Servus Elias,
• keine Datenverarbeitungsvereinbarung mehr notwendig
AV Verträge sind kein Thema das relevant ist, weil US-EU Datentransfer stattfindet, sondern weil Kundendaten (zwischen dir und deinem Kunden) zu Drittanbietern übertragen werden. Das Thema ist demnach auch für rein deutschlandweite Datenübertragung relevant.
AVV mit den Anbietern zu schließen ist glücklicherweise aber meist intuitiv gestaltet (Webflow) oder bereits nativ verankert (Google Analytics).
• Alle Features von Webflow sind erlaubt und DSGVO sicher
Wenn dich die Blog-Beiträge der Anwaltskanzleien oben nicht überzeugen, dann vermutlich nur eine persönliche Aussage von einem Fachanwalt zum Thema. Erfahrungsgemäß möchte aber kein Fachmann 100% Aussagen rausposaunen, weil es “immer drauf ankommt”.
Offiziell kann ich mir nicht vorstellen, dass extra dazu noch eine Aussage von Webflow kommt, die waren ja vorher schon zufrieden mit dem Zustand in der Grauzone.
• Google Fonts per statischer Einbindung (oder blocken bis Cookies zugestimmt wird)
Nach langem hin- und her überlegen, bin ich zu dem Entschluss gekommen, dass die lokale Einbindung von GoogleFonts, weiterhin die sinnvollste sein wird. Andernfalls musst du dich damit rumschlagen, das keine Datenübertragung vor Cookie Consent erfolgt und du brauchst ne Backup Font zur Darstellung der Webseite bis dahin. Die einfach lokal hochzuladen ist also die praktischste Lösung weiterhin.
und wird können nun guten Gewissens DSGVO konforme Webflow Seiten anbieten?
100% DSGVO konformität ist immer so eine Sache. Du hast genau genommen immer noch das Problem mit dem CDN von Amazon. Tatsächlich fällt der zwar auch unter das DPF Abkommen, allerdings hast du wieder das technische Problem dass die Datenübertragung vor Cookie Consent erfolgt.
“Bei der Nutzung des CDN werden mindestens die IP-Adresse im CDN selbst verarbeitet und weitergeleitet. Die DSGVO findet also im Umfeld eines CDN grundsätzlich Anwendung.” (Zitat)
Falls du aber den CDN unterbindest bis das passiert, ist der ganze Sinn eines CDNs hinfällig. Weswegen das ganze Konzept eines CDNs in einer Grauzone ist.
“Pauschal lässt sich also nicht beurteilen, ob eine DSGVO-konforme Nutzung eines CDN möglich ist oder nicht. Für eine abschließende Bewertung, müssen sowohl die Transportwege als auch die Speicherorte der Daten, sowie die angebotenen Features des Anbieters zur Einhaltung der DSGVO, mit einbezogen werden.”