Was macht Webflow?
Webflow ist ein Online-Toolkit, mit dem User per Drag and Drop selbst – und ohne Programmierkenntnisse – Webseiten erstellen können. Webflow bietet dafür ein Baukasten-System, aus dem Nutzer die Designs und Funktionen heraussuchen können, die sie für ihre Seite benötigen. Das Tool ähnelt beispielsweise dem Anbieter Wix. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie mit Webflow ihre Webseite anlegen?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Webflow datenschutzrechtlich relevant?
Je nachdem, wie Unternehmen ihre Webflow-Webseite nutzen, erheben sie verschiedene Daten von Webseitenbesuchern. Das kann beispielsweise über Kontaktformulare, Produktkäufe oder Newsletter-Anmeldungen sein. Dabei sammeln sie zum Beispiel Daten wie
- Name,
- E-Mail,
- IP-Adresse und
- Bankdaten.
Auf diese Weise erhält Webflow Zugriff auf personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Vorgaben beachten.
Und: Webflow betreibt Webseiten über Amazon Cloudfront und hostet die Daten auf Fastly. Der Anbieter verwendet für den Datenabruf dabei immer den Server, der dem jeweiligen Webseitenbesucher am nächsten ist.
Das bedeutet für die Praxis: Unternehmen speichern ihre Daten zum Teil in datenschutzrechtlich unsicheren Drittländern. Für den internationalen Datentransfer müssen sie diverse Pflichten erfüllen.
Webflow datenschutzkonform verwenden
Um Webflow gemäß dem deutschen Datenschutz zu nutzen, müssen Unternehmen diese Vorgaben beachten:
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen sammeln über Webflow personenbezogene Daten. Sie geben die Daten an den US-amerikanischen Anbieter weiter, um sie weisungsgebunden verarbeiten zu lassen. Dafür benötigen Unternehmen einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) mit Webflow. Das gibt Art. 28 DSGVO vor. Der AV-Vertrag muss festhalten,
- warum Webflow personenbezogene Daten erhält,
- welche Daten das sind,
- wie lange Webflow diese Daten speichert und
- welche Rechte und Pflichten Webflow und die Seitenbetreiber haben.
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung darüber informieren, dass und wie sie Webflow verwenden. Dabei sollten sie erklären,
- warum sie über Webflow personenbezogene Daten erheben,
- warum sie die Daten an Webflow weitergeben,
- wie lange sie die Daten speichern,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO),
- dass sie mit Webflow für die Datenweitergabe einen AV-Vertrag geschlossen haben und
- dass Nutzer der Datenerhebung und Datenspeicherung jederzeit widersprechen können.
Auf diese Weise erhalten User einen grundlegenden Einblick, was mit ihren Daten passiert, wenn sie eine von Webflow betriebene Webseite besuchen. Um ihnen mehr Informationen zur Datenverarbeitung bereitzustellen, sollten Unternehmen zusätzlich auf die Datenschutzbestimmungen und Nutzungsbedingungen von Webflow verweisen. User können dann selbst überprüfen, was mit ihren Daten bei dem US-amerikanischen Anbieter passiert.
Standardvertragsklauseln prüfen
Um den Datentransfer in Länder außerhalb der EU datenschutzkonform zu gestalten, müssen Unternehmen mit Webflow Standardvertragsklauseln abschließen. Es handelt sich dabei um Musterverträge der EU-Kommission. Unternehmen sollten die Standardvertragsklauseln prüfen – unter anderem auch darauf hin, ob es sich um die aktuellen, von der EU-Kommission im Juni 2021 herausgegebenen Klauseln handelt.
In diesem Rahmen müssen Unternehmen auch eine Risikoabschätzung durchführen. Diese soll zeigen, wie der Datentransfer zu Webflow abläuft und welche technischen und organisatorischen Maßnahmen der Anbieter ergreift, um die Daten zu schützen. In der Risikoabschätzung müssen Unternehmen unter anderem untersuchen,
- welche Art von Daten betroffen sind,
- welche Rechtsvorschriften in den USA gelten und
- ob sie selbst weitere Maßnahmen ergreifen können, um die Daten zu schützen.
Webseite extern hosten?
Webflow bietet Unternehmen die Möglichkeit, den Webseiten-Code zu exportieren und auf einem externen Server abseits der Hosting-Infrastruktur von Webflow zu hosten. Auf diese Weise können sie den Hosting-Dienst und damit den Hosting-Standort selbst wählen. Sie versenden so keine Daten mehr in datenschutzrechtlich unsichere Drittländer. Das Problem: CMS- und E-Commerce-Inhalte wie Datenbanken werden in diesem Fall nicht exportiert und verlieren ihre Funktion. Und: Der Vorteil des Content Delivery Networks (CDN), Webseiten schnell und zuverlässig auszuliefern, verpufft. In der Praxis kommt es daher für die meisten Unternehmen nicht infrage, ihre Webseite extern zu hosten.
Rechtsprechung zu Webflow
Zu Webflow liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Seitenbetreiber müssen jedoch sichergehen, dass sie mit dem Anbieter einen AV-Vertrag schließen. Ansonsten droht ihnen ein Bußgeld, wie diese zwei Entscheidungen von Datenschutzbehörden gezeigt haben:
Datenschutzbehörde Hamburg zum AV-Vertrag
Unternehmen benötigen einen AV-Vertrag, wenn sie personenbezogene Daten zur weisungsgebundenen Verarbeitung an Dritte weitergeben. Liegt dieser Vertrag nicht vor, droht ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Ein deutsches Versandunternehmen musste daher im Dezember 2018 eine Strafe in Höhe von 5.000 Euro zahlen. Es hatte es versäumt, mit einem spanischen Postdienstleister einen AV-Vertrag abzuschließen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Ein Verein, der Mitgliederdaten an Dienstleister weitergibt, um diese weisungsgebunden verarbeiten zu lassen, muss mit den Dienstleistern AV-Verträge schließen. Das stellte die Datenschutzbehörde Baden-Württemberg fest. Der Fußballclub VfB Stuttgart hatte zwar Mitgliederdaten weitergegeben. Die rechtliche Grundlage in Form von AV-Verträgen lag dafür jedoch nicht vor. Die Datenschutzbehörde sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro gegen den Verein aus.