Shopify – Was ist das überhaupt?
Shopify ist weltweit eine der beliebtesten Shopsysteme sowohl für Startups als auch für bereits sehr erfolgreiche Unternehmen. Die Kunden Ihres Onlineshops bewegen sich also nicht auf Ihrem Server direkt, sondern auf dem Server von Shopify. Shopify ist ein Komplettpaket aus Software, Infrastruktur, Hosting und CDN, das als „Software as a Service“- Shopsystem angeboten wird. Typisch für SaaS ist, dass es sehr einfach und schnell ist, da nur ein Anmeldevorgang für die Erstellung des eigenen Onlineshops notwendig ist. Außerdem muss der Händler sich nicht um Hosting, Funktions-Updates, technische Wartungen und neue Funktionen kümmern, denn das übernimmt alles der Anbieter des Systems und das spart viel Aufwand, Zeit und Kosten. Dafür muss der Händler Sorge tragen, dass Shopify DSGVO konform eingesetzt wird, wozu nicht nur eine ordentliche Shopify Datenschutzerklärung notwendig ist, sondern auch weitere Shopify DSGVO Maßnahmen durchzuführen sind.
Shopify hat insofern viele Vorteile: kein Standbymodus Ihres Onlineshops bei Wartungsarbeiten, hohe Resistenz bei hoher Auslastung, geräteunabhängige Nutzung, keine technischen Vorkenntnisse notwendig, in vielen Sprachen verfügbar, einfache Bedienung, etc. Das hört sich auf den ersten Blick sehr vielversprechend und interessant an, jedoch sind auch die rechtlichen Risiken nicht außer Acht zu lassen. So sind insbesondere datenschutzrechtliche Anforderungen einzuhalten, wie ein Beispiel aus Rheinland-Pfalz zeigte. Das Spannungsfeld Shopify DSGVO kann also für den Händler problematisch werden, wenn er keine ordnungsgemäße Shopify Datenschutzerkärung verwendet und auch weitere Punkte bzgl. Shopify DSGVO nicht beachtet.
Shopify DSGVO und die Datenschutzaufsichtsbehörde Rheinland-Pfalz
In dem Fall ging es um einen Unternehmer, der 7 Jahre lang Shopify genutzt hatte, um seine Produkte zu verkaufen. 2022 kam es jedoch zu einer Beschwerde bezüglich der Cookie-Einstellungen, die die Datenschutzbehörde von Rheinland-Pfalz dazu veranlasst hat, eine Untersuchung einzuleiten. Der Unternehmer versuchte in mehreren Runden den Vorgaben der Datenschutzbehörde bzgl. Shopify DSGVO Genüge zu tun und damit Shopify DSGVO konform zu machen. Nachdem er einige Einstellungen an seinem Online-Shop und der Shopify Datenschutzerklärung vorgenommen hatte, war die Datenschutzbehörde dennoch nicht zufrieden. Zuletzt wurde ihm die rechtswidrige Übermittlung von personenbezogenen Daten in die USA, die im Rahmen der Einbindung des Shopify-Systems stattfindet, vorgeworfen. Shopify selbst ist ein kanadisches Unternehmen. Es nutzt jedoch vor allem die Infrastrukturen von bekannten Unternehmen wie Amazon (Hosting), Cloudflare (Abwehr von DDoS Angriffen), Fastly (CDN) und weitere. Die Weitergabe von personenbezogenen Daten an Unternehmen in den USA sehen die deutschen Datenschutzaufsichtsbehörden besonders kritisch, da dabei Bedenken hinsichtlich des Schutzes der personenbezogenen Daten bestehen.
Ob z.B. beim Einsatz von CDN auch personenbezogene Daten für das dynamische Laden der Inhalte verarbeitet werden, ist aber nicht genau bekannt. Die Datenschutzbehörde hat insofern allein wegen des Sitzes des CDN-Anbieters in den USA auf eine Datenschutzverletzung geschlossen. Ob personenbezogene Daten über die CDN tatsächlich erhoben werden, ist daher unklar. Denn es könnte theoretisch auch möglich sein, dass Shopify für eine datenschutzfreundliche Implementierung durch eine Zwischenschaltung einer Shopify-eigenen IP gesorgt hat, sodass nur die Shopify-IP an die CDN übermittelt wird. Shopify selbst beharrt auf dessen DSGVO-Konformität und betont, dass es reine EU-interne Server verwendet und dass nur shopbezogene Daten, nicht aber kundenbezogene Daten in den USA gespeichert werden.
Letztlich ist es in diesem Fall zu keiner gerichtlichen Entscheidung oder zur Verhängung eines Bußgelds gekommen, da der Unternehmer seinen Shop auf Shopify entfernt hat und auf ein neues Shopsystem umgestiegen ist. Daher ist dies auch zunächst erst einmal als Einzelfall anzusehen. Jedoch zeigt dieser Fall, dass die datenschutzkonforme Gestaltung eines Onlineshops sehr wichtig ist und man darauf achten sollte, Shopify DSGVO konform zu machen. Sie sollten unbedingt darauf achten, dass Sie Ihre Webseite, Ihren Online-Store oder einen Blog datenschutzkonform gestalten. Doch wie geht das?
Shopify DSGVO, Datenschutzerklärung Shopify
Möchte man Shopify DSGVO konform machen, sind einige Punkte zu beachten. Im Rahmen der Nutzung von Shopify werden personenbezogene Daten verarbeitet. Generell muss für jede Übermittlung von personenbezogenen Daten eine Rechtsgrundlage im Sinne der DSGVO bestehen. Sobald Daten in ein Drittland außerhalb der EU/des EWR mit nicht ausreichendem Datenschutzniveau übertragen werden, müssen entsprechende Garantien für die Übermittlung vorgesehen werden.
Problem mit Shopify DSGVO
Das Problem im Spannungsfeld Shopify DSGVO ist das Folgende: Shopify übermittelt personenbezogene Daten aus der EU nach Kanada. Da Kanada laut des Angemessenheitsbeschlusses der EU-Kommission ein sicheres Drittland ist (https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en) und einen ausreichenden Schutz für personenbezogene Daten bietet, stellt dieser Transfer erst einmal kein Problem dar. Problematisch wird es dann, wenn sich Shopify vorbehält die Zahlungsdaten und personenbezogenen Daten von Kunden nicht in Kanada, sondern auf Servern in anderen Drittländern, wie zum Beispiel in den USA, zu verarbeiten. Für Shopify ist dies unproblematisch, da die USA für Kanada ein sicheres Drittland ist.
Im europäischen Kontext wurde jedoch mit Urteil („Schrems II“) des Europäischen Gerichtshofs vom 16. Juli 2020 festgestellt, dass die USA für die EU keinen ausreichenden Schutz und keine ausreichende Garantie für die Verarbeitung von personenbezogenen Daten bieten, weshalb eine Übermittlung in die USA nur in Ausnahmefällen möglich sein sollte. In der Folge fanden Verhandlungen zwischen der EU und den USA statt, um das Datenschutzniveau entsprechend in den USA anzuheben, insbesondere die Rechtsschutzmöglichkeiten der EU-Bürger in den USA zu verbessern. Am 10. Juli 2023 hat die EU-Kommission nun den Angemessenheitsbeschluss für die USA angenommen. Die inhaltliche Reichweite eines solchen Angemessenheitsbeschlusses kann jedoch von Land zu Land unterschiedlich sein. Im Falle der USA gilt der Angemessenheitsbeschluss nur dann, sofern der jeweilige Datenempfänger in den USA eine Zertifizierung unter dem sog. EU-US Data Privacy Framework beim US Department of Commerce (“Handelsministerium”) nachweisen kann.
Das bedeutet, kurz gesagt, dass sich die Datenempfänger zunächst unter dem EU-US Data Privacy Framework zertifizieren lassen müssen, damit der Datentransfer den europäischen Anforderungen entsprechen kann. Aktuell liegt eine solche Zertifizierung zumindest für Shopify nicht vor bzw. ist zurückgezogen worden. Ob und inwieweit Shopify sich kurzfristig zertifizieren lassen wird, lässt sich nicht sagen. Etwas anderes könnte für die eingesetzten Datenempfänger von Shopify gelten, sofern eine Zertifizierung beim US-Handelsministerium vorliegt.
Es bleibt damit zumindest aktuell noch so, dass eine Datenverarbeitung in den USA ohne entsprechende Zertifizierung nicht auf den Angemessenheitsbeschluss gestützt werden kann. Ob und inwieweit mit dem Angemessenheitsbeschluss der EU-Kommission generell Ruhe in dem Thema einkehren wird, bleibt ohnehin spannend. Die Organisation rund um Max Schrems (NOYB) hat bereits angekündigt, rechtliche Schritte hiergegen prüfen und einleiten zu wollen. Es wird wohl nur eine Frage der Zeit sein, bis ein weiteres Urteil des Europäischen Gerichtshofs hierzu ergehen wird.
Gibt es dafür eine Lösung?
Das Problem kann jedenfalls nicht so einfach vom Betreiber eines Shopify-Onlineshops selbst behoben werden, denn Shopify lässt eine Deaktivierung der CDN nicht zu. Somit kann nur in den engen Grenzen, die Shopify zulässt, eine Risikominimierung stattfinden, um Shopify DSGVO konform machen zu können. Wir zeigen Ihnen, welche Möglichkeiten es u.a. gibt:
1. Abschluss eines Auftragsverarbeitungsvertrags
Sie müssen in jedem Fall einen Vertrag zur Auftragsverarbeitung mit Shopify schließen, was normalerweise automatisch bei Zustimmung zu den Nutzungsbedingungen von Shopify erfolgt. Im Rahmen dieses Vertrags werden die Rechte und Pflichten im Hinblick auf die Datenverarbeitung seitens Shopify festgelegt. Auch muss Shopify für die Datenverarbeitung geeignete technisch-organisatorische Maßnahmen zum Schutz der personenbezogenen Daten nachweisen. Dies alles sollten Sie überprüfen und entsprechend dokumentieren.
2. Anpassung Ihrer Shopify DSGVO Datenschutzerklärung
Als nächstes sollten Sie Ihre Shopify Datenschutzerklärung anpassen. In dieser Datenschutzerklärung Shopify müssen Sie unter anderem erläutern, wer der Empfänger der Kundendaten ist, ob die Daten an Dritte weitergeleitet werden und wie lange die Daten gespeichert werden. Hinsichtlich geeigneter Formulierungen der Shopify Datenschutzerklärung sind wir Ihnen jederzeit behilflich. Die Datenschutzerklärung Shopify ist anschließend im Rahmen Ihres Onlineshops entsprechend zu hinterlegen und am besten über die Fußzeile (den Footer) auffindbar zu machen, um Shopify DSGVO konform machen zu können.
3. DSGVO-konforme Einwilligung für Datenverarbeitung
Um personenbezogene Daten zu erheben und zu verarbeiten, müssen Sie eine Einwilligung der Kunden vorweisen können. Diese Einwilligung muss vor der Erhebung freiwillig und eindeutig abgegeben werden. Das bedeutet, dass die potenziellen Kunden durch ein tatsächliches Handeln, zum Beispiel indem sie ein Häkchen setzen, der Datenverarbeitung für die konkret zu nennenden Zwecke zustimmen. Außerdem müssen die Kunden über die Datenverarbeitung aufgeklärt werden. Der Widerruf der Einwilligung muss jederzeit möglich sein. Haben Sie bereits Einwilligungen in der Vergangenheit von Kunden erhalten, dann empfehlen wir Ihnen, dass Sie diese noch einmal überprüfen und gegebenenfalls eine erneute Einwilligung einholen. Zudem kann eine Nachweispflicht bestehen, weshalb Sie die Einwilligungen gut dokumentieren sollten.
4. Die Rechte der betroffenen Personen
Die Kunden Ihres Onlineshops haben außerdem bestimmte Rechte. Sie können Auskunft zu den erhobenen Daten verlangen, eine Datenlöschung oder Datenübertragbarkeit beantragen, Informationen fordern, z.B. wie lange die Daten gespeichert werden usw. Auf diese Rechte müssen Sie die Kunden in Ihrer Datenschutzerklärung hinweisen. Sobald ein solches Begehren bei Ihnen eingeht, müssen Sie dieses ernstnehmen und entsprechend beantworten.
5. Cookie-Consent-Tool für Shopify DSGVO
Falls Sie als Onlinehändler Cookies einsetzen, zum Beispiel um die Aktivitäten der Benutzer zu analysieren oder zu protokollieren, dann müssen Sie laut der gesetzlichen Vorgaben ausdrücklich darauf hinweisen und im Rahmen eines sogenannten Cookie-Consent-Tools eine entsprechende Einwilligung der Nutzer vor Aktivierung der Cookies einholen. Hierbei kann man evtl. auch auf eine Shopify-App zurückgreifen. Die Datenverarbeitung des Cookie-Consent-Tools ist ebenfalls in der Datenschutzerklärung zu erläutern.
6. Löschen nicht benötigter Shopify-Apps
Zudem sollten Sie unbedingt unbenutzte Shopify-Apps löschen, denn aktuell ist noch unklar, welche App seitens der Datenschutzbehörden als datenschutzkonform gilt und welche nicht. Damit halten Sie auch die Liste der Anbieter mit Zugriff auf personenbezogene Daten so klein wie möglich.
Shopify DSGVO: Anpassungen im Onlineshop auf Grund weiterer rechtlicher Vorgaben
Wie Sie sehen, sind bereits die datenschutzrechtlichen Vorgaben umfangreich. Hinzukommen bei der Verwendung eines Onlineshops weitere rechtliche Vorgaben mit Bezug zu Informations- und Gestaltungspflichten des E-Commerce, die ebenfalls recht umfangreich sein können. Eine Vielzahl von Änderungen kann man im Backend von Shopify selbst vornehmen. Folgende Punkte sind dabei von hoher Wichtigkeit und sollten von Ihnen daher überprüft werden:
• die korrekte Einbindung der AGB mit Kundeninformationen
• die Einbindung einer Widerrufsbelehrung
• die Einbindung des Impressums
• die Hinterlegung des Links zur OS-Plattform und Streitschlichtungsinformationen
• die Zuweisung der Rechtstexte wie AGB, Datenschutzerklärung, Widerrufsbelehrung und Impressum im Footer des Onlineshops
• die korrekte Darstellung der Preisinformationen zu Mehrwertsteuer, Versandkosten, Grundpreisen etc. sowie der Zahlungsmittel- und Lieferinformationen
• die Einbindung von fernabsatzrechtlichen Artikelinformationen auf Produktdetailseiten
• die rechtskonforme Gestaltung der Bestellübersichtsseite mit Bestätigung der AGB und der Widerrufsbelehrung (im Bereich des Checkouts)
• die Deaktivierung automatischer E-Mails bei sog. Warenkorb-Abbrüchen
• die Deaktivierung des Express Checkout-Buttons, der eine Bestellung ohne Bestätigung der AGB und Widerrufsbelehrung vorsieht
• die Sicherstellung des automatischen Versands der Bestellbestätigung inkl. AGB und Widerrufsbelehrung (Pflichtanhänge) in deutscher Sprache
• die Durchführung von E-Mail-Marketing über Shopify nur mit doppelter Einwilligungserklärung (sog. Double Opt-in)
• die Einbindung eines datenschutzkonformen Kontaktformulars.
Shopify DSGVO: Das bieten wir Ihnen
Wir helfen Ihnen gerne bei der Einrichtung und Überprüfung der rechtlichen Vorgaben Ihres Online-Shops und versuchen mit Ihnen, Shopify DSGVO koform zu machen. Manche Angaben sind nur mit einiger Expertise möglich und erfordern teilweise auch eine Änderung des jeweiligen Codes Ihres Themes.
Solange Shopify die Deaktivierung einzelner Cookies nicht zulässt und eine Übermittlung personenbezogener Daten in die USA nicht ausgeschlossen bzw. rechtssicher durchgeführt werden kann, ist die Verwendung eines solchen Shopsystems mit Risiken behaftet. Sollten Sie eine Abmahnung eines Nutzers oder ein offizielles Schreiben einer Datenschutzaufsichtsbehörde haben, kommen Sie gerne auf uns.
Auch bei Fragen bezüglich dieses oder eines unserer anderen Schwerpunktbereiche (https://ll-ip.com) sind wir gerne für Sie da. Unsere Anwältinnen und Anwälte beraten Sie schnell, kompetent und deutschlandweit. Dafür müssen Sie nur das nachfolgende Kontaktformular ausfüllen und uns Ihren Sachverhalt knapp schildern. Wir melden uns bei Ihnen und freuen uns auf Sie:
