Webflow und der Datenschutz – Das derzeit beste Vorgehen

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV

Immer mehr Webdesigner nutzen mit Webflow die All-in-One-Lösung, die CMS, Design und schnelles Hosting aus einer Hand anbietet. Hierbei überzeugt Webflow vor allem was das Thema Design angeht, weswegen immer mehr Webdesigner das Tool zum Bau von Websites nutzen. Dabei gerät der Datenschutz von Webflow-Seiten vermehrt in den Fokus. Immer wieder kommt hierbei die Frage auf ob Webflow DSGVO konform ist. Hier gibt es einige rechtliche Punkte, die zwingend aus Sicht des Seitenbetreibers bzw. des Webdesigner beachtet werden sollten, da auch das Hosting von Webflow durchgeführt wird.

Unserer Auffassung nach sind die meisten Beiträge und Tutorials zum Thema Webflow und Datenschutz völlig unzureichend und rechtlich mehr als fragwürdig. Aus diesem Grund haben wir unsere Erkenntnisse aus der rechtlichen Absicherung zahlreicher Webflow-Websites, der Zusammenarbeit mit mehreren Webflow-Agenturen, intensiver Recherche und der direkten Abstimmung mit Webflow für Sie zusammengetragen.

Nachfolgend stellen wir Ihnen den aktuellen datenschutzrechtlichen Stand zu Webflow sowie effektive Lösungsmöglichkeiten vor.

Grundsätzliches zu Webflow

Grundsätzlich gibt es bei Webflow die Option einer reinen „Website“ und die einer „Ecommerce site“ – somit eines Online-Shops. In diesem Blog-Artikel gehen wir auf die Website-Pakete von Webflow ein. Es existieren vier verschiedene Pakete (Basic, CMS, Business, Enterprise) und die Preise beginnen bei 12 $ pro Monat. Je nach Paket gibt es unterschiedliche Möglichkeiten, wie etwa das Routen der erstellten Webflow Seite über einen vorhandenen Webhosting-Stack (z.B. ALL-INKL, Strato etc.).

Probleme mit dem Datenschutz bei Webflow

1. Problem: Hosting

Oftmals ist zu lesen, dass Webflow seine Seiten über das CDN von Amazon bereitstellt. Das stimmt. Allerdings wird hierbei mit Fastly ein weiteres CDN, welches Webflow ebenfalls nutzt, vergessen. Aber der Reihe nach….

Zunächst einmal zur Frage was ein CDN eigentlich ist: Die Abkürzung steht für Content Delivery Network. Hierbei wird die Website nicht auf einem einzelnen Server gehostet, sondern über ein Netzwerk von räumlich verteilten, ggf. miteinander verbundenen Servern ausgeliefert. Verwendet wird der Server, der sich am nächsten zum jeweiligen Nutzer befindet.

Die Server unterschieden sich je nach Webflow Paket. Bei dem „Standard“ CDN werden Server in Nordamerika und Teilen von Europa genutzt. Bei dem „Global CDN“, welches die globale Abdeckung gewährleistet, werden weitere Server auch in Asien und Ozeanien genutzt.

Hier sind wir bereits bei der ersten datenschutzrechtlichen Problematik angelangt. Die Websites werden von dem Unternehmen Webflow extern über die CDNs der US-amerikanischen Unternehmen Fastly Inc. (CDN: Fastly)  und Amazon Web Services Inc. (CDN: Amazon CloudFront) bereitgestellt.

Diese Praxis ist aus datenschutzrechtlicher Sicht – insbesondere nach dem EuGH-Urteil vom 16.07.2020 „Schrems II“ (Az.: C-311/18) – problematisch. Die Verbindung zu Servern der US-amerikanischen Unternehmen Amazon Web Services Inc. und Fastly Inc. (sowie zu anderen verschiedenen und weltweit verteilten Servern), kann eine Übermittlung von Daten in unsichere Drittländer (z.B. USA) zur Folge haben, wenn nicht sichergestellt werden kann, dass nur europäische Server des Netzwerkes eingesetzt werden. Dieser Datentransfer in unsichere Drittländer ist sehr wahrscheinlich und kann weitreichende Konsequenzen haben.

Diesbezüglich haben wir Kontakt mit Webflow aufgenommen, um in Erfahrung zu bringen, ob eine Möglichkeit besteht die Daten ausschließlich in der EU zu hosten. Die folgende Rückmeldung haben wir erhalten:

Dieses Vorgehen wäre theoretisch eine Lösung, scheitert jedoch an der praktischen Umsetzung. Denn wird bei externem Hosting eine nur noch so kleine Änderung an der Website vorgenommen, so muss der ganze Setup-Prozess beim externen Hoster noch einmal durchgeführt werden, was Zeit und auch Nerven kostet. Des Weiteren „verpufft“ das Argument des Websites-Speeds vollkommen. Der Sinn seine Website mit Webflow einfach und effektiv erstellen zu können, wäre damit weitgehend zerstört. Diesen Lösungsansatz werden sehr wahrscheinlich 99 % aller Webflow-Agenturen (nachvollziehbar) ablehnen.

Eine informierte Einwilligung in den Drittlandsdatentransfer in die USA, im Sinne von Art. 6 Abs. 1 S. 1 lit a i.V.m. Art. 49 Abs. 1 S. 1 lit. a DSGVO, scheitert ebenfalls an einer sinnvollen Umsetzung. So wäre es erforderlich, dass der Nutzer die Einwilligung vor dem Aufruf der Website nach einer entsprechenden Unterrichtung bestehender möglicher Risiken erteilen muss. Würde man dies datenschutzrechtlich sauber umsetzen wollen, müsste man eine in der EU gehostete Seite vorschalten und dort die Einwilligung einholen; sobald der Nutzer die über Webflow gehostete Seite aufruft, ist es für die Einwilligung nämlich zu spät. Aus juristischer Sicht wäre dies eine vorstellbare Lösung (wobei noch keine höchstrichterliche Rechtsprechung hierzu existiert) aus Sicht des Website-Betreibers, wäre die Lösung aber indessen eine vollständige Katastrophe.

2. Problem: Cloudflare

Wiederholt ist auch die Rede davon, dass Webflow das CDN Cloudflare zum Hosten der Website benutzt. Das ist allerdings falsch. Es besteht zwar eine Verbindung zu Cloudflare, diese steht jedoch nicht in Verbindung zum Hosting der Website. Betreiben Sie eine Webflow-Seite, finden Sie folgende Code-Zeilen in Ihrem Seitenquelltext:

<!--[if lte IE 9]><script src="//cdnjs. cloudflare.com/ajax/libs/
placeholders/3.0.2/placeholders.min.js"></script><![endif]-->

<!--[if lt IE 9]><script src="https://cdnjs.cloudflare.com/ajax/libs/html
5shiv/3.7.3/html5shiv.min.js" type="text/javascript"></script><![endif]-->

Hierbei geht es jedoch um externe JavaScript-Dateien, welche Funktionen zu der Seite hinzufügen. Es handelt sich um Platzhalter und ein Kompatibilitäts-JS, um HTML5 Funktionen zu realisieren. Allerdings nur bei Versionen des Internetexplorers unterhalb der Version 9. Wir haben Webflow darauf angesprochen. Wie wir uns bereits denken konnten, soll eine Cross-Browser-Kompatibilität gewährleistet werden, sodass die moderne Funktionalität von Webflow-Seiten auch in älteren Browsern, die diese nicht nativ unterstützen, verfügbar ist. Hier die offizielle Antwort von Webflow:

Man darf an der Notwendigkeit der Funktion zweifeln, da ein solch veralteter Browser wahrscheinlich kaum noch genutzt wird. Nichtsdestotrotz ist es ein datenschutzrechtlicher Vorgang, da es sich bei dem Betreiber des CDN „Cloudlfare“ um das US-amerikanische Unternehmen Cloudflare, Inc. handelt. Somit gilt das weiter vorne bereits Beschriebene zum Thema Datenschutz in Verbindung mit den CDNs Fastly und CloudFront.

3. Problem: „website-files.com“ / „webflow.com“

Bei der Domain „website-files“ handelt es sich um eine Whitelabel-Domain von Webflow, über die Assets (z.B. Bilder, Texte etc.) geladen werden. Haben Sie das Whitelabeling für ihre Website aktiviert, erfolgt die Einbindung Ihrer Assets unter dieser generischen, nicht gebrandeten URL von Webflow. Andernfalls erfolgt das Hosting über die gebrandete Domain „webflow.com“. Auch hier ergibt sich wieder das Problem des Datentransfers in die USA, da auch diese beiden Domains des Unternehmen Webflow Inc. über die oben beschriebenen CDNs gehostet werden.

4. Problem: Formulare

Binden Sie Formulare, z.B. Kontaktformulare auf Ihrer Website ein, so werden die eingegebenen Daten letzten Endes im Backend von Webflow gespeichert, sodass Sie hier entsprechend darauf zugreifen können. Es stellt sich die gleiche Problemlage, wie schon bei dem Hosting der Assets.

Lösung

Eine 100%-ig rechtssichere Lösung, bei der gleichzeitig, die Vorteile von Webflow erhalten bleiben und die Website nicht an Perfomance verliert, gibt es nach dem derzeitigen Stand der Rechtsprechung also aktuell leider nicht. Die Lösung des externen Hostings sowie einer informierten Einwilligung (wie oben beschrieben) besteht zwar und würde auch den juristisch saubersten Weg darstellen, auf Grund der geschilderten Nachteile würden dennoch nur die Wenigsten dieses Vorgehen umsetzen wollen, so ehrlich muss man an dieser Stelle sein.

Unsere Lösung besteht darin, die oben genannten Sachverhalte so transparent wie möglich in der Datenschutzerklärung abzubilden, eine andere Möglichkeit bei der gleichzeitig die Website leistungsfähig bleibt, sehen wir nicht. Wichtig ist hierbei wirklich alle Punkte der jeweiligen Nutzung von Webflow korrekt zu schildern. Insbesondere Datenschutz-Generatoren greifen hier oftmals viel zu kurz und gehen nicht auf die spezifische Situation der Website ein.

Wir haben uns intensiv mit dem Thema auseinandergesetzt und passgenaue, individuelle Klauseln für die Datenschutzerklärung von Webflow-Websites entwickelt. Bei den Formularen kann man zusätzlich mit entsprechenden Checkbox-Felder arbeiten, die wir analog entworfen haben.

Zudem ist es sehr wichtig, dass Sie das seitens Webflow zur Verfügung gestellte Data Processing Agreement, welches die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates enthalten, abschließen. Dies wissen nur die wenigsten Webflow-Seitenbetreiber und Webflow-Designer, obwohl dies zwingend notwendig ist.

Nun werde einige, die sich mit dem Thema Standardvertragsklauseln oder „standard contractual clauses“ beschäftigt haben entgegnen, dass dieses Vorgehen auch keine 100% Lösung ist und damit liegen sie richtig. Denn die derzeit geltenden (und von Webflow verwendeten) Standardvertragsklauseln gehen zurück auf einen Beschluss der EU-Kommission vom 05. Februar 2010. Innerhalb des im Bereich Datenaustausch zwischen EU und USA alles „auf dem Kopf stellenden“ EuGH-Urteil vom 16.07.2020 „Schrems II“ (Az.: C-311/18) wurde zwar bestätigt, dass diese Klauseln nach wie vor zulässig sind, jedoch die Datenschutzbehörden aufgefordert, zu prüfen, ob die Standardvertragsklauseln in dem Zielland überhaupt ihre Wirkung entfalten können. Wenn somit in dem Zielland (z.B. USA) kein gleichwertiges Datenschutzniveau vorherrscht, und der Datenempfänger zu einer Herausgabe ohne besondere Prüfung oder Anlass gezwungen werden kann (Stichwort: US-Behörden und FISA) bringen auch die Standardvertragsklauseln nicht viel (sind also eher ein „zahnloser Papiertiger“).

Zwar hat die EU bereits reagiert und Entwürfe zu neuen Standardvertragsklauseln für internationale Datentransfers am 13.11.2020 vorgelegt. Bis die neuen Standardvertragsklauseln in Kraft treten, kann jedoch noch einiges an Zeit vergehen. Bis dahin müssen wir uns an das halten, was vorliegt und das sind eben die Standardvertragsklauseln aus dem Jahr 2010.

Aus juristischer Sicht müssen wir Ihnen somit raten, auf die Nutzung von Webflow zu verzichten. Aus praktischer Sicht können wir Ihnen sagen, dass wir eine Lösung entwickelt haben, die zugegebenen Maßen nicht 100% abdeckt (da dies auf Grund der derzeitigen Situation unmöglich ist), aber die wohl derzeit beste Alternative darstellt, ohne die Seite unbrauchbar zu machen.

Um das Data Processing Agreement inklusive der Standardvertragsklauseln mit Webflow abzuschließen, öffnen Sie die Website https://webflow.com/legal/dpa, drücken Sie auf „pre-signed DPMA here“ und folgen Sie den Anweisungen:

Ausformulierung in der Datenschutzerklärung

Bei der Nutzung von Webflow, ist es besonders wichtig die konkrete Nutzung rechtlich sauber in der Datenschutzerklärung abzubilden.

Gemeinsam mit unserer Partner-Kanzlei machen wir Ihre Webflow Seite gerne so rechtssicher, wie möglich. Hierbei ertellen wir auch die individuell passende Datenschutzerklärung für Ihre Website. Wenn Sie das rechtliche Thema professionell angehen wollen, freuen wir uns auf Ihre Nachricht.