Was macht Squarespace?
Squarespace ist ein Baukastensystem, mit dem Unternehmen eine Webseite erstellen können. Sie legen die Seite dabei mit einem Content-Management-System im Browser an. Sie können mit Squarespace Inhalte hosten, Produkte und Dienstleistungen verkaufen, ihre Seite für Google optimieren und die Performance ihrer Seite auswerten. Squarespace ist ein US-amerikanischer Anbieter, der mehr als eine Million Webseiten im Netz hostet. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie Squarespace nutzen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Squarespace datenschutzrechtlich relevant?
Unternehmen erheben über ihre mit Squarespace erstellte Seite Daten ihrer Webseitenbesucher. Das kann über ein Kontaktformular, ein Widget oder Cookies sein. Auf diese Weise sammeln sie unter anderem Daten wie
- Namen,
- E-Mail-Adressen,
- IP-Adressen,
- verweisende Domains und
- Browsereinstellungen wie die verwendete Sprache.
Dabei handelt es sich zum Teil um personenbezogene Daten. Seitenbetreiber müssen daher die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) beachten.
Squarespace DSGVO-konform verwenden
Damit Unternehmen ihre mit Squarespace erstellte Webseite datenschutzkonform verwenden, müssen sie diese Pflichten erfüllen:
Vertrag zur Auftragsverarbeitung abschließen
Ein Vertrag zur Auftragsverarbeitung (AV-Vertrag) regelt die Rechte und Pflichten von zwei Unternehmen, die personenbezogene Daten verarbeiten. Seitenbetreiber erheben über Squarespace personenbezogene Daten und geben diese an den Anbieter weiter. Das heißt für die Praxis: Sie müssen mit Squarespace einen AV-Vertrag schließen. Dem kommen sie automatisch nach, wenn sie den Nutzungsbedingungen des Anbieters zustimmen. Denn: Diese enthalten ein Data Processing Agreement (DPA). Das DPA ist mit einem AV-Vertrag rechtlich gleichzusetzen.
Unternehmen sollten prüfen, ob das DPA erklärt,
- welche personenbezogenen Daten sie an Squarespace weitergeben,
- warum und wie lange Squarespace diese Daten speichert und
- welchen Pflichten beide Unternehmen nachkommen müssen.
Datenschutzerklärung anpassen
Seitenbetreiber geben an Squarespace Nutzerdaten weiter. Denn: Das Content-Management-System erhebt Daten zum Verhalten der User auf der erstellten Webseite. Darauf müssen Seitenbetreiber in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erwähnen, dass sie mit Squarespace einen AV-Vertrag in Form eines DPA geschlossen haben. Sie sollten in diesem Kontext erklären,
- warum sie über Squarespace personenbezogene Daten sammeln,
- wie lange sie diese speichern und
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO).
Um Usern einen ausführlichen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen zudem auf die Nutzungsbedingungen und Datenschutzbestimmungen von Squarespace hinweisen.
Standardvertragsklauseln prüfen
Squarespace nutzt Standardvertragsklauseln, um Userdaten von der EU in Drittländer wie in die USA zu verschicken. Der Anbieter erklärt auf seiner Webseite, dafür technische und organisatorische Schutzmaßnahmen eingeführt zu haben.
Um sicherzustellen, ob Seitenbetreiber Userdaten rechtmäßig an den Anbieter in den USA verschicken, sollten sie die Standardvertragsklauseln von Squarespace überprüfen. Dabei müssen sie auch eine sogenannte Risikoabschätzung durchführen. Diese soll offenlegen,
- welche Art von Daten sie an Squarespace in den USA weiterreichen,
- welche Datenschutzgesetze in den USA Anwendung finden und
- welche zusätzlichen Maßnahmen Squarespace ergreift, um Userdaten außerhalb der EU zu schützen.
Aktivitätenprotokoll deaktivieren
Verwenden Seitenbetreiber die in Squarespace integrierte Analyse-Plattform Squarespace Analytics, sollten sie dafür das Aktivitätenprotoll deaktivieren. Das stellt sicher, dass sie keine IP-Adressen und weitere personenbezogene Daten erheben – und so den Grundsatz der Datensparsamkeit der DSGVO einhalten.
Analytics-Cookies deaktivieren
Nutzen Seitenbetreiber Squarespace Analytics, sollten sie die Analytics-Cookies deaktivieren. Auf diese Weise vermeiden sie es, nicht erforderliche Cookies im Browser von Nutzern zu platzieren.
Cookie-Banner anpassen
Damit Squarespace Userdaten sammeln kann, setzt es Cookies in die Browser der Webseitenbesucher. Darauf müssen Unternehmen in ihrem Cookie-Banner hinweisen. Dabei müssen sie von Nutzern eine ausdrückliche Einwilligung in das Datensammeln einholen. Rechtlich sicher ist das nur mit einer Opt-In-Checkbox möglich. Um den Cookie Banner datenschutzkonform umzusetzen, können Seitenbetreiber auf ein Cookie Consent Tool setzen.
Rechtsprechung zu Squarespace
Für Squarespace ist diese Rechtsprechung relevant:
Europäischer Gerichtshof zum Privacy Shield
Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht verwenden, um Daten rechtssicher in die USA zu verschicken. Das erklärte der Europäische Gerichtshof (EuGH) im Sommer 2020. Die Richter führten dazu aus, dass in den USA derzeit kein Datenschutzniveau herrscht, das der DSGVO ähnelt. Das liegt vor allem daran, dass die Überwachungsprogramme dort nicht auf das zwingend erforderliche Maß beschränkt sind.
Datenschutzbehörde Hamburg zum AV-Vertrag
Die Datenschutzbehörde Hamburg sprach gegen das Versandunternehmen Kolibri Image ein Bußgeld in Höhe von 5.000 Euro aus. Der Bescheid erging am 17.12.2018. Das Unternehmen hatte mit der spanischen Versandfirma Packlink keinen AV-Vertrag geschlossen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Die Datenschutzbehörde Baden-Württemberg verhängt gegen den VfB Stuttgart im März 2021 eine Strafe von 300.000 Euro. Der Verein hatte Dienstleister beauftragt, um mehrere tausend Mitgliederdaten verarbeiten zu lassen. Ein AV-Vertrag lag dafür jedoch nicht vor.
Europäischer Gerichtshof zu Tracking Cookies
Der EuGH kam im Oktober 2019 zu dem Schluss: Seitenbetreiber dürfen keine Tracking Cookies nutzen, wenn sie dafür keine Erlaubnis der User haben. Dabei spielt es keine Rolle, ob sie personenbezogene Daten oder anonyme Userdaten erheben (C-637/17).
Bundesgerichtshof zu Tracking Cookies
Der Bundesgerichtshof (BGH) bestätige das Urteil des EuGH. Er entschied im Mai 2020: Tracking Cookies benötigen eine Nutzer-Einwilligung. Und: User können nur per Opt-In bestätigen, dass sie mit einer Datenerhebung einverstanden sind. Seitenbetreiber dürfen ihnen keine vorangekreuzte Checkbox zur Verfügung stellen (I ZR 7/16).