Shopify Datenschutzwidrig?

There are 29 replies in this Thread which has previously been viewed 5,694 times. The latest Post (December 6, 2022 at 3:10 PM) was by HeikoF.

  • Kennt jemand eigentlich eine deutsche / europäische Cloudflare Alternative, die in etwa das Gleiche anbietet - d.h. CDN, Web Application Firewall (WAF), DDOS Schutz und auch für kleine Unternehmen preislich attraktiv ist?


  • In unserem Haushalt klappt der Personenbzug regelmäßig genau aus diesem Grund nicht. Merkt man daran, dass ich von Google Werbung eingeblendet bekomme, wonach ein anderes Haushaltsmitglied vorher auf dem Smartphone gesucht hatte. Das wiederum halte ich auch für sehr bedenklich. Aber das wird jetzt zu off-topic.

    Bei mir funktioniert das Profiling auch nicht. Ich hab immer noch keine Ahnung, was ich mit einem Treppenlift soll. Und ich bin auch nicht empfänglich für diese YouTube-Werbung von irgendwelchen Typen, die einem in ihrem für dieses Video für 1 Stunde geliehenen Maserati erklären wollen, wie man 30.000 Euro am Tag verdient. Super schlaue KI, die Google da benutzt. Ich hab noch nie aufgrund irgendeiner Google-Werbung irgendetwas gekauft...

    Zu der Sache mit der IP: Die DSGVO zielt ja aus gutem Grund nicht darauf ab, was tatsächlich passiert bzw. gemacht wird, denn das kann ja niemand überprüfen. Die DSGVO soll ein Schutz sein, der dafür sorgt, dass etwas, was man machen könnte (Profiling zum Beispiel) gar nicht erst möglich ist. Gerade deshalb geht für mich auch dieser Artikel der IT-Recht Kanzlei so völlig am Thema vorbei. Die stellen immer wieder die Frage, ob denn dies oder jenes bei Verwendung von Shopify auch wirklich passiert. Dabei ist das für die Frage, ob ich Daten übertragen darf oder nicht gar nicht relevant.

    Dass mehrere Personen die gleiche IP-Adresse haben können stimmt natürlich. Sobald ich mit meinem Handy nicht mehr im WLAN bin hab ich mittlerweile allerdings eine völlig individuelle IPv6-Adresse. Egal welchen Browser ich dann auf dem Handy verwende, Google weiß dass ich es bin sobald die Seite irgendetwas von Google einbindet. Netzwerke wie Cloudflare haben durch ihre Verbreitung mittlerweile 2/3 meiner Browser-History. Ich bin da ziemlich zwiegespalten, vor allem auch deshalb, weil es ja problemlos möglich ist ohne Google Fonts, Analytics, Cloudflare etc. auszukommen. Man braucht es schlicht und einfach nicht, es gibt ja genug Alternativen.

    Irgendjemand schrieb hier noch irgendwas von Office 365: Ist in BaWü an Schulen tatsächlich verboten und in Krankenhäusern (mein ehemaliger Arbeitgeber) oftmals auch. Patientendaten sind ein ganz heißes Eisen was Datenschutz betrifft. Lies sich schlicht und einfach mit Office 365 nicht realisieren. Und das lag wiederum unter anderem auch daran, dass man in Windows die Telematik nur komplett loswerden kann indem man Microsoft-Domains im Netzwerk blacklisted. Ist alles völlig wild. :durchdreh:


  • Kennt jemand eigentlich eine deutsche / europäische Cloudflare Alternative, die in etwa das Gleiche anbietet - d.h. CDN, Web Application Firewall (WAF), DDOS Schutz und auch für kleine Unternehmen preislich attraktiv ist?

    Hier sind ein paar Anbieter:

    https://www.kuketz-blog.de/cloudflare-cdn…schland-europa/

    Aber braucht man das als kleines Unternehmen wirklich? Einen guten Hoster wie Hetzner oder Host Europe mit DDoS kleinzukriegen muss man erstmal schaffen. Gab's das überhaupt schon mal? Und die Latenz liegt sogar unter der von Cloudflare. Wofür genau könnte ein kleines Unternehmen ein CDN gebrauchen? :gruebel:

  • Eine Web Application Firewall als zusätzlichen Schutz z.B. gegen Zero Day Exploits halte ich nicht für verkehrt.

    DDos ist durchaus ein Thema auch für kleine Webseiten. Ich betreue noch ein China bezogenes Projekt, das war mal wochenlang unter Attacke aus der Volksrepublik. Da hab ich auch auf cloudflare zurückgegriffen, sonst wäre das weg gewesen.

    Bei meinem Shop hatte ich auch schon eine DDos Erpressungsgeschichte, das hat damals der Webhoster noch hinbekommen, war aber schon an der Grenze. Ging mehrere Wochen lang.

    Also die Denke: Ich bin klein, von mir will keiner was ist leider zu kurz gegriffen.


  • ...
    Bei meinem Shop hatte ich auch schon eine DDos Erpressungsgeschichte, das hat damals der Webhoster noch hinbekommen, war aber schon an der Grenze. Ging mehrere Wochen lang.

    Also die Denke: Ich bin klein, von mir will keiner was ist leider zu kurz gegriffen.

    Solche Erpresser-Mails, die das Äquivalent von ein paar tausend Dollar in BTC haben wollen, und einen DDOS androhen, habe ich ungefähr einmal im Jahr. Der einzige DDOS, von dem ich weiß, dass er tatsächlich stattgefunden hat lief ins Leere, da ich gerade einen Serverumzug fertig hatte, und der Angriff auf die IP vom alten Server zielte. Ich habe nur in der Service-Konsole von HE gesehen, dass der alte VPS wegen DDOS gerade nicht so gut erreichbar ist.

    Das Datenschutz-Thema finde ich extrem nervig. Die Cookie-Banner sind eigentlich sinnlos. Wenn man endlich durchsetzt, dass die Auswahl der Cookies nicht vorausgefüllt wird und keine irreführende Schaltflächenbeschriftung verwendet wird, wird kein Mensch Cookies und Tracking einschalten. Wenn es also nicht vorausgewählt werden darf und kein Mensch das jemals einschalten wird, können diese :shit: Banner endlich verschwinden. Darüber hinaus finde ich, dass die Firmen, die heute Cookie-Bannerlösungen anbieten genau so wenig vertrauenswürdig sind, wie die Tracking-Anbieter. Wer fragt denn nach meinem Einverständnis, ob meine IP-Adresse an den Cookie-Banner Anbieter weitergegeben werden darf, das müsste ja geschehen, bevor der Banner angezeigt wird.

  • Guten Morgen! :winken:

    Jede Wette: das ist absolut gar kein Problem für einigermaßen prof. Angriffe.

    Ich weiß es nicht. Ich weiß nur, dass Host Europe (wie jeder andere Provider auch) regelmäßig mit DDoS-Angriffen zu tun hat und die zumindest bis jetzt immer sehr erfolgreich abgewehrt hat.

    Hingegen kann ich mich noch gut daran erinnern, dass Cloudflare Mitte Juni mitten in der Geschäftszeit das halbe Internet lahmgelegt hat. Offiziell hatten sie das Problem nach 2 Stunden behoben, aber natürlich nur auf deren Seite. Bis alles wieder gesynct war waren 14 Stunden vergangen.

    Davon, dass CDNs oftmals jegliche Verschlüsselung brechen, weil sie selber den TLS-Schlüssel besitzen müssen will ich gar nicht erst anfangen. Kannst du ja keinem Kunden verkaufen, dass er in seinem Browser ein Schlosssymbol für eine vollverschlüsselte Verbindung sieht, aber in Wirklichkeit gar keine vollverschlüsselte Verbindung zu der Adresse, die er da oben in seinem Browser sieht, hat.

    Also ich weiß nicht. Von der datenschutzrechtlichen Problematik mal abgesehen: Ich brauch's nicht. Downtimes hat Cloudflare auch, DDoS-Angriffe kriegen Hoster heutzutage auch in den Griff. Wie so oft im Leben muss das letztendlich jeder selber wissen und entscheiden.

    Edited once, last by Labskaus (November 23, 2022 at 6:06 AM).


  • Das Datenschutz-Thema finde ich extrem nervig. Die Cookie-Banner sind eigentlich sinnlos. Wenn man endlich durchsetzt, dass die Auswahl der Cookies nicht vorausgefüllt wird und keine irreführende Schaltflächenbeschriftung verwendet wird, wird kein Mensch Cookies und Tracking einschalten. Wenn es also nicht vorausgewählt werden darf und kein Mensch das jemals einschalten wird, können diese :shit: Banner endlich verschwinden. Darüber hinaus finde ich, dass die Firmen, die heute Cookie-Bannerlösungen anbieten genau so wenig vertrauenswürdig sind, wie die Tracking-Anbieter. Wer fragt denn nach meinem Einverständnis, ob meine IP-Adresse an den Cookie-Banner Anbieter weitergegeben werden darf, das müsste ja geschehen, bevor der Banner angezeigt wird.

    Nervt mich auch kolossal. Auf meinem 13 Zoll-Notebook muss ich manchmal sogar die Schriftgröße im Browser verkleinern, um überhaupt die Buttons zum Wegklicken angezeigt zu bekommen. Kenn genug Leute, die daran scheitern und mich mit "ich kann Seite xy nicht aufrufen" anrufen würden. Zum Glück haben alle mindestens 15,6 Zoll. :lol:

    Hab keine Drittanbieter-Cookies, nur lokale Session-Cookies für die die Datenschutzerklärung ausreicht. Fragt sich jetzt nur noch wann die ersten Beschwerden eintrudeln, weil die Leute Cookie-Banner mittlerweile als verpflichtenden Standard ansehen und bei mir keiner erscheint. :lol:

  • Das Thema war/ ist ja eigentlich Shopify. Bleibt zu hoffen, dass es nicht eine Abmahnwelle wie bei Google Fonts (vgl. https://aigner-business-solutions.com/blog/datenschu…durch-anwaelte/) für alle Shopify-Shops aus dem EU-Raum gibt. Denn dann hätten die Shopbetreiber wirklich ein Problem, wären auf Shopify's Hilfe angewiesen. Die haben sich laut der Fallschildeurng oben (https://www.sellerforum.de/small-talk-all…9d95d38#p746453) bis dato nicht bewegt. Obwohl man dort eine recht umfangreiche Seite zum Datenschutz hat und sich explizit als sicherer Drittstatt führt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!