Während ein Großteil der aus den neuen DSGVO Regelungen resultierenden Aufgaben, auf Händlerseite liegen, gibt es andere Bereiche, wo die Shop-Plattform Anbieter (so auch Shopify) gefragt sind.
Umso erstaunlicher ist es, dass man von Shopify Seite aus bisher sehr wenig hört. Anfragen zu diesem Thema werden immer wieder auf die sehr generell gehaltenen Blogbeiträge verwiesen oder auf das Whitepaper geleitet. Doch so richtig vertrauenserweckend scheint dies nicht. Kann man Shopify wirklich vertrauen? Arbeiten sie wirklich an Anpassungen?
Ich glaube, ich kann hier ein wenig entwarnen. Ich hatte die Chance mich in den letzten Wochen mit dem Deutschen Partnerbeauftragten von Shopify, Hagen Meischner, hierzu auszutauschen. Zudem konnte ich auf der Shopify Unite 2018 sowohl mit dem CEO Tobias Lütke, als auch dem Data Protection Officer Vivek Narayanadas Rückmeldung zu diesem Thema sprechen. Die Botschaft: Shopify arbeitet derzeit akribisch daran, die Anpassungen vorzunehmen. Von ihrer Seite aus wurde immer wieder bestätigt: Rechtzeitig zum Inkrafttreten der neuen DSGVO Regelungen wird Shopify am 25.05.2018 die neuen Funktionen bereithalten.
Doch woran arbeitet Shopify genau?
Basierend auf den Vorstellungen auf der Shopify Unite 2018, den Ankündigungen und dem, was ich in den Gesprächen erfahren habe, versuche ich dies nun kurz zusammenzufassen. Für alle Interessierten empfiehlt sich zudem der Auftritt von Vivek Narayanadas auf der Shopify Unite 2018:
Recht auf Vergessen werden – die Löschfunktion:
Shopify wird die Funktion, Kundenprofile im Backend zu löschen, anbieten. Dies ist essentiell, denn mit der neuen DSGVO werden Kunden die Möglichkeit haben das Löschen persönlicher Daten einzufordern.
Recht auf Auskünfte – der Datenexport von gespeicherten Kundeninformationen:
Gleichzeitig wird Shopify ein Tool anbieten, das erlaubt die auf den Shopify Servern gespeicherten Kundeninformationen als PDF zu exportieren. So kann man als Händler der Auskunftspflicht nachkommen. Dies beinhaltet zu Beginn nur die Daten von Shopify, nicht jedoch die, die von Seiten der App-Entwickler gespeichert werden. So bleibt mir weiterhin unklar, wie man die Daten von App-Anbietern einfordern kann. In einer Ankündigung an App-Partner wurde jedoch bereits eine Webhook angekündigt, die ebenfalls automatisiert Auskunft zu personenbezogenen Daten von einzelnen Personen anfordern kann.
Konformität der App-Anbieter:
Shopify’s große Stärke, der App-Anbietermarkt und das große Ökosystem, ist in diesem Zusammenhang gleichzeitig auch ihre Schwäche. Denn so sehr die Auswahl an Apps immer weiter zunimmt und besser wird für Händlerseite, so sehr ist es ein Alptraum für den Händler in Bezug auf DSGVO-Konformität. Hier schien noch keine ideale und finale Lösung gefunden. Jedoch kommuniziert Shopify bereits mit den App-Anbietern um grundlegende Standards zu erreichen.
Ein Bereich zum Upload der Datenschutzerklärung wird dann im App-Store angeboten, wo App-Anbieter angehalten werden den Shopify Händlern mitzuteilen was für personenbezogene Daten verarbeitet werden. Um sicherzustellen, dass diese auch die benötigten Informationen beinhalten, gibt Shopify den App-Entwicklern eine Vorlage mit benötigten Informationen an die Hand.
Informationen für Händler vor App-Download:
Dem Händler werden basierend auf Aussagen von Vivek Narayanadas ebenfalls Informationen von Shopify bereitgestellt, mit denen dieser beim Download einer neuen App direkt einsehen kann, welche personenbezogenen Daten von dieser App zukünftig ausgelesen werden können.
Automatisches Informieren der Apps über Löschen von personenbezogenen Daten:
Neben der Möglichkeit personenbezogene Daten, die auf Shopify’s Servern gespeichert werden, zu löschen, wird Shopify zudem die Funktion anbieten automatisiert ihre App-Anbieter darüber unterrichten dasselbe zu tun. So muss nicht der Händler in diesem Fall jeden App-Anbieter einzeln anschreiben und auffordern personenbezogene Daten von einer Person zu löschen, sondern Shopify wird dies übernehmen und automatisiert ausführen. Wie genau der Prozess jedoch aussieht und wie stark App-Anbieter über die korrekte Ausführung überprüft werden wurde nicht genannt.
Apps für weitere Händlerunterstützung:
Ebenfalls scheinen diverse Unternehmen bereits an Apps zur Unterstützung der Händler zu arbeiten. So gibt es bereits Cookie Banner (bei dessen Sinn bzw. Rechtmäßigkeit die Meinungen auseinandergehen). Ebenfalls heisst es von Händlerbundseite, dass diese ebenfalls an einem Tool arbeiten, das standardisiert Daten von allen zentralen Apps und Anbietern automatisiert anfragen und an den Kunden gebündelt schicken, sollte dieser von dem Recht Gebrauch machen und von Shopify Händlern einfordern Einsicht in sämtliche seiner gespeicherten Daten zu erlangen. Auch andere Anbieter arbeiten bereits hieran.
Fazit:
Es bleibt also spannend. Wenn Shopify diese Funktionen herausbringt, wäre ein großer Schritt getan. Ob es sinnvoll ist diese Funktionen so lange zurückzuhalten und bis zum 25.05.2018 damit zu warten bleibt fraglich, ebenso warum sich Shopify so bedeckt in der Kommunikation hält. Jedoch werden sie ihre Gründe hierfür haben. Es ist vermutlich ein großes Unterfangen – vor allem mit der Anzahl an Drittanbietern im App-Store.
Die Gespräche mit den verschiedenen Shopify Mitarbeitern und Vertretern geben mir jedoch Zuversicht, dass Shopify ihr Wort halten wird und mit Start der neuen DSGVO am 25.05.2018 diese neuen Features herausbringen wird. Zudem hat man 30 Tage Zeit dem Kunden die Auskunft über seine Daten zu geben. Selbst wenn also alles schieflaufen sollte, ein wenig Karenzzeit bleibt noch.
RELEVANTE LINKS ZUM BLOG POST:
Was muss man als Shopify Händler tun, um sich auf die DSGVO anzupassen? Hier ein kleiner Erfahrungsbericht und Schritt-für-Schritt Anleitung.
Du möchtest mehr zur DSGVO erfahren und Fragen an einen Juristen & Datenschutzexperten stellen? Dann melde Dich für unser nächstes Shopify Berlin Meetup an. Dort wird ein Jurist des Händlerbunds einen Schnelldurchlauf aller wichtiger Dinge explizit für Shopify Händler halten. Hier geht’s zur Anmeldung.