Datenschutzerklärung für Squarespace Analytics

Warum ist Squarespace Analytics datenschutzrechtlich relevant?

Squarespace Analytics verwendet Cookies, um das Verhalten von Usern auf Webseiten auszuwerten. Diese erheben unter anderem Daten wie

• IP-Adresse,
• Endgerätetyp,
• verwendete Sprache auf der Webseite,
• verweisende Domain und
• Datum und Uhrzeit des Webseitenbesuchs.

Dabei handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) besonders geschützt. Unternehmen müssen daher verschiedene Maßnahmen ergreifen, um Squarespace Analytics datenschutzkonform zu verwenden.

Squarespace Analytics DSGVO-konform verwenden

Damit Seitenbetreiber bei der Verwendung von Squarespace Analytics nicht gegen den Datenschutz verstoßen, müssen sie diese datenschutzrechtlichen Pflichten erfüllen:

Vertrag zur Auftragsverarbeitung abschließen

Geben Unternehmen personenbezogene Daten an einen Dritten weiter und verarbeitet dieser die Daten weisungsgebunden, müssen Unternehmen mit dem Dritten einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Bei Squarespace Analytics geben Unternehmen Daten zum Verhalten ihrer Webseitenbesucher an diesen weiter. Sie müssen daher mit Squarespace einen AV-Vertrag eingehen.

Bei Squarespace schließen Seitenbetreiber einen AV-Vertrag, sobald sie den Nutzungsbedingungen des Anbieters zustimmen. Diese enthalten ein Data Processing Agreement (DPA). Das DPA entspricht einem AV-Vertrag. Seitenbetreiber müssen daher keinen separaten AV-Vertrag mit Squarespace Analytics abschließen.

Unternehmen sollten jedoch darauf achten, dass das DPA klärt,

• welche personenbezogenen Daten sie an Squarespace weiterreichen,
• warum Squarespace die Daten speichert,
• wie lange Squarespace diese speichert und
• welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung angeben, dass sie personenbezogene Daten an Squarespace weitergeben. Dabei sollten sie erwähnen, dass sie dafür einen AV-Vertrag mit dem Anbieter geschlossen haben. Sie müssen darauf hinweisen,

• warum sie über Squarespace Analytics personenbezogene Daten erheben,
• welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO) und
• wie lange sie die Daten speichern wollen.

Unternehmen müssen ihren Webseitenbesuchern zudem erklären, dass sie der Datenerhebung über Squarespace Analytics widersprechen können. Damit User wissen, was mit ihren Daten bei Squarespace Analytics passiert, sollten Business-Inhaber auch auf die Nutzungsbestimmungen und Datenschutzbestimmungen des Anbieters verweisen.

Standardvertragsklauseln prüfen

Squarespace Analytics verwendet Standardvertragsklauseln, um rechtmäßig personenbezogene Daten seiner Kunden in Drittländer – unter anderem in die USA – zu übermitteln. Dazu gibt der Anbieter an, technische und organisatorische Schutzmaßnahmen eingeführt zu haben.

Unternehmen müssen die Standardvertragsklauseln von Squarespace überprüfen und abschließen. Zusätzlich müssen sie das Risiko der Datenübermittlung zu Squarespace überprüfen und dokumentieren. Dazu sollten sie unter anderem festhalten,

• welche Art von Daten sie an Squarespace weiterreichen,
• welche Datenschutzgesetze in den Drittländern, in denen Squarespace seine Daten speichert, gelten und
• ob Squarespace weitere Maßnahmen zum Datenschutz implementiert hat.

Aktivitätenprotokoll deaktivieren

Damit Unternehmen bei der Verwendung von Squarespace Analytics möglichst wenig Daten erheben und so den Grundsatz der Datensparsamkeit der DSGVO einhalten, sollten sie das Aktivitätenprotokoll deaktivieren. Auf diese Weise erheben sie keine IP-Adressen oder andere personenbezogene Daten.

Analytics-Cookies deaktivieren

Um möglichst wenige Daten von Webseitenbesuchern zu sammeln, sollten Unternehmen die Squarespace Analytics-Cookies deaktivieren. Sie verhindern so, dass nicht erforderliche Cookies im Browser der Seitenbesucher platziert werden.

Cookie-Banner anpassen

Unternehmen setzen über Squarespace Analytics Cookies in den Browser ihrer Webseitenbesucher. Das müssen sie in ihrem Cookie-Banner erklären und User per Opt-In ausdrücklich einwilligen lassen. Rechtssicher können sie das mit einem Cookie Consent Tool umsetzen.

