shopify: Einsatz von US-Dienstleister sind idR rechtswidrig ....

[GLenk]

... so lautet die Bewertung der Aufsichtsbehörde aus RLP.

Wer sich für Shopify entscheidet, der nutzt (Stand November 2022) auch Dienste von US-Anbietern, die laut Schrems-II-Urteil aus dem Jahr 2020 nicht ohne Weiteres verwendet werden dürfen. ...
Auch das vom Datenschutzexperten empfohlene Transfer Impact Assessmes snt (TIA) erhielt ich nicht.

Zu diesem Zwischenergebnis kommt der Verantwortliche in dem Artikel Shopify illegal? Wie mir die Datenschutzbehörde die Nutzung meines Shopify Shops für rechtswidrig erklärte (Erfahrungsbericht)

Hier ist ein Verantwortlicher engagiert und mit großem Interesse am Thema und die zuständige Behörde setzt die Folgen von Schrems2 durch.

[Halifax]

Danke für den Hinweis. Ich habe shopify-Skripte ggf. bei Nutzung von Online-Shops in meinen Addons zugelassen und nicht soviel dabei gedacht. (so ganz checke ich es immer noch nicht, warum es problematisch ist). Bei den hunderten von Skripten, die einem in Online-Shops begegnen, ist es auch nicht so einfach, finde ich. Vielleicht müsste man mal ein "who is who" von den häufigeren Skripten anlegen...

[GLenk]

...shopify-Skripte ggf. bei Nutzung von Online-Shops in meinen Addons zugelassen .... (so ganz checke ich es immer noch nicht, warum es problematisch ist)....

Bei der EU-US-Transfer-Problematik ging es mE generell um eingebundene Dienste von US-Dienstleistern (Unterauftragsdienstleister). Diese werden nach meiner Wahrnehmung - selbst  für den Verantwortlichen - nur schwer nachvollziehbar durch shopify verwendet/eingebunden.
Für Kunden von mit shopify betriebenen Webseiten heißt es

Wir nutzen Service-Anbieter, die uns dabei helfen, unseren Händlern Services bereitzustellen.

Meist fehlt auch ein Hinweis zu Risiken bei Drittstaatentransfer  auf der obersten Ebene des Consentbanners (Art. 49 (1) DSGVO). Wenn überhaupt, findet man allgemeine Warnungen in den Datenschutzhinweisen. Selbst wenn ein so hervorgehobener Hinweise genutzt würde, ist es nach meiner Laienmeinung weiterhin strittig/fraglich, ob so pauschal einer Ausnahme für einen bestimmten Fall zugestimmt werden könnte.

In den allgemeinen Datenschutzhinweisen schließt shopify US-Transfers nicht aus:

Wir sind ein kanadisches Unternehmen, aber wir verarbeiten Daten von Einzelpersonen aus der ganzen Welt. Für den Betrieb unseres Unternehmens kann es sein, dass wir Ihre personenbezogenen Daten an Orte außerhalb Ihres Bundeslandes, Ihres Kantons oder Ihres Landes senden, darunter auch in die Vereinigten Staaten. Diese Daten können den Gesetzen der Länder unterliegen, in die wir sie senden. Wenn wir Ihre Daten in andere Länder senden, ergreifen wir Maßnahmen, um Ihre Daten zu schützen, und wir versuchen, Ihre Daten nur in Länder zu senden, die strenge Datenschutzgesetze haben.....
n ein Land außerhalb Kanadas senden (z. B. an unsere Unterauftragsverarbeiter), sind diese Daten durch vertragliche Verpflichtungen geschützt, die mit denen in Standardvertragsklauseln vergleichbar sind.

Obwohl wir alles Mögliche tun, um Ihre Daten zu schützen, kann es vorkommen, dass wir gesetzlich verpflichtet sind, Ihre personenbezogenen Daten offenzulegen (z. B. wenn wir einen gültigen Gerichtsbeschluss erhalten).

Als Nutzer fiel mir schnell auf
a) Einer dieser Dienstleister zB Cloudflare (M. Kuketz empfiehlt Alternativen).

b) Der Zahlungsdienstleister Googlepay wird oft (nicht immer) beim Gang zur Kasse im Hintergrund geladen, ohne dass der Kunde ausdrücklich diese Zahlungsart gewählt hätte. Das führt dann idR dazu, dass Google Analytics und ein weiter Werbedienst - Google Advertising Features - über die Domain Googlepay geladen werden, obwohl der Besucher im Consentbanner diese Dienste abgelehnt hatte. Details zu den Trackern sind auf tracktor.it zu finden.

Das sind nur die Dinge, die mir aufgefallen sind. Ich vermute, dass eine Behörde bei einer umfassenden Analyse mehr finden könnte.

Das Thema US-Transfer ist ja auch wieder in Bewegung:  noyb zur Angemessenheitsentscheidung der Europäischen Kommission

Wir werden den Entscheidungsentwurf in den nächsten Tagen im Detail analysieren. Da sich der Entscheidungsentwurf auf die bereits bekannte Executive Order stützt, glaube ich kaum, dass diese einer Anfechtung vor dem Gerichtshof standhalten wird. Die Europäische Kommission scheint immer wieder ähnliche Entscheidungen zu erlassen, die einen eklatanten Verstoß gegen unsere Grundrechte darstellen.

Um dort in den nächsten Jahren rechtssicher zu handeln, ist vermutlich der Verzicht auf diesen Dienstleister die bessere Wahl. Die "wenigen" shopify in Deutschland sind für das Unternehmen wohl nicht relevant.