Shopify datenschutzwidrig? Native Shop-Struktur löst Untersagungsverfügung aus

Shopify datenschutzwidrig? Native Shop-Struktur löst Untersagungsverfügung aus
Stand: 15.11.2022 7 min 2

Shopify stellt Händler abnahmefertige Online-Shopauftritte bereit und ist vor allem für seine Bedienungsfreundlichkeit beliebt. Hierfür greift Shopify auf diverse Dienste von Drittanbietern zurück, die nativ in die Shop-Matrix integriert sind. Genau dies wurde einem Händler nun aber zum Verhängnis. Eine deutsche Datenschutzbehörde untersagte dem Händler den Einsatz US-basierter Content-Delivery-Networks, die unmodifizierbarer Bestandteil aller Shopify-Shops sind.

I. Untersagungsverfügung von Datenschutzbehörde: Shopify-CDNs vermeintlich datenschutzwidrig

Das Shopify-Universum befindet sich derzeit in schierem Aufruf.

Hintergrund ist das jüngste Publikwerden einer datenschutzbehördlichen Anordnung gegenüber einem Shopify-Händler, den Einsatz sogenannter Content-Delivery-Networks (CDN) von Cloudflare, Cloudfront und Fastly zu unterbinden.

Bei Content-Delivery-Networks handelt es sich um Online-Dienste, die Server-Anfragen durch ein Netz verteilter und miteinander verbundener Server streuen, so für kürzere Ladezeiten von Webseiten und Seiteninhalten sorgen und die Performance im Shop verbessern.

Beim Einsatz von Content-Delivery-Networks (CDN) können (müssen aber nicht) auch personenbezogene Seitenbesucherdaten für das dynamische Laden von Inhalten von den Netzwerkservern verarbeitet werden.

Regelmäßig ist immerhin die Nutzer-IP-Adresse, ein personenbezogenes Datum, betroffen, das an den Network-Anbieter übermittelt wird.

Dies ist vor allem dann problematisch, wenn die CDN-Betreibergesellschaften ihren Sitz im außereuropäischen Ausland haben, da dann durch die IP-Übermittlung die Gefahr rechtswidriger Drittstaatentransfers droht.

Von der Problematik besonders betroffen sind CDN-Anbieter mit Sitz in den USA. Für die Weitergabe von personenbezogenen Daten in die USA existiert derzeit nämlich keine hinreichende Rechtsgrundlage, welche den Grundsätzen der Art. 44 ff. DSGVO für die Datensicherheit bei Transfers außerhalb der EU Rechnung tragen könnte.
Hintergrund sind weitreichende Zugriffskompetenzen US-amerikanischer Geheimdienste auf Datenbestände in den USA, welche Datenübermittlungen in die Vereinigten Staaten aktuell potenziell stets rechtswidrig machen.

Sich hierauf berufend, sah der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Bundeslandes Rheinpfalz nun die Verwendung der US-basierten CDNs von Cloudfare, Cloudfront und Fastly in einem Shopify-Shop als datenschutzwidrig an.

Konkret heißt es im der IT-Recht Kanzlei vorliegenden Schreiben:

Da es sich bei allen drei um US-amerikanische Unternehmen handelt, ist es möglich, dass US-Behörden unter anderem auf Grundlage des CLOUD Acts zu strafrechtlichen Zwecken auf diese Daten zugreifen können. Dies gilt unabhängig davon, ob die personenbezogenen Daten auf Servern in den USA oder auf europäischen Servern gespeichert sind.

Wer nun aber denkt, sich des Problems durch ein bloßes Deinstallieren der CDNs in seinem Shopify-Shop entledigen zu können, der sei eines Besseren belehrt:

Die CDN-Anbindungen sind nativer Bestandteil eines jeden Shopify-Shops, funktioneller Bestandteil der Shopify-Matrix und lassen sich nicht individuell deaktivieren.

In jedem Shopify-Shop sind demgemäß immer zwingend auch die CDNs der genannten 3 US-Anbieter „eingebunden“.

Die gerügte Datenschutzverletzung kann, sofern sie denn tatsächlich vorliegt (s. dazu sogleich), für jeden Shopify-Shop angenommen werden.

Banner Unlimited Paket

II. CDN-Anbindung auf Shopify: Tatsächlich datenschutzwidrig?

Immerhin der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz ist überzeugt:

Die CDN-Einbindung im Shopify-Shop ist aufgrund drohender US-Transfers datenschutzwidrig.

Eine konkrete Herleitung dieser Erkenntnis bleibt das der IT-Recht Kanzlei vorliegende Schreiben allerdings schuldig.

Tatsächlich wird vielmehr vom bloßen US-Hauptsitz der drei CDN-Anbieter auf eine Datenschutzverletzung geschlossen.

Dass aber überhaupt

  • erstens personenbezogene Daten über die CDNs tatsächlich erhoben werden und
  • zweitens auch tatsächlich in die USA übermittelt werden,

stellt der Landesbeauftragte nicht fest.

Rechtlich gesehen vermag die Argumentationsführung des Landesbeaufragten insofern nicht zu überzeugen.

