Squarespace und der Datenschutz

Squarespace ist ein großartiges Werkzeug zum Erstellen der eigenen Website – es ist einfach zu bedienen, hat gut durchdachte und schöne Vorlagen als Startpunkte, ist mobil gut nutzbar, sicher gegen Hacker und enthält viele praktische Funktionen. (Deshalb empfehle ich es Laien deutlich lieber als Wordpress.)

Ein etwas umstrittener Punkt bei Squarespace ist allerdings der europäische Datenschutz. Die Datenschutzgrundverordnung DSGVO stellt (zum Glück) strenge Anforderungen mit (leider) oft sehr unklaren Auswirkungen, die oft nicht wirklich in der tatsächlich gängigen Website-Praxis verankert sind.

In diesem Artikel findest du einige Punkte, auf die du deshalb bei der Nutzung von Squarespace achten solltest. Ich bin keine Fachperson, und dieser Artikel ist keine Rechtsberatung und ersetzt natürlich keine. Dieser Artikel enthält Umsetzungshinweise aus meiner Web-Design-Praxis mit Hunderten von Kund:innen und ihren Squarespace-Seiten. Ich kann keinerlei Haftung übernehmen für die Richtigkeit und Vollständigkeit dieser Tipps – falls du sehr risikoscheu bist in solchen Themen, solltest du dich unbedingt von einer Fachperson dazu beraten lassen, und eventuell lieber mit einem deutschen Website-System arbeiten, zum Beispiel mit Jimdo.

Wie hoch ist das Datenschutz-Risiko bei der Nutzung von Squarespace?

Das kann ich dir leider nicht genau sagen, und vermