Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Frame for Business GmbH

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Dr. Frederik Bäumer
Wirtschaftsinformatiker
Frederik Bäumer Consulting

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

Stefan Evertz M.Sc.
Geschäftsführer
Frame for Business GmbH
Dr. Frederik Bäumer
Wirtschaftsinformatiker
Frederik Bäumer Consulting
Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

 

Immer mehr Webdesigner nutzen mit Webflow die All-in-One-Lösung, die CMS, Design und schnelles Hosting aus einer Hand anbietet. Dabei gerät der Datenschutz von Webflow-Seiten vermehrt in den Fokus. Hier gibt es einige rechtliche Punkte, die zwingend beachtet werden sollten.

Unserer Auffassung nach sind die meisten Beiträge zum Thema Webflow und Datenschutz völlig unzureichend und rechtlich mehr als fragwürdig. Aus diesem Grund haben wir unsere Erkenntnisse aus der rechtlichen Absicherung zahlreicher Webflow-Websites, der Zusammenarbeit mit mehreren Webflow-Agenturen, intensiver Recherche und der direkten Abstimmung mit Webflow, für Sie zusammengetragen.  

Nachfolgend stellen wir Ihnen den aktuellen datenschutzrechtlichen Stand zu Webflow sowie effektive Lösungsmöglichkeiten vor.

Grundsätzliches zu Webflow

Grundsätzlich gibt es bei Webflow die Option einer reinen „Website“ und die einer „Ecommerce site“ – somit eines Online-Shops. In diesem Blog-Artikel gehen wir auf die Website-Pakete von Webflow ein. Es existieren vier verschiedene Pakete (Basic, CMS, Business, Enterprise) und die Preise beginnen bei 12 $ pro Monat. Je nach Paket gibt es unterschiedliche Möglichkeiten, wie etwa das Routen der erstellten Webflow Seite über einen vorhandenen Webhosting-Stack (z.B. ALL-INKL, Strato etc.).

Datenschutzrechtliche Probleme bei Webflow

1. Problem: Hosting

Oftmals ist zu lesen, dass Webflow seine Seiten über das CDN von Amazon bereitstellt. Das stimmt. Allerdings wird hierbei mit Fastly ein weiteres CDN, welches Webflow ebenfalls nutzt, vergessen. Aber der Reihe nach….

Zunächst einmal zur Frage was ein CDN eigentlich ist: Die Abkürzung steht für Content Delivery Network. Hierbei wird die Website nicht auf einem einzelnen Server gehostet, sondern über ein Netzwerk von räumlich verteilten, ggf. miteinander verbundenen Servern ausgeliefert. Verwendet wird der Server, der sich am nächsten zum jeweiligen Nutzer befindet.

Die Server unterschieden sich je nach Webflow Paket. Bei dem „Standard“ CDN werden Server in Nordamerika und Teilen von Europa genutzt. Bei dem „Global CDN“, welches die globale Abdeckung gewährleistet, werden weitere Server auch in Asien und Ozeanien genutzt.

Hier sind wir bereits bei der ersten datenschutzrechtlichen Problematik angelangt. Die Websites werden von dem Unternehmen Webflow extern über die CDNs der US-amerikanischen Unternehmen Fastly Inc. (CDN: Fastly)  und Amazon Web Services Inc. (CDN: Amazon CloudFront) bereitgestellt.

Diese Praxis ist aus datenschutzrechtlicher Sicht – insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ (Az.: C-311/18) – problematisch. Die Verbindung zu Servern der US-amerikanischen Unternehmen Amazon Web Services Inc. und Fastly Inc. (sowie zu anderen verschiedenen und weltweit verteilten Servern), kann eine Übermittlung von Daten in unsichere Drittländer (z.B. USA) zur Folge haben, wenn nicht sichergestellt werden kann, dass nur europäische Server des Netzwerkes eingesetzt werden. Dieser Datentransfer in unsichere Drittländer ist sehr wahrscheinlich und kann weitreichende Konsequenzen haben.

Diesbezüglich haben wir Kontakt mit Webflow aufgenommen, um in Erfahrung zu bringen, ob eine Möglichkeit besteht die Daten ausschließlich in der EU zu hosten. Die folgende Rückmeldung haben wir erhalten:

 

„…Our CDN loads the site from servers that are closest to the user who is currently visiting the site. So our standard hosting doesn’t offer region specific hosting. However, if you want to have your site loaded only from EU servers then your best bet is to host the site externally by exporting your projects code. That way you can host the site on the hosting service of your choice, in the region of your choice.”

Dieses Vorgehen wäre theoretisch eine Lösung, scheitert jedoch an der praktischen Umsetzung. Denn wird bei externem Hosting eine nur noch so kleine Änderung an der Website vorgenommen, so muss der ganze Setup-Prozess beim externen Hoster noch einmal durchgeführt werden, was Zeit und auch Nerven kostet. Des Weiteren „verpufft“ das Argument des Websites-Speeds vollkommen. Der Sinn seine Website mit Webflow einfach und effektiv erstellen zu können, wäre damit weitgehend zerstört. Diesen Lösungsansatz werden sehr wahrscheinlich 99 % aller Webflow-Agenturen (nachvollziehbar) ablehnen.

Eine informierte Einwilligung in den Drittlandsdatentransfer in die USA, im Sinne von Art. 6 Abs. 1 S. 1 lit a i.V.m. Art. 49 Abs. 1 S. 1 lit. a DSGVO, scheitert ebenfalls an einer sinnvollen Umsetzung. So wäre es erforderlich, dass der Nutzer die Einwilligung vor dem Aufruf der Website nach einer entsprechenden Unterrichtung bestehender möglicher Risiken erteilen muss. Würde man dies datenschutzrechtlich sauber umsetzen wollen, müsste man eine in der EU gehostete Seite vorschalten und dort die Einwilligung einholen; sobald der Nutzer die über Webflow gehostete Seite aufruft, ist es für die Einwilligung nämlich zu spät. Aus juristischer Sicht wäre dies eine vorstellbare Lösung (wobei noch keine höchstrichterliche Rechtsprechung hierzu existiert) aus Sicht des Website-Betreibers, wäre die Lösung aber indessen eine vollständige Katastrophe.

2. Problem: Cloudflare

Wiederholt ist auch die Rede davon, dass Webflow das CDN Cloudflare zum Hosten der Website benutzt. Das ist allerdings falsch. Es besteht zwar eine Verbindung zu Cloudflare, diese steht jedoch nicht in Verbindung zum Hosting der Website. Betreiben Sie eine Webflow-Seite, finden Sie folgende Code-Zeilen in Ihrem Seitenquelltext:

<!--[if lte IE 9]><script src="//cdnjs. cloudflare.com/ajax/libs/
placeholders/3.0.2/placeholders.min.js"></script><![endif]-->
<!--[if lt IE 9]><script src="https://cdnjs.cloudflare.com/ajax/libs/html
5shiv/3.7.3/html5shiv.min.js" type="text/javascript"></script><![endif]-->

Hierbei geht es jedoch um externe JavaScript-Dateien, welche Funktionen zu der Seite hinzufügen. Es handelt sich um Platzhalter und ein Kompatibilitäts-JS, um HTML5 Funktionen zu realisieren. Allerdings nur bei Versionen des Internetexplorers unterhalb der Version 9. Wir haben Webflow darauf angesprochen. Wie wir uns bereits denken konnten, soll eine Cross-Browser-Kompatibilität gewährleistet werden, sodass die moderne Funktionalität von Webflow-Seiten auch in älteren Browsern, die diese nicht nativ unterstützen, verfügbar ist. Hier die offizielle Antwort von Webflow:

“…Webflow does include this script in the code for Webflow sites to ensure cross-browser compatibility. We import this script to ensure that the modern functionality of Webflow-designed sites is still available in older browsers that do not natively support it…..“

Man darf an der Notwendigkeit der Funktion zweifeln, da ein solch veralteter Browser wahrscheinlich kaum noch genutzt wird. Nichtsdestotrotz ist es ein datenschutzrechtlicher Vorgang, da es sich bei dem Betreiber des CDN „Cloudlfare“ um das US-amerikanische Unternehmen Cloudflare, Inc. handelt. Somit gilt das weiter vorne bereits Beschriebene zum Thema Datenschutz in Verbindung mit den CDNs Fastly und CloudFront.

3. Problem: „website-files.com“ / „webflow.com“

Bei der Domain „website-files“ handelt es sich um eine Whitelabel-Domain von Webflow, über die Assets (z.B. Bilder, Texte etc.) geladen werden. Haben Sie das Whitelabeling für ihre Website aktiviert, erfolgt die Einbindung Ihrer Assets unter dieser generischen, nicht gebrandeten URL von Webflow durchgeführt. Andernfalls erfolgt das Hosting über die gebrandete Domain „webflow.com“ Auch hier ergibt sich wieder das Problem des Datentransfers in die USA, da auch diese beiden Domains des Unternehmen Webflow Inc. über die oben beschriebenen CDNs gehostet werden.

4. Problem: Formulare

Binden Sie Formulare, z.B. Kontaktformulare auf Ihrer Website ein, so werden die eingegebenen Daten letzten Endes im Backend von Webflow gespeichert, sodass Sie hier entsprechend darauf zugreifen können. Es stellt sich die gleiche Problemlage, wie schon bei dem Hosting der Assets.

Lösung

Eine 100%-ig rechtssichere Lösung, bei der gleichzeitig, die Vorteile von Webflow erhalten bleiben und die Website nicht an Perfomance verliert, gibt es nach dem derzeitigen Stand der Rechtsprechung also aktuell leider nicht. Die Lösung des externen Hostings sowie einer informierten Einwilligung (wie oben beschrieben) besteht zwar und würde auch den juristisch saubersten Weg darstellen. Auf Grund der geschilderten Nachteile würden dennoch nur die Wenigsten dieses Vorgehen umsetzen wollen, so ehrlich muss man an dieser Stelle sein.

Unsere Lösung besteht darin, die oben genannten Sachverhalte so transparent wie möglich in der Datenschutzerklärung abzubilden, eine andere Möglichkeit bei der gleichzeitig die Website leistungsfähig bleibt, sehen wir nicht. Wichtig ist hierbei wirklich alle Punkte der jeweiligen Nutzung von Webflow korrekt zu schildern. Insbesondere Datenschutz-Generatoren greifen hier oftmals viel zu kurz und gehen nicht auf die spezifische Situation der Website ein.

Wir haben uns intensiv mit dem Thema auseinandergesetzt und passgenaue, individuelle Klauseln für die Datenschutzerklärung von Webflow-Websites entwickelt. Bei den Formularen kann man zusätzlich mit entsprechenden Checkbox-Felder arbeiten, die wir analog entworfen haben.

Zudem ist es sehr wichtig, dass Sie das seitens Webflow zur Verfügung gestellte Data Processing Agreement, welches die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates enthalten, abschließen. Dies wissen nur die wenigsten Webflow-Seitenbetreiber und Webflow-Designer, obwohl dies zwingend notwendig ist.

Nun werde einige, die sich mit dem Thema Standardvertragsklauseln oder „standard contractual clauses“ beschäftigt haben entgegnen, dass dieses Vorgehen auch keine 100% Lösung ist und damit liegen sie richtig. Denn die derzeit geltenden (und von Webflow verwendeten) Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission vom 05. Februar 2010. Innerhalb des im Bereich Datenaustausch zwischen EU und USA alles „auf dem Kopf stellenden“ EuGH-Urteil vom 16.07.2020 „Schrems II“ (Az.: C-311/18) wurde zwar bestätigt, dass diese Klauseln nach wie vor zulässig sind, jedoch die Datenschutzbehörden aufgefordert, zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt ihre Wirkung entfalten können. Wenn somit in dem Zielland (z.B. USA) kein gleichwertiges Datenschutzniveau vorherrscht, und der Datenempfänger zu einer Herausgabe ohne besondere Prüfung oder Anlass gezwungen werden kann (Stichwort: US-Behörden und FISA) bringen auch die Standardvertragsklauseln nicht viel (sind also eher ein „zahnloser Papiertiger“).

Zwar hat die EU bereits reagiert und Entwürfe zu neuen Standardvertragsklauseln für internationale Datentransfers am 13.11.2020 vorgelegt. Bis die neuen Standardvertragsklauseln in Kraft treten, kann jedoch noch einiges an Zeit vergehen. Bis dahin müssen wir uns an das halten, was vorliegt und das sind eben die Standardvertragsklauseln aus dem Jahr 2010.

Aus juristischer Sicht müssen wir Ihnen somit raten, auf die Nutzung von Webflow zu verzichten. Aus praktischer Sicht können wir Ihnen sagen, dass wir eine Lösung entwickelt haben, die zugegebenen Maßen nicht 100% abdeckt (da dies auf Grund der derzeitigen Situation unmöglich ist), aber die wohl derzeit beste Alternative darstellt, ohne die Seite unbrauchbar zu machen.

Das konkrete Vorgehen zum Abschluss des Data Processing Agreement inklusive der Standardvertrags-klauseln, haben wir nachfolgend für Sie in einer Schritt-für-Schritt-Anleitung zusammengefasst:

Schritt 1:

Öffnen Sie die Website https://webflow.typeform.com/to/nM8vLH
und drücken Sie auf „Start“.

Schritt 2:

Geben Sie Ihre bei Webflow hinterlegte Mail-Adresse ein und klicken Sie auf „OK“.

Schritt 3:

Geben Sie den Namen desjenigen an, der den
Vertrag unterschreiben wird und klicken Sie auf „OK“.

Schritt 4:

Geben Sie die Unternehmensposition desjenigen an, der den Vertrag
unterschreiben wird und klicken Sie auf „OK“.

Schritt 5:

Geben Sie den Unternehmensnamen an, auf welchen der Webflow-Account
läuft und klicken Sie auf „Submit Signature Request“.

Schritt 6:

Sie erhalten nun folgende E-Mail von Webflow. Mit Klick auf den Button
„Review & Sign“, können Sie den Vertrag aufrufen:

Schritt 7:

Sie müssen nun die Felder auf Seite 9 des Vertrages ergänzen
(im Nachfolgenden von uns gelb markiert):

Schritt 8:

Nutzen Sie entweder den HelloSign-Prozess, um eine digitale Unterschrift vorzunehmen oder drucken Sie das Dokument aus, unterschreiben es manuell und übersenden Sie das unterschriebene Dokument als Scan per E-Mail an dpa@webflow.com.

Ausformulierung in der Datenschutzerklärung

Bei der Nutzung von Webflow, ist es besonders wichtig die konkrete Nutzung rechtlich sauber in der Datenschutzerklärung abzubilden. Wenn Sie hierzu Fragen haben, helfen wir Ihnen gerne weiter. Kontaktieren Sie uns einfach per E-Mail an: info@frame-for-business.de.

Sie sind Webdesigner oder bieten Agenturdienstleistungen an?
Wir arbeiten mit immer mehr Agenturen und Webdesignern zusammen, die sich auf Webflow spezialisiert haben. Auf unserer Partner-Seite finden Sie ein spannendes Angebot speziell für Webdesigner und Agenturen.