Shopify und DSGVO-Konformität: Ein Leitfaden für Shopbetreiber:innen

Verstößt Shopify gegen die DSGVO?

Ende 2022, Reinland-Pfalz. Ein deutscher Online-Händler wird von der lokalen Datenschutzbehörde abgemahnt, da diese behauptet, Shopify sei DSGVO-widrig. Der Händler hatte nämlich in den USA ansässige Content Delivery Networks (= CDNs, zB Cloudflare oder Fastly) genutzt, und zwar über Shopify. Um möglicherweise drohende, enorme Bußgelder nicht zu riskieren, stellte der Händler seinen Shopify-Shop ein. Eine Schocknachricht für viele Shopify-Nutzer:innen. 

Doch um auf die ursprüngliche Frage zurückzukommen: Nein, Shopify verstößt nicht gegen die in der EU geltende Datenschutzgrundverordnung. Denn die Verarbeitung und Speicherung personenbezogener Daten von Shops innerhalb der EU wird nicht wie vermutet über die USA, sondern über einen Server in Irland abgewickelt.

Shopify und die DSGVO

Als eine der führenden E-Commerce-Plattformen weltweit bietet Shopify auch vielen europäischen Händler:innen die Basis für ihre Onlineshops. Als solches muss Shopify sicherstellen, dass es den strengen Anforderungen der DSGVO entspricht. Deshalb hat Shopify eine Reihe von Maßnahmen ergriffen, um die Plattform DSGVO-konform zu machen. Dazu gehören:

• Datenschutz-Tools: Shopify stellt Tools zur Verfügung, die dir helfen, DSGVO-konforme Datenschutzrichtlinien zu erstellen und die Einwilligung deiner Kund:innen zur Datenverarbeitung einzuholen.
• Datenverarbeitungsvereinbarungen (DPA): Shopify bietet eine DPA an, die die Rollen und Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten klärt.
• Transparenz: Shopify informiert darüber, welche Daten gesammelt werden und wie diese verwendet werden.

DSGVO-Konformität der CDN-Dienste Cloudflare und Fastly

Während Shopify selbst also nicht in der Kritik steht, sieht es bei den genutzten Content Delivery Networks (CDNs) Cloudflare und Fastly - beide in den USA angesiedelt - ein wenig anders aus. Sie spielen eine wichtige Rolle in der Performance von Onlineshops und sorgen für schnelle Ladezeiten, indem sie Inhalte auf Servern weltweit zwischenspeichern. 

Beide Dienste haben zwar Maßnahmen ergriffen, um die DSGVO einzuhalten, dennoch entsprechen sie unter gewissen Aspekten nicht dem aktuellen Datenschutzrecht. So werden zB bei Cloudflare unmittelbare Nutzer:innendaten zwar nicht geloggt, persönliche Daten, wie die IP-Adresse, werden aber dennoch gespeichert. Und das ist laut Privacy Shield Abkommen nicht datenschutzkonform. Umgangen werden kann das allerdings mit der Enterprise-Version von Cloudflare, bei der es über die sogenannte Data Localization Suite möglich ist, zu kontrollieren, in welcher Region Daten gespeichert werden sollen / dürfen.

Tipps zur Einhaltung des Datenschutzes bei Shopify

Um deinen Shopify-Shop (genauso wie jeden anderen Onlineshop) DSGVO-konform zu betreiben, solltest du jedenfalls folgende Tipps beachten:

• Datenschutzerklärung: Erstelle eine klare und verständliche Datenschutzerklärung, die alle Anforderungen der DSGVO erfüllt.
• Einwilligungen einholen: Stelle sicher, dass du die Einwilligung deiner Kund:innen einholst, bevor du ihre Daten verarbeitest. 
• Zugriffsrechte beachten: Kund:innen muss das Recht eingeräumt werden, ihre Daten einzusehen, zu berichtigen oder zu löschen.
• Datensicherheit: Implementiere technische und organisatorische Maßnahmen, um die Sicherheit der Kund:innendaten zu gewährleisten.
• Apps und Drittanbieter: Überprüfe alle Apps und Drittanbieter auf ihre DSGVO-Konformität und schließe entsprechende Verträge ab. Um Unsicherheiten grundsätzlich zu umschiffen, bieten sich zu allen graubereichigen bzw. nicht-DSGVO-konformen Diensten (zB Google Analytics, Cloudflare) auch Alternativen (zB Matomo, eTracker) an. 

Wir weisen an dieser Stelle darauf hin, dass wir keine Rechtsberatung leisten, unterstützen dich aber sehr gerne mit unserem Fachwissen im Bereich E-Commerce. In Zweifelsfällen oder bei Unklarheiten sollte auf jeden Fall die Expertise von entsprechend spezialisierten Anwält:innen oder Datenschutzbeauftragten eingeholt werden!