{"id":1021,"date":"2024-08-09T00:00:00","date_gmt":"2024-08-09T00:00:00","guid":{"rendered":"https:\/\/decareto-test.qivoro.han-solo.net\/2024\/08\/09\/shopify-and-gdpr-compliance\/"},"modified":"2025-01-03T14:53:42","modified_gmt":"2025-01-03T14:53:42","slug":"shopify-und-dsgvo-konformitat","status":"publish","type":"post","link":"https:\/\/decareto.com\/de\/shopify-und-dsgvo-konformitat\/","title":{"rendered":"Shopify und DSGVO-Konformit\u00e4t"},"content":{"rendered":"\n

Was ist Shopify?<\/h2>\n\n\n\n

Shopify ist eine Cloud-basierte E-Commerce-Plattform, die es H\u00e4ndlern erlaubt, auch ohne Programmierkenntnisse Online-Shops zu erstellen und zu betreiben. Shopify \u00fcbernimmt dabei das Hosting und die Verwaltung. \u00dcber ein \u00d6kosystem von externen „Apps“, die in den eigenen Shop eingebunden werden k\u00f6nnen, sind Shopify-Shops leicht erweiterbar um Funktionen f\u00fcr Buchhaltung, Logistik, Marketing oder Rechtssicherheit.<\/p>\n\n\n\n

Shopify Inc., ist ein Kanadisches Unternehmen und hat seinen Hauptsitz in 151 O\u2019Connor Street, Ground floor, Ottawa, Ontario, K2P 2L8.<\/p>\n\n\n\n

Shopify betreibt Online-Pr\u00e4senzen f\u00fcr \u00fcber 2 Millionen H\u00e4ndler, der Shopify App Store enth\u00e4lt 13.000 Apps.<\/p>\n\n\n\n

Ist Shopify DSGVO-konform?<\/h2>\n\n\n\n

F\u00fcr eine Beurteilung der DSGVO-Konformit\u00e4t ist u.A. relevant, in welchen L\u00e4ndern Shopify personenbezogene Daten verarbeitet, wobei nicht nur die Standorte der Rechenzentren, sondern auch der Hauptsitze der beteiligten Unternehmen ber\u00fccksichtig werden m\u00fcssen.<\/p>\n\n\n\n

Shopify ist ein kanadisches Unternehmen und nutzt als Hosting-Infrastruktur die Google Cloud Platform (USA). Zus\u00e4tzlich wird zur Skalierung das Content-Delivery-Network des Unternehmens Cloudflare eingesetzt (ebenfalls USA).<\/p>\n\n\n\n

Eine Datenverarbeitung ist grunds\u00e4tzlich nur f\u00fcr L\u00e4nder in der EU zul\u00e4ssig oder f\u00fcr solche, f\u00fcr die es einen Angemessenheitsbeschluss gibt. Dies ist bei Kanada der Fall. F\u00fcr die USA liegt ein Angemessenheitsbeschluss vor f\u00fcr Unternehmen, die zertifiziert im EU-US-Data Privacy Network sind. Cloudflare und Google sind beide im DPF zertifiziert (Stand 05.08.2024), damit ist die Nutzung zun\u00e4chst rechtlich zul\u00e4ssig.<\/p>\n\n\n\n

Shopify-Shops greifen aber praktisch immer auf zus\u00e4tzliche externe Dienste zur\u00fcck, die teilweise ebenfalls personenbezogene Daten verarbeiten oder Cookies setzen, und damit f\u00fcr die Beurteilung der DSGVO-Konformit\u00e4t relevant sind.<\/p>\n\n\n\n

F\u00fcr einen DSGVO-konformen Einsatz m\u00fcssen zus\u00e4tzlich noch weitere Pflichten erf\u00fcllt werden (s.u.).<\/p>\n\n\n\n

Werden durch Shopify Cookies gesetzt?<\/h2>\n\n\n\n

Shopify setzt nach eigenen Angaben die folgenden Cookies:<\/p>\n\n\n\n

_identity_session<\/td>Enth\u00e4lt die ID der Identit\u00e4tssitzung des Nutzers.<\/td>2y<\/td><\/tr>
checkout<\/td>Wird in Verbindung mit dem Checkout verwendet.<\/td>21d<\/td><\/tr>
user<\/td>Wird in Verbindung mit dem Shop-Login verwendet.<\/td>1y<\/td><\/tr>
_assignment<\/td>Shopify-Analysen<\/td>1y<\/td><\/tr>
_landing_page<\/td>Erfasst die Landing Page von Besuchern, die von anderen Websites kommen.<\/td>2w<\/td><\/tr>
_orig_referrer<\/td>Erm\u00f6glicht es H\u00e4ndlern zu erkennen, von welchen Orten die Besucher zu ihnen kommen.<\/td>2w<\/td><\/tr>
_shopify_s<\/td>Dient zur Identifizierung einer bestimmten Kombination aus Browsersitzung und Shop. Wird jeweils nach 30 Minuten nach der letzten Nutzung automatisch gel\u00f6scht.<\/td>30min<\/td><\/tr>
_shopify_sa_t<\/td>Erfasst die Landing Page von Besuchern, die von anderen Websites kommen, um Marketing-Analysen zu unterst\u00fctzen.<\/td>30min<\/td><\/tr>
_shopify_y<\/td>Shopify-Analysen<\/td>1y<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Wie pr\u00fcft man externe Dienste und Cookies in einem Shopify-Shop?<\/h2>\n\n\n\n

Ein wesentlicher Bestandteil der DSGVO-Konformit\u00e4t eines Shopify-Stores ist der Einsatz eines Consent-Banners, damit Benutzer eine rechtskonforme Einwilligung geben k\u00f6nnen. Bevor diese erteilt wurde, d\u00fcrfen keine Dienste geladen werden, die eine Einwilligung ben\u00f6tigen, und es d\u00fcrfen auch keine Cookies gesetzt werden, die nicht f\u00fcr den Betrieb des Shops notwendig sind.<\/p>\n\n\n\n

Wenn Apps im Shop verwendet werden, so werden oft Verbindungen zum Webserver des Betreibers der App aufgebaut, und die Apps setzen m\u00f6glicherweise auch Cookies. Eine Bewertung muss im Einzelfall erfolgen.<\/p>\n\n\n\n

Idealerweise sollte der Shop ohne Eiwilligung keine Netzwerkaufrufe zur Servern durchf\u00fchren, die nicht zu Shopify geh\u00f6ren, d.h. zu anderen Domains als<\/p>\n\n\n\n