Wenn du einen Onlineshop betreibst oder planst, ist Datenschutz ein Thema, das ganz oben auf deiner PrioritĂ€tenliste stehen sollte. Die Datenschutz-Grundverordnung (DSGVO) hat die Art und Weise, wie Unternehmen in Europa Daten verarbeiten, seit deren EinfĂŒhrung 2018 grundlegend verĂ€ndert. Da es in der Vergangenheit immer wieder zu Unsicherheiten kam, was die DSGVO-KonformitĂ€t von Shopify - einem in Kanada ansĂ€ssigen Unternehmen - betrifft, möchten wir in diesem Artikel aufrollen, wie das Shopsystem Shopify in Bezug auf die DSGVO abschneidet, was es mit CDN-Diensten (wie zb Cloudflare) auf sich hat und welche Tipps du befolgen solltest, um deinen Shopify-Shop DSGVO-konform zu gestalten.
VerstöĂt Shopify gegen die DSGVO?
Ende 2022, Reinland-Pfalz. Ein deutscher Online-HĂ€ndler wird von der lokalen Datenschutzbehörde abgemahnt, da diese behauptet, Shopify sei DSGVO-widrig. Der HĂ€ndler hatte nĂ€mlich in den USA ansĂ€ssige Content Delivery Networks (= CDNs, zB Cloudflare oder Fastly) genutzt, und zwar ĂŒber Shopify. Um möglicherweise drohende, enorme BuĂgelder nicht zu riskieren, stellte der HĂ€ndler seinen Shopify-Shop ein. Eine Schocknachricht fĂŒr viele Shopify-Nutzer:innen.
Doch um auf die ursprĂŒngliche Frage zurĂŒckzukommen: Nein, Shopify verstöĂt nicht gegen die in der EU geltende Datenschutzgrundverordnung. Denn die Verarbeitung und Speicherung personenbezogener Daten von Shops innerhalb der EU wird nicht wie vermutet ĂŒber die USA, sondern ĂŒber einen Server in Irland abgewickelt.
"Wir stellen eine Sache klar: Deutsche HĂ€ndler mĂŒssen keinen Zweifel daran haben, dass Shopify in Deutschland legal ist."
Privacy Officer, Shopify
Shopify und die DSGVO
Als eine der fĂŒhrenden E-Commerce-Plattformen weltweit bietet Shopify auch vielen europĂ€ischen HĂ€ndler:innen die Basis fĂŒr ihre Onlineshops. Als solches muss Shopify sicherstellen, dass es den strengen Anforderungen der DSGVO entspricht. Deshalb hat Shopify eine Reihe von MaĂnahmen ergriffen, um die Plattform DSGVO-konform zu machen. Dazu gehören:
- Datenschutz-Tools: Shopify stellt Tools zur VerfĂŒgung, die dir helfen, DSGVO-konforme Datenschutzrichtlinien zu erstellen und die Einwilligung deiner Kund:innen zur Datenverarbeitung einzuholen.
- Datenverarbeitungsvereinbarungen (DPA): Shopify bietet eine DPA an, die die Rollen und Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten klÀrt.
- Transparenz: Shopify informiert darĂŒber, welche Daten gesammelt werden und wie diese verwendet werden.
DSGVO-KonformitÀt der CDN-Dienste Cloudflare und Fastly
WĂ€hrend Shopify selbst also nicht in der Kritik steht, sieht es bei den genutzten Content Delivery Networks (CDNs) Cloudflare und Fastly - beide in den USA angesiedelt - ein wenig anders aus. Sie spielen eine wichtige Rolle in der Performance von Onlineshops und sorgen fĂŒr schnelle Ladezeiten, indem sie Inhalte auf Servern weltweit zwischenspeichern.
Beide Dienste haben zwar MaĂnahmen ergriffen, um die DSGVO einzuhalten, dennoch entsprechen sie unter gewissen Aspekten nicht dem aktuellen Datenschutzrecht. So werden zB bei Cloudflare unmittelbare Nutzer:innendaten zwar nicht geloggt, persönliche Daten, wie die IP-Adresse, werden aber dennoch gespeichert. Und das ist laut Privacy Shield Abkommen nicht datenschutzkonform. Umgangen werden kann das allerdings mit der Enterprise-Version von Cloudflare, bei der es ĂŒber die sogenannte Data Localization Suite möglich ist, zu kontrollieren, in welcher Region Daten gespeichert werden sollen / dĂŒrfen.
Tipps zur Einhaltung des Datenschutzes bei Shopify
Um deinen Shopify-Shop (genauso wie jeden anderen Onlineshop) DSGVO-konform zu betreiben, solltest du jedenfalls folgende Tipps beachten:
- DatenschutzerklĂ€rung: Erstelle eine klare und verstĂ€ndliche DatenschutzerklĂ€rung, die alle Anforderungen der DSGVO erfĂŒllt.
- Einwilligungen einholen: Stelle sicher, dass du die Einwilligung deiner Kund:innen einholst, bevor du ihre Daten verarbeitest.
- Zugriffsrechte beachten: Kund:innen muss das Recht eingerÀumt werden, ihre Daten einzusehen, zu berichtigen oder zu löschen.
- Datensicherheit: Implementiere technische und organisatorische MaĂnahmen, um die Sicherheit der Kund:innendaten zu gewĂ€hrleisten.
- Apps und Drittanbieter: ĂberprĂŒfe alle Apps und Drittanbieter auf ihre DSGVO-KonformitĂ€t und schlieĂe entsprechende VertrĂ€ge ab. Um Unsicherheiten grundsĂ€tzlich zu umschiffen, bieten sich zu allen graubereichigen bzw. nicht-DSGVO-konformen Diensten (zB Google Analytics, Cloudflare) auch Alternativen (zB Matomo, eTracker) an.
Wir weisen an dieser Stelle darauf hin, dass wir keine Rechtsberatung leisten, unterstĂŒtzen dich aber sehr gerne mit unserem Fachwissen im Bereich E-Commerce. In ZweifelsfĂ€llen oder bei Unklarheiten sollte auf jeden Fall die Expertise von entsprechend spezialisierten AnwĂ€lt:innen oder Datenschutzbeauftragten eingeholt werden!
Fragen ĂŒber Fragen? Gemeinsam gehen wir deinen Unsicherheiten auf den Grund und sorgen dafĂŒr, dass dein Onlineshop - egal, ob Shopify, Shopware oder Magento - den aktuellen Datenschutzrichtlinien entspricht.
