Der Artikel ist am 11.11.22 erschienen und wird regelmäßig über weitere Entwicklungen zum Thema aktualisiert. Zu den Updates.
Am 13.06.2022 nahm meine persönliche Erfolgsgeschichte mit Shopify eine dramatische Wendung. Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (kurz: Datenschutzbehörde) hat mir gegenüber die Nutzung von Shopify de facto für rechtswidrig erklärt und mir bei Weiternutzung ein Bußgeld von 4% meines letzten Jahresumsatzes angedroht. In diesem Artikel beschreibe ich, was genau passiert ist, welche Maßnahmen ich ergriffen hatte und woran genau sich die Behörde stört.
Seit 2015 bei Shopify
Shopify ist eines der beliebtesten Shopsysteme in Deutschland. Dahinter steckt ein Milliarden-schweres Unternehmen aus Kanada mit deutschem Gründer – eine echte Erfolgsgeschichte! Ich selbst bin seit 2015 Kunde bei Shopify und seitdem Fan! Zwischen 2015 und 2022 konnte ich meinen Kaffee Online-Business mit Shopify auf immerhin 7-stellige Jahresumsätze aufbauen.
Vorab: Es handelt sich bei den beschriebenen Vorfällen um meine persönlichen Erfahrungen mit der Datenschutzbehörde in Rheinland-Pfalz und Shopify. Ob andere Behörden in anderen Bundesländern genauso urteilen würden, kann ich nicht sagen. Es gab weder ein Gerichts-Urteil, noch ein tatsächlich verhängtes Bußgeld. Die Androhung wurde fallengelassen, da ich mich für den Wechsel auf ein anderes Shopsystem entschieden habe. Zuvor hatte ich über verschiedene Wege mit Shopify selbst und einem externen Datenschutzbeauftragten versucht, eine Lösung zu finden. Ohne Erfolg.
Meine Geschichte begann damals, 2015, als ich meinen Kaffee-WordPress Blog auf Shopify umgezog und anfing, eigenen Kaffee-Produkte zu verkaufen. Bis heute hat sich das Business super entwickelt. Besonders mit Start der Pandemie haben wir ordentlich Rückenwind bekommen und 2021 insgesamt sogar für mehr als 1 Mio € Kaffee verkauft. Auch hier bei LSWW habe ich einen überwiegend positiven Shopify Erfahrungsbericht und Guide geschrieben.
Ich war jahrelang Fan und echter Promoter von Shopify. Mein Shop wurde sogar im Shopify Blog als erfolgreiches Beispiel im Shopify vorgestellt. Viele der neuen Funktionen habe ich gefeiert und begeistert ausprobiert. Shopify ist aus meiner Sicht das Shopsystem mit den meisten Innovationen und der mit Abstand besten User Experience. Bis heute.
Shopify und die deutsche Rechtssprechung
Als kanadisches Unternehmen hatte Shopify aus meiner Sicht nie primär Fokus auf Rechtskonformität in Deutschland. Aber warum ist das so? Das Unternehmen war im US-Markt groß geworden und hat dort bis heute mit Abstand die meisten Kunden. Der Blog Ecommerce Platforms hat ein paar aktuelle Zahlen (2022) veröffentlicht, die das Ungleichgewicht verdeutlichen:
- In den USA liegt der Marktanteil von Shopify bei 32%. Etwa 2.5 Millionen Websites wurden in den Vereinigten Staaten mit Shopify erstellt. Danach folgen mit großem Abstand Großbritannien (153 k), Australien (99 k), Kanada (91 k) Deutschland (76 k)
- Shopify erzielt 73 % seines Umsatzes aus Nordamerika, wo 56 % seiner Händler ansässig sind
- EMEA (Europa, Naher Osten und Afrika) werden nur 16 % des Umsatzes zugeschrieben
Wow, nur 76.000 Shopify Shops in Deutschland im Vergleich zu 2,5 Mio in den USA!
Zugegeben, die deutsche Rechtssprechung ist nicht dafür bekannt besonders innovationsfreundlich zu sein, besonders nicht, wenn die Innovationstreiber aus Nordamerika kommen. Bei dem rasanten Wachstum von Shopify wurde der Deutsche Markt vernachlässigt. Bei manchen Themen wurde erst spät nachgezogen, andere sind vermutlich gar nicht erst nicht auf der Roadmap gelandet.
So musste ich z. B. Grundpreisangaben damals noch von einem Entwickler per Hand im Theme entwickeln lassen, bis Shopify erst Jahre später diese Funktion anbot und Theme-Hesteller nachziehen konnten. Auch eine vollumfängliche, in Deutschland rechtskonforme Cookie-Consent Lösung ist bis heute nicht Teil von Shopify, sondern muss über externe Apps abgebildet werden. Und auch das Shopify POS System genügte lange Zeit offenbar nicht den Anforderungen der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Erst 2020 folgte eine Zertifizierung.
