Hey @JM55
Das folgende ist nur meine eigene Meinung und **KEINE Rechtsberatung (**siehe weitere Tipps hier):
Den Artikel habe ich auch gelesen und den vom Chris hier. Der Chris hat auch diesen Artikel geschrieben wo er Open Source Platforms wie Woocommerce oder Shopware unter die Lupe nimmt (wo man das Shop auf den eigenen Server hosten kann).
Eine Lösung wäre deinen Shop lokal/vor Ort zu hosten indem du Server Dienste wie Oxid nutzt.
Meiner Erfahrung nach kann aber die Migration von einer SaaS-Lösung (SAP Cloud, Oracle Cloud, Shopify usw.) auf eigene Serverlösungen (z. B. Oxid) Monate dauern und sehr komplexe und zahlreiche Schnittstellen beinhalten, die komplett neu konfiguriert oder eingemottet werden müssen. Die Umsatzeinbußen können auch hoch sein, wenn dein Online-Shop einen großen Teil deines Jahresumsatzes ausmacht.
Also, obwohl der Chris zu Woocommerce migriert ist, so einfach ist das Ganze nicht, denn andere SaaS platforms verwenden auch direkt oder indirekt das CDN. Dessen “distributed” Server Netzwerk ist ja auf der ganzen Welt verstreut und einige leben auch in den USA. Heutzutage gibt es m. E. kaum ein Online Unternehmen, das nicht direkt oder indirekt mit Server in den USA verknüpft ist, ODER mit US Firmen die den Sitz oder die Server sogar ausschließlich innerhalb der EU haben, dennoch dem CLOUD Act von Trump unterliegen.
Dein Shop ist im Wesentlichen legal, wenn du alles klar in deinen Shop-Richtlinien formuliert hast und du einen guten Cookie-Banner wie Beeclever oder Consent Manager hast (mehr dazu in unserer umfangreichen Doku hier). Mit diesen kann der Nutzer bestimmen, ob seine PII (persönlich identifizierbare Informationen) von der Website erfasst werden dürfen oder nicht.
So warum wurde dem Chris dann mit einer fünfstelligen Geldstrafe gedroht?
Meiner Meinung nach lag das ganze an einem Beschwerdeführer, der den Chris bei den Behörden anzeigte (was in Deutschland ja desöfteren passiert…), weil Chris zu diesem Zeitpunkt keinen guten Cookie-Banner installiert hatte. Chris schreibt in dem Blogbeitrag über seinen Fehler und wie er ihn mit der Beeclever-App korrigiert hat.
Dann beschloss die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, gegen Chris’ Shop vorzugehen, insbesondere gegen die Verwendung von Fastly, Cloudflare und Cloudfront (Amazon-Server). Aber ihre Drohung gegen Chris’ Laden war ziemlich vage und ließ das technische Verständnis für das Thema und die Funktionsweise von CDN vermissen meiner Meinung nach. Sie zitierte das Max-Schrems-II-Gesetz, ohne wirklich zu wissen, wie es technisch unter der Haube genau funktioniert.
Cloudflare, Fastly, und Cloudfront erklären ausserdem alle auf deren Webseiten, dass sie sich sehr streng an die Regeln der DSGVO halten wie man beispielsweise in diesem Artikel von Cloudflare lesen kann.
Das heißt aber nicht, dass das Problem gelöst ist. Es ist immer noch ein großes Problem und alle Plattforms müssen mit den Behörden in Deutschland zusammenarbeiten wie z. B. eine Folgenabschätzung für den Transfer (Transfer Impact Assessment (TIA) erarbeiten.
Das Gleiche gilt für alle anderen Unternehmen genauso, Fastly, Google usw., denn Shopify kann das nicht alleine tun, wenn die anderen es nicht tun.
Weitere interessante Entwicklungen:
Es gab von der Biden Administration jetzt einen Executive Order vom 7.10.22. (via heyData.eu)> In der Zwischenzeit gab es auch Entwicklungen auf politischer Ebene: Am 7.10.2022 hat die USA ein Executive Order erlassen, das neue verbindliche Garantien einführt, um alle vom EU-Gerichtshof angesprochenen Punkte zu berücksichtigen, den Zugang von US-Geheimdiensten zu EU-Daten zu beschränken und ein Datenschutz-Überprüfungsgericht einzurichten. Das soll bis voraussichtlich März 2023 von der EU-Kommission aufgenommen werden. Bis dahin verbleibt natürlich das Risiko mit den US- Dienstleistern noch, aber es sieht so aus, dass USA und EU eine Richtung zur Lösung des Problems eingeschlagen haben.
