Am 13.06.2022 nahm meine persönliche Erfolgsgeschichte mit Shopify eine dramatische Wendung. Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (kurz: Datenschutzbehörde) hat mir gegenüber die Nutzung von Shopify de facto für rechtswidrig erklärt und mir bei Weiternutzung ein Bußgeld von 4% meines letzten Jahresumsatzes angedroht. In diesem Artikel beschreibe ich, was genau passiert ist, welche Maßnahmen ich ergriffen hatte und woran genau sich die Behörde stört.
Seit 2015 bei Shopify
Shopify ist eines der beliebtesten Shopsysteme in Deutschland. Dahinter steckt ein Milliarden-schweres Unternehmen aus Kanada mit deutschem Gründer - eine echte Erfolgsgeschichte! Ich selbst bin seit 2015 Kunde bei Shopify und seitdem Fan! Zwischen 2015 und 2022 konnte ich meinen Kaffee Online-Business mit Shopify auf immerhin 7-stellige Jahresumsätze aufbauen.
Meine Geschichte begann damals, 2015, als ich meinen Kaffee-Wordpress Blog auf Shopify umgezog und anfing, eigenen Kaffee-Produkte zu verkaufen. Bis heute hat sich das Business super entwickelt. Besonders mit Start der Pandemie haben wir ordentlich Rückenwind bekommen und 2021 insgesamt sogar für mehr als 1 Mio € Kaffee verkauft. Auch hier bei LSWW habe ich einen überwiegend positiven Shopify Erfahrungsbericht und Guide geschrieben.
Ich war jahrelang Fan und echter Promoter von Shopify. Mein Shop wurde sogar im Shopify Blog als erfolgreiches Beispiel im Shopify vorgestellt. Viele der neuen Funktionen habe ich gefeiert und begeistert ausprobiert. Shopify ist aus meiner Sicht das Shopsystem mit den meisten Innovationen und der mit Abstand besten User Experience. Bis heute.
Shopify und die deutsche Rechtssprechung
Als kanadisches Unternehmen hatte Shopify aus meiner Sicht nie primär Fokus auf Rechtskonformität in Deutschland. Aber warum ist das so? Das Unternehmen war im US-Markt groß geworden und hat dort bis heute mit Abstand die meisten Kunden. Der Blog Ecommerce Platforms hat ein paar aktuelle Zahlen (2022) veröffentlicht, die das Ungleichgewicht verdeutlichen:
- In den USA liegt der Marktanteil von Shopify bei 32%. Etwa 2.5 Millionen Websites wurden in den Vereinigten Staaten mit Shopify erstellt. Danach folgen mit großem Abstand Großbritannien (153 k), Australien (99 k), Kanada (91 k) Deutschland (76 k)
- Shopify erzielt 73 % seines Umsatzes aus Nordamerika, wo 56 % seiner Händler ansässig sind
- EMEA (Europa, Naher Osten und Afrika) werden nur 16 % des Umsatzes zugeschrieben
Wow, nur 76.000 Shopify Shops in Deutschland im Vergleich zu 2,5 Mio in den USA!
Zugegeben, die deutsche Rechtssprechung ist nicht dafür bekannt besonders innovationsfreundlich zu sein, besonders nicht, wenn die Innovationstreiber aus Nordamerika kommen. Bei dem rasanten Wachstum von Shopify wurde der Deutsche Markt vernachlässigt. Bei manchen Themen wurde erst spät nachgezogen, andere sind vermutlich gar nicht erst nicht auf der Roadmap gelandet.
So musste ich z. B. Grundpreisangaben damals noch von einem Entwickler per Hand im Theme entwickeln lassen, bis Shopify erst Jahre später diese Funktion anbot und Theme-Hesteller nachziehen konnten. Auch eine vollumfängliche, in Deutschland rechtskonforme Cookie-Consent Lösung ist bis heute nicht Teil von Shopify, sondern muss über externe Apps abgebildet werden. Und auch das Shopify POS System genügte lange Zeit offenbar nicht den Anforderungen der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form). Erst 2020 folgte eine Zertifizierung.
Am 13.06.22 reihte sich für mich ein weiterer Fall in diese Liste mit ein: Laut Datenschutzbehörde ist der Einsatz der von Shopify verwendeten CDNs Fastly und Cloudflare rechtswidrig! Eine Aussage mit dramatischen Folgen für mich, und vielleicht für viele andere in Shopify Nutzer in Deutschland.
Was ist passiert?
Kommunikation mit der Datenschutzbehörde
So sehr ich Fan der vielen Funktionen war und bin, als kleiner Händler war ich mir nie 100% sicher, ob ich nun wirklich alles richtig mache. Vielmehr habe ich mich in Sicherheit gewogen, da Shopify bereits die Plattform für sehr viele und sehr große Shops bereits stellt, auch und vor allem in Deutschland. Als erfahrener Händler und Unternehmer hat mich bereits die ein oder andere Abmahnung erreicht. Fehler passieren - und können i. d. R. behoben werden. Kein Grund zur Panik.
So war auch meine Reaktion auf den ersten Brief der Datenschutzbehörde am 16.02.2022.
Erster Brief - Cookies & Beschwerdeführer
In dem Brief hieß es u. a. :
Ein Beschwerdeführer macht geltend, dass über Ihre Webseite https://www.happycoffee.org/ Nutzungsdaten an USamerikanische Diensteanbieter übermittelt werden.Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland Pfalz
Grund dafür war ein fehlerhaft installiertes Cookie-Consent-Banner. Nach kurzer Prüfung war ich einsichtig. Mein Fehler!
In dem Brief wurde ich außerdem umfassend belehrt, unter welchen Bedingungen und Voraussetzungen Cookies auf unserer Seite gesetzt werden dürfen.
Spannend an dem Brief fand ich aber, dass es einen Beschwerdeführer gegeben hat - also jemanden, der sich bei der offiziellen Stelle über uns beschwert hat. Dieser Beschwerde musste die Behörde nachgehen. Die Initiative kam - nach meinem Verständnis - nicht von der Behörde selbst. Das bedeutet aber auch, jeder Bürger kann eine solche Beschwerde über jeden Shop einreichen. Die Behörde muss dem dann auch nachgehen.
Ich behob den angemahnten Fehler fristgemäß, indem ich auf ein anderes Cookie Consent-Tool wechselte und ordentlich vom Support installieren lies. Ich zeigte mich der Behörde gegenüber kooperativ. Meine Antwort erfolgte per Email.
Zweiter Brief - Localstorage & Third Party Requests
Am 01.04.2022 - nur eine gute Woche nach meiner Antwort - folgte der zweite Brief. Offenbar haben meine Maßnahmen (richtig installiertes Cookie Consent Tool) nicht ausgereicht. Denn das von mir verwendete Tool war lediglich in der Lage, Cookies zu blockieren und zu steuern, nicht aber Daten im localstorage (z.B. für die Suche) und Third Party Anfragen (u.a. auch Anfragen von cdn.shopify.com).
Wer neugierig ist, was auf der eigenen Seite geladen wird, kann das selbst testen. Lade deine Seite dafür in einem anonymen Browser (ohne Cookies und Cache) und klicke nirgends im Cookie-Consent-Banner. Lass ihn einfach nach dem ersten Laden der Seite so stehen. Im Chrome Browser klickst du nun die rechte Maustaste -> Untersuchen -> Application. Dort kannst du dann sehen, was bei Local Storage, Session Storage oder Cookies geladen wird (vor Consent).
Danach gehst du auf "Sources" (statt Applications) und schaust, was dort geladen wird. Das sind alles Dinge, die die Behörde prüft!
Ich recherchierte weiter und fand letztlich eine gute Lösung mit tollem Support bei gdpr-legal-cookie.com von beeclever aus Koblenz. Mit neu gewonnenem Verständnis erhielt ich hier endlich eine Lösung, mit der alle Drittanfragen und Cookies ordentlich blockiert und verwaltet werden konnten. Ich antwortete der Behörde erneut und hakte das Thema innerlich bereits ab.
Dritter Brief - CDN Nutzung rechtswidrig & Bußgeldandrohung
Am 13.6.2022 erreichte mich der nächste Brief von der Datenschutzbehörde. Das Thema mit den Cookies war offenbar gelöst, allerdings wurde nun ein neues Thema bemängelt - nämlich die eingesetzten Dienste Cloudflare, Fastly und Cloudfront.
In dem Brief wurde ich zunächst auf das Schrems-II-Urteil aus dem Jahr 2020 hingewiesen:
Im weiteren Verlauf des Schreibens hieß es ganz deutlich, dass die Einbindung der oben genannten Dienste rechtswidrig sei. Die Datenschutzbehörde begründete das damit, dass US-Behörden unter anderem auf Grundlage des CLOUD Acts zu strafrechtlichen Zwecken auf personenbezogene Daten (vermutlich geht es hier primär um die IP-Adresse) zugreifen könnten. Das erfolgt unabhängig davon, ob Daten auf Servern in den USA oder Europa gespeichert werden. Ausreichend ist, wenn die dahinter stehende Firma ein US-Unternehmen ist. Auch scheint die Verarbeitung keinem berechtigten Interesse im Sinne des Art. 6 Abs. 1 f) DSGVO zu unterliegen.
Vermittlungsversuch mit Shopify und Datenschutzexperten
Shopify ist eine Software-as-a-Service (SaaS). Das Shopsystem gibt es also nur im Komplettpaket, bestehend aus Software & Infrastruktur, inklusive Hosting und CDNs. Im Gegensatz zu Shopware oder WooCommerce ist es nicht möglich, die Software auf selbst gewählten Servern bei Unternehmen in Deutschland zu hosten oder sonstigen Einfluss auf die Infrastruktur zu nehmen. Wer sich für Shopify entscheidet, der nutzt (Stand November 2022) auch Dienste von US-Anbietern, die laut Schrems-II-Urteil aus dem Jahr 2020 nicht ohne Weiteres verwendet werden dürfen.
Der einzige Weg, die Situation zu klären, war also über Shopify selbst. Selbst, wenn der Deutsche Markt für Shopify relativ klein war, hatte ich die Hoffnung, dass Shopify selbst ein großes Interesse daran haben muss, meinen (vielleicht Präzedenz-) Fall zu klären.
Um keine Anfängerfehler zu begehen, habe ich außerdem einen externen Datenschutzbeauftragten beauftragt und gebeten, bei der Kommunikation mit der Behörde und bei Aufklärung des Sachverhalts zu unterstützen. Gleichzeitig habe ich alle meine Kontakte zu Shopify versucht zu mobilisieren, um nicht nur den Weg über den Support zu gehen. Trotz des recht eindeutigen Briefs blieb zu dem Zeitpunkt zumindest ein Rest Hoffnung in mir - besonders vor dem Hintergrund, dass Shopify von recht vielen und auch einigen sehr großen Shops auch hierzulande genutzt wird.
Shopify DSGVO Dokumentation
Als Basis für die Diskussion diente zunächst die umfangreiche DSGVO Dokumentation von Shopify. Auch alle Unterauftragnehmer sind dort gelistet, inklusive der von der Behörde bemängelten Unternehmen Amazon, Cloudflare und Fastly (und andere).
Shopify Support
Den Brief von der Behörde habe ich an den Shopify Support weitergeleitet und das Problem erläutert (Ticketnummer 31511852). Auch die Empfehlung des Datenschutzbeauftragten gab ich mit:
Die beste Lösung ist, wenn Shopify eine Transfer Impact Assessment (TIA) für die eingesetzten Tools vorweisen kann und die Behörde diese für überzeugend hält.heyData zu meinem Fall
Die Antwort vom Shopify Support war im Wesentlichen ein Hinweis auf die vorhandenen Dokumentationen, sowie ein weiterer Hinweis auf die Legal-Information-Page.
Besonders folgender Teil war für mich aber ein guter Anhaltspunkt:
Alleine die Daten zur Anzeige des Onlineshops werden über die angesprochenen CDNs zentral in den USA gespeichert, um die globale Verfügbarkeit Ihres Onlineshops zu versichern. Wird Shopify Standard-Vertragsklauseln unterzeichnen? Nein. Shopify hat seine Datenflüsse so strukturiert, dass Händler- und Kunden-Daten im Shopify-System, das in der Verwaltung der Irischen Tochtergesellschaft innerhalb Europas liegt, gespeichert wird. Aus diesem Grund wird die Standard-Vertragslaufzeit von Vertragsklauseln nicht angemessen sein, da diese nur für Übertragungen zwischen einer europäischen und einer außereuropäischen Partei zuständig ist.
Shopify Support, 5.7.22
Ich hakte weiter nach:
Die Antwort kam prompt und von einem anderen Kollegen im Support, allerdings ohne die erhoffte Erlösung. Ich bekam lediglich den Hinweis, dass es Datenschutzergänzung zwischen Shopify und US-Unternehmen gibt (im Falle der Verarbeitung von personenbezogenen Daten) - allerdings reichten diese Informationen ja bisher nicht aus.
Stattdessen bekam ich auch hier noch einmal den Hinweis, dass Shopify ja bereits von Millionen von Menschen genutzt wird und es unwahrscheinlich ist, dass Anwälte die Situation nicht vorab im Blick hätten. Ich bekam auch den Hinweis, weitere Informationen unter legal@shopify.com abzufragen. Mein nächster Versuch...