Rechtsprechung zu Squarespace Analytics

Für Squarespace Analytics sollten Seitenbetreiber diese Rechtsprechung berücksichtigen:

Europäischer Gerichtshof zu Tracking Cookies

Im Oktober 2019 entschied der Europäische Gerichtshof (EuGH): Unternehmen dürfen keine Tracking Cookies auf ihrer Seite nutzen, wenn sie über keine ausdrückliche Einwilligung der Nutzer verfügen. Dabei ist es irrelevant, ob die Cookies anonyme Daten oder personenbezogene Daten erheben (C-637/17).

Bundesgerichtshof zu Tracking Cookies

Der Bundesgerichtshof (BGH) hat die Entscheidung des EuGH im Mai 2020 bestätigt: Tracking Cookies benötigen stets das Einverständnis der Nutzer. Dabei erklärten die Richter auch: Unternehmen müssen User aktiv per Opt-In in das Setzen von Tracking Cookies einwilligen lassen. Die Checkbox darf im Cookie-Banner nicht vorangekreuzt sein (I ZR 7/16).

Europäischer Gerichtshof zum Privacy Shield

Der EuGH erklärte im Sommer 2020: Der Privacy Shield ist unwirksam. Unternehmen können diesen nicht mehr als rechtliche Basis verwenden, um Daten die USA zu versenden. Denn: Dort herrscht kein angemessenes Datenschutzniveau. Die Überwachungsprogramme sind nicht auf das zwingend erforderliche Maß beschränkt. Und: Deutsche Nutzer können sich rechtlich nicht wehren, wenn US-amerikanische Unternehmen oder Behörden ihre Daten missbräuchlich verwenden.

Datenschutzbehörde Hamburg zum AV-Vertrag

Die Hamburger Datenschutzbehörde verhängte am 17.12.2018 ein Bußgeld in Höhe von 5.250 Euro gegen das Versandunternehmen Kolibri Image. Dies hatte es versäumt, mit einem spanischen Dienstleister einen AV-Vertrag zu schließen.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußballclub VfB Stuttgart musste im März 2021 ein Bußgeld in Höhe von 300.000 Euro zahlen. Er hatte keinen AV-Vertrag geschlossen, obwohl er Mitgliederdaten an Dienstleister weitergab. Das wertete die Datenschutzbehörde Baden-Württemberg als schweren Verstoß gegen die DSGVO.

Aktuelles zu Analytics-Tools

Zwei Datenschutzbehörden in Europa haben kürzlich festgestellt: Google Analytics verstößt gegen die DSGVO. Squarespace Analytics ist wie Google Analytics ein Analyse-Tool für Webseiten, das Daten unter anderem in die USA weiterleitet. Die folgenden Einschätzungen zu Google Analytics könnten daher auch für Squarespace Analytics gelten:

Datenschutzbehörde Österreich zu Google Analytics

Die österreichische Datenschutzbehörde kam im Januar 2022 zu dem Schluss: Google Analytics ist rechtswidrig. Das bedeutet für die Praxis: Seitenbetreiber, die Google Analytics verwenden, verstoßen gegen die DSGVO. Die österreichischen Datenschützer erklärten dazu: Google Analytics gibt Userdaten in die USA weiter. US-amerikanische Behörden können ungehindert auf die Daten zugreifen. Es herrscht dort also kein gesichertes Datenschutzniveau. Die Einschätzung der Datenschutzbehörde bezog sich zwar nur auf einen Einzelfall in Österreich. Deutsche Datenschutzbehörden könnten jedoch zeitnah zu einem ähnlichen Schluss kommen.

Datenschutzbehörde CNIL zu Google Analytics

Kurz nach dem Urteil der österreichischen Datenschutzbehörde kam auch die französische Behörde CNIL zu dem gleichen Schluss. Sie stellte im Februar 2022 fest: Google Analytics verstößt gegen die Vorgaben der DSGVO. Die Datenschützer führten dazu aus: Google nutzt zwar Schutzmaßnahmen wie EU-Standardvertragsklauseln, um Userdaten zu schützen. Das ist jedoch nicht genug. US-Behörden können die Daten uneingeschränkt einsehen und verwenden. Das ist nicht mit der DSGVO vereinbar. Google Analytics ist daher rechtswidrig.