Am 13.06.22 reihte sich für mich ein weiterer Fall in diese Liste mit ein: Laut Datenschutzbehörde ist der Einsatz der von Shopify verwendeten CDNs Fastly und Cloudflare rechtswidrig! Eine Aussage mit dramatischen Folgen für mich, und vielleicht für viele andere in Shopify Nutzer in Deutschland.
Was ist passiert?
Kommunikation mit der Datenschutzbehörde
So sehr ich Fan der vielen Funktionen war und bin, als kleiner Händler war ich mir nie 100% sicher, ob ich nun wirklich alles richtig mache. Vielmehr habe ich mich in Sicherheit gewogen, da Shopify bereits die Plattform für sehr viele und sehr große Shops bereits stellt, auch und vor allem in Deutschland. Als erfahrener Händler und Unternehmer hat mich bereits die ein oder andere Abmahnung erreicht. Fehler passieren – und können i. d. R. behoben werden. Kein Grund zur Panik.
So war auch meine Reaktion auf den ersten Brief der Datenschutzbehörde am 16.02.2022.
Erster Brief – Cookies & Beschwerdeführer
In dem Brief hieß es u. a. :
Ein Beschwerdeführer macht geltend, dass über Ihre Webseite https://www.happycoffee.org/ Nutzungsdaten an USamerikanische Diensteanbieter übermittelt werden.
Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland Pfalz
Grund dafür war ein fehlerhaft installiertes Cookie-Consent-Banner. Nach kurzer Prüfung war ich einsichtig. Mein Fehler!
In dem Brief wurde ich außerdem umfassend belehrt, unter welchen Bedingungen und Voraussetzungen Cookies auf unserer Seite gesetzt werden dürfen.
Spannend an dem Brief fand ich aber, dass es einen Beschwerdeführer gegeben hat – also jemanden, der sich bei der offiziellen Stelle über uns beschwert hat. Dieser Beschwerde musste die Behörde nachgehen. Die Initiative kam – nach meinem Verständnis – nicht von der Behörde selbst. Das bedeutet aber auch, jeder Bürger kann eine solche Beschwerde über jeden Shop einreichen. Die Behörde muss dem dann auch nachgehen.
Ich behob den angemahnten Fehler fristgemäß, indem ich auf ein anderes Cookie Consent-Tool wechselte und ordentlich vom Support installieren lies. Ich zeigte mich der Behörde gegenüber kooperativ. Meine Antwort erfolgte per Email.
Zweiter Brief – Localstorage & Third Party Requests
Am 01.04.2022 – nur eine gute Woche nach meiner Antwort – folgte der zweite Brief. Offenbar haben meine Maßnahmen (richtig installiertes Cookie Consent Tool) nicht ausgereicht. Denn das von mir verwendete Tool war lediglich in der Lage, Cookies zu blockieren und zu steuern, nicht aber Daten im localstorage (z.B. für die Suche) und Third Party Anfragen (u.a. auch Anfragen von cdn.shopify.com).
Wer neugierig ist, was auf der eigenen Seite geladen wird, kann das selbst testen. Lade deine Seite dafür in einem anonymen Browser (ohne Cookies und Cache) und klicke nirgends im Cookie-Consent-Banner. Lass ihn einfach nach dem ersten Laden der Seite so stehen. Im Chrome Browser klickst du nun die rechte Maustaste -> Untersuchen -> Application. Dort kannst du dann sehen, was bei Local Storage, Session Storage oder Cookies geladen wird (vor Consent).
Danach gehst du auf „Sources“ (statt Applications) und schaust, was dort geladen wird. Das sind alles Dinge, die die Behörde prüft!
Ich recherchierte weiter und fand letztlich eine gute Lösung mit tollem Support bei gdpr-legal-cookie.com von beeclever aus Koblenz. Mit neu gewonnenem Verständnis erhielt ich hier endlich eine Lösung, mit der alle Drittanfragen und Cookies ordentlich blockiert und verwaltet werden konnten. Ich antwortete der Behörde erneut und hakte das Thema innerlich bereits ab.
Dritter Brief – CDN Nutzung rechtswidrig & Bußgeldandrohung
Am 13.6.2022 erreichte mich der nächste Brief von der Datenschutzbehörde. Das Thema mit den Cookies war offenbar gelöst, allerdings wurde nun ein neues Thema bemängelt – nämlich die eingesetzten Dienste Cloudflare, Fastly und Cloudfront.
In dem Brief wurde ich zunächst auf das Schrems-II-Urteil aus dem Jahr 2020 hingewiesen:
Im weiteren Verlauf des Schreibens hieß es ganz deutlich, dass die Einbindung der oben genannten Dienste rechtswidrig sei. Die Datenschutzbehörde begründete das damit, dass US-Behörden unter anderem auf Grundlage des CLOUD Acts zu strafrechtlichen Zwecken auf personenbezogene Daten (vermutlich geht es hier primär um die IP-Adresse) zugreifen könnten. Das erfolgt unabhängig davon, ob Daten auf Servern in den USA oder Europa gespeichert werden. Ausreichend ist, wenn die dahinter stehende Firma ein US-Unternehmen ist. Auch scheint die Verarbeitung keinem berechtigten Interesse im Sinne des Art. 6 Abs. 1 f) DSGVO zu unterliegen.
Vermittlungsversuch mit Shopify und Datenschutzexperten
Shopify ist eine Software-as-a-Service (SaaS). Das Shopsystem gibt es also nur im Komplettpaket, bestehend aus Software & Infrastruktur, inklusive Hosting und CDNs. Im Gegensatz zu Shopware oder WooCommerce ist es nicht möglich, die Software auf selbst gewählten Servern bei Unternehmen in Deutschland zu hosten oder sonstigen Einfluss auf die Infrastruktur zu nehmen. Wer sich für Shopify entscheidet, der nutzt (Stand November 2022) auch Dienste von US-Anbietern, die laut Schrems-II-Urteil aus dem Jahr 2020 nicht ohne Weiteres verwendet werden dürfen.
Der einzige Weg, die Situation zu klären, war also über Shopify selbst. Selbst, wenn der Deutsche Markt für Shopify relativ klein war, hatte ich die Hoffnung, dass Shopify selbst ein großes Interesse daran haben muss, meinen (vielleicht Präzedenz-) Fall zu klären.
Um keine Anfängerfehler zu begehen, habe ich außerdem einen externen Datenschutzbeauftragten beauftragt und gebeten, bei der Kommunikation mit der Behörde und bei Aufklärung des Sachverhalts zu unterstützen. Gleichzeitig habe ich alle meine Kontakte zu Shopify versucht zu mobilisieren, um nicht nur den Weg über den Support zu gehen. Trotz des recht eindeutigen Briefs blieb zu dem Zeitpunkt zumindest ein Rest Hoffnung in mir – besonders vor dem Hintergrund, dass Shopify von recht vielen und auch einigen sehr großen Shops auch hierzulande genutzt wird.
Shopify DSGVO Dokumentation
Als Basis für die Diskussion diente zunächst die umfangreiche DSGVO Dokumentation von Shopify. Auch alle Unterauftragnehmer sind dort gelistet, inklusive der von der Behörde bemängelten Unternehmen Amazon, Cloudflare und Fastly (und andere).
Shopify Support
Den Brief von der Behörde habe ich an den Shopify Support weitergeleitet und das Problem erläutert (Ticketnummer 31511852). Auch die Empfehlung des Datenschutzbeauftragten gab ich mit:
Die beste Lösung ist, wenn Shopify eine Transfer Impact Assessment (TIA) für die eingesetzten Tools vorweisen kann und die Behörde diese für überzeugend hält.
heyData zu meinem Fall
Die Antwort vom Shopify Support war im Wesentlichen ein Hinweis auf die vorhandenen Dokumentationen, sowie ein weiterer Hinweis auf die Legal-Information-Page.
Besonders folgender Teil war für mich aber ein guter Anhaltspunkt:
Alleine die Daten zur Anzeige des Onlineshops werden über die angesprochenen CDNs zentral in den USA gespeichert, um die globale Verfügbarkeit Ihres Onlineshops zu versichern. Wird Shopify Standard-Vertragsklauseln unterzeichnen? Nein. Shopify hat seine Datenflüsse so strukturiert, dass Händler- und Kunden-Daten im Shopify-System, das in der Verwaltung der Irischen Tochtergesellschaft innerhalb Europas liegt, gespeichert wird. Aus diesem Grund wird die Standard-Vertragslaufzeit von Vertragsklauseln nicht angemessen sein, da diese nur für Übertragungen zwischen einer europäischen und einer außereuropäischen Partei zuständig ist.
Shopify Support, 5.7.22
Ich hakte weiter nach:
Die Antwort kam prompt und von einem anderen Kollegen im Support, allerdings ohne die erhoffte Erlösung. Ich bekam lediglich den Hinweis, dass es Datenschutzergänzung zwischen Shopify und US-Unternehmen gibt (im Falle der Verarbeitung von personenbezogenen Daten) – allerdings reichten diese Informationen ja bisher nicht aus.