Shopify Legal Support
Mit meiner E-Mail an den Legal Support kam ich leider auch nicht weit. Erneut verwies die E-Mail auf die Datenschutzbestimmungen und das Help-Center, sowie einen Hinweis auf die Möglichkeiten zu einem Data Subject Request und einen Legal Request.
Beim Data Subject Request geht es um Daten über die eigene Person, um diese zu sehen oder löschen zu lassen.
Beim Legal Request ging es im Sommer 2022 nach meiner Erinnerung nur um Anfragen im Rahmen einer strafrechtlichen Verfolgung, Für mich leider zu spät und damals Endstation. Auch über persönliche Kontakten zu Shopify kam ich zu keinem besseren Ergebnis.
Im Zuge der Recherche zu diesem Artikel habe das Formular erneut geprüft und gesehen, dass mittlerweile auch Anfragen von Behörden eingereicht werden können und das Formular auch auf Deutsch verfügbar ist. Ich habe meinen Fall jetzt (am 11.11.22) eingereicht und warte auch Rückmeldung.
Sobald ich weitere Updates von Shopify oder der Behörde zu meinem Fall erhalte, veröffentliche ich diese hier an der Stelle. Um nichts zu verpassen, melde dich gerne für meinen Newsletter an.
Ernüchterndes Fazit
Auch, wenn sich die rechtliche Situation möglicherweise noch klären wird - in meinem Fall wollte und konnte ich das Risiko eines Bußgeldes nicht eingehen. Zu groß war die Gefahr von zu geringer Liquidität auf dem Geschäftskonto. Ich entschied mich daher kurzfristig auf ein anderen Shopsystem zu wechseln. Es gab leider zu dem Zeitpunkt auch keine Bemühungen von Shopify, direkt mit der Behörde Kontakt aufzunehmen oder mir einen internen Legal-Experten an die Hand zu geben. Auch das vom Datenschutzexperten empfohlene Transfer Impact Assessment (TIA) erhielt ich nicht.
Der Shopify Support war zwar bemüht, die Lösung bekam ich aber leider nicht. Für uns war der Shopwechsel aus vielerlei Hinsicht sehr ärgerlich. Neben dem Aufbau eines komplett neuen Shops innerhalb weniger Wochen mussten wir mehr 1000 Abo Kunden darüber informieren und bitte, im neuen Shop ein neues Abo zu buchen. Eine nahtlose Überführung war leider nicht möglich. Das in Kombination mit einem ohnehin schwierigen Kaffeemarkt (steigende Rohkaffee + und Gaspreise) und der anhaltenden Inflation belastet unseren Kaffee-Shop recht stark. 2022 wird für uns das erste Jahr mit negativem Wachstum.
Wenn du uns unterstützen möchtest, kauf gerne einen Kaffee bei uns.
Updates
12.11.22 - Shopify reagiert
Es freut mich, dass der Beitrag einige Diskussionen losgetreten hat, u.a. bei Hacker News (YCombinator), Reddit und LinkedIn.
Auch Shopify selbst hat reagiert. Der CEO hat auf Twitter klargestellt, dass Shopify legal in Deutschland ist und spricht von einem Missverständnis. Er räumt auch ein, dass Shopify hier klarer hätte kommunizieren können.
Parallel ist heute dieser Beitrag im Shopify Blog erschienen, der die Aussage noch einmal wiederholt. Darin wird auch auf die jetzt neu eingerichtet Adresse privacyoffice@shopify.com hingewiesen, an die sich Händler mit Fragen und Problemen wie meinen wenden können.
Mehr als Gegenbehauptungen sind das bisher jedoch in meinen Augen leider nicht.
Deshalb mein Vorschlag an @Shopify: Lasst uns den Fall mit der Datenschutzbehörde gerne gemeinsam lösen!
Ich möchte den Fall gerne erneut mit der Behörde aufgreifen und das Thema dort offiziell klären. Wenn mir die Behörde explizit die Nutzung von Shopify erlaubt, würde ich sogar vermutlich zurückwechseln, aber in jedem Fall auch an dieser Stelle hier darüber berichten! Der Ball liegt bei euch, @Shopify.
23.11.22 - Nichts Neues von Shopify + Executive Order vom 7.10.22
Auch 8 Werktage nach Veröffentlichung des Artikels gibt es bisher immer noch keine konkreten Informationen/Argumente oder sonst etwas Handfestes von Shopify. Lediglich der Kontakt zu meinem Datenschutzbeauftragten wurde erbeten.
