Zitat von MartynaStankeviciute am 12. Dezember 2022, 10:05 Uhr

Ein Onlinehändler, der seit Jahren über eine Shopify-Präsenz sein Geld verdient, gerät in die Mühlen der Verwaltung, genauer einer Landesdatenschutzbehörde. Es geht um angebliche Datenschutzverletzungen, doch die Unterstützung von Shopify bei der Klärung des Sachverhalts fällt bisher dünn aus.

Ein interessanter Fall sorgt derzeit in den einschlägigen Händlerforen im Internet für Aufsehen. Christian Häfner betreibt seit 2015 ein Kaffee-Online-Business mit einem zwischenzeitlich immerhin siebenstelligen Umsatz. Der Händler bezeichnet sich als Fan von Shopify und hat auch in der Vergangenheit gute Erfahrungen mit dem Shopsystem in der Cloud gemacht. „Shopify ist aus meiner Sicht das Shopsystem mit den meisten Innovationen und der mit Abstand besten User-Experience. Bis heute“, schwärmt Häfner.

Doch nun sieht es so aus, dass dem Händler die deutsche Verwaltung einen Strich durch die Rechnung macht. Auch wenn in den EMEA-Ländern nur ein Bruchteil des Umsatzes gemacht wird (die Rede ist von 16 Prozent), spielt der EU-Raum für Shopify eine wichtige Rolle, zumal Tobias Lütke, Gründer von Shopify, Deutscher ist und in sofern den hiesigen Markt und die mit Deutschland verbundene strenge Linie in Sachen Datenschutz kennt.

Die Landesdatenschutzbehörde für Rheinland-Pfalz erklärte im Juni diesen Jahres den Einsatz der von Shopify verwendeten CDN Fastly und Cloudflare für rechtswidrig, wie der Händler erklärt – ein ernsthaftes Problem für viele Händler wie Häfner und eine Aussage mit dramatischen Folgen. So erhielt Häfner einen Brief des Landesdatenschutzbeauftragten von Rheinland-Pfalz, in dem ein Beschwerdeführer geltend mache, „dass über Ihre Webseite … Nutzungsdaten an US-amerikanische Diensteanbieter übermittelt werden“.

Wer dieser Beschwerdeführer war, der sich da beschwert hat, bleibt unklar. Doch auch nachdem der Händler das Problem, das mit einem Consent-Banner zu tun hatte, behob, gab es keine Ruhe. In einem zweiten Brief wurden Localstorage und Third Party Requests bemängelt, danach in einem weiteren Schreiben unter Strafandrohung die verwendeten Dienste Cloudflare, Fastly und Cloudfront.

Der Händler musste ein neues Shopsystem finden

Letzten Endes gelang es dem Händler auch nicht, unter Hinzuziehung von Shopify und einem eigenen externen Datenschutzbeauftragten, das Problem aus der Welt zu schaffen. Weder der Support von Shopify noch deren Legal Support konnten beziehungsweise wollten die Behörde überzeugen, sodass sich der Händler genötigt sah, seinen Shop von dem Dienst zurückzuziehen und sich eine andere Lösung zu suchen.

Es habe zu dem Zeitpunkt, so erklärt Häfner, auch kein Engagement gegeben, das Problem seitens Shopify zu lösen. „Es gab leider zu dem Zeitpunkt auch keine Bemühungen von Shopify, direkt mit der Behörde Kontakt aufzunehmen oder mir einen internen Legal Experten an die Hand zu geben. Auch das vom Datenschutzexperten empfohlene Transfer-Impact-Assessment (TIA) erhielt ich nicht.“

Shopify meldet sich zu Wort – anders als erwartet

Erst jetzt, nachdem die Sache auch international für Aufsehen gesorgt hat und in den einschlägigen Gruppen eskaliert, erklärt CEO Tobi Lütke via Twitter, man hätte hier klarer kommunizieren müssen, dass man sich in Deutschland auf legalem Boden befinde, und den Kontakt zu den Behörden suchen müssen. „Natürlich ist das falsch und Shopify ist in Deutschland völlig legal. Das ist genau der Grund, warum diese ganze Regulierungslast kleine Unternehmen so viel schlimmer trifft als große Unternehmen.“