Stattdessen bekam ich auch hier noch einmal den Hinweis, dass Shopify ja bereits von Millionen von Menschen genutzt wird und es unwahrscheinlich ist, dass Anwälte die Situation nicht vorab im Blick hätten. Ich bekam auch den Hinweis, weitere Informationen unter legal@shopify.com abzufragen. Mein nächster Versuch…
Shopify Legal Support
Mit meiner E-Mail an den Legal Support kam ich leider auch nicht weit. Erneut verwies die E-Mail auf die Datenschutzbestimmungen und das Help-Center, sowie einen Hinweis auf die Möglichkeiten zu einem Data Subject Request und einen Legal Request.
Beim Data Subject Request geht es um Daten über die eigene Person, um diese zu sehen oder löschen zu lassen.
Beim Legal Request ging es im Sommer 2022 nach meiner Erinnerung nur um Anfragen im Rahmen einer strafrechtlichen Verfolgung, Für mich leider zu spät und damals Endstation. Auch über persönliche Kontakten zu Shopify kam ich zu keinem besseren Ergebnis.
Im Zuge der Recherche zu diesem Artikel habe das Formular erneut geprüft und gesehen, dass mittlerweile auch Anfragen von Behörden eingereicht werden können und das Formular auch auf Deutsch verfügbar ist. Ich habe meinen Fall jetzt (am 11.11.22) eingereicht und warte auch Rückmeldung.
Sobald ich weitere Updates von Shopify oder der Behörde zu meinem Fall erhalte, veröffentliche ich diese hier an der Stelle. Um nichts zu verpassen, melde dich gerne für meinen Newsletter an.
Ernüchterndes Fazit
Auch, wenn sich die rechtliche Situation möglicherweise noch klären wird – in meinem Fall wollte und konnte ich das Risiko eines Bußgeldes nicht eingehen. Zu groß war die Gefahr von zu geringer Liquidität auf dem Geschäftskonto. Ich entschied mich daher kurzfristig auf ein anderen Shopsystem zu wechseln. Es gab leider zu dem Zeitpunkt auch keine Bemühungen von Shopify, direkt mit der Behörde Kontakt aufzunehmen oder mir einen internen Legal-Experten an die Hand zu geben. Auch das vom Datenschutzexperten empfohlene Transfer Impact Assessment (TIA) erhielt ich nicht.
Der Shopify Support war zwar bemüht, die Lösung bekam ich aber leider nicht. Für uns war der Shopwechsel aus vielerlei Hinsicht sehr ärgerlich. Neben dem Aufbau eines komplett neuen Shops innerhalb weniger Wochen mussten wir mehr 1000 Abo Kunden darüber informieren und bitte, im neuen Shop ein neues Abo zu buchen. Eine nahtlose Überführung war leider nicht möglich. Das in Kombination mit einem ohnehin schwierigen Kaffeemarkt (steigende Rohkaffee + und Gaspreise) und der anhaltenden Inflation belastet unseren Kaffee-Shop recht stark. 2022 wird für uns das erste Jahr mit negativem Wachstum.
Wenn du uns unterstützen möchtest, kauf gerne einen Kaffee bei uns.
Updates
12.11.22 – Shopify reagiert
Es freut mich, dass der Beitrag einige Diskussionen losgetreten hat, u.a. bei Hacker News (YCombinator), Reddit und LinkedIn.
Auch Shopify selbst hat reagiert. Der CEO hat auf Twitter klargestellt, dass Shopify legal in Deutschland ist und spricht von einem Missverständnis. Er räumt auch ein, dass Shopify hier klarer hätte kommunizieren können.
Parallel ist heute dieser Beitrag im Shopify Blog erschienen, der die Aussage noch einmal wiederholt. Darin wird auch auf die jetzt neu eingerichtet Adresse privacyoffice@shopify.com hingewiesen, an die sich Händler mit Fragen und Problemen wie meinen wenden können.
Mehr als Gegenbehauptungen sind das bisher jedoch in meinen Augen leider nicht.
Deshalb mein Vorschlag an @Shopify: Lasst uns den Fall mit der Datenschutzbehörde gerne gemeinsam lösen!
Ich möchte den Fall gerne erneut mit der Behörde aufgreifen und das Thema dort offiziell klären. Wenn mir die Behörde explizit die Nutzung von Shopify erlaubt, würde ich sogar vermutlich zurückwechseln, aber in jedem Fall auch an dieser Stelle hier darüber berichten! Der Ball liegt bei euch, @Shopify.