An dieser Stelle möchte aber zwei Hinweise teilen, die vielleicht spannend für die aktuelle rechtliche Einordnung des Falls sein könnten:
Executive Order vom 7.10.22. (via heyData.eu)
In der Zwischenzeit gab es auch Entwicklungen auf politischer Ebene: Am 7.10.2022 hat die USA ein Executive Order erlassen, das neue verbindliche Garantien einführt, um alle vom EU-Gerichtshof angesprochenen Punkte zu berücksichtigen, den Zugang von US-Geheimdiensten zu EU-Daten zu beschränken und ein Datenschutz-Überprüfungsgericht einzurichten. Das soll bis voraussichtlich März 2023 von der EU-Kommission aufgenommen werden. Bis dahin verbleibt natürlich das Risiko mit den US- Dienstleistern noch, aber es sieht so aus, dass USA und EU eine Richtung zur Lösung des Problems eingeschlagen haben. heyData.eu (via E-Mail am 16.11.22)
Reaktion von Max Schrems dazu (via allesnurgecloud.com)
Im Noyb – europäisches Zentrum für digitale Rechte – ist Max Schrems, Vorsitzender von noyb.eu, von der neuen Regelung nicht begeistert:
Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes, Europäer weiterhin ausspionieren lassen will.
Weiterhin geht Max Schrems davon aus, dass auch „ein neues Abkommen bald vom EuGH kassiert wird“ – man sei sich zwar einig über das Schutzniveau ansich, bekommt die rechtlich sichere Umsetzung scheinbar nicht hin. Mit der neuen Regelungen können US-Unternehmen weiterhin europäische Daten verarbeiten, ohne die DSGVO einzuhalten.
Max Schrems weiter:
Die USA sind jedoch der Ansicht, dass Ausländer kein Recht auf Privatsphäre haben. Ich bezweifle, dass die USA eine Zukunft als weltweiter Cloud-Anbieter haben, wenn internationale Kunden nach US-Gesetzen keine Rechte haben.
Nun haben wir eine Weile auf eine vernünftige Regelung gewartet – und „all I got was this lousy T-Shirt?“ Andreas Lehr über seinen Newsletter allesnurgecloud.com vom 9.10.22
12.12.22 - Telefonat mit dem Shopify DPO
Letzte Woche gab es ein Telefon zwischen mir, dem Shopify Data Protection Officer (DPO) und unserer Datenschutzbeauftragten. Folgende Erkenntnisse habe ich aus dem Gespräch gewonnen:
- Shopify hat nicht die Absicht oder das Interesse, selbst mit den Behörden zu sprechen. Stattdessen möchte man Händler mit dem "nötigen Wissen und Materialien ausstatten", um eventuelle Diskussionen selbst mit Behörden zu führen. Die Verantwortung ggü. der Behörde im Falle einer Abmahnung liegt weiterhin zu 100% beim Händler. Wer eine Haftung oder sonstige finanzielle Unterstützung von Shopify erwartet, liegt falsch. Das habe ich mittlerweile häufig von Händlern gehört als Reaktion auf den "Shopify ist legal" Beitrag.
- Das von uns (schon lange vorher) gefordert Transfer Impact Assessment (TIA) gibt es angeblich, kann aber wegen "sensibler Informationen" nicht einfach so zur Verfügung gestellt werden. Höchstens in Teilen und nur auf Anfrage. Darauf warten wir jetzt.
- Zwei der drei von der Behörde angemahnten CDNs sind - laut Shopify DPO - nicht mehr im Einsatz bei Shops von Händlern (nicht überprüft von mir).
Im Nachgang an das Telefonat sind nicht noch nicht viel schlauer. Eine E-Mail mit einem Fragebogen (für die interne Bewertung des Datenschutzbeauftragten) sowie die schriftliche Anforderung, konkrete Fragen zum Datentransfer von und zu Cloudflare (TIA) haben wir nun formuliert und warten auf Rückmeldung.
--
Auch spannend: Dr. Max Greger ist bei Linkedin aufgefallen, dass es genannte Autorin des Shopify Beitrags "Shopify ist legal" (Katherine Fisk, Privacy Officer, Shopify) möglicherweise nicht gibt. Zumindest kann ich bestätigen, dass sie nicht im Telefonat war und auch eine Google Suche keine Ergebnisse gebracht hat.
10.07.2023: TADPDF
Seit dem 10.7. gibt es einen neuen Angemessenheitsbeschluss der EU, nach dem nun die USA nicht per per se als unsicheres Drittland gelten. Sobald sich alle bisher Anbieter nun nach dem neuen Trans-Atlantic Data Privacy Framework zertifizieren lassen, könnte das eine rechtlich ausreichend Grundlage für den Datentransfer bieten.
Christian Häfner
