Die Landesdatenschutzbehörde für Rheinland-Pfalz erklärt den Einsatz von CDNs bei Shopify für rechtswidrig.
Eigentlich sagt es die DSGVO ganz klar: sobald personenbezogen Daten ungefragt an Dritte weitergegeben werden, ist der Spaß vorbei.
Und da Shopify u.a. auf CDNs wie Cloudflare setzt und diese bekanntermaßen in den USA hosten, sieht´s mit Datenschutz mau aus. Shopify hält sich dazu bedeckt. Aber ganz ehrlich: So toll Shopify ist und so nett und einfach man damit Shops bauen kann, hier in Deutschland sollte man dann doch ein eigenes System hosten. Woocommerce bietet sich an oder Shopware. Und Magento für die ganz harten. Neben Enterprise Systemen natürlich.
Hintergrund: Ein Kaffeehändler setzte seit Jahren auf Shopify und war damit ziemlich erfolgreich. Nun bekam die Datenschutzbehörde davon Wind und bemängelte, das ein Beschwerdeführer geltend mache, dass über die Webseite Nutzungsdaten an US-amerikanische Diensteanbieter übermittelt werden.
Grund war zunächst ein fehlerhaft installiertes Cookiebanner. Also: Es wurde keine Einwilligung zur Datenübertragung eingeholt. Das war aber nur das kleinste Problem und schnell gelöst. Aber die Aufsichtsbehörde hatte sich festgebissen.
In einem zweiten Schreiben wurde der Einsatz von Cloudflare, Amazon Cloudfront und Fastly, alles CDNs, bemängelt. Die Einbindung sei rechtswidrig, da US-Behörden auf Grundlage des Cloud Acts zu strafrechtlichen Zwecken unter anderem auf diese Daten zugreifen können. Das gelte unabhängig davon, ob die personenbezogenen Daten auf Servern in den USA oder Europa gespeichert seien. Folglich sei die Einbindung der o.g. Dienste rechtswidrig. Die Dienste seien umgehend zu entfernen (mit der üblichen Frist und Androhung eines Bußgeldes in Höhe von 20.000.000,00 EUR oder 4% des Jahresumsatzes).
BÄÄÄM!
Und jetzt? Der Kaffeehändler hatte keine Chance. Shopify stellt sich tot in solchen Fragen, CDNs sind ein Teil des Betriebes und das wird Shopify so nicht ändern. Ein Vermittlungsversuch zwischen Aufsichtsbehörde und Shopify schlug naturgemäß fehl. Shopfy verwies auf die Millionen Nutzer, dass könne nicht rechtswidrig sein. Das hätten sonst die Anwälte bereits bemängelt. Die Datenschutzerklärung sei ausreichend. Also das übliche, amerikanische BlaBla.
Dem Kaffeehändler blieb nur der Wechsel zu einem anderem, datenschutzkonformen Shopsystem.
Was lernen wir daraus?
Die Datenschutzgrundverordnung ist unmissverständlich. Und bei der Wahl eines Shopsystems gehört eine Risikofolgeabschätzung im Vorfeld dazu. Wie bei jeder neuen Software, die mit personenbezogenen Daten hantiert. Dann passiert so etwas nicht.