23.11.22 – Nichts Neues von Shopify + Executive Order vom 7.10.22
Auch 8 Werktage nach Veröffentlichung des Artikels gibt es bisher immer noch keine konkreten Informationen/Argumente oder sonst etwas Handfestes von Shopify. Lediglich der Kontakt zu meinem Datenschutzbeauftragten wurde erbeten.
An dieser Stelle möchte aber zwei Hinweise teilen, die vielleicht spannend für die aktuelle rechtliche Einordnung des Falls sein könnten:
Executive Order vom 7.10.22. (via heyData.eu)
In der Zwischenzeit gab es auch Entwicklungen auf politischer Ebene: Am 7.10.2022 hat die USA ein Executive Order erlassen, das neue verbindliche Garantien einführt, um alle vom EU-Gerichtshof angesprochenen Punkte zu berücksichtigen, den Zugang von US-Geheimdiensten zu EU-Daten zu beschränken und ein Datenschutz-Überprüfungsgericht einzurichten. Das soll bis voraussichtlich März 2023 von der EU-Kommission aufgenommen werden. Bis dahin verbleibt natürlich das Risiko mit den US- Dienstleistern noch, aber es sieht so aus, dass USA und EU eine Richtung zur Lösung des Problems eingeschlagen haben.
heyData.eu (via E-Mail am 16.11.22)
Reaktion von Max Schrems dazu (via allesnurgecloud.com)
Im Noyb – europäisches Zentrum für digitale Rechte – ist Max Schrems, Vorsitzender von noyb.eu, von der neuen Regelung nicht begeistert:
Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will.
Weiterhin geht Max Schrems davon aus, dass auch „ein neues Abkommen bald vom EuGH kassiert wird“ – man sei sich zwar einig über das Schutzniveau ansich, bekommt die rechtlich sichere Umsetzung scheinbar nicht hin. Mit der neuen Regelungen können US-Unternehmen weiterhin europäische Daten verarbeiten, ohne die DSGVO einzuhalten.
Max Schrems weiter:Die USA sind jedoch der Ansicht, dass Ausländer kein Recht auf Privatsphäre haben. Ich bezweifle, dass die USA eine Zukunft als weltweiter Cloud-Anbieter haben, wenn internationale Kunden nach US-Gesetzen keine Rechte haben.
Nun haben wir eine Weile auf eine vernünftige Regelung gewartet – und „all I got was this lousy T-Shirt?“
Andreas Lehr über seinen Newsletter allesnurgecloud.com vom 9.10.22
12.12.22 – Telefonat mit dem Shopify DPO
Letzte Woche gab es ein Telefon zwischen mir, dem Shopify Data Protection Officer (DPO) und unserer Datenschutzbeauftragten. Folgende Erkenntnisse habe ich aus dem Gespräch gewonnen:
- Shopify hat nicht die Absicht oder das Interesse, selbst mit den Behörden zu sprechen. Stattdessen möchte man Händler mit dem „nötigen Wissen und Materialien ausstatten“, um eventuelle Diskussionen selbst mit Behörden zu führen. Die Verantwortung ggü. der Behörde im Falle einer Abmahnung liegt weiterhin zu 100% beim Händler. Wer eine Haftung oder sonstige finanzielle Unterstützung von Shopify erwartet, liegt falsch. Das habe ich mittlerweile häufig von Händlern gehört als Reaktion auf den „Shopify ist legal“ Beitrag.
- Das von uns (schon lange vorher) gefordert Transfer Impact Assessment (TIA) gibt es angeblich, kann aber wegen „sensibler Informationen“ nicht einfach so zur Verfügung gestellt werden. Höchstens in Teilen und nur auf Anfrage. Darauf warten wir jetzt.
- Zwei der drei von der Behörde angemahnten CDNs sind – laut Shopify DPO – nicht mehr im Einsatz bei Shops von Händlern (nicht überprüft von mir).
Im Nachgang an das Telefonat sind nicht noch nicht viel schlauer. Eine E-Mail mit einem Fragebogen (für die interne Bewertung des Datenschutzbeauftragten) sowie die schriftliche Anforderung, konkrete Fragen zum Datentransfer von und zu Cloudflare (TIA) haben wir nun formuliert und warten auf Rückmeldung.
—
Auch spannend: Dr. Max Greger ist bei Linkedin aufgefallen, dass es genannte Autorin des Shopify Beitrags „Shopify ist legal“ (Katherine Fisk, Privacy Officer, Shopify) möglicherweise nicht gibt. Zumindest kann ich bestätigen, dass sie nicht im Telefonat war und auch eine Google Suche keine Ergebnisse gebracht hat.
Krasse Kiste!
Und nicht sehr smooth von Shopify das nicht smart zu eskalieren und zu lösen.
Ich glaube nicht dass der DE-Markt für Shopify egal ist.
Ich glaube aber dass die EU und Deutschland es den europäischen und deutschen Unternehmer*innen im globalen Wettbewerb sehr schwer machen mitzuhalten.
Positive Betrachtung: Die EU geht mit gutem Datenschutzbeispiel voran.
Negative Betrachtung: Die EU bremst mit schlechtem Datenschutzchaos die Innovation aus.
Mit unserem Beraterteam sehen wir ständig Tools die in der EU nicht eingesetzt werden können, und auch den Aufwand den die EU-Regeln für EU-Startups bedeuten.
Geschwindigkeit ist eins der allerwichtigsten Erfolgskriterien im internationalen Innovationswettbewerb und beim Aufbau und Ausbau von Unternehmen.
Jede einzelne Ausbremsung ist ein Schuss ins Knie und ein Schlag ins Gesicht.
Wo ist die Grenze zwischen Datenschutz und Wirtschaftszerstörung?
Ich bin als hyperoptimistischer Futurist und Freund hypertransparenten Lebens und Wirtschaftens kein Freund von sinnlosem Datenschutz. Mit meiner Meinung zu maximaler Transparenz in allen Lebensbereichen bin ich auf außergewöhnlichem Posten, und wenn ich z.B. fordere dass alle Transaktionen von allen Konten von allen Firmen und Privatpersonen offen und in Echtzeit für die Öffentlichkeit verfügbar sein sollten – dann geht auch vermeintlich liberalen Freidenkern die Hutschnur hoch.
Alle wirtschaftlichen Transaktionsdaten öffentlich zu machen, wäre extrem spannend und förderlich für die Wirtschaftsforschung und für Korruptionsausrottung – durch absolute Transaktionstransparenz würden wir überhaupt erst lernen wer wir wirklich sind, was hier wirklich los und wie die Wirtschaft wirklich läuft – bisher stochert die Wirtschaftsforschung noch im Kindergartensandkasten. Was ist bitte eine Wirtschaftsforschung ohne Transaktionsdaten?
Das selbe wie ein Ecom-Startup ohne Transaktionsdaten: nichts.
Transparente Transaktionsdaten in Echtzeit würden übrigens auch herkömmliche Buchhaltungsaspekte überflüssig machen, da die Transaktionen bereits der Beleg wären, und alle Finanzämter fröhlich auf die Daten zugreifen könnten und die Steuern selbst ausrechnen könnten. So würde 95% der sinnlosen Buchhaltungsarbyte wegfallen, und die Kapazität wäre endlich frei für die richtig wichtigen Finance-Aspekte wie smartes Cashflow-Management und gewinnbringende Analysen und Auswertungen für die unternehmerische Entscheidungsfindung
Nun, du siehst, das triggert bei mir kurz, und dann löst das gleich eine ganze Kette an Gedanken aus, die mir wiedereinmal zeigt: ich lebe in einem Mindset aus der Zukunft. Gut für meinen Mind, schlecht für meinen Puls, wenn ich mir ansehen wie Deutschland sich immer weiter ins wirtschaftliche Seitenaus verwaltet. Innovation ist angeblich erwünscht, wird aber in der Realität ausgebremst. Stabilität wird herbeigesehnt, aber die ehemalige Top-Wirtschaft verstaubt und zerfällt leider – offensichtlichstes Beispiel ist die Autoindustrie, die uns 3 Jahrzehnte das Elektroauto vorenthalten hat, bis ein Ami kam und ihr ins Heck getreten hat, wofür er jetzt gehatet wird.
Also, schön wieder von dir zu lesen, ich fand deine Projekte immer bereichernd und finde es spannend dass du wieder in der WordPress-Welt bist, aber sehr schade dass du dahin gezwungen wurdest.
Happy Business-Hacking,
John
Shopify hatte seit Inkrafttreten der DSGVO weiterhin ungefragt technisch nicht notwendige Cookies gesetzt, nur ihre Lebensdauer auf die Session begrenzt. Für ein rechtskonformes Blocken brauchte man daher eine App wie die von Dir hier auch angeführte App von beeclever. Ich hatte das seinerzeit mehrfach kritisiert, lt. Shopifys Rechtsabteilung sei das aber rechtlich in Ordnung, so die damalige Antwort auf meine Anfragen.
Jetzt im Sommer hat Shopify seine Ansicht hierzu offenbar geändert, denn nun werden alle technisch nicht notwendigen Cookies standardmäßig geblockt (sofern man das in den Shop-Settings so ankreuzt), auch ohne 3rd-Party Cookie Consent Tool. Evtl. stand diese Änderung ja sogar mit Deinem hier beschriebenen Fall in Zusammenhang.
Auf jeden Fall hat sich Shopify hier nicht mit Ruhm bekleckert. Shopify war nach meinen damaligen Recherchen der einzige Anbieter, der Cookies in der Art (Begrenzung der Lebensdauer auf die Session anstatt Blockierung) gehandhabt hat. Offenbar sind die Feinheiten der DSGVO Shopifys Rechtsabteilung doch nicht so präsent wie das der von Dir zitierte Supportmitarbeiter vermutet hat. Hätte Shopify sich hierzu (wie man es von einem Unternehmen dieser Größe und Marktkapitalisierung erwarten könnte) rechtlichen Rat in Deutschland geholt, wäre die Handhabung von Cookies sicher schon früher rechtskonform umgesetzt worden.
Was das Thema CDNs angeht sollte demnächst erstmal wieder Ruhe einkehren, wenn auch nur temporär. Nach den gerichtlich gekippten Datenschutzabkommen „Safe Harbour“ und „EU-U.S- Privacy Shield“ steht nun mit dem „Trans-Atlantic Data Privacy Framework“ das dritte Datenschutzabkommen in den Startlöchern. Mal abwarten, wie lange das dann Gültigkeit behält, und ob zuerst Max Schrems die Lust verliert, oder der EU die Namen für die Datenschutzabkommen ausgehen.
Ja, ich bin auch etwas erstaunt, wie sehr man bei Shopify manchmal hinterher ist. Ein Kommentar bei Facebook hat auch die Reaktion von Shopify auf diesen Artikel nochmal schön eingeordnet:
Du hast doch eine AV(V) mit Shopify? Da steht doch sicher drin, dass Sie Unterauftragnehmer nur nach einer entsprechenden (erfolgreichen) Prüfung auf DSGVO-Compliance beschäftigen dürfen? Und dass keine Daten in ein Drittstaat übermittelt werden? Alles tutti, lass dir ein Bußgeld aufbrummen und hol dir das von Shopify zurück 🙂
Du hast ja volles Weisungsrecht (und die Pflicht). D.h. die sollen mal schön ihre Scripte und Bilder und Fonts bei sich hosten…
Die AVV hat der Behörde in dem Fall nicht gereicht! Und darauf hoffen, dass mir Shopify 60k€ Bußgeld erstattet, war mir zu heiß. Shopify selbst behauptet ja sogar, dass alles legal ist und spricht von einem Mißverständnis. Konkrete Anhaltspunkte fehlen mir aber bis jetzt. Ich hoffe, dass Shopify das Thema jetzt ernst nimmt und mich dabei unterstützt, am Ende doch noch grünes Licht von der Behörde zu bekommen.
Hey Chris! Selbst deine Blogseite hier zieht die CDN Scripts von Cloudflare wie du unten sehen kannst. Das zeigt wie vernetzt das CDN ist und nicht nur Shopify betrifft:
Stimmt. Und es zeigt, dass bei dem Thema schnell Klärungsbedarf besteht. Mein Wunsch ist es, eine offizielle Bestätigung von der Behörde zu bekommen, und wir alle wieder ruhiger schlafen können. Wie gesagt, ich bin Fan von Shopify und halte die Aussage von der Behörde auch für unsinnig, aber sie ist nun mal da und ich (wir alle) müssen damit jetzt umgehen. Mein Schreiben von der Datenschutzbehörde liegt Shopify vor und ich warte nun auf konkrete Hilfestellungen (Dokumente, Argumente etc), um damit dann erneut auf die Behörde zugehen zu können. Ich hoffe, so bekommen wir die Kuh gemeinsam schnell vom Eis.
Was ist das für ein Argument? Das klingt ja so, als ob die Nutzung eines CDN alternativlos wäre und man sich nicht aktiv dafür oder dagegen entscheiden kann. Shopify-Mitarbeiter ahoi!
Das Problem ist schlicht, dass alle Beteiligten von der technischen Realität der Prozesse gar keine Ahnung haben. Die Datenschutzbehörde nicht und das Legal Team von Shopify auch nicht. Die Datenschutzbehörde hat zudem gar kein Interesse, Probleme zu lösen, deren ganze Existenz und deren Auskommen ist dadurch incentiviert, dass sie Probleme finden – nicht lösen.
Schremps II (was inhaltlich praktisch identisch ist mit Schremps I) kann zudem fast nicht gelöst werden. Wer in den US einen Server betreibt (und ein CDN betreibt die überall – das ist sein primärer Zweck) ist per Gesetzt verpflichtet bei Bedarf Daten an die US-Behörden zu melden.
Alleine für das Publikmachen dieser bürokratischen Missstände und den kick-off zu deren Lösung werde ich meinen Kaffee nur noch bei dir beziehen… Danke!
Danke für deinen Support! Go Happy Coffee 😉
Wenn es zu doll wird,eine LTD dazwischen klemmen.
Mit einer Firma im Ausland wär das vermutlich tatsächlich nicht passiert. Für Neugründungen durchaus eine Option. Für bestehende Firmen mit Wert aber eher keine Option, da die Firma erst an die Auslandsfirma verkauft werden muss – und zwar nicht zum Symbolpreis, sonst Steuerhinterziehung.
die Firma schließen nur den Warenbestand verkaufen, und ggf. auf mehrere Länder aufteilen, so dass Du beim OSS unter den grenzen bleibst.
Wenn es nicht so traurig wäre, hier mal was zum Einsatz von Cloudflare und Cloud Act… #Zensus #DSGVI #Cloudflare #Urteil
Nur mal eine Theorie:
Wenn nicht der physikalische Standort, sondern der Firmensitz (des Dachkonzerns) ausschlaggebend für die Beurteilung ist, dann können sich auch alle HostEurope Kunden warm anziehen – die die sind nämlich Kunden einer Tochter Tochter des amerikanischen GoDaddy-Konzerns.
Für Firmen und (Privat-)Schulen ist dann auch die Nutzung von Microsoft Office Produkten brandgefährlich – wie auch für jede andere Firma, die Office365 (und sicher speziell den Exchange-Dienst) nutzt.
Ich frage mich auch immer wieder, wieso ein CDN problematisch ist, die Telemetrie-Dienste von Apple und den Android-Geräten aber keine echten Konsequenzen für die Anbieter haben.
Danke für deine Berichterstattung.
Das Thema haben leider viele Anbieter. Selbst Schriftart-Anbieter nutzen häufig CDNs, die dann durch Hintertüren auf die Webseite kommen.
Das Thema erhält zurzeit noch zu wenig Aufmerksamkeit, weil es wie so oft keine klare Gesetzeslage gibt. Wenn dann sowas wie bei dir publik wird, ist die Panikmache (logischerweise) groß. Traurig.
Was mich noch interessieren würde: Zu welchem Anbieter bis Lg du gewechselt? Shopware?
Nach etwas Recherche bin ich mit meinem Shop auf WooCommerce gewechselt.
Hast du die Entscheidung zu Woo zu wechseln bereut? Hab Grad gesehen, das du uA noch den nativen Woo Checkout/Onboarding nutzt. Wie geht Deine Reise mit Woo weiter?
Bereut nicht, aber ich vermisse Shopify! Die Alternative wäre Shopware gewesen, aber da wär das Blogging-Thema nicht so richtig abgedeckt gewesen. Was ist denn die Alternative zum nativen WooCheckout? Aktuell versuche ich den neuen Shop nach und nach wieder rund zu bekommen.
Ich schick dir mal ne WA 🙂
Als E-Commerce Agentur unterstützen und betreuen wir für 62 Kunden Onlineshops mit verschiedenen Shopsystemen, darunter auch Shopify und Woocommerce.
Da Schrems II und auch die neueren Entscheidung der Datenschützer schon länger gegen US Anbieter sprechen, hatten wir eine Alternative gesucht und gefunden.
Seit Secure Commerce im Januar auch Partner für Shopify Stores wurde, haben wir das auch bei Shopify Shops aktiviert und seitdem keine Scrape und DDOS Probleme mehr.
Netter Nebeneffekt, durch den regionalen Anbieter schneiden wir bei Google de, at, ch bei der Performance für SERPs deutlich besser ab als Shopify über Cloudflare.
Auch die Kunden bei Shopify, die Cloudflare aus Kostengründen „for free“ behalten wollten, sind letzten Monat umgestiegen und laufen jetzt safe ohne Cloudflare.
Safety first und kein Grund für Umwege über USA.
Wie soll das das vorhandene Problem denn Lösen?
Ein paar neuigkeiten:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/07_Stellungnahme-EDSA-EU-US-DPF.html
https://datenschutz-hamburg.de/pressemitteilungen/2023/03/2023-03-01-dataprivacyframework
https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RefE_VRUG.pdf?__blob=publicationFile&v=2
https://einzelhandel.de/presse/aktuellemeldungen/14069-retail-garage-the-future-experience-eroeffnet-im-fruehjahr-in-berlin