[LIST] How to use Webflow in Germany | Wie du Webflow in Deutschland nutzen könntest (GDPR/DSGVO)

Dennis_K · March 11, 2023, 9:33am

es geht bei einem Cookie Consent hauptsächlich darum, die Nutzer:innen die Wahl zu geben, ob sie dem Einsatz von optionalen Cookies zustimmen oder ablehnen wollen. Sollte es diese nicht geben, bedarf es laut meines Kenntnisstandes auch keinen Cookie Consent. Webflow selbst setzt, wie du zitiert hast, keine Cookies (außer auf einer .webflow.io Domain). Alle Cookies deiner Webflow Website sind also (wenn vorhanden) von dir durch den Einsatz eigener Skripte oder externer Tools deiner Website hinzugefügt worden.

Eine grundsätzliche Empfehlung dazu aber noch: Der Scan von Cookies durch Tools wie z.B. cookie-script.com funktioniert nicht immer so, wie man es sich wünscht. Ob in einer Website wirklich Cookies eingesetzt werden, erfährst du immer deutlich zuverlässiger in den DevTools von z.B. Google Chrome.

Man sollte also immer abgleichen, ob das Ergebnis eines Cookie-Scans durch ein externes Tool mit den tatsächlichen Gegebenheiten der Website übereinstimmt.

Elmira_Rehnert · March 20, 2023, 6:20pm

Das heißt, man braucht keinen Cookie Banner, wenn mann Webflow als Hostinganbieter verwendet und keine Analysetool, Google Fonts etc, richtig?

p.S. vielen lieben Dank für die Zusammenfassung, die hat mich gerettet

Dennis_K · March 21, 2023, 8:24am

Hey @Elmira_Rehnert,

unabhängig von Webflow lässt sich sagen, sofern keine optionalen Cookies eingesetzt werden, bedarf es keinen Cookie Consent.

Danke für die Wertschätzung, freut mich, wenn ich helfen konnte.

Michael-J · March 29, 2023, 9:45am

Hi Dennis,

auch von mir mal ein herzliches Danke für die Zusammenfassung. Ich glaube ich habe keine andere Seite öfter zum Thema webflow besucht als diese.

Ich habe eine Frage zu deiner Aussage: “Webflow selbst setzt, …, keine Cookies (außer auf einer .webflow.io Domain).”

Wenn ich mir eine bei webflow gehostete und mit einer Custom-Domain versehene Website mit den DevTools von Chrome anschaue, werden mir eine Reihe von Cookies aufgelistet (siehe Screenshot). Übersehe ich hier etwas? Müsste diese Liste nicht leer sein, wenn webflow keine Cookies setzt?

Dennis_K · March 29, 2023, 10:07am

Hey Michael,

ich nehme an, du schaust dir die Website im Editor Modus an. In diesem Fall nutzt Webflow Cookies für den Login Status, deren eigenen Analysedienste für die Nutzung etc. Die User:innen werden diese Cookies nicht haben.

Öffne die Website in z.B. Edge und du siehst, dass dort alles schön sauber ist:

Solltest du das Webflow eCommerce Feature nutzen, kann es auch durchaus sein, dass dort noch einige notwendige Cookies gesetzt werden - das kann ich aber nicht mit Sicherheit sagen, da wir das nicht nutzen.

Beste Grüße aus Potsdam,

Dennis

heja223 · March 29, 2023, 3:41pm

Ich könnte mir vorstellen, dass du ggf. noch “alte” Cookies in dieser Liste stehen hast. Öffne deine Webseite mal in einem Inkognito-Tab oder dem Chrome Gast-Modus und schaue dann nochmal nach. Der Cookie ganz unten “_fbp” ist nämlich beispielsweise von Facebook - Nur ein Gedankengang weil ich den gleichen “Fehler” auch mal gemacht habe

Michael-J · April 13, 2023, 6:17am

Danke für deinen Tip. Der Fehler lag, aber tatsächlich (wie von @Dennis_K vermutet) daran, dass im Hintergrund irgendwo der webflow-Editor noch aktiv/eingeloggt war. Nach dem ich mich aktiv abgemeldet, den Cache und alle Cookies gelöscht hatte, wurden die Cookies auch nicht mehr angezeigt.

Danke nochmal für die Hilfe!

hues · April 23, 2023, 10:39pm

Hi @Dennis_K, erstmal vielen lieben Dank für deine Mühe! Hat mir extrem geholfen, einen Schritt weiterzukommen und sich dieses Biest, was sich “Datenschutzerklärung” nennt, vorzuknöpfen. Eine Frage lässt mich aber nicht los:

Einerseits sprichst du von einer Grauzone (natürlich zu recht) und anderseits schreibst du in deiner eigenen Datenschutzerklärung auf deiner Website https://www.vibranddesign.com/ folgendes z.B. unter dem Punkt 2. Hosting: " Auftragsverarbeitung (…) Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet."

Aber dem ist doch nicht so, oder?
Ist keine Kritik, sondern reine Frage zum Verständnis.

Danke dir vielmals im Voraus.

Dennis_K · May 2, 2023, 11:29am

Hey @hues,

bei dieser Formulierung handelt es sich um einen Standardtext und um einen Grundsatz seitens der DSGVO, dass Auftragsverarbeiter nur Daten in soweit erheben und verarbeiten dürfen, wie du es als “Auftraggeber” auch aufträgst. Faktisch ist dieser Satz korrekt. In dem du Webflow als Hoster “beauftragst”, trägst du Webflow damit auf, Daten in soweit zu erheben, wie es für die Erbringung der Leistungen erforderlich ist.

Liebe Grüße

Dennis

hues · May 2, 2023, 3:10pm

Danke dir für die Rückmeldung!

heja223 · June 9, 2023, 2:47pm

Hi @Dennis_K, hallo zusammen!

Ich hätte noch eine weitere Frage zum Thema “Webflow & GDPR”. Einer meiner Kunden hätte gerne direkt auf der Startseite seiner Homepage ein Video, welches automatisch abgespielt wird und die Möglichkeit bietet, den Ton des Videos über einen Button zu aktivieren.
Mit dem YouTube-Element von Webflow kein Problem, leider schlägt da der Webfont-Checker, etc. Alarm. Nun frage ich mich, wie ich das Problem am besten lösen kann? Eine Einverständnis vom Nutzer abfragen macht keinen Sinn, da das Video ja direkt abgespielt werden soll. Ein Komprimieren des Videos damit es <30MB hat und ich es in Webflow hochladen kann, könnte gerade noch so gehen, aber klappt das dann auch mit dem Ton an/- und ausschalten?

Wie löst du/ ihr diese Video-Problematik? Über eine Antwort würde ich mich freuen, danke!

Dennis_K · June 10, 2023, 9:40pm

Hey Jan,

die einzig sinnvolle Herangehensweise in deinem Fall ist, das Video direkt von einer eigenen Quelle einzubinden - z.B. einem Webserver einer anderen (Sub-)Domain.
Dabei bindest du das Video dann über ein HTML Embed mit einem eigenen <video> Tag ein und kannst es mit JavaScript steuern.

heja223 · June 11, 2023, 9:51am

Hey @Dennis_K, danke für deine schnelle Rückmeldung! Ja das wird vermutlich der einzig valide Weg sein, da hast du Recht. Wenn wir schon dabei sind: Kannst du zufällig einen kostenfreien/ günstigen Service bei dem sich Videos GDPR-compliant hosten lassen empfehlen?

Dennis_K · June 12, 2023, 10:14am

Hey Jan,

meine Empfehlung ist schlichtweg den Webspace eines Hosters deiner Wahl (wo du oder deine Kund:innen z.B. Ihre Domain(s) liegen haben) zu verwenden. Damit bist du deutlich flexibler und kannst jede Art von Datei hochladen und nutzen, statt nur Videos.

Beste Grüße aus Potsdam,

Dennis

Alexander_Richter · August 7, 2023, 4:46pm

Update: Neues EU-U.S. Data Privacy Framework (10.07.23)

"Die EU-Kommission hat am 10.07.2023 den Angemessenheitsbeschluss angenommen. Mit dem EU-U.S. DPF haben wir nun das dritte Abkommen, das nach „Safe Harbor“ und „Privacy Shield“ die Datentransfers in die USA ermöglicht und den USA ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten, die dem Schutzbereich der Datenschutz-Grundverordnung (DSGVO) unterliegen, bescheinigen soll.
US Data Privacy Framework

“Danach dürfen die personenbezogenen Daten auf der Grundlage des EU-US DPF an Empfänger in den USA nur übermittelt werden, die sich beim U.S. Department of Commerce (dem Handelsministerium der Vereinigten Staaten also) im Rahmen einer Selbst-Zertifizierung zertifiziert haben.”

Hier ist Webflow in der Liste eingetragen:

Darf man damit jetzt wieder die bisher “verbotenen” Features von Webflow nutzen? Konkret geht es mir um die Nutzung von:

Formulare
Ecommerce
Members

…in Deutschland. Hat das schonmal jemand genauer unter die Lupe genommen, bzw. mit einem Datenschutzanwalt prüfen lassen, was die Nutzung von Webflow betrifft?

Link zum zitierten Artikel:
https://www.bits.gmbh/datenschutzabkommen-zwischen-der-eu-und-den-usa-steht/

Alexander_Richter · September 7, 2023, 4:49pm

Habe hier ein Video zum Thema gefunden: https://www.youtube.com/watch?v=FNbZzCxHNgM

Kurzzusammenfassung: Webflow ist aus der Grauzone raus, alle Services (Members, Formulare, Ecommerce, etc.) sind jetzt nutzbar - alle hier besprochenen Maßnahmen (AVV, Google Fonts, etc.) müssen jedoch weiterhin umgesetzt werden.

Sascha_Tribula · November 26, 2023, 8:36pm

Für alle die mehr als ein YouTube Video als proof suchen (inkl. meinerseits):

Artikel der Kanzlei Oppenhoff & Partner Rechtsanwälte Steuerberater mbB

Damit treten Erleichterungen für Unternehmen bei Datenübermittlungen in die USA ein, etwa bei Inanspruchnahme der Dienste von US Cloud-Anbietern, da aufwändige Risikoeinschätzungen und Zusatzmaßnahmen entfallen.

[…]

Datenübermittlungen an US-Unternehmen mit Zertifizierung unter dem DPF sind jetzt ohne weitere inhaltliche Anforderungen möglich, soweit und solange eine entsprechende Zertifizierung besteht.

Datenübermittlungen an US-Unternehmen auf Basis der EU‑Standardvertragsklauseln oder BCRs benötigen diese Zusatzmaßnahmen ebenfalls nicht mehr.

Hier lässt sich prüfen welche Unternehmen zertifiziert sind:
https://www.dataprivacyframework.gov/s/participant-search

Die ersten Suchen waren bereits erfolgreich für:

Webflow
Google (wg. fonts/youtube embedded)
Calendly

Trotz zertifiziertem Status beim U.S. Department of Commerce (Webflow, Google, Calendly) bleibt es problematisch beim Einbinden von Google Fonts. Da es hierbei weniger mit der Datenübertragung in die USA als mit der Übermittlung von Daten vor Cookie Einwilligung zu tun hat.

Ein Laden der Fonts vor Einwilligung blockieren müsste das Thema also lösen… oder sehe ich das falsch?

PS: Hier auch ein Artikel von Data Privacy Framework & Privacy Shield 2.0 | eRecht24 zum Thema

ianm · December 1, 2023, 12:41pm

Hi,
also, erstmal Danke an alle sehr Informativen Beiträge, allem voran @Dennis_K
Nach dem letzten Post von @Sascha_Tribula wollte ich jetzt nochmal für mich und alle nach mir fragen … Bedeutet das:

• keine Datenverarbeitungsvereinbarung mehr notwendig
• Alle Features von Webflow sind erlaubt und DSGVO sicher
• Google Fonts per statischer Einbindung (oder blocken bis Cookies zugestimmt wird)

Also, alles gut jetzt und wird können nun guten Gewissens DSGVO konforme Webflow Seiten anbieten?

Danke und Beste Grüße aus Berlin!

Sascha_Tribula · December 3, 2023, 2:02pm

Servus Elias,

• keine Datenverarbeitungsvereinbarung mehr notwendig

AV Verträge sind kein Thema das relevant ist, weil US-EU Datentransfer stattfindet, sondern weil Kundendaten (zwischen dir und deinem Kunden) zu Drittanbietern übertragen werden. Das Thema ist demnach auch für rein deutschlandweite Datenübertragung relevant.
AVV mit den Anbietern zu schließen ist glücklicherweise aber meist intuitiv gestaltet (Webflow) oder bereits nativ verankert (Google Analytics).

• Alle Features von Webflow sind erlaubt und DSGVO sicher

Wenn dich die Blog-Beiträge der Anwaltskanzleien oben nicht überzeugen, dann vermutlich nur eine persönliche Aussage von einem Fachanwalt zum Thema. Erfahrungsgemäß möchte aber kein Fachmann 100% Aussagen rausposaunen, weil es “immer drauf ankommt”.

Offiziell kann ich mir nicht vorstellen, dass extra dazu noch eine Aussage von Webflow kommt, die waren ja vorher schon zufrieden mit dem Zustand in der Grauzone.

• Google Fonts per statischer Einbindung (oder blocken bis Cookies zugestimmt wird)

Nach langem hin- und her überlegen, bin ich zu dem Entschluss gekommen, dass die lokale Einbindung von GoogleFonts, weiterhin die sinnvollste sein wird. Andernfalls musst du dich damit rumschlagen, das keine Datenübertragung vor Cookie Consent erfolgt und du brauchst ne Backup Font zur Darstellung der Webseite bis dahin. Die einfach lokal hochzuladen ist also die praktischste Lösung weiterhin.

und wird können nun guten Gewissens DSGVO konforme Webflow Seiten anbieten?

100% DSGVO konformität ist immer so eine Sache. Du hast genau genommen immer noch das Problem mit dem CDN von Amazon. Tatsächlich fällt der zwar auch unter das DPF Abkommen, allerdings hast du wieder das technische Problem dass die Datenübertragung vor Cookie Consent erfolgt.

“Bei der Nutzung des CDN werden mindestens die IP-Adresse im CDN selbst verarbeitet und weitergeleitet. Die DSGVO findet also im Umfeld eines CDN grundsätzlich Anwendung.” (Zitat)

Falls du aber den CDN unterbindest bis das passiert, ist der ganze Sinn eines CDNs hinfällig. Weswegen das ganze Konzept eines CDNs in einer Grauzone ist.

“Pauschal lässt sich also nicht beurteilen, ob eine DSGVO-konforme Nutzung eines CDN möglich ist oder nicht. Für eine abschließende Bewertung, müssen sowohl die Transportwege als auch die Speicherorte der Daten, sowie die angebotenen Features des Anbieters zur Einhaltung der DSGVO, mit einbezogen werden.”