinem Shopify-Markt. Und wenn Du doch den Plattformanbieter wechseln möchtest, nehmen wir Dich an die Hand. Das Team von lass machen lässt Dich nicht im Regen stehen und hat immer die passende Lösung ‒ nicht nur beim Thema SEO oder Shopsystem.