1.) Überhaupt Verarbeitung personenbezogener Daten von Shopbesuchern?

Zunächst ist fraglich, ob infolge der nativen Einbindung der CDNs in die Shopify-Matrix überhaupt personenbezogene Daten von Shop-Besuchern tatsächlich im Sinne der DSGVO verarbeitet werden.

Dazu trägt das der IT-Recht Kanzlei vorliegende Schreiben des Landesdatenschutzbeauftragten für Rheinland-Pfalz nichts vor.

Wahrscheinlich ist es zwar, dass CDNs zum Ausspielen der Seiteninhalte immerhin die IP-Adresse von Shop-Besuchern erheben. Einen technisch unabdingbaren Rückschluss lässt dies allerdings nicht zu.

Vielmehr kann es nämlich auch sein, dass Shopify für eine datenschutzfreundliche Implementierung durch eine Zwischenschaltung Shopify-eigener IPs gesorgt hat.

So ist es möglich, dass für ein Laden von Seiteninhalten über CDNs nicht die IP-Adresse des Shopbesuchers selbst, sondern ausschließlich eine IP-Adresse aus dem Shopify-Netzwerk an die CDNs übermittelt wird.

Technisch erfolgt diese Zwischenschaltung so, dass der Browser des Shop-Besuchers die Anfrage an das Shopify-Netzwerk sendet, die IP an Shopify überträgt, Shopify die Anfrage weiterverarbeitet, unter Verwendung einer eigenen IP den Abruf des CDN-Inhalts anfragt, diesen erhält und dann über die ursprüngliche IP an den Nutzer ausspielt.

In diesem Fall würde eine IP-Adresse des Shopbesuchers zu keinem Zeitpunkt an das CDN übermittelt und von einem solchen mithin auch nicht verarbeitet.

2.) Shopify versichert rein EU-interne Server

Hinzukommt, dass Shopify in einer der IT-Recht Kanzlei vorliegenden Stellungnahme versichert, unabhängig vom Hauptsitz der US-amerikanischen CDN-Anbieter dafür Sorge getragen zu haben, dass die operativen Leistungen der CDNs ausschließlich von EU-Servern aus erbracht werden und allein shopbezogenen Daten, die potenzielle Shop-Besucher nicht beträfen, in den USA gespeichert würden:

Shopify 1

Quelle: https://lsww.de/shopify-illegal/

Ausgeschlossen wäre demnach ein CDN-basierter Datentransfer von (irgendwie gearteten) Shop-Besucherinformation an Server in den USA.

3.) Bloße ausländische Zugriffsmöglichkeit ist kein internationaler Datentransfer

Falsch ist insbesondere die Ansicht, dass eine Verarbeitung auf EU-Servern durch die US-Anbieter die Datenschutzkonformität nicht gewährleisten könne und dass bloße Zugriffsmöglichkeiten der US-Unternehmen für die Annahme einer Verletzung ausreichten.

Art. 44 ff. DSGVO, welche Anforderungen für die Rechtmäßigkeit von Datenströmen ins Nicht-EU-Ausland aufstellen, adressieren ausdrücklich allein die „Übermittlung“ von Daten in ein Drittland.

Als Übermittlung wird vom Verordnungsgeber nur ein Ende-zu-Ende-Transfer zwischen zwei Entitäten verstanden, also ein Vorgang, der aus einem Versendungs- und einem Empfangsmoment besteht.

Rechtswidrig sein und gegen Art. 44 ff. DSGVO verstoßen können insofern auch nur direkte Weitergaben von personenbezogenen Datensätzen an Akteure in einem Drittland wie den USA.

Maßgeblich käme es also darauf an, ob über ein CDN erhobene personenbezogenen Daten an einen US-amerikanischen Server gesendet würden.

Bloße Zugriffsmöglichkeiten aus einem Drittland sind der Rechtmäßigkeitskontrolle nach den Art. 44 ff. DSGVO dahingegen grundsätzlich nicht zugänglich und auch wirtschaftlich nicht praktikabel.

Würde man auch bloße Zugriffsmöglichkeiten eines Nicht-EU-Unternehmens auf Datensätze den Grundsätzen nach Art. 44 ff. DSGVO unterwerfen, führte dies zu einem faktischen Embargo der Leistungserbringung sämtlicher datenverarbeitender Nicht-EU-Unternehmen in der EU, für welche nicht im Einzelfall geeignete Datenschutzgarantien (Art. 46 DSGVO) eingreifen.

Gerade US-Unternehmen könnten, selbst wenn sie Daten aus der EU ausschließlich auf EU-Servern verarbeiteten, auf dem europäischen Markt nicht wirtschaftlich tätig werden.

Richtigerweise kommt es bei der Bewertung eines internationalen Datentransfers nicht auf Zugriffsmöglichkeiten, sondern darauf an, an welchem Serverstandort die Datensätze empfangen werden.

Maßgeblich bleibt es insofern bei der Frage, ob und inwiefern personenbezogene Shop-Besucherdaten über die nativen CDN-Anbindungen auf Shopify an US-Server übertragen werden.

