Datenschutzverstöße können richtig teuer werden. Den europäischen Rekord hält – wie könnte es anders sein – Zuckerbergs Meta-Konzern. Stramme 1,2 Milliarden Euro musste das Unternehmen 2023 zahlen, weil es illegal personenbezogene Daten in die USA transferiert hatte.
Dem Zuck war das wahrscheinlich herzlich egal. Die eine Milliarde zahlt sein Laden aus der Portokasse, den Reputationsverlust steckt er locker weg. Wer will schon auf seine geliebten Instagram-Katzenbilder verzichten oder sich die Mühe machen, von WhatsApp zu Signal zu wechseln?
Aber was wäre, wenn dein Shopify-Store von einem Datenskandal betroffen ist? Du müsstest nicht einmal böse Absichten hegen, um gegen die DSGVO zu verstoßen, denn auch fahrlässige Fehltritte werden verfolgt und bestraft. Würde dein Unternehmen eine hohe Geldstrafe und vor allem den Büßermarsch durch Presse und Social Media überleben?
Bevor bei dir der Angstschweiß ausbricht, lass uns also lieber gemeinsam einen Blick auf Shopify und den Datenschutz werfen: Ist die Plattform DSGVO-konform? Wo gibt es Problemzonen? Wie kannst du sie vermeiden? Und was hat das alles mit einem aktuellen Gerichtsurteil aus Baden-Württemberg zu tun? Du darfst gespannt sein.
Aber Obacht: Je komplexer deine Firmenstrukturen, desto komplizierter wird die Datenschutzerklärung. Denke etwa an Dependancen im Ausland, die allesamt Zugriff auf Kundendaten haben können. Auch die Verwendung von Shopify Plus kann zu einer modifizierten Datenschutzerklärung führen, etwa indem du Änderungen am Checkout vornimmst und dort weitere Informationen abgreifst.
Größere Unternehmen oder User:innen von Shopify Plus sollten ihre Datenschutzerklärung deshalb immer von einer Kanzlei prüfen lassen oder mit einer Agentur zusammenarbeiten, die weiß, wie eine Datenschutzerklärung in solchen Fällen auszusehen hat.
Und genau das ist Shopifys erste kleine Schwachstelle: Von Haus aus bringen die Kanadier kein Tool mit, das das Einwilligungsmanagement für Cookies DSGVO-konform steuert. Die Lösung ist allerdings nicht weit weg: Im Web findest du Programme, die das Cookie-Management für dich regeln. Folgendes sollte die App deiner Wahl mitbringen:
Außerdem steht dir natürlich die Shopify-Agentur deiner Wahl (*zwinker zwinker*) zur Seite, übernimmt für dich das Cookie-Management und richtet es rechtskonform ein – falls sie gut ist, sich auskennt und nicht gerade „Ingos Mediabude“ heißt.
Die Programme, die dein Cookie-Banner managen und deine Datenschutzerklärung aufsetzen, übernehmen in der Regel auch die Pflege deines Verfahrensverzeichnisses. Deine Shopify-Partneragentur berät dich gerne, welche Lösung die beste für dich ist.
Denn dort ist genau dokumentiert, welche Daten zu einer bestimmten Person wo vorliegen und verwendet werden. Jetzt musst du sie nur noch fristgerecht löschen – so denn darum gebeten wurde.
Besonders wichtig ist bei alldem die Erreichbarkeit. Wenn eine Anfrage erst Wochen in einem E-Mail-Fach rumdümpelt, bis sich irgendjemand darum kümmert, sind die Fristen womöglich bereits abgelaufen und der Ärger vorprogrammiert. Daher: Immer transparent sein und schnell reagieren.
Mit allen Dritten, die ebenfalls Zugriff auf persönliche Informationen erhalten können, musst du einen Auftragsverarbeitungsvertrag (AVV; Englisch: Data Processing Agreement, DPA) abschließen. Dort wird nicht nur geregelt, wie die Daten verarbeitet werden. Vor allem verpflichtet sich dein Partner dir gegenüber, mit den ihm überlassenen Informationen nichts Unrechtes anzustellen.
Wenn du Kund:in bei Shopify bist, hast du automatisch einen AVV abgeschlossen, den du entweder in deinem Adminbereich unter Einstellungen → Rechtliches oder auf der Shopify-Webseite einsehen kannst.
Rechtlich bist du hier also abgesichert, denn Shopify verpflichtet sich dir gegenüber zur legalen Handhabung aller Daten. Sollten die Kanadier sie an irgendwelche Zuckerberge verkaufen, wäschst du deine Hände in Unschuld.
ABER – und regelmäßige Leser:innen unseres Blogs wissen, dass nach einem großen Aber etwas besonders Wichtiges kommt: Auch jede App, die du nutzt, ist ein Drittanbieter, der womöglich personenbezogene Daten missbrauchen kann.
Im Umgang mit Apps musst du also extrem vorsichtig sein. Überprüfe genau, was im AVV zwischen dir und dem App-Anbieter steht, beziehungsweise, ob es überhaupt einen gibt. Aus welchem Land kommt der Anbieter der Software und welche Informationen will und/oder muss er für seine Dienste abgreifen?
Apps sind tatsächlich die größte Gefahr für einen Datenschutzverstoß auf Shopify, installiere sie deshalb nie einfach willy-nilly, sondern immer mit Augenmaß. Besser wenige und dafür gute Apps als viele kleine Billiglösungen aus Ländern ohne echten Verbraucherschutz (*hust* USA *räusper*).
Wirklich sicher fährst du eigentlich nur, wenn du jemanden mit ins Boot holst, der sich mit Shopify Apps bestens auskennt. Zum Beispiel eine Agentur, die schon hunderte Stores rechtssicher aufgebaut hat – von klein und startup-ig bis groß und multinational.
Zunächst Folgendes: Shopifys zentraler europäischer Server steht in Irland und damit auf dem Boden der EU. Soweit, so gut. Von dort können allerdings personenbezogene Daten nach Kanada wandern, denn daher stammt Shopify bekanntlich. Das ist an sich auch kein Problem, denn die EU hat entschieden, dass der kanadische Datenschutz „angemessen“ sei. Zwar ist er nicht ganz so streng wie unsere DSGVO, dennoch sind Datenübertragungen ohne zusätzliche Schutzmaßnahmen erlaubt.
ABER (Da ist es schon wieder!): Von Kanada können diese Daten theoretisch auch in die USA fließen und das ist ein totales NoGo: Im Rahmen des Schrems-II-Urteils kippte die EU nämlich das Privacy Shield Abkommen; die Vereinigte Staaten gelten seitdem nicht mehr als Land mit angemessenem Datenschutz.
Ist das ein Problem? Nicht für dich, denn du besitzt ja deinen AVV mit seinen Standardvertragsklauseln, die die Datenübermittlung regeln und ein angemessenes Datenschutzniveau sicherstellen. Im Falle eines Verstoßes wird daher Shopify belangt – genau, wie im eingangs erwähnten Datenschutzskandal Meta zur Rechenschaft gezogen wurde und nicht die Millionen User:innen, die dem Unternehmen vertraut haben.
Solltest du dich dennoch unsicher fühlen, hilft leider nur die Konsultation einer Wirtschaftskanzlei, die deinen Auftragsverarbeitungsvertrag prüft und gegebenenfalls neu gestaltet. Eine umfassende Rechtsberatung können wir dir nicht bieten. Dafür aber dies:
2023 entschied ein Gericht in Baden-Württemberg, dass ein Shopify-Händler illegal Daten in die USA übertragen habe. Es ging um IP-Adressen, die über ein Content Delivery Network (CDN) auf amerikanische Server gelangten. CDNs werden dazu eingesetzt, Daten schneller zu übertragen; sie speichern etwa Bilder, Videos oder Stylesheets zwischen, um sie nicht jedes Mal neu vom Server ziehen zu müssen. Was war da los?
Ursächlich für die Speicherung im Land des nicht vorhandenen Verbraucherschutzes war nicht die Shopify-Infrastruktur selbst, sondern Apps, die in dem auffällig gewordenen Store zum Einsatz kamen. Daher noch einmal der Hinweis: Pass auf, was du dir installierst!
Weiterhin monierte das Gericht, dass der Shopbetreiber nicht nachweisen konnte, welches von ihm verwendete Programm Daten wohin versendete. Oder mit anderen Worten: Sein Verfahrensverzeichnis war nicht vorhanden oder nicht gepflegt. Ein gut aufgestellter Shop mit sauber implementiertem Datenschutz muss sich also keine Sorgen machen.
Kurzum: Unsere IT-Nerds sagen, dass sämtliche Maßnahmen dem Industriestandard entsprechen, wie er auch beim Onlinebanking oder bei ähnlichen sensiblen Transaktionen zum Einsatz kommt. Und den Jungs und Mädels widersprechen wir lieber nicht. Sonst hacken sie wieder unseren Smart Fridge und bestellen 80 Liter Kanne Brottrunk.
Erlaubt ist außerdem das Datensammeln mit impliziter Einwilligung – zum Beispiel darfst du eine E-Mail-Adresse verarbeiten, wenn sich jemand für deinen Newsletter anmeldet; außerdem das Datensammeln mit expliziter Einwilligung – sprich, wenn dir die Besuchenden im Cookie-Banner den Consent erteilt haben.
Wilder Datenraub ist dagegen verboten. Wenn dein Google Analytics nicht im Cookie-Management auftaucht, machst du dich ebenso strafbar wie, wenn du den Facebook Pixel nicht erwähnst.
Deshalb als letzter Tipp: Bei der Installation neuer Apps und Analysetools immer daran denken, auch dein Cookie-Banner upzudaten. Entweder durch deine eigene IT oder durch eine Agentur, die Ahnung davon hat. Sonst gibt es früher oder später Stress mit den Datenschutzbehörden.
Falls du dir jetzt nicht nur denkst, dass dein Shopify-Store womöglich nicht ganz datenschutzkonform ist, sondern auch, dass er viel besser aussehen und performen könnte, sind wir die richtige Anlaufstelle für dich. Wende dich einfach an unser Relaunch-Team und wir machen deinen Shop fit, nutzerfreundlich und datensicher.
Hast du dagegen eingesehen, dass der selbst gehostete Shopware-Kram mit dem Server im Keller gar nicht nötig ist, um der DSGVO gerecht zu werden, nehmen wir dich ebenfalls mit. Unser Team für Migration bringt deinen Store zu Shopify – schöner, schneller und rechtssicherer als jemals zuvor.
Ganz zum Schluss noch dieser Denkanstoß: Die dickste Rechnung hat Meta gar nicht in der EU bekommen, sondern in den USA. Für den Cambridge-Analytica-Skandal wurden fünf Milliarden US-Dollar fällig. Gelernt hat Mr. Zuck trotzdem nichts daraus. Meta hat bereits die nächsten Klagen am Hals. Das kannst du besser!
Dem Zuck war das wahrscheinlich herzlich egal. Die eine Milliarde zahlt sein Laden aus der Portokasse, den Reputationsverlust steckt er locker weg. Wer will schon auf seine geliebten Instagram-Katzenbilder verzichten oder sich die Mühe machen, von WhatsApp zu Signal zu wechseln?
Aber was wäre, wenn dein Shopify-Store von einem Datenskandal betroffen ist? Du müsstest nicht einmal böse Absichten hegen, um gegen die DSGVO zu verstoßen, denn auch fahrlässige Fehltritte werden verfolgt und bestraft. Würde dein Unternehmen eine hohe Geldstrafe und vor allem den Büßermarsch durch Presse und Social Media überleben?
Bevor bei dir der Angstschweiß ausbricht, lass uns also lieber gemeinsam einen Blick auf Shopify und den Datenschutz werfen: Ist die Plattform DSGVO-konform? Wo gibt es Problemzonen? Wie kannst du sie vermeiden? Und was hat das alles mit einem aktuellen Gerichtsurteil aus Baden-Württemberg zu tun? Du darfst gespannt sein.
Diese Themen findest du im Folgenden:
Die Basics: Was regelt die DSGVO?
Damit du voll im Bilde bist, starten wir am besten mit einem kurzen Überblick, wozu dich die 2018 in Kraft getretene Datenschutzgrundverordnung als Onlinehändler:in verpflichtet:- Transparenzpflicht: Deine Kund:innen müssen darüber informiert werden, welche Daten du erhebst, wofür sie verwendet werden, wie lange du sie speicherst und an wen du sie weitergibst. All diese Informationen sind in einer permanent einsehbaren Datenschutzerklärung niederzulegen.
- Cookie-Management: Nur zum Betrieb des Shops unbedingt notwendige Cookies dürfen ohne Einwilligung der User:innen verwendet werden. Alles Weitere – also zum Beispiel Analyse- und Tracking-Cookies – bedarf der aktiven Zustimmung. Ein Preload ist nicht erlaubt.
- Rechenschaftspflicht: Du musst jederzeit nachweisen können, dass du DSGVO-konform arbeitest. Das wichtigste Werkzeug hierzu ist ein sauber geführtes Verfahrensverzeichnis, in dem alle Datentransaktionen, die personenbezogene Informationen enthalten, dokumentiert werden.
- Betroffenheitsrecht: Deine Kund:innen haben das Recht auf vollständige Datenhoheit. Auf Anfrage musst du sie darüber informieren, welche Daten über sie vorliegen und wer sie verwenden kann. Sollten sie es wünschen, musst du ihre Informationen löschen.
- Auftragsverarbeitung: Wenn du externe Dienstleister nutzt, müssen diese ebenfalls DSGVO-konform arbeiten. Geregelt wird dies in einem Vertrag zur Auftragsverarbeitung (AVV).
- Datenübertragung an Drittländer: Datenübertragungen an Länder außerhalb der EU sind nur mit geeigneten Garantien erlaubt. Erforderlich sind immer Standardvertragsklauseln (SCC), Transfer Impact Assessment (TIA) oder weitere zusätzliche Schutzmaßnahmen.
- Technische Maßnahmen: Alle Daten müssen sicher verarbeitet werden, zum Beispiel, indem sie durchgehend SSL-verschlüsselt sind.
- Rechtsgrundlage: Daten dürfen nur erhoben und verarbeitet werden, wenn es dafür eine rechtliche Grundlage gibt – etwa einen Kaufvertrag und den anschließenden Versand. Ein Speichern pro forma ist nicht erlaubt.
Shopify & Datenschutz: Was es kann und worauf du achten musst
Zur Erinnerung: Shopify kommt aus Kanada, ist also kein europäisches System. In den Anfangsjahren gab es deshalb immer mal wieder datenschutzrechtliche Bedenken. Allerdings ist Shopify längst nicht mehr das kleine Startup von damals, sondern einer der Marktführer in Sachen Shopsystem. Entsprechend viel hat sich in den vergangenen Jahren rund um den Datenschutz getan.Trotzdem existieren nach wie vor ein paar Problemfelder. Deshalb werfen wir am besten einen ausführlichen Blick auf die eben bereits aufgeführten acht wichtigsten Aspekte der DSGVO:
#1 Transparenzpflicht
Wie zuvor besprochen: Deiner Transparenzpflicht kommst du über eine jederzeit einsehbare Datenschutzerklärung nach. Diese ist nicht nur in einem Shopify-Store Pflicht, sondern für jede europäische Webseite. Wahrscheinlich müssen wir dir zu dem Thema also nicht allzu viel erklären. Der Vollständigkeit halber dennoch das Wichtigste im Überblick: Die Pflichtangaben sind:-
Verantwortliche*r:
Wer ist die erste Ansprechperson? -
Verarbeitungszwecke und -grundlagen:
Warum werden Daten gesammelt und verarbeitet? -
Empfänger:in:
An wen werden Daten übermittelt? -
Drittlandübertragungen:
In welche Länder gehen die Daten? -
Betroffenenrechte:
Wie können User:innen ihre Rechte einfordern? -
Cookie-/Tracking-Hinweis:
Welche Cookies werden warum gesetzt und welche Daten wieso erhoben?
Aber Obacht: Je komplexer deine Firmenstrukturen, desto komplizierter wird die Datenschutzerklärung. Denke etwa an Dependancen im Ausland, die allesamt Zugriff auf Kundendaten haben können. Auch die Verwendung von Shopify Plus kann zu einer modifizierten Datenschutzerklärung führen, etwa indem du Änderungen am Checkout vornimmst und dort weitere Informationen abgreifst.
Größere Unternehmen oder User:innen von Shopify Plus sollten ihre Datenschutzerklärung deshalb immer von einer Kanzlei prüfen lassen oder mit einer Agentur zusammenarbeiten, die weiß, wie eine Datenschutzerklärung in solchen Fällen auszusehen hat.
#2 Cookie-Management
Falls du es schon wieder vergessen hast: Nur Cookies, die für den Betrieb des Stores unbedingt erforderlich sind, dürfen ohne Einwilligung verwendet werden. Alles Weitere benötigt eine ausdrückliche Zustimmung – die im Übrigen dokumentiert werden muss.Und genau das ist Shopifys erste kleine Schwachstelle: Von Haus aus bringen die Kanadier kein Tool mit, das das Einwilligungsmanagement für Cookies DSGVO-konform steuert. Die Lösung ist allerdings nicht weit weg: Im Web findest du Programme, die das Cookie-Management für dich regeln. Folgendes sollte die App deiner Wahl mitbringen:
-
DSGVO- und TTDSG-Konformität geprüft
Idealerweise mit Rechtskonformitäts-Garantie oder Zertifikat. -
Vorab-Blockierung von Cookies
Keine Skripte laden, bevor Nutzer:innen zustimmen (Google Analytics, Meta Pixel etc.). -
Kategorisierung von Cookies
Zum Beispiel technisch notwendig, Statistik, Marketing, Komfort – einzeln wählbar. -
Einwilligungsmanagement
Aktive Zustimmung (Opt-in), einfache Ablehnung, jederzeit widerrufbar. -
Protokollierung der Einwilligungen
Nachweisfähig für Behörden (Wer? Wann? Wozu?). -
Mehrsprachigkeit
Für internationale Shops wichtig – mindestens aber Deutsch und Englisch. -
Kompatibilität mit Shopify-Apps
Erkennung und Kontrolle eingebundener Apps und externer Dienste. -
Automatische Cookie-Erkennung (optional)
Spart Zeit beim Einrichten, erkennt neue Skripte automatisch.
Außerdem steht dir natürlich die Shopify-Agentur deiner Wahl (*zwinker zwinker*) zur Seite, übernimmt für dich das Cookie-Management und richtet es rechtskonform ein – falls sie gut ist, sich auskennt und nicht gerade „Ingos Mediabude“ heißt.
#3 Rechenschaftspflicht
Um deiner Rechenschaftspflicht nachzukommen, musst du die Verarbeitung aller personenbezogenen Daten dokumentieren. Am einfachsten funktioniert das über ein sogenanntes Verfahrensverzeichnis – das Shopify ebenfalls nicht mit an Bord hat. Allerdings reicht bereits ein einfaches Dokument wie eine Excel- oder Word-Datei, in der du für jede Verarbeitungstätigkeit Folgendes aufführst:- den Zweck
- die betroffenen Personengruppen
- die Datenkategorien
- die Rechtsgrundlage
- die Empfänger
- eventuelle Drittlandübertragungen
- die geplanten Löschfristen
- technische und organisatorische Maßnahmen zum Datenschutz
Die Programme, die dein Cookie-Banner managen und deine Datenschutzerklärung aufsetzen, übernehmen in der Regel auch die Pflege deines Verfahrensverzeichnisses. Deine Shopify-Partneragentur berät dich gerne, welche Lösung die beste für dich ist.
#4 Betroffenheitsrecht
Um der Wahrung der Betroffenheitsrechte nachzukommen, steht nicht Shopify in der Bringschuld, sondern du. Wenn du also eine E-Mail erhältst, in der jemand wissen möchte, welche Informationen du über ihn oder sie gespeichert hast, musst du nur einen Blick in dein Verfahrensverzeichnis werfen. Hoffentlich hast du eins …Denn dort ist genau dokumentiert, welche Daten zu einer bestimmten Person wo vorliegen und verwendet werden. Jetzt musst du sie nur noch fristgerecht löschen – so denn darum gebeten wurde.
Besonders wichtig ist bei alldem die Erreichbarkeit. Wenn eine Anfrage erst Wochen in einem E-Mail-Fach rumdümpelt, bis sich irgendjemand darum kümmert, sind die Fristen womöglich bereits abgelaufen und der Ärger vorprogrammiert. Daher: Immer transparent sein und schnell reagieren.
#5 Auftragsverarbeitung
Aufpassen, denn jetzt wird es ernst: Zur Verarbeitung personenbezogener Daten im Web gehören meist mehr als zwei Parteien. Da sind zum Beispiel nicht nur du und deine Kundschaft, sondern immer mindestens auch Shopify selbst.Mit allen Dritten, die ebenfalls Zugriff auf persönliche Informationen erhalten können, musst du einen Auftragsverarbeitungsvertrag (AVV; Englisch: Data Processing Agreement, DPA) abschließen. Dort wird nicht nur geregelt, wie die Daten verarbeitet werden. Vor allem verpflichtet sich dein Partner dir gegenüber, mit den ihm überlassenen Informationen nichts Unrechtes anzustellen.
Wenn du Kund:in bei Shopify bist, hast du automatisch einen AVV abgeschlossen, den du entweder in deinem Adminbereich unter Einstellungen → Rechtliches oder auf der Shopify-Webseite einsehen kannst.
Rechtlich bist du hier also abgesichert, denn Shopify verpflichtet sich dir gegenüber zur legalen Handhabung aller Daten. Sollten die Kanadier sie an irgendwelche Zuckerberge verkaufen, wäschst du deine Hände in Unschuld.
ABER – und regelmäßige Leser:innen unseres Blogs wissen, dass nach einem großen Aber etwas besonders Wichtiges kommt: Auch jede App, die du nutzt, ist ein Drittanbieter, der womöglich personenbezogene Daten missbrauchen kann.
Im Umgang mit Apps musst du also extrem vorsichtig sein. Überprüfe genau, was im AVV zwischen dir und dem App-Anbieter steht, beziehungsweise, ob es überhaupt einen gibt. Aus welchem Land kommt der Anbieter der Software und welche Informationen will und/oder muss er für seine Dienste abgreifen?
Apps sind tatsächlich die größte Gefahr für einen Datenschutzverstoß auf Shopify, installiere sie deshalb nie einfach willy-nilly, sondern immer mit Augenmaß. Besser wenige und dafür gute Apps als viele kleine Billiglösungen aus Ländern ohne echten Verbraucherschutz (*hust* USA *räusper*).
Wirklich sicher fährst du eigentlich nur, wenn du jemanden mit ins Boot holst, der sich mit Shopify Apps bestens auskennt. Zum Beispiel eine Agentur, die schon hunderte Stores rechtssicher aufgebaut hat – von klein und startup-ig bis groß und multinational.
Lesetipp: Das Herzstück jedes Unternehmens ist das ERP-System. So bindest du
- Microsoft Business Central
- Odoo
- Xentral
- und sogar MS Navision
#6 Datenübertragung an Drittländer
Dieser Punkt ist leider eine Shopify-Grauzone. Aber keine Bange, wir helfen dir, mit ihr sicher umzugehen.Zunächst Folgendes: Shopifys zentraler europäischer Server steht in Irland und damit auf dem Boden der EU. Soweit, so gut. Von dort können allerdings personenbezogene Daten nach Kanada wandern, denn daher stammt Shopify bekanntlich. Das ist an sich auch kein Problem, denn die EU hat entschieden, dass der kanadische Datenschutz „angemessen“ sei. Zwar ist er nicht ganz so streng wie unsere DSGVO, dennoch sind Datenübertragungen ohne zusätzliche Schutzmaßnahmen erlaubt.
ABER (Da ist es schon wieder!): Von Kanada können diese Daten theoretisch auch in die USA fließen und das ist ein totales NoGo: Im Rahmen des Schrems-II-Urteils kippte die EU nämlich das Privacy Shield Abkommen; die Vereinigte Staaten gelten seitdem nicht mehr als Land mit angemessenem Datenschutz.
Ist das ein Problem? Nicht für dich, denn du besitzt ja deinen AVV mit seinen Standardvertragsklauseln, die die Datenübermittlung regeln und ein angemessenes Datenschutzniveau sicherstellen. Im Falle eines Verstoßes wird daher Shopify belangt – genau, wie im eingangs erwähnten Datenschutzskandal Meta zur Rechenschaft gezogen wurde und nicht die Millionen User:innen, die dem Unternehmen vertraut haben.
Solltest du dich dennoch unsicher fühlen, hilft leider nur die Konsultation einer Wirtschaftskanzlei, die deinen Auftragsverarbeitungsvertrag prüft und gegebenenfalls neu gestaltet. Eine umfassende Rechtsberatung können wir dir nicht bieten. Dafür aber dies:
2023 entschied ein Gericht in Baden-Württemberg, dass ein Shopify-Händler illegal Daten in die USA übertragen habe. Es ging um IP-Adressen, die über ein Content Delivery Network (CDN) auf amerikanische Server gelangten. CDNs werden dazu eingesetzt, Daten schneller zu übertragen; sie speichern etwa Bilder, Videos oder Stylesheets zwischen, um sie nicht jedes Mal neu vom Server ziehen zu müssen. Was war da los?
Ursächlich für die Speicherung im Land des nicht vorhandenen Verbraucherschutzes war nicht die Shopify-Infrastruktur selbst, sondern Apps, die in dem auffällig gewordenen Store zum Einsatz kamen. Daher noch einmal der Hinweis: Pass auf, was du dir installierst!
Weiterhin monierte das Gericht, dass der Shopbetreiber nicht nachweisen konnte, welches von ihm verwendete Programm Daten wohin versendete. Oder mit anderen Worten: Sein Verfahrensverzeichnis war nicht vorhanden oder nicht gepflegt. Ein gut aufgestellter Shop mit sauber implementiertem Datenschutz muss sich also keine Sorgen machen.
Lesetipp: Gut aufgestellt bist du mit Shopify auch im stationären Handel: Erfahre alles über Shopify POS
#7 Technische Maßnahmen
Nach den letzten zwei Kloppern ist Punkt #7 schnell abgefrühstückt: Shopify verschlüsselt seine Webseiten durchgängig mit einem SSL-Zertifikat. Datenübertragungen finden immer über TLS 1.2 oder höher statt. Informationen, die in Datenbanken abgelegt werden, sind mit dem AES-256-Verschlüsselungsverfahren gesichert. Kreditkarteninfos werden nicht dauerhaft gespeichert.Kurzum: Unsere IT-Nerds sagen, dass sämtliche Maßnahmen dem Industriestandard entsprechen, wie er auch beim Onlinebanking oder bei ähnlichen sensiblen Transaktionen zum Einsatz kommt. Und den Jungs und Mädels widersprechen wir lieber nicht. Sonst hacken sie wieder unseren Smart Fridge und bestellen 80 Liter Kanne Brottrunk.
#8 Rechtsgrundlage
Für unseren letzten Punkt bist erneut du verantwortlich. Nochmal als Gedächtnisstütze, weil es schon ein paar Zeilen her ist: Daten dürfen grundsätzlich nur erhoben und verarbeitet werden, wenn es dafür eine rechtliche Grundlage gibt. Etwa das Zustandekommen eines Kaufvertrages, das Bezahlen eines erworbenen Guts oder die Auslieferung einer Ware.Erlaubt ist außerdem das Datensammeln mit impliziter Einwilligung – zum Beispiel darfst du eine E-Mail-Adresse verarbeiten, wenn sich jemand für deinen Newsletter anmeldet; außerdem das Datensammeln mit expliziter Einwilligung – sprich, wenn dir die Besuchenden im Cookie-Banner den Consent erteilt haben.
Wilder Datenraub ist dagegen verboten. Wenn dein Google Analytics nicht im Cookie-Management auftaucht, machst du dich ebenso strafbar wie, wenn du den Facebook Pixel nicht erwähnst.
Deshalb als letzter Tipp: Bei der Installation neuer Apps und Analysetools immer daran denken, auch dein Cookie-Banner upzudaten. Entweder durch deine eigene IT oder durch eine Agentur, die Ahnung davon hat. Sonst gibt es früher oder später Stress mit den Datenschutzbehörden.
Fazit: Shopify ist DSGVO konform – wenn du dafür sorgst
Alles noch einmal auf den Punkt gebracht: Datenschutz im Sinne der DSGVO ist auf Shopify problemlos möglich. Wichtig ist nur, dass du selbst nicht untätig bleibst, sondern dich um exakt vier Aspekte kümmerst:-
Sauberes Consent-Management aufsetzen
Die Datenschutzerklärung muss rechtlich wasserdicht sein, das Cookie-Banner darf keine Lücken aufweisen. Bei Unsicherheiten hilft dir eine Shopify-Agentur gerne weiter. -
Vorgänge dokumentieren
Ein Verfahrensverzeichnis ist Pflicht, um belegen zu können, was verarbeitet und weitergeleitet wird. Hast du dich für ein gutes Datenschutz-Tool entschieden, ist die Dokumentation aber bereits mit an Bord. -
Rechtens handeln
Nicht unerlaubt Daten abgreifen, auf Kund:innenanfragen zeitnah und umfassend reagieren, dann bleiben dir der Besuch der Datenschutzbehörde sowie der Shitstorm auf jeden Fall erspart. -
Vorsicht bei Apps
Apps und andere Drittsoftware sind die größte Gefahrenquelle rund um den Datenschutz. Installiere dir nichts, was Informationen nach Peking funkt oder Washington Zugriff auf deine Datenbank erlaubt. Auch hier ist dein bester Ansprechpartner die Shopify-Agentur deines Vertrauens.
Falls du dir jetzt nicht nur denkst, dass dein Shopify-Store womöglich nicht ganz datenschutzkonform ist, sondern auch, dass er viel besser aussehen und performen könnte, sind wir die richtige Anlaufstelle für dich. Wende dich einfach an unser Relaunch-Team und wir machen deinen Shop fit, nutzerfreundlich und datensicher.
Hast du dagegen eingesehen, dass der selbst gehostete Shopware-Kram mit dem Server im Keller gar nicht nötig ist, um der DSGVO gerecht zu werden, nehmen wir dich ebenfalls mit. Unser Team für Migration bringt deinen Store zu Shopify – schöner, schneller und rechtssicherer als jemals zuvor.
Ganz zum Schluss noch dieser Denkanstoß: Die dickste Rechnung hat Meta gar nicht in der EU bekommen, sondern in den USA. Für den Cambridge-Analytica-Skandal wurden fünf Milliarden US-Dollar fällig. Gelernt hat Mr. Zuck trotzdem nichts daraus. Meta hat bereits die nächsten Klagen am Hals. Das kannst du besser!
