Nach dem Wegfall des Privacy Shields (Abkommen zwischen der EU und den USA, dass einen Datentransfer in die USA für zertifizierte Unternehmen zulässig machte) im Jahr 2020 im Zuge des EuGH-Urteils „Schrems II“ war die Nutzung von Webflow etwas problematisch.
Nun gibt es jedoch einen neuen Angemessenheitsbeschluss zwischen der EU und den USA, der den Datentransfer betrifft und zwar das sogenannte - am 10.07.2023 in Kraft getretene - EU/US – Data Privacy Framework. Webflow ist bereits zertifiziert als aktiver Teilnehmer, sodass eine entsprechende Datenübertragung zu Webflow zulässig ist.
Aber was bedeutet das genau? Sind nun alle Webflow-Anwendungen ohne Einschränkung nutzbar? Auf was sollte man dennoch genau achten? Dies beantworten wir im folgenden Beitrag.
1. Auch Drittanbieter von Webflow müssen beachtet werden
Dass Webflow nach dem EU/US – Data Privacy Framework zertifiziert ist, ist eine sehr gute Nachricht. Allerdings muss man auch beachten, ob die von Webflow eingesetzten US-Drittanbieter (Fastly, Amazon CloudFront sowie Cloudflare) entsprechend zertifiziert sind. Denn ist nur einer dieser Anbieter nicht zertifiziert (Stand September 2023 sind alle drei Unternehmen zertifiziert), würde es sich trotz Angemessenheitsbeschluss um eine nicht zulässige Datenübertragung handeln.
2. Genaue Beschreibung in der Datenschutzerklärung
Dies führt uns auch zu dem nächsten Punkt, nämlich der genauen Beschreibung des Sachverhaltes in der Datenschutzerklärung. Diese Notwendigkeit besteht entsprechend fort, auch wenn das EU/US – Data Privacy Framework nun endlich da ist und Webflow sowie die von Webflow eingesetzten US-Drittanbieter zertifiziert sind. Der Nutzer muss innerhalb der Datenschutzerklärung über alle relevanten datenschutzrechtlichen Vorgänge aufgeklärt werden. Das bedeutet, er muss auch über den Einsatz der Drittanbieter durch Webflow und deren Zertifizierung nach dem EU/US – Data Privacy Framework informiert werden.
3. Alternative Formulare sind nicht mehr notwendig
Da die Datenübertragung zu Webflow zulässig ist, ist es auch nicht mehr notwendig, alternative Formular-Anbieter einzubauen. Sie können somit die Webflow-Formulare nutzen, müssen jedoch darauf achten, dass ein entsprechendes Data Processing Agreement mit Webflow abgeschlossen wurde (siehe nächster Punkt).
4. Hierauf sollten Sie zudem achten
- Schließen Sie in jedem Fall das Data Processing Addendum mit Webflow ab. Dies können Sie über die Website https://webflow.com/legal/dpa vornehmen.
- Beachten Sie trotz des nun zulässigen Datentransfers stets die Grundsätze der Datenminimierung bzw. der Datensparsamkeit, welche einen zentralen Grundsatz der Datenverarbeitung nach der DSGVO darstellen. Das bedeutet, es sollen keine unnötigen Daten erhoben werden. Zum Beispiel sollten Sie nach wie vor die Google Fonts lokal hosten.
- Setzen Sie andere US-Anwendungen auf Ihrer Webflow-Website ein (wie zum Beispiel Google Maps, Google Analytics etc.) ist stets prüfen, ob eine Zertifizierung nach dem EU/US – Data Privacy Framework bei dem betreffenden Unternehmen vorliegt und ob trotz Zertifizierung ein Einsatz nur nach entsprechender Einwilligung des Nutzers möglich ist (z.B. wie im Fall von Google Analytics).