III. Shopify unter Aufklärungsdruck

Die jüngsten Geschehnisse sorgen unter Shopify-Händlern aktuell für Unsicherheit, Besorgnis und rechtliche Bedenken.

Shopify hat zwar inzwischen auf verschiedenen Kanälen, unter anderem im systemeigenen Blog reagiert, mahnt zur Ruhe und beharrt auf die DSGVO-Konformität des Shopsystems.

In gleicher Manier wie der Landesdatenschutzbeauftragte für Rheinland-Pfalz, der den Rummel angestoßen hat, lässt Shopify aber noch tragbare Argumente vermissen, welche die Rechtsauffassung tragen.
Zur Entkräftung der Vorwürfe und auch zur Wahrung des eigenen Image läge es nun an Shopify, transparent darzulegen, wie die CDN-Anbindung konkret technisch implementiert ist und wie Datenströme über die CDN-Funktion tatsächlich abgewickelt werden.

Nur, wenn Shopify nachvollziehbar dartun könnte, dass es über die Anbindung von CDNs an die Shop-Matrix entweder überhaupt nicht zu Transfers personenbezogener Daten potenzieller Shopbesucher an CDN-Server käme oder – sollte dies doch der Fall sein – ein Transfer ausschließlich an EU-Server erfolgt, kann der Vorwurf der Datenschutzwidrigkeit ausgeräumt werden.

IV. Shopify-Händler sollten Entwicklungen abwarten

Shopify-Händler sollten in Anbetracht der jüngsten Entwicklungen zwar aufmerksam, aber nicht übermäßig besorgt sein.

Einerseits ist festzuhalten, dass der Stein des Anstoßes der aktuellen Diskussionen eine Einzelfallintervention einer Landesdatenschutzbehörde gegenüber einem Shopify-Händler war.

Die ausgesprochene Untersagungsverfügung wirkt allein gegenüber diesem Händler und hat keine allgemeine Bedeutung oder Bindungswirkung.

Gleichermaßen steht durch das gegenständliche Verfahren auch nicht jeder Shopify-Händler unter „Generalverdacht“ und muss in Bälde mit ähnlichen behördlichen Maßnahmen rechnen.

Vielmehr zeigt die Praxiserfahrung, dass Datenschutzbehörden ihre Kapazitäten darauf konzentrieren, Eingriffsbefugnisse gegenüber „Big Playern“ oder solchen Akteuren wahrzunehmen, die bereits in der Vergangenheit einmal in ihr Visier geraten sind.

Auf der anderen Seite hat Shopify sich inhaltlich zu den geäußerten Vorwürfen die CDNs betreffend noch nicht positioniert. Eine fundierte Stellungnahme, die gegebenenfalls die Vorwürfe ganz oder teilweise entkräftet, ist also noch abzuwarten.

Über neue Entwicklungen in der Thematik hält die IT-Recht Kanzlei Sie selbstverständlich auf dem Laufenden.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: Mojahid Mottakin / shutterstock.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

A
Andreas 08.01.2024, 21:55 Uhr
*
Gibt es diesbezüglich irgendwelchen Neuigkeiten?
C
Carsten 19.11.2022, 13:31 Uhr
*
"Gerade US-Unternehmen könnten, selbst wenn sie Daten aus der EU ausschließlich auf EU-Servern verarbeiteten, auf dem europäischen Markt nicht wirtschaftlich tätig werden." In Anbetracht des Zustandes der US-Amerikanischen Demokratie wäre ein derartiges Embargo vielleicht gar nicht mal das Schlechteste...

Beiträge zum Thema

Anleitung: Rechtstexte-Schnittstelle für Shopify-Shops einrichten
(18.09.2024, 13:32 Uhr)
Anleitung: Rechtstexte-Schnittstelle für Shopify-Shops einrichten
Shopify-Schnittstelle der IT-Recht Kanzlei: Automatische Absicherung von bereits mehr als 5.000 Händlern
(24.05.2023, 06:36 Uhr)
Shopify-Schnittstelle der IT-Recht Kanzlei: Automatische Absicherung von bereits mehr als 5.000 Händlern
Shopify-Shops: Wir bieten ab sofort Schnittstelle für Rechtstexte an
(12.10.2021, 07:41 Uhr)
Shopify-Shops: Wir bieten ab sofort Schnittstelle für Rechtstexte an
Interview mit Ferry Hötzel von Shopify
(14.11.2019, 15:38 Uhr)
Interview mit Ferry Hötzel von Shopify
Neue Serie der IT-Recht Kanzlei: Shopify-Shops rechtlich absichern
(07.08.2019, 08:43 Uhr)
Neue Serie der IT-Recht Kanzlei: Shopify-Shops rechtlich absichern
Über Shopify rechtssicher versenden: Pflichtanhänge in der Bestellbestätigung, Newsletter und Facebook Pixel
(07.08.2019, 08:41 Uhr)
Über Shopify rechtssicher versenden: Pflichtanhänge in der Bestellbestätigung, Newsletter und Facebook Pixel
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei