Grundsätzliches
Disclaimer:
Wir sind eine Webagentur und keine Juristen. Wir informieren uns jedoch für unsere Kunden regelmäßig über das Thema und möchten hier unseren Beitrag leisten, um sich gegen die häufigsten Abmahnungen zu schützen. Die Äußerungen, Meinungen und Vorgehen sind nicht als bindend oder rechtsgültig anzusehen und spiegeln lediglich unsere Empfehlungen wider.
Was ist Webflow?
Webflow ist über die letzten Jahre global immer populärer geworden. Und auch in Deutschland nutzen immer mehr Webflow, um ihre Webprojekte schneller umsetzen zu können.
Aber was genau ist eigentlich Webflow?
Webflow ist eine cloudbasierte All-In-One-Lösung. Mit Webflow können die Webseiten visuell vom Programmierer erstellt und über Webflow auch direkt gehostet werden. Für den Endkunden ist das extrem übersichtliche CMS (Content-Management-System) von enormen Vorteil, weil die Website völlig autonom betrieben werden kann ohne eine Agentur für kleinere Änderungen beauftragen zu müssen.
Was ist die DSGVO?
Was genau die DSGVO (Datenschutzgrundverordnung) ist wird auf unzähligen anderen Artikeln im Internet genauer und ausführlicher beantwortet. Damit du aber weißt worum es geht hier die Kurzfassung:
Die DSGVO soll den Schutz personenbezogener Daten durch rechtliche Vorgaben an Unternehmen gewährleisten. Als Betreiber einer Website hast das für dich konkret drei Dinge:
Die Verarbeitung von Daten darf nicht ohne eine Zustimmung vom betroffenen Nutzer stattfinden
Die von dir erhobenen Daten von deinen Nutzern müssen streng vertraulich behandelt werden und vor Missbrauch und unbefugten Zugriff geschützt werden
Cookies (z.B. Google Analytics, Facebook Pixel, etc.) dürfen erst geladen werden, wenn der Nutzer ausdrücklich dem zustimmt und es muss die Möglichkeit für den Nutzer bestehen seine Entscheidung auch nachträglich ändern zu können
Bei weniger schwerwiegenden Verstößen gegen die DSGVO können Abmahnungen zwischen 500 - 5.000€ kosten. Bei schwerwiegenden Verstößen kann es sogar bis zu 20 Mio Euro oder 4% des gesamten Jahresumsatzes eines Unternehmens kosten. Hierbei wird der der höhere Wert fällig.
Probleme & Vorgehen mit Webflow und der DSGVO
Datenerfassung
Ob Kontaktformular, Newsletter oder Bewerbungsformular. Mit Webflow ist es super simpel Formulare aufzusetzen, doch gerade das solltest du dringend vermeiden, um mit Webflow DSGVO-konform zu sein. Denn die Daten, die du in deinem Formular von deinen Nutzern erhebst, werden an die Webflow-Server gesendet, die sich in den USA befinden.
Wenn ein Nutzer also auf "Absenden" bei deinem Formular klickt, verlassen die Daten die EU und werden an einen Drittanbieter gesendet. Schlecht, wenn du die DSGVO einhalten willst.
Um hierbei einer ziemlich teuren Abmahnung aus dem Weg zu gehen, hast du zwei Möglichkeiten:
Du nutzt eine selbst gehostete Lösung, um die Daten direkt an einen Server zu schicken, der sich innerhalb der EU befindet oder
Du nutzt einen externen Dienst, der DSGVO konform ist und deine Daten erfasst (einfachere Lösung)
Falls du dabei Hilfe benötigst haben wir einen kostenfreien Service für dich, bei dem wir dir helfen, die Daten DSGVO-konform zu erfassen. Weitere Infos dazu und warum wir das kostenfrei anbieten findest du, wenn du hier unterhalb auf den orangenen Button klickst.
Webflow Hosting
Wer Webflow nutzt, nutzt mit hoher Wahrscheinlichkeit auch das integrierte Webflow-Hosting. Wer den Code von Webflow exportiert hat und seine Webflow Website auf einen eigenen Server hostet, der kann dieses Kapitel überspringen. Für alle anderen gilt folgendes:
Das Webflow Hosting ist eine Grauzone, denn es gibt hierzu stand jetzt kein eindeutiges Urteil.
Um schnelle Ladezeiten für die Webseiten von Webflow zu gewährleisten, nutzt Webflow mehrere CDN-Netzwerke.
Zum Verständnis: Ein CDN ist eine Content Delivery Network, das heißt, die Website wird nicht nur auf einem Server gespeichert, sondern befindet sich zeitgleich auf mehreren Servern, die weltweit verteilt sind. Die Inhalte können dadurch schneller geladen werden, denn es wird immer der Server verwendet, der am nächsten am Nutzer dran ist.
Klingt alles super, bis man dann das Thema DSGVO anspricht. Denn Webflow nutzt hier zwei CDN-Anbieter: Fastly Inc. und Amazon Web Services Inc. . Beide CDN-Anbieter sind Us-amerikanische Unternehmen.
Wenn also ein Nutzer auf deine Website zugreift, kann es sein, dass sensible Daten die EU verlassen und in unsicher Drittländer (z.B. USA) gesendet werden. Natürlich haben diese CDN-Anbieter auch Server innerhalb der EU, jedoch ist es nicht garantiert, dass der Nutzer auf einen europäischen Server zugreift. Dementsprechend ist ein Datentransfer in unsichere Drittländer möglich und kann schwerwiegenden Folgen haben.
Uns ist aktuell noch kein Fall bekannt, bei dem das Webflow Hosting ein Problem war. Unserer Meinung nach ist ein eindeutiger und korrekter Hinweis auf das Webflow Hosting im Datenschutztext zunächst ausreichend. Wer aber auf Nummer sicher gehen will sollte den Code von Webflow exportieren und auf einem sicheren europäischen Server hosten.
Wenn du damit Hilfe brauchst:
Auftragsverarbeitung mit Webflow unterzeichnen
Ein Fehler, den wir immer wieder in Projekten sehen ist, dass vergessen wird die Auftragsverarbeitung mit Webflow zu unterzeichnen, wenn man das Webflow-Hosting verwendet. Das schlimmste: Die Kunden haben aber in ihrer Datenschutzerklärung stehen, dass sie diese Auftragsverarbeitung mit Webflow unterschrieben haben.
Der häufigste Grund für fehlerhafte Datenschutzerklärungen ist meistens, dass zur Erstellung kostenlose Text-Generatoren verwendet werden und diese dann blind in die Website eingefügt werden, ohne diese wenigstens einmal mit gesundem Menschenverstand durchzulesen und zu hinterfragen.
Was du also tun solltest ist folgendes:
Überprüfe, ob du in deiner Datenschutzerklärung das Webflow-Hosting explizit erwähnt wird und
Schließe einen Auftragsverarbeitungs-Vertrag mit Webflow ab. Hier ist ein Link, wo du das schnell erledigen kannst:
Webflow Data Privacy AbbendumDrucke dir den Vertrag aus und hefte ihn ab.
Bonus-Tipp: Gut aufbewahren ;)
Dasselbe wie oben auch: Falls du damit Probleme hast, oder dir das zu viel ist können wir dir helfen deine Datenschutzerklärung zu überprüfen und die wichtigsten Punkte ergänzen, die dir vielleicht noch fehlen.
Cookie Consent richtig aufsetzen
Das betrifft zwar nicht nur Betreiber von Webflow-Webseiten ist aber dennoch extrem wichtig: Der Cookie Consent oder auch umgangsprachlich Cookie Banner...
Den Begriff "Cookies" sieht man jedesmal wenn man neu auf eine Website kommt, aber was ist ein Cookie eigentlich?
Ein Cookie ist ein Datenelement, welches in einem Webbrowser gespeichert wird und mit externen Servern kommunizieren kann.
Wie wir zu Beginn gelernt haben, dürfen laut der DSGVO keine Cookies ohne Zustimmung des Nutzers erhoben werden. Allerdings ist genau, das ein häufiger Grund für Abmahnungen, denn die meisten Cookie Banner sind vollkommen falsch integriert und erlauben es den Cookies Daten zu sammeln, obwohl der Nutzer nicht zugestimmt hat.
Meistens werden sogar Third-Party-Scripts, also Javascripte von Drittanbietern, geladen, obwohl der Nutzer dem nicht zugestimmt hat... Wenn das der Fall ist, macht es fast schon mehr Sinn keinen Cookiebanner zu verwenden... Scherz.
Du brauchst einen funktionieren Cookie Banner, der auch wirklich funktioniert. Achte darauf, dass die Cookies und Third-Party-Scripts erst geladen werden, wenn der Nutzer explizit zustimmt und gebe dem Nutzer die Möglichkeit seine Entscheidung auch zu ändern.
Fazit
Webflow ist ein super Tool, wenn es darum geht, Webseiten zu erstellen und eigenständig verwalten zu können. Allerdings gibt es einige Risiken, die mit der Nutzung von Webflow bezüglich der DSGVO, einhergehen. Wenn man allerdings über die Nutzung von Webflow transparent in seiner Datenschutzerklärung informiert und die Möglichkeiten der Datenerfassung rechtssicher einbindet, kann man Webflow aus praktischer Sicht nutzen.
Aus juristischer Sicht ist gerade das Webflow Hosting sehr kritisch zu sehen. Allerdings ist uns noch kein Fall bekannt, in dem eine Abmahnung zustande kam, weil das Webflow benutzt wurde, es sei denn, es wurde nicht richtig darauf hingewiesen.
