Webflow und der Datenschutz – Das derzeit beste Vorgehen

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV

Immer mehr Webdesigner nutzen mit Webflow die All-in-One-Lösung, die CMS, Design und schnelles Hosting aus einer Hand anbietet. Hierbei überzeugt Webflow vor allem was das Thema Design angeht, weswegen immer mehr Webdesigner das Tool zum Bau von Websites nutzen. Dabei gerät der Datenschutz von Webflow-Seiten vermehrt in den Fokus. Immer wieder kommt hierbei die Frage auf, ob Webflow DSGVO konform ist. Hier gibt es einige rechtliche Punkte, die zwingend aus Sicht des Seitenbetreibers bzw. des Webdesigner beachtet werden sollten, da auch das Hosting von Webflow durchgeführt wird.

Unserer Auffassung nach sind die meisten Beiträge und Tutorials zum Thema Webflow und Datenschutz völlig unzureichend und rechtlich mehr als fragwürdig. Aus diesem Grund haben wir unsere Erkenntnisse aus der rechtlichen Absicherung zahlreicher Webflow-Websites, der Zusammenarbeit mit mehreren Webflow-Agenturen, intensiver Recherche und der direkten Abstimmung mit Webflow für Sie zusammengetragen.

Nachfolgend stellen wir Ihnen den aktuellen datenschutzrechtlichen Stand zu Webflow sowie effektive Lösungsmöglichkeiten vor.

Grundsätzliches zu Webflow

Grundsätzlich gibt es bei Webflow die Option einer reinen „Website“ und die einer „Ecommerce-Site“ – somit eines Online-Shops. In diesem Blog-Artikel gehen wir auf die Website-Pakete von Webflow ein. Es existieren fünf verschiedene Pakete (Free, Basic, CMS, Business, Enterprise) und die Preise beginnen bei 14 $ pro Monat. Je nach Paket gibt es unterschiedliche Möglichkeiten.

Wichtige datenschutzrechtliche Punkte bei Webflow

1. Hosting

Oftmals ist zu lesen, dass Webflow seine Seiten über das CDN von Amazon bereitstellt. Das stimmt. Allerdings wird hierbei mit Fastly ein weiteres CDN, welches Webflow ebenfalls nutzt, vergessen. Aber der Reihe nach….

Zunächst einmal zur Frage was ein CDN eigentlich ist: Die Abkürzung steht für Content Delivery Network. Hierbei wird die Website nicht auf einem einzelnen Server gehostet, sondern über ein Netzwerk von räumlich verteilten, ggf. miteinander verbundenen Servern ausgeliefert. Verwendet wird der Server, der sich am nächsten zum jeweiligen Nutzer befindet.

Die Websites werden von dem Unternehmen Webflow extern über die CDNs der US-amerikanischen Unternehmen Fastly Inc. (CDN: Fastly) und Amazon Web Services Inc. (CDN: Amazon CloudFront) bereitgestellt. Somit ist eine Datenübertragung in ein – aus datenschutzrechtlicher Sicht – Drittland sehr wahrscheinlich. Eine US-Datenübertragung war insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ (Az.: C-311/18) – und des damit verbundenen Wegfalls des „Privacy Shields“ (ein Abkommen, dass den Datentransfer in die USA für zertifizierte Unternehmen für zulässig erklärte) problematisch und konnte bzw. kann weitreichende Konsequenzen haben.

Diesbezüglich hatten wir kurz nach dem EuGH-Urteil Schrems II Kontakt mit Webflow aufgenommen, um in Erfahrung zu bringen, ob eine Möglichkeit besteht die Daten ausschließlich in der EU zu hosten. Die folgende Rückmeldung hatten wir darauf erhalten:

Dieses Vorgehen wäre theoretisch eine Lösung, scheitert jedoch an der praktischen Umsetzung. Denn wird bei externem Hosting eine nur noch so kleine Änderung an der Website vorgenommen, so muss der ganze Setup-Prozess beim externen Hoster noch einmal durchgeführt werden, was Zeit und auch Nerven kostet. Des Weiteren „verpufft“ das Argument des Websites-Speeds vollkommen. Der Sinn seine Website mit Webflow einfach und effektiv erstellen zu können, wäre damit weitgehend zerstört. Diesen Lösungsansatz werden sehr wahrscheinlich 99 % aller Webflow-Agenturen (nachvollziehbar) ablehnen.

Am 10.07.2023 hat die EU-Kommission jedoch einen neuen Angemessenheitsbeschluss das sogenannte „EU/US – Data Privacy Framework“ erlassen. Das „EU/US – Data Privacy Framework“ ist ein Datenschutzabkommen zwischen der EU und den USA, bei dem das Datenschutzniveau für zertifizierte Unternehmen in den USA für angemessen erklärt wurde („Angemessenheitsbeschluss“). 

Wichtig ist jedoch hierbei, dass neben Webflow auch die von Webflow eingesetzten Dienste (die bereits genannten Dienste Fastly und Amazon CloudFront) sowie Cloudflare (siehe nachfolgend) entsprechend innerhalb des EU/US – Data Privacy Framework zertifiziert sind, um eine entsprechende zulässige Datenübertragung zu gewährleisten (wir monitoren diese Zertifikzierung selbstverständlich in regelmäßigen Abständen). Zu erwähnen ist zudem, dass bereits Klagen gegen das EU/US – Data Privacy Framework angekündigt wurden, sodass man sagen muss, dass eine Datenübertragung auf Grund des EU/US – Data Privacy Framework lediglich zum derzeitigen Stand möglich ist.

2. Cloudflare

Wiederholt ist auch die Rede davon, dass Webflow das CDN Cloudflare zum Hosten der Website benutzt. Das ist allerdings falsch. Es besteht zwar eine Verbindung zu Cloudflare, diese steht jedoch nicht in Verbindung zum Hosting der Website. Betreiben Sie eine Webflow-Seite, finden Sie folgende Code-Zeilen in Ihrem Seitenquelltext:

<!--[if lte IE 9]><script src="//cdnjs. cloudflare.com/ajax/libs/
placeholders/3.0.2/placeholders.min.js"></script><![endif]-->

<!--[if lt IE 9]><script src="https://cdnjs.cloudflare.com/ajax/libs/html
5shiv/3.7.3/html5shiv.min.js" type="text/javascript"></script><![endif]-->

Hierbei geht es jedoch um externe JavaScript-Dateien, welche Funktionen zu der Seite hinzufügen. Es handelt sich um Platzhalter und ein Kompatibilitäts-JS, um HTML5 Funktionen zu realisieren. Allerdings nur bei Versionen des Internetexplorers unterhalb der Version 9. Wir haben Webflow darauf angesprochen. Wie wir uns bereits denken konnten, soll eine Cross-Browser-Kompatibilität gewährleistet werden, sodass die moderne Funktionalität von Webflow-Seiten auch in älteren Browsern, die diese nicht nativ unterstützen, verfügbar ist. Hier die offizielle Antwort von Webflow:

Man darf an der Notwendigkeit der Funktion zweifeln, da ein solch veralteter Browser wahrscheinlich kaum noch genutzt wird. Nichtsdestotrotz ist es ein datenschutzrechtlicher Vorgang, da es sich bei dem Betreiber des CDN „Cloudlfare“ um das US-amerikanische Unternehmen Cloudflare, Inc. handelt. Somit muss auch hierbei eine entsprechende Zertifizierung nach dem EU/US – Data Privacy Framework vorliegen. Zudem ist eine entsprechende Beschreibung in der Datenschutzerklärung notwendig.

3. „website-files.com“ / „webflow.com“

Bei der Domain „website-files“ handelt es sich um eine Whitelabel-Domain von Webflow, über die Assets (z.B. Bilder, Texte etc.) geladen werden. Haben Sie das Whitelabeling für ihre Website aktiviert, erfolgt die Einbindung Ihrer Assets unter dieser generischen, nicht gebrandeten URL von Webflow. Andernfalls erfolgt das Hosting über die gebrandete Domain „webflow.com“. Auch diese beiden Domains des Unternehmen Webflow Inc. werden über die oben beschriebenen CDNs gehostet.

4. Formulare

Binden Sie Formulare, z.B. Kontaktformulare auf Ihrer Website ein, so werden die eingegebenen Daten letzten Endes im Backend von Webflow gespeichert, sodass Sie hier entsprechend darauf zugreifen können. Es stellt sich die gleiche datenschutzrechtliche Situation wie schon bei dem Hosting der Assets. Allerdings ist hierbei entscheidend, dass auch Webflow selbst über das EU/US – Data Privacy Framework entsprechend zertifiziert ist.

Lösung

Die Lösung des externen Hostings (wie oben beschrieben) besteht zwar und würde einen „sauberen“ Weg darstellen, ohne die entsprechenden Zertifizierungen von Webflow und den eingesetzten Diensten sowie die Rechtlage (es wurden bereits Klagen gegen das neue EU/US – Data Privacy Framework angekündigt) im Auge zu behalten, auf Grund der geschilderten Nachteile würden dennoch nur die Wenigsten dieses Vorgehen umsetzen wollen, so ehrlich muss man an dieser Stelle sein.

Unsere Lösung besteht darin, die entsprechenden Zertifizierungen über das EU/US – Data Privacy Framework zu minitoren und die Sachverhalte so transparent wie möglich in der Datenschutzerklärung abzubilden (also jeden einzelnen Dienst zu nennen und genau zu beschreiben). Wichtig ist hierbei wirklich alle Punkte der jeweiligen Nutzung von Webflow korrekt zu schildern. Insbesondere Datenschutz-Generatoren greifen hier oftmals viel zu kurz und gehen nicht auf die spezifische Situation der Website ein. Es güngt gerade nicht sich nur auf Webflow zu beziehen, sondern es sind auch alle von Webflow eingesetzten Drittanbieter zu benennen.

Wir haben uns intensiv mit dem Thema auseinandergesetzt und passgenaue, individuelle Klauseln für die Datenschutzerklärung von Webflow-Websites entwickelt. 

Zudem ist es sehr wichtig, dass Sie das seitens Webflow zur Verfügung gestellte Data Processing Agreement, welches die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates enthalten, abschließen. Dies wissen nur die wenigsten Webflow-Seitenbetreiber und Webflow-Designer, obwohl dies zwingend notwendig ist.

Um das Data Processing Agreement inklusive der Standardvertragsklauseln mit Webflow abzuschließen, öffnen Sie die Website https://webflow.com/legal/dpa, drücken Sie auf „pre-signed DPMA here“ und folgen Sie den Anweisungen:

Ausformulierung in der Datenschutzerklärung

Bei der Nutzung von Webflow, ist es besonders wichtig die konkrete Nutzung rechtlich sauber in der Datenschutzerklärung abzubilden.

Gemeinsam mit unserer Partner-Kanzlei machen wir Ihre Webflow Seite gerne so rechtssicher, wie möglich. Hierbei ertellen wir auch die individuell passende Datenschutzerklärung für Ihre Website. Wenn Sie das rechtliche Thema professionell angehen wollen, freuen wir uns auf Ihre Nachricht.