Hi Gabe, ich habe bereits zwei Shopify-Abos und möchte demnächst mit den Shops live gehen. Nun habe ich bei t3n einen Artikel vom 29.11. gelesen, in dem die Nutzung von CDN's von US-Dienstleistern wie Cloudflare, Fastly und Cloudfront durch Shopify aus DSGVO-Sicht ausgeleuchtet wird. Konkret geht es dabei um eine angedrohte Abmahnung einer Landesdatenschutzbehörde gegen einen Shopify-Betreiber, die durch die (nicht DSGVO-konforme) Weitergabe an personenbezogenen Daten an US-Unternehmen begründet wird (Hier der Artikel: https://t3n.de/news/shopify-rechtswidrig-datenschutzbehoerde-1517139/). In der offiziellen Antwort im Shopify-Blog darauf, wird zwar beteuert, dass man auch weiterhin DSGVO-konform sei, eine klar und unmissverständliche Antwort auf die Frage, ob und wenn ja, wie personenbezogenen Daten an die o.g. CDN-Anbieter übertragen werden, enthält der Blog-Beitrag aber nicht. Wie sieht das nun konkret aus? Oder präziser gefragt: gibt es mittlerweile eine, über die Hinweise im zitierten Blog-Beitrag hinausgehende Klarstellung? Danke für die Info 🙂

Hey @JM55 

Das folgende ist nur meine eigene Meinung und KEINE Rechtsberatung (siehe weitere Tipps hier):

Den Artikel habe ich auch gelesen und den vom Chris hier.  Der Chris hat auch diesen Artikel geschrieben wo er Open Source Platforms wie Woocommerce oder Shopware unter die Lupe nimmt (wo man das Shop auf den eigenen Server hosten kann). 

Eine Lösung wäre deinen Shop lokal/vor Ort zu hosten indem du Server Dienste wie Oxid nutzt.

Meiner Erfahrung nach kann aber die Migration von einer SaaS-Lösung (SAP Cloud, Oracle Cloud, Shopify usw.) auf eigene Serverlösungen (z. B. Oxid) Monate dauern und sehr komplexe und zahlreiche Schnittstellen beinhalten, die komplett neu konfiguriert oder eingemottet werden müssen. Die Umsatzeinbußen können auch hoch sein, wenn dein Online-Shop einen großen Teil deines Jahresumsatzes ausmacht.

Also, obwohl der Chris zu Woocommerce migriert ist, so einfach ist das Ganze nicht, denn andere SaaS platforms verwenden auch direkt oder indirekt das CDN. Dessen "distributed" Server Netzwerk ist ja auf der ganzen Welt verstreut und einige leben auch in den USA. Heutzutage gibt es m. E. kaum ein Online Unternehmen, das nicht direkt oder indirekt mit Server in den USA verknüpft ist, ODER mit US Firmen die den Sitz oder die Server sogar ausschließlich innerhalb der EU haben, dennoch dem CLOUD Act von Trump unterliegen.

Dein Shop ist im Wesentlichen legal, wenn du alles klar in deinen Shop-Richtlinien formuliert hast und du einen guten Cookie-Banner wie Beeclever oder Consent Manager hast (mehr dazu in unserer umfangreichen Doku hier). Mit diesen kann der Nutzer bestimmen, ob seine PII (persönlich identifizierbare Informationen) von der Website erfasst werden dürfen oder nicht.

So warum wurde dem Chris dann mit einer fünfstelligen Geldstrafe gedroht?

Meiner Meinung nach lag das ganze an einem Beschwerdeführer, der den Chris bei den Behörden anzeigte (was in Deutschland ja desöfteren passiert...), weil Chris zu diesem Zeitpunkt keinen guten Cookie-Banner installiert hatte. Chris schreibt in dem Blogbeitrag über seinen Fehler und wie er ihn mit der Beeclever-App korrigiert hat.

Dann beschloss die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, gegen Chris' Shop vorzugehen, insbesondere gegen die Verwendung von Fastly, Cloudflare und Cloudfront (Amazon-Server). Aber ihre Drohung gegen Chris' Laden war ziemlich vage und ließ das technische Verständnis für das Thema und die Funktionsweise von CDN vermissen meiner Meinung nach. Sie zitierte das Max-Schrems-II-Gesetz, ohne wirklich zu wissen, wie es technisch unter der Haube genau funktioniert. 

Cloudflare, Fastly, und Cloudfront erklären ausserdem alle auf deren Webseiten, dass sie sich sehr streng an die Regeln der DSGVO halten wie man beispielsweise in diesem Artikel von Cloudflare lesen kann.

Das heißt aber nicht, dass das Problem gelöst ist. Es ist immer noch ein großes Problem und alle Plattforms müssen mit den Behörden in Deutschland zusammenarbeiten wie z. B. eine Folgenabschätzung für den Transfer (Transfer Impact Assessment (TIA) erarbeiten.

Das Gleiche gilt für alle anderen Unternehmen genauso, Fastly, Google usw., denn Shopify kann das nicht alleine tun, wenn die anderen es nicht tun.

Weitere interessante Entwicklungen:

Es gab von der Biden Administration jetzt einen Executive Order vom 7.10.22. (via heyData.eu)

In der Zwischenzeit gab es auch Entwicklungen auf politischer Ebene: Am 7.10.2022 hat die USA ein Executive Order erlassen, das neue verbindliche Garantien einführt, um alle vom EU-Gerichtshof angesprochenen Punkte zu berücksichtigen, den Zugang von US-Geheimdiensten zu EU-Daten zu beschränken und ein Datenschutz-Überprüfungsgericht einzurichten. Das soll bis voraussichtlich März 2023 von der EU-Kommission aufgenommen werden. Bis dahin verbleibt natürlich das Risiko mit den US- Dienstleistern noch, aber es sieht so aus, dass USA und EU eine Richtung zur Lösung des Problems eingeschlagen haben.

Hi Gabe, danke für die schnelle Antwort. Ja, das Thema ist in der Tat komplex. Interessant ist auch diese rechtliche Würdigung des Sachverhalts: https://www.it-recht-kanzlei.de/shopify-cdn-datenschutzbehoerde-datenschutzverletzung.html. Der Artikel zeigt, dass nun beide Parteien (Shopify und Dateschutzbehörde) am Ball sind; Die Datenschutzbehörde sollte demnach erst einmal den Beweis erbringen, dass Daten überhaupt geflossen sind, Shopify wiederum genau erklären, wie der Datenfluss genau aussieht und mit welchen Konsequenzen dies verbunden ist. Und, im Idealfall Mechanismen vorstellen, die einen Datentransfer unterbinden. Der Rechtsanwalt, der diesen Artikel verfasst hat, schreibt folgendes: 

"Zur Entkräftung der Vorwürfe und auch zur Wahrung des eigenen Image läge es nun an Shopify, transparent darzulegen, wie die CDN-Anbindung konkret technisch implementiert ist und wie Datenströme über die CDN-Funktion tatsächlich abgewickelt werden." Mit einer entsprechenden Entkräftung der Vorwürfe seitens shopify könnte ich sicherlich etwas ruhiger schlafen; Die Notwendigkeit der Nutzung einer guten CMP ist, wie du selber schreibst mittlerweile allgemein bekannt. Dennoch ist somit das Hauptproblem und der eigentlichen Abmahngrund leider nicht aus der Welt, da die Transparenz auf beiden Seiten (shopify und Datenschutzbehörde) nicht gegeben ist. Wie agieren denn eigentlich deutsche Shop-Anbieter (Gambio, Shopware, etc.) in diesem Fall? Nutzen diese ebenfalls US-CDN's? Danke dir. 

Bzgl. dem CDN, es behandelt meist nur die Bilder in einem Shop, wie man hier lesen kann. Inwiefern...oder ob das CDN PII wie IP Adresse, Name, E-Mail usw. überträgt, kann ich nicht sagen und wage ich fast zu bezweifeln. Ich denke eher nur sog. non-deterministic Data die zum korrekten funktionieren und das Rendern der Bilder im Shop, wie z. B. Browser Typ und Version usw.

Apropos, eine schnelle und einfache Lösung wäre die sog. City-Wide IP Adresse die jeden User nicht erkennen lässt da man mit ihr nur den Ort erkennen kann. Diese ist schon in einigen Systemen vorhanden und wird von manchen ISPs angeboten, wie meine eigene hier:

Spoiler

Die meisten deutschen Platforms bieten open source hosting an so was ich erkennen kann, wo man das Shop auf dem eigenen Server hosten kann (wie ueber Oxid). Das ist aber m. E. mit einer ungemeinen Menge an Arbeit verbunden.

Nun ist der Ball bei Shopify wie du sagst. Aber da Shopify ja eng mit den anderen Anbieter (Google, Cloudflare, FB usw.) vernetzt ist müssen die auch mitziehen ansonsten wäre das ganze zwecklos.

Danke, das mit der City-Wide IP Adresse verstehe ich aber nicht ganz. Da muss bestimmt der Nutzer selbst tätig werden, was nicht im Sinne der DSGVO wäre, sondern eine Pflicht des Webshop-Betreibers wäre. Korrekt?

Nee, ich glaube citywide IP ist am kommen und wird top-down reguliert, EU-weit. Somit müssen alle ISPs dann garantierten, dass alle IPs nur city-wide erkennbar sein dürfen  aber gleichzeitig wie ein "Telefonbucheintrag" funktionieren.

ah okay, danke, verstanden 😉

Was hinter verschlossenen Türen passiert, das kann ich nicht sagen, aber um das unsägliche "he said, she said" endlich abzuschliessen und Fakten zu schaffen, würd ich mir wünschen, dass sich Shopify und die Behörden auf EU-Ebene zusammensetzen – und zwar so lange, bis eine juristisch belastbare Aussage von Seiten der Gesetzgeber am Tisch liegt, dass Shopify in der derartigen Form dem juristischen Rahmen der DSGVO entspricht. Davon ausgenommen werden aber die Apps und Themes bleiben, die ein noch größeres Minenfeld aufmachen.

Ich glaube nicht, dass es so ein offizielles Statement geben wird – einige der problematischen Services wurden im t3n Artikel genannt – Cloudflare und Google ReCaptcha sind zwei dieser Services, die mir hier zu allererst einfallen.

Ich wage einen Blick in die Kristallkugel: ich glaube, dass es vielleicht noch 2023 ein Privacy Shield Nachfolge-Abkommen geben wird. Das wird dazu führen, dass wir seitens vieler Serviceanbieter hören werden, dass alles gelöst ist, ohne, dass sich am Status Quo faktisch etwas geändert haben wird. Nach absehbarer Zeit wird es dieses Abkommen dann seinen Vorfahren Safe Harbour und Privacy Shield gleich tun und gekippt werden. Und wir werden wieder an derselben Stelle sein, an der wir uns jetzt befinden. ¯\_(ツ)_/¯ 

Es ist frustrierend...