Shopify Datenschutzwidrig?

There are 29 replies in this Thread which has previously been viewed 5,671 times. The latest Post (December 6, 2022 at 3:10 PM) was by HeikoF.

  • Da kann man im Prinzip das halbe deutsche Internet abschalten. Die meisten großen Seiten nutzen doch irgendein Content Delivery Network oder eine Web Application Firewall von Cloudflare oder Sucuri und wie sie alle heißen.

  • Datenschutz ansich ist eigentlich gut. Jedoch völlig falsch umgesetzt. Die Datenkraten dieser Welt sammeln fleißig und verwerten Nutzerdaten regelrecht brutal weiter ...

    Wer das nachsehen hat sind wir, die überhäuft mit Bestimmungen, Abmahnungen? kaum noch den Überblick haben ... und mal ehrlich die meisten von uns haben halt Kundendaten, die wenigsten werden die Daten wohl ausufernd weiternutzen wie die BigPlayer ...


    Ist halt das grundsätzliche Problem in unserem Land, es fehlt einfach an Fachkräften in diesem komplexen und rasend schnellen Thmenekomplex ... da kann man der Politik kaum eine Vorwurf machen, wenn die auf vermeintliche Experten hören, die wahrscheinlich eine Lobby vertreten, die nicht gut für den Mittelstand ist...

    Letztens erst gehört, in irgendeinem Landratsamt wurde der Hausmeister als IT Mensch eingesetzt, weil es einfach kein anderes Personal gibt ... Und seine Fähigkeiten sind mal ein Windows neu aufzuspielen ... Aber ok, der gibt halt das Beste im Rahmen seiner Möglichkeiten.

    Und das zieht sich durch die ganze Behördenwelt ... klar das dann die Mrd. schweren großen AG`s, regelrecht die Bestimmungen diktieren können, da es einfach an Kompetenz fehlt das alles zu checken...

  • Wurzel des Übels - wenn man es als das ansieht - ist, dass die IP Adresse zu den personenbezogenen Daten zählt. Vom EuGH so entschieden, da lässt sich nichts mehr rütteln. Ohne diese Einschätzung gäb es vieles was wir als Problem ansehen nicht. Denn wenn die IP nicht personenbezogen wäre, wäre eine Übermittlung unproblematisch.

    Unstrittig ist und war, dass IP Adressen nicht "bestimmt" im Sinne des § 3 Abs. 1 BDSG (vgl. Schulz in Roßnagel, BeckRTD-Komm., § 11 TMG Rn. 22; Gola/Schomerus, BDSG,
    12. Aufl., § 3 Rn. 10) sind. Steht so im BGH Urteil.

    Allerdings wurde die "Bestimmbarkeit" bejaht. Das geht in der Tat aber nur über den Zugangsprovider. Somit stehen diese Information nur einem sehr kleinen Kreis, nämlich nur dem Zugangsprovider erstmal zur Verfügung. Ggf. noch Strafverfolgungsbehörden. Wie gut die Personenzuordnung klappt (Sarkasmus) sieht man an den vielen Fällen von Strafanzeigen, die eingestellt werden, weil eben keine Personen Zuordnung möglich ist. Störerhaftung wurde auch weitestgehend abgeschafft.

    Ich frag mich da schon, wie Nicht-EU Internetteilnehmer rein anhand der IP einen Personenbezug herstellen sollen können?

    Jetzt muss ich aufhören mit dem Thema sonst müsste man Fragen, ob die Behörden wissen wie DNS funktioniert, warum die EU uns keine eigene IT Infrastruktur ermöglicht, warum Behörden überhaupt noch US Betriebssysteme wie Windows einsetzen dürfen die mit dem Internet verbunden sind ...


  • Fachkräfte sollte es eigentlich genug geben. Mein Sohn hat nun den Bätscheler in Informatik. Anfangsgehalt im ersten Job knapp 70k plus Nebenleistungen. Mit 24.


    Fachkräfte gibt es, keine Frage.
    Aber wenn Behörden ITler mit E9, vielleicht auch mal mit E11, besolden möchte, findet man eben nur solche, die keine Fachkräfte auf dem Gebiet sind. Denn diese gehen in die Wirtschaft und verdienen dort das 3-5 fache.

  • Einstiegsgehalt E9 im öffentlichen Dienst sind ca. 3.000 Euro brutto. Der Bund zahlt mehr als die Kommunen, die meisten werden jedoch eher bei der Stadt/Landkreis/Land angestellt sein als beim Bund.
    Und ob 36k Brutto/Jahr für einen ITler so anziehend sind, ich weiß ja nicht.
    Selbst ggf. mit ein paar Zulagen sind auch 35-45k im Jahr nichts im Vergleich zur Wirtschaft, zumal das Steigerungspotential auch dort höher ist.

    So lange das so bleibt, wird die öffentliche Verwaltung nur schwer qualifizierte IT-Leute finden.

  • Ein großes Problem der Behörden ist die Attraktivität ... vom Geld mal ganz abgesehen ... Bundesbehören stehen ein wenig besser da, im Rahmen ihrer Möglichkeiten, aber um so regionaler es wird ... wird es richtig düster ...

    Welcher 24 Jährige hat auf eine Amtsstube mit 70er Jahr Flair Bock, mit Vorgesetzten/ Mitarbeitern die teilweise noch in der gleichen Zeit verweilen ... :konfuzius:

    Ich war erst gestern in meinem Bürgeramt, habe ca. 10 Minuten im Wartebereich gesessen und ungelogen 6x das Wort FAX aufgeschnappt .. wegrenn

    Da ist verständlich, das die Mehrheit lieber in die freie Wirtschaft geht...


  • Welcher 24 Jährige hat auf eine Amtsstube mit 70er Jahr Flair Bock, mit Vorgesetzten/ Mitarbeitern die teilweise noch in der gleichen Zeit verweilen ... :konfuzius:

    Aber die wollen doch alle eine Work-Life-Balance, die mehr auf Life als auf Work basiert. Wenn da nicht der öffentliche Dienst prädestiniert ist, was dann?


  • Allerdings wurde die "Bestimmbarkeit" bejaht. Das geht in der Tat aber nur über den Zugangsprovider. Somit stehen diese Information nur einem sehr kleinen Kreis, nämlich nur dem Zugangsprovider erstmal zur Verfügung. Ggf. noch Strafverfolgungsbehörden. Wie gut die Personenzuordnung klappt (Sarkasmus) sieht man an den vielen Fällen von Strafanzeigen, die eingestellt werden, weil eben keine Personen Zuordnung möglich ist. Störerhaftung wurde auch weitestgehend abgeschafft.

    Ich frag mich da schon, wie Nicht-EU Internetteilnehmer rein anhand der IP einen Personenbezug herstellen sollen können?

    Art. 4 DSGVO impliziert ja bereits, dass personenbeziehbar völlig ausreicht. Und einen Personenbezug herzustellen ist ja nun bei weitem nicht nur einem Zugangsprovider oder einer Strafverfolgungsbehörde möglich. Mein Android-Handy beispielsweise teilt meine IP-Adresse am laufenden Band mit Google und ganz vielen anderen Diensten. Viele dieser Dienste (Google sowieso) wissen wer ich bin, ich musste mich ja mal registrieren. Geh ich jetzt mit dem Notebook auf irgendeine beliebige Seite auf der Google Fonts oder Google Analytics eingebunden sind, übermittel ich die gleiche IP-Adresse und der Personenbezug ist sofort hergestellt. Obwohl ich auf dem Notebook in gar keinen Google-Account eingeloggt bin. Gleiches gilt natürlich für Microsoft, Amazon, Facebook und was man sonst noch alles so nutzt.

    Den Artikel der IT-Recht Kanzlei finde ich teilweise reichlich schräg, insbesondere die Argumentation, dass Shopify sich ja vielleicht ganz eventuell zwischen den User und den CDN-Anbieter schaltet und die IP-Adresse dadurch dann ja gar nicht beim CDN ankommen würde. Erstens bräuchte ich dann kein CDN, das würde die Sinnhaftigkeit (Latenz, DDoS-Angriffe) ja völlig ad absurdum führen, zweitens braucht man nur mal irgendeinen beliebigen Shopify-Shop aufrufen und im Browser in die Netzwerkkonsole gucken. Die angefragten IPs gehören alle den 3 genannten CDN-Anbietern, nicht Shopify.

    Das zweite strange Argument ist, dass die CDNs ja vielleicht gar keine IP-Adressen erheben. Wohin sollen die angefragten Daten denn geschickt werden, wenn sie die IP-Adresse nicht zumindest zwischenspeichern? Technisch gar nicht möglich, dass die IP-Adressen nicht zumindest temporär erhoben werden.

    Und dann kommt auch noch, dass die CDNs ja vielleicht ganz eventuell die Daten nicht in ein Drittland übermitteln sondern ausschließlich EU-Server genutzt werden. Argumentiert wird dann mit dem Wortlaut der DSGVO, obwohl der EuGH sein Urteil zum Privacy Shield u.a. auch mit dem CLOUD Act begründet hat. Das "OU" in CLOUD steht für "Overseas Use". Hat also gar keine Relevanz, ob das jetzt in der EU verarbeitet/gespeichert oder tatsächlich in ein Drittland übertragen wird, weil bereits höchstrichterlich geurteilt wurde, dass DSGVO und CLOUD Act nicht miteinander kompatibel sind.

    Irgendwie hat sich die IT-Recht Kanzlei hier ziemlich verrannt.

    Disclaimer: Das was ich eben geschrieben habe hat keinerlei Bezug zu meiner Meinung was die Sinnhaftigkeit von GDPR/DSGVO etc. pp. angeht. Ich hab mich lediglich über die Argumentation von mwp und die Argumentationskette der IT-Recht Kanzlei gewundert.


  • Hier der aktuelle Erfahrungsbericht eines langjährigen Shopify-Groupies - https://lsww.de/shopify-illegal/

    Das hab ich jetzt erst gesehen. Da bestätigt Shopify sogar schriftlich, dass die Vorwürfe (Übermittlung der IP-Adresse in die USA zu den CDNs) des Datenschutzbeauftragten zutreffen und ein paar Tage später schreibt die IT-Recht Kanzlei, dass das ja vielleicht gar nicht der Fall ist? Obwohl das zusätzlich sogar schwarz auf weiß in deren Datenschutzerklärung steht!?!

    Ich weiß ja nicht. Irgendwie fehlt mir da auch jegliches Mitleid. Das Urteil des EuGH zum Privacy Shield wurde nun wirklich in allen Medien hoch- und runterdiskutiert. Dass die Datenschutzbehörden das irgendwann umsetzen werden hätte dem "Shopify-Groupie" doch eigentlich klar sein müssen. :gruebel:


  • Ich hab mich lediglich über die Argumentation von mwp ... gewundert.

    Meine Argumentation zielt alleine darauf ab

    Quote

    rein anhand der IP einen Personenbezug

    Keiner der genannten Dienste macht - nach meinem Kenntnisstand - Profiling rein anhand der IP Adresse. In den meisten Fällen reicht alleine die IP eben nicht. Genau das schreibt Labskaus treffend. In Zusammenspiel mit anderen Informationen können Dienste wie Google die IP Adresse benutzen, einen User besser eindeutig zu identifizieren. Das bekommen die meisten aber auch ohne IP (die sich noch dazu bei vielen ständig wechselt und vielfach von mehreren Usern genutzt wird) viel besser hin.

    Quote

    Art. 4 DSGVO impliziert ja bereits, dass personenbeziehbar völlig ausreicht.

    Unstrittig. Habe ich auch geschrieben. Die Gesetzeslage ist eindeutig. Falls es falsch rüber kam: Ich finde einige Dinge an der DSGVO gut, aber nicht alles. So dürfte es den meisten gehen.

    Letzte Anmerkgung

    Geh ich jetzt mit dem Notebook auf irgendeine beliebige Seite auf der Google Fonts oder Google Analytics eingebunden sind, übermittel ich die gleiche IP-Adresse und der Personenbezug ist sofort hergestellt. Obwohl ich auf dem Notebook in gar keinen Google-Account eingeloggt bin. Gleiches gilt natürlich für Microsoft, Amazon, Facebook und was man sonst noch alles so nutzt.


    In unserem Haushalt klappt der Personenbzug regelmäßig genau aus diesem Grund nicht. Merkt man daran, dass ich von Google Werbung eingeblendet bekomme, wonach ein anderes Haushaltsmitglied vorher auf dem Smartphone gesucht hatte. Das wiederum halte ich auch für sehr bedenklich. Aber das wird jetzt zu off-topic.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!