Ist Webflow in Deutschland datenschutzkonform einsetzbar?

Disclaimer: Wir sind keine Anwälte und können bzw. dürfen keine Rechtsberatung durchführen. Als Webdesign-Agentur, die sich auf Webflow-Seiten spezialisiert hat, haben wir ein großes Interesse daran, unsere Kunden möglichst transparent über die aktuellen DSGVO-Anforderungen zu informieren und diese bestmöglich umzusetzen. Dennoch handelt es sich hierbei um unsere Meinung, welche nicht als rechtsgültig, aktuell und bindend angesehen werden darf. Für die Gültigkeit wird keine Haftung übernommen. (Stand 15. November 2021)

Tl;dr Die kurze Antwort auf die Frage lautet: Ja, Webflow ist in Deutschland datenschutzkonform einsetzbar, solange einige Dinge beachtet werden.

Da viel Halbwissen und Unsicherheit über die tatsächliche Situation des Hosting mit Webflow bzw. AWS bestehen, wollen wir heute ein wenig Licht ins Dunkeln bringen. Nach über 50 Webseiten und einer Menge Absprachen mit diversen Datenschutzbeauftragten kleiner und großer Firmen, möchten wir in diesem Beitrag die Frage klären ob und wie Webflow in Deutschland datenschutzkonform einsetzbar ist.

Hierzu ist es wichtig die Grundprinzipien der DSGVO zu verstehen. Die Verordnung ist seit dem 25. Mai 2018 offiziell anzuwenden und regelt durch weitreichend regulatorische Bestimmungen die Datenverarbeitung von personenbezogenen Daten durch Webseitenbetreiber gegenüber dem privaten Endnutzer.

Wieso ist die Thematik so aktuell?

Um ein einheitliches Datenschutzniveau zwischen den Ländern der europäischen Union und den USA zu wahren, wurde eine informelle Absprache in Form des Privacy-Shields getätigt. Das Privacy-Shield regelte den Datentransfer und stellte eine vertragliche Grundlage für den Datentransfer in die USA dar. Dieses wurde jedoch Mitte 2020 gekündigt. Ein Datentransfer von personenbezogenen Daten aus der EU in die USA ist damit nicht mehr erlaubt.

Was sind personenbezogene Daten?

Die Grundsätze des Datenschutzes „sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ „Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden.“ Das bedeutet, dass alle Informationen, die in irgendeiner Weise einer natürlichen Person zugeordnet werden können, von der DSGVO betroffen sind.

Weiter definiert Artikel 4(1) personenbezogene Daten als: „Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (..) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann [...].“

In welcher Hinsicht betrifft das Webflow?

Webflow ist eine amerikanische Firma und verwendet für das Hosting der Webseiten Amazon Web Services (kurz AWS). AWS ist ein sogenanntes Cloud Delivery Network. D.h. die Server stehen in der ganzen Welt verteilt. Greift ein Nutzer aus Deutschland auf eine über AWS gehostete Seite zu, erhält dieser den am nähesten liegenden Server. In diesem Falle vermutlich den AWS Standort Frankfurt oder Dublin. Die Vorteile liegen auf der Hand:

• Aufgrund der allseits gegebenen räumlichen Nähe der Server laden die Seiten sehr schnell und haben dadurch eine tolle Performance.
• Außerdem besteht aufgrund der weltweit verteilten Duplikate eine hohe Ausfallsicherheit.

Hierbei lässt sich allerdings nicht ausschließen, dass europäische Nutzer auf einen amerikanischen Server zugreifen. Spätestens bei der Übermittlung von Formularen auf AWS gehosteten Webseiten wird es kompliziert. Doch alles der Reihe nach. Um zu verstehen inwieweit dies das Hosting mit Webflow beeinflusst, gilt es zu verstehen wie und ob Webflow personenbezogene Daten sammelt.

Sammelt Webflow personenbezogene Daten?

Die kurze Antwort: Webflow sammelt keine personenbezogene Daten, wenn einiges beachtet wird. Hierzu durchlaufen wir folgende Grafik zu Veranschaulichung:

• Der europäische Webseitenbesucher greift auf die von Webflow gehostete Seite zu. Diese Seite wird über den globalen CDN von AWS gehostet. Hierbei entstehen keine personenbezogene Daten (bzw. nur mit ausdrücklicher Zustimmung). Webflow direkt erhebt und speichert keinerlei personenbezogene Daten. (Lediglich die anonymisierte IP-Adresse wird übermittelt, hierbei handelt es sich allerdings nicht um personenbezogene Daten.) Daneben ist es wichtig Skripte wie bspw. Google Analytics datenschutzkonform mit einem Cookiebanner einzubinden. Doch dazu in einem anderen Beitrag mehr.

• Der Nutzer kann sich also frei auf der Webseite bewegen, ohne dass personenbezogene Daten erhoben werden.
• Kritisch wird es bei der Übermittlung von bspw. Formulardaten. Sendet der Nutzer ein Formular auf der Webseite ab, entstehen im Normalfall personenbezogene Daten (z.B. Vor- und Nachname). Werden diese Daten nun auf die AWS-Server in Amerika übertragen, entsteht ein verbotener Datenaustausch in ein nicht sicheres Drittland, was ein klarer DSGVO-Verstoß darstellt.
• Um diese Problematik zu umgehen, ist es von essentieller Bedeutung die Formulardaten nicht an Webflow zu übergeben, sondern vorher abzufangen und an einen europäischen Hoster wie bspw. Sendinblue weiterzuleiten. Hierzu kann entweder ein vorgefertigtes Formular eingebunden werden, oder die Daten über Form-Action direkt auf den gewünschten Server (ohne Zwischenschritte) übertragen werden.

Zusammenfassung

Solange diese Punkte beachtet werden, lässt sich Webflow unserer Meinung nach (und der Meinung diverser Datenschutzbeauftragen) problemlos DSGVO-konform betreiben. Denn:

• Wo keine Daten entstehen, können auch keine Daten gesammelt werden.
• Wo keine Daten gesammelt werden, können auch keine Daten übertragen werden.
• Alle Daten die erhoben werden, separieren wir komplett vom globalen CDN und leiten sie auf  DSGVO-konforme Server in die EU weiter.

Falls Du Fragen oder Anmerkungen zu diesem Thema hast, wende dich gerne direkt an mich: florian@halbstark.de

In Zukunft entstehen hier weitere interessante Beiträge zu allen Themen rund um Webflow. Der nächste Themenblog wird sich um die Erstellung eines datenschutzkonformen Cookiebanner drehen. Abonniere daher gerne hier unseren Newsletter.

Wir hoffen, dass wir ein wenig Licht in die Tiefen und Wirren der DSGVO bringen konnten!

‍