Streaming live at 10am (PST)

[LIST] How to use Webflow in Germany | Wie du Webflow in Deutschland nutzen könntest (GDPR/DSGVO)

[English below german]

:de:[GERMAN]

Hinweis: Ich bin kein Jurist, sondern ein Webdesigner, der sich regelmäßig im Sinne seiner Kunden intensiv mit dem Thema auseinander setzt. Meine Äußerungen, Meinungen und Maßnahmen sind nicht als bindend oder rechtsgültig anzusehen und spiegeln lediglich Empfehlungen von mir wider.

Liebe deutsche Community,

seit meines Posts hier im Forum bzgl. der Bitte an Webflow mit einem Statement zur Kippung des Privacy Shield Abkommens und die vielen Nachrichten, die mich seit dem mit Fragen rund um das Thema erreicht haben, möchte ich euch die Maßnahmen nennen, die ich für die sicherste Nutzung von Webflow in Deutschland (speziell bei der Verwendung des Hostings) anwende.

Vorwort: Warum das Ganze?

Anklicken zum Öffnen der Section

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO bzw. GDPR) im Mai 2018 wurde die Art und Weise definiert, wie deutsche (und auch europäische) Unternehmen mit personenbezogenen Daten umgehen dürfen und überhaupt - wann diese das dürfen.

Allerdings betrifft diese Verordnung auch alle außereuropäischen Unternehmen, die Daten der EU Bürger erfassen und verarbeiten - wie es Webflow zum Beispiel tut.

Um zu verifizieren, dass sich außereuropäische Unternehmen (insbesondere us-amerikanische) an ein Datenschutzniveau halten, dass für die EU Kommission als angemessen gilt, gab es das Privacy Shield Framework. Alle Unternehmen, die sich selbst innerhalb dieses Frameworks gelistet haben, sind mehr oder weniger dafür verifiziert gewesen, dass das Datenschutzniveau des jeweiligen Unternehmens für die EU als angemessen zur Verarbeitung von Daten der EU Bürgern ist. Diese informelle Absprache zwischen der EU und der USA wurde allerdings im Juli 2020 für nichtig erklärt. Wer hier das Warum und Wieso erfahren möchte, kann das an vielen Quellen nachlesen.

Die Kippung des EU-US Privacy Shields hat für viel Aufsehen und Sorge gesorgt, die auch heute noch genauso intensiv ist. Die Ungültigkeitserklärung dieser Vereinbarung bedeutet für alle Unternehmen innerhalb der EU, die personenbezogene Daten von EU Bürgern durch nicht-europäische Unternehmen außerhalb der EU verarbeiten lassen, unterlassen müssen.
Falls du dir denkst: “Ach, sowas betrifft mich nicht.” → Hier 2 Beispiele aus der Praxis, die nun nicht mehr ohne weiteres erlaubt sind:

  1. Du nutzt ein CRM Programm eines US-Anbieters zur Verwaltung der Kontaktdaten deiner Kunden und zur Messung des Umsatzes je Kunde.
  2. Du verwendest für deine Website ein Cloud Delivery Network wie zum Beispiel jenes von AWS, Cloudflare oder ähnliches.

Doch wann sind Daten eigentlich personenbezogen?

Daten sind dann personenbezogen, wenn man mit ihnen eine Person identifizieren kann. Das kann die IP, der Name, Standortdaten oder z.B. das Kennzeichen sein.

Und wo kommt Webflow - speziell das Webflow Hosting dort ins Spiel?

Webflow nutzt für die Bereitstellung des Hostings aller Websites ihrer Kunden (wie du und ich), die Amazon Web Services Dienste (AWS). Sowohl Webflow als auch AWS sind US-amerikanische Unternehmen mit Hauptsitz und Serverstandorten außerhalb der EU. Laut DSGVO muss also davon ausgegangen werden, dass die Verarbeitung aller Daten der EU Bürger, die auf Websites zugreifen, die dieses Hosting verwenden, außerhalb der EU verarbeitet werden.
Mit der Kippung des EU-US Privacy Shields ist das also äußerst problematisch und theoretisch nicht mehr erlaubt. Hier kommt jedoch wieder die DSGVO ins Spiel und die Standardvertragsklauseln, auf die sich ein Unternehmen außerhalb der EU berufen kann, um sicherzustellen, dass das Datenschutzniveau gegenüber der EU Bürger angemessen ist. Sich auf diese Klauseln zu berufen und diese in die Datenschutzvereinbarungen mit aufzunehmen war die Antwort tausender Unternehmen (auch von Webflow) auf das Urteil, das das Privacy Shield Abkommen für ungültig erklärt hat.

Ausdrücklicher Hinweis: Da es aktuell keine klare Aussage der EU bzw. vom Bundesgerichtshof gibt, ob diese Maßnahme als ausreichend zur rechtmäßigen Verarbeitung personenbezogener Daten von EU Bürgern durch nicht-europäische Unternehmen ist, ist und bleibt die Nutzung von ausländischen Diensten (wie zum Beispiel das Webflow Hosting) aktuell eine Grauzone.

Aus diesem Grund wünschen sich vermutlich tausende europäische Nutzer von Webflow, dass Webflow eine Tochterfirma in der EU eröffnet und die Verarbeitung von Daten Serverseitig auf EU und Nicht-EU trennt.

Nun also zu den Maßnahmen, die wir für die Nutzung des Webflow Hostings für unsere Kunden unternehmen:

1) Rechtsgrundlage sichern
a) Wenn du die Website eines Kunden mit Webflow hostest und das als Service für deinen Kunden anbietest, MUSST du mit Webflow UND deinem Kunden eine Datenverarbeitungsvereinbarung abschließen.

Hier kannst du die Datenverarbeitungsvereinbarung von Webflow anfordern: Webflow Data Protection Agreement Request

Vorlagen für eine Datenverarbeitungsvereinbarung kannst du zum Beispiel an diesen Stellen finden:

b) Wenn du die Website für deinen Kunden entwickelst, dieser jedoch über seinen Account die Website über Webflow hostet, MUSS dein Kunde die Datenverarbeitungsvereinbarung mit Webflow abschließen.

Dein Kunde kann die Datenverarbeitungsvereinbarung unter dem gleichen Link wie oben genannt anfordern: Webflow Data Protection Agreement Request

2) Minimierung der Datenerfassung
Nutze NICHT die von Webflow angebotene Funktion für Kontaktformulare, sondern immer eine eigene Lösung.
Du kannst jeden externen DSGVO konformen Dienst oder selbst gehostete Lösungen dafür verwenden. Eine Anleitung für letzteres findest du zum Beispiel hier: How To on using your own form processor with webflow form

Beachte aber, wenn ein externer Dienst verwendet wird, musst du (für den Fall, dass du den Service für deinen Kunden erbringst) wieder ein Verarbeitungsvertrag mit zwischen dem Dienst und deinem Unternehmen abschließen und diesen Dienst auch in dem Verarbeitungsvertrag mit aufnehmen, der zwischen dir und deinem Kunden besteht. Andernfalls muss dein Kunde die Vereinbarung mit dem Dienst abschließen.

3) Weise Website Nutzer auf die Nutzung des Webflow Hostings hin
In jeder Datenschutzerklärung muss der Hoster der Website genannt werden. Wird für die Website das Webflow Hosting verwendet, ist Webflow der Hoster.

Folgenden Passus könntest du dort mit aufnehmen:

Diese Website wird bei einem externen Dienstleister gehostet (Hoster). Wir weisen darauf hin, dass der Betrieb unserer Website und die Server bei dem von uns beauftragten Anbieter Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103 in den USA gehostet werden. Weitere Informationen zur Datenschutzerklärung von Webflow finden Sie unter folgendem Link (englisch): https://webflow.com/privacy

‍Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern des Hosters gespeichert. Hierbei kann es sich v. a. um IP-Adressen, Meta- und Kommunikationsdaten, Webseitenzugriffe und sonstige Daten, die über eine Website generiert werden, handeln.

Der Einsatz des Hosters erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Unser Hoster wird Ihre Daten nur insoweit verarbeiten, wie dies zur Erfüllung seiner Leistungspflichten erforderlich ist und unsere Weisungen in Bezug auf diese Daten befolgen.

Abschluss eines Vertrages über Auftragsverarbeitung
Um die datenschutzkonforme Verarbeitung zu gewährleisten, haben wir einen Vertrag zur Auftragsverarbeitung mit [Webflow | unserer Agentur NAME UND ADRESSE DEINER FIRMA) auf Grundlage von Art. 28 DSGVO i.V.m. den EU-Standard-Vertragsklauseln abgeschlossen.

Bitte beachte, dass der letzte Absatz des Passus durch dich angepasst werden muss.

Nur 3 Maßnahmen? Ja, “mehr” ist es nicht, was du aktuell tun kannst. Sofern du jedoch noch keine dieser Maßnahmen umgesetzt hast, wirst du dennoch genug damit zu tun haben.

FAZIT: Die Nutzung von Webflow ist und bleibt seit der Kippung des Privacy Shield Abkommens eine Grauzone, da es laut meiner Kenntnis kein eindeutiges Urteil darüber gibt, ob man als deutsches Unternehmen nicht-europäische Dienste nutzen darf, welche im Auftrag Daten verarbeiten, auch wenn man mit diesen eine Datenverarbeitungsvereinbarung abgeschlossen hat, in denen sich der Dienst auf die Standard-Vertragsklauseln beruft.

Und grundsätzlich gelten die 2 goldenen Datenschutzregeln:

  1. KEINE Verarbeitung von Daten ohne Vereinbarung und
  2. KEINE Cookies ohne Zustimmung.

Falls die Frage kommen sollte, welchen Cookie Consent Dienst ich nutze, kann ich sehr https://cookie-script.com/ empfehlen.

Eine Bitte an alle, die Fragen zu diesem Thema haben - bitte schreibt mir keine privaten Nachrichten, sondern schreibt eure Fragen hier als Kommentar, damit andere von der Diskussion und den Lösungsansätzen profitieren können.

Noch ein Hinweis in eigener Sache: Du bist ein deutscher, östereichischer oder schweizer Webflow Nutzer, dann heißt dich die Webflow Designer German Community auf Facebook herzlich willkommen. :tada:

Ich hoffe, ich konnte euch damit helfen.

Mit besten Grüßen aus Potsdam,

Dennis von Vibrand Design

:us:[ENGLISH]

read in english

Note: I am not a lawyer, but a web designer who regularly deals intensively with this topic in the interest of his clients. My statements, opinions and actions are not to be considered binding or legally valid and reflect only recommendation from me.

Dear German Community,

since my post here in the forum regarding the request to Webflow with a statement on the tipping of the Privacy Shield agreement and the many messages that have reached me since then with questions around the topic, I would like to tell you the measures that I apply for the safest use of Webflow in Germany (especially when using the hosting).

Preface: Why all this?

Click to open this section

When the General Data Protection Regulation (DSGVO or GDPR) came into force in May 2018, it defined the way German (and also European) companies are allowed to handle personal data and in general - when they are allowed to do so.

However, this regulation also affects all non-European companies that collect and process EU citizens’ data - like Webflow does, for example.

To verify that non-European companies (especially us companies) adhere to a level of data protection that the EU Commission considers adequate, there was the Privacy Shield Framework. All companies that have listed themselves within this framework have been more or less verified that the respective company’s level of data protection is adequate for the EU to process data of EU citizens. However, this informal arrangement between the EU and the US was declared null and void in July 2020. If you want to know the whys and wherefores here, you can read about it at many sources.

The overturning of the EU-US Privacy Shield has caused a lot of stir and concern, which is still just as intense today. The invalidation of this agreement means all companies within the EU who have personal data of EU citizens processed by non-European companies outside the EU must refrain.
In case you’re thinking to yourself, “Oh, this kind of thing doesn’t affect me.” → Here are 2 real-world examples that are now no longer readily allowed:

  1. You use a CRM program from a US provider to manage your customers’ contact data and measure sales per customer.
  2. You use a cloud delivery network for your website, such as AWS, Cloudflare or similar.

But when is data actually personal?

Data is personal when it can be used to identify a person. This can be the IP, the name, location data or e.g. the license plate number.

And where does Webflow - especially Webflow Hosting come into play there?

Webflow uses Amazon Web Services (AWS) to provide hosting for all of their customers’ websites (like you and me). Both Webflow and AWS are US companies with headquarters and server locations outside the EU. So, according to the GDPR, it must be assumed that the processing of all data of EU citizens accessing websites using this hosting is processed outside the EU.
So with the overturning of the EU-US Privacy Shield, this is extremely problematic and theoretically no longer allowed. However, this is where the GDPR comes into play again and the standard contractual clauses that a company outside the EU can invoke to ensure that the level of data protection towards EU citizens is adequate. Invoking these clauses and including them in data protection agreements was the response of thousands of companies (including Webflow) to the ruling that invalidated the Privacy Shield agreement.

Please note: Since there is currently no clear statement from the EU or the German Federal Court of Justice as to whether this measure is sufficient for the lawful processing of personal data of EU citizens by non-European companies, the use of foreign services (such as Webflow hosting) is and remains a gray area.

For this reason, probably thousands of European users of Webflow wish that Webflow would open a subsidiary in the EU and separate the processing of data server-side on EU and non-EU. (This again as a short hint to Webflow @callmevlad :+1:)

So now to the measures we take for the use of Webflow hosting for our customers:

1) Secure legal basis
a) If you host a customer’s website with Webflow and offer this as a service to your customer, you MUST sign a data processing agreement with Webflow AND your customer.

Here you can request the data processing agreement from Webflow: Webflow Data Protection Agreement Request

Templates for a data processing agreement can be found for example at these places:

b) If you develop the website for your client, but they host the website through Webflow via their account, your client MUST enter into the Data Processing Agreement with Webflow.

Your client can request the data processing agreement at the same link as above: Webflow Data Protection Agreement Request

2) Minimize data collection
DO NOT use the contact form feature provided by Webflow, always use your own solution.
You can use any external GDPR compliant service or self-hosted solutions for this. A guide for the latter can be found for example here: How To on using your own form processor with webflow form

Note, however, that if an external service is used, you must (in case you provide the service to your customer) again enter into a processing agreement with between the service and your company and also include this service in the processing agreement that exists between you and your customer. Otherwise, your customer will have to conclude the agreement with the service.

3) Make website users aware of the use of webflow hosting.
Any privacy policy must mention the website’s hoster. If Webflow hosting is used for the website, Webflow is the hoster.

You could include the following passage there:

This website is hosted by an external service provider (hoster). We would like to point out that the operation of our website and the servers are hosted by our contracted provider Webflow, Inc., 398 11th Street, 2nd Floor, San Francisco, CA 94103 in the USA. Further information on Webflow’s privacy policy can be found under the following link: https://webflow.com/privacy.

The personal data collected on this website is stored on the hoster’s servers. This may include, but is not limited to, IP addresses, meta and communication data, web page accesses and other data generated by a website.

The hoster is used for the purpose of fulfilling the contract with our potential and existing customers (Art. 6 para. 1 lit. b DSGVO) and in the interest of a secure, fast and efficient provision of our online offer by a professional provider (Art. 6 para. 1 lit. f DSGVO).

Our hoster will only process your data to the extent necessary to fulfill its service obligations and follow our instructions regarding this data.

Conclusion of a contract for commissioned processing
In order to ensure data protection-compliant processing, we have concluded a contract for commissioned processing with [Webflow | our agency NAME AND ADDRESS OF YOUR COMPANY) on the basis of Art. 28 DSGVO in conjunction with the EU standard contractual clauses.

Please note that the last paragraph of the passage must be adapted by you.

Only 3 measures? Yes, “more” is not what you can currently do. However, if you have not yet implemented any of these measures, you will still have enough to do.

Summary: The use of Webflow is and remains a gray area since the overturning of the Privacy Shield agreement, as to my knowledge there is no clear ruling on whether you as a German company may use non-European services that process data on your behalf, even if you have concluded a data processing agreement with them in which the service invokes the standard contractual clauses.

And basically, the 2 golden data protection rules apply:

  1. NO processing of data without agreement and
  2. NO cookies without consent.

If the question should come which cookie consent service I use, I can highly recommend https://cookie-script.com/.

A request to all who have questions about this topic - please don’t write me private messages, but post your questions here as comments, so that others can benefit from the discussion and possible solutions.

A note on my own behalf: If you are a German, Austrian or Swiss Webflow user, the Webflow Designer German Community on Facebook welcomes you. :tada:

I hope I could help you with this.

With best regards from Potsdam,

Dennis from Vibrand Design

13 Likes

Thank you so much for this incredibly valuable contribution to the [german] community.

1 Like

Vielen Dank für deine Mühe! Super hilfreich!

1 Like

Absolut klasse! Danke für deine Mühe @Dennis_K ! :blush:

1 Like

Mega geil @Dennis_K ! Ich habe leider bei meiner Recherche echt extrem viel Zeit reinstecken müssen, kenne mittlerweile die Stellschrauben (u.a. auch dank dir) und habe trotzdem weiterhin ein ungutes Gefühl beim Hosting über Webflow, da trotz aller Maßnahmen die Rechtslage noch immer nicht vollständig geklärt ist.

Was ich absolut nicht kapiere ist, warum man bei Webflow Code nur an das ENDE des Headers einfügen kann. Das Problem ist, dass Integrationen wie bspw. Google Analytics & FB Pixel somit VOR dem eingefügten Cookiescript am Ende des Header ausgeführt werden und somit die Cookies schon gesetzt werden, bevor überhaupt die Einwilligung erteilt wurde. Das macht das Cookie Opt-In meiner Ansicht nach praktisch wirkungslos und auch nicht DSGVO-konform, auch wenn danach die Cookies vom User abgelehnt werden. Wie seht ihr das?

Das dürfte seitens Webflow doch wirklich kein Problem sein, einen Code an den ANFANG des Headers einzufügen, oder?

Hallo zusammen, hat jmd einen “DSGVO konformen externen Dienst” den man für das Verarbeiten der Formulare und hochgeladenen Dateien möglichst einfach in Webflow einbinden kann?

Würde mir sehr helfen :slight_smile:

Viele Grüße,
Lukas

Hallo Marvin,

wenn du Google Analytics etc manuell mittels embed einfügst und nicht die project settings nutzt, hast du die Möglichkeit den Code für diese Marketing Tools als .txt einzufügen. Erst nach der Zustimmung des Nutzers ändert Cookiescript die Dateiendung und aktiviert somit das jeweilige Tool.

Das würde mich auch brennend interessieren.
Gibt es einen Dienst, den ihr regelmäßig nutzt und sich bei euch etabliert hat?
Kontaktformulare sind essenziell und Tipps für eine adäquate und DSGVO-konforme Lösung wären wünschenswert.

Moin @Marius1989,

wir nutzen seit über einem Jahr ausschließlich den selbst gehosteten Form Processor von Tectite für und bei unseren Kunden. Das PHP Skript ist äußerst mächtig und bietet unzählige Möglichkeiten, unter anderem auch File Uploads.

Der größte Vorteil: Es werden keine Übermittelten Daten auf dem Server des Skripts gespeichert (#DSGVO), sondern direkt an den Empfänger weitergeleitet. Uploaded Files werden nur temporär gespeichert, um diese dann ebenfalls direkt weiterzuleiten.

Handhaben kannst du das so, dass du für deine eigene Domain z.B. eine Subdomain wie assets.deinedomain.de anlegst und dort alle Dateien ablegst, die auf den Seiten deiner Kunden benötigt/verwendet werden. Um die Organisation zu vereinfachen, erstellst du noch Unterordner für jeden Kunden e.g. assets.deinedomain.de/kunde/

Ich hoffe, das hilft dir weiter.

@markusbieler bist du so lieb und kannst zu dem Embed von externen Skripts als .txt einen kurzen Guide schreiben? :zipper_mouth_face:

Liebe Grüße

Dennis von Vibrand Design

Vielen Dank für die ausführliche Information und weiteren Tipps für die Integration eines DSGVO-konformen Kontaktformulars.

Nachdem ich mich einige Zeit mit dem Script auseinander gesetzt habe, sehe ich das als eine super Lösung - sobald man das ganze einmal aufgesetzt hat und es funktioniert.

Hey echt toll, dass du dir für die Community diese riesen Mühe gemacht hast! Das erspart hier einigen Leuten viele Stunden Recherchearbeit und viele Nerven :slight_smile:

Hoffen wir, dass das ganze für uns Entwickler irgendwann wieder etwas einfacher wird in Europa - ohne dass dabei auf Datenschutz verzichtet werden muss.

Gibt es hier eine besondere Begründung? Solange das mit einem korrekten opt-in geregelt ist und der Punkt in der Datenschutzerklärung steht scheint das i. O. zu sein.