Und damit trifft er einen wichtigen Punkt, auch wenn der nächste Satz von wenig Einsicht zeugt: „Warum er (gemeint ist Häfner – d. Red.) beschlossen hat, noch mehr FUD zu posten, ist mir allerdings schleierhaft.“ FUD steht für „Fear, Uncertainty and Doubt“ – also Verunsicherung. Denn anstatt sich zu beklagen, dass Häfner den Fall öffentlich macht, sollte das Unternehmen hier schon im eigenen Interess und in dem der zahlreichen Kunden, die Shopify-Instanzen verwenden, für Klarheit und Rechtssicherheit sorgen. Sich hier als Anbieter einer nicht ganz kleinen Plattform rauszuhalten, kann nicht die Lösung sein, gerade in einem nicht ganz kleinen Markt wie Deutschland.

„Es scheint an Wissen seitens der Behörden und/oder Dokumentation seitens Shopify zu mangeln“, erklärt Häfner als Antwort. „Als Inhaber eines kleinen Unternehmens sollte ich nicht derjenige sein, der sich um die Klärung kümmert. Ich habe vor vier Monaten versucht, die Dinge mit Shopify über verschiedene Kanäle zu klären. Es war eine Sackgasse für mich und ich fühlte mich von Shopify im Stich gelassen.“ Angesichts des drohenden Bußgelds im fünfstelligen Umfang durchaus nachvollziehbar, dass sich der Händler hier in Zugzwang befand.

Wichtig ist aber gerade für kleinere Händler, dass eine Plattform, die sich als Cloud-Partner auf die Fahnen geschrieben hat, für die Händler das ganze Geschäft des Hostings der Shoplösung zu übernehmen, ihren Kunden dann auch tatsächlich solche rechtlichen Fragen im jeweiligen Land abnimmt. Denn dass ein Händler in dieser Art zwischen die Mühlen der Justiz geraten kann, ist nicht nur erschreckend, sondern eigentlich auch gerade das, was nicht passieren darf.

Rechtsunsicherheit auch für andere Händler?

Denn Häfner musste binnen weniger Wochen einen neuen Shop aufbauen und mehr also 1.000 Abokunden darüber informieren und sie bitten, im neuen Shop ein neues Abo zu buchen, da eine nahtlose Überführung aus rechtlichen wie technischen Gründen nicht möglich war. „Das in Kombination mit einem ohnehin schwierigen Kaffeemarkt (steigende Rohkaffee- und Gaspreise) und der anhaltenden Inflation belastet unseren Kaffee-Shop recht stark. 2022 wird für uns das erste Jahr mit negativem Wachstum.“

 

Ihm nutzt die zumindest geäußerte Einsicht von Shopify wenig, da er „nichts Handfestes“ gegenüber der Behörde in die Hand bekommen hat und sich dem Vernehmen nach auch zehn Tage nach seiner ersten Veröffentlichung Shopify noch nicht vermittelnd eingesetzt habe. Auch wenn sich auf höherer politischer Ebene die Datenschützer der EU und der USA um eine Lösung des eigentlichen Sachverhalts bemühen, bleibt für viele Onlinehändler und Websitebetreiber die Unsicherheit, wie sie mit US-Dienstleistern im Sinne der DSGVO umzugehen haben.

Es handelt sich bekanntermaßen nicht um ein neues Betätigungsfeld von Abmahnenden, auch wenn der neue Fall einmal mehr aufzeigt, wie gravierend die Auswirkungen für Handeltreibende sein können. Möglicherweise ist hier aber der Onlinehändler im Coffee-Umfeld nicht der einzige, den das Schicksal ereilt hat, Post von den Datenschützern zu bekommen – auch wenn bislang keine weiteren Fälle dieser Art bekannt wurden. Weitere Betroffene können sich gerne bei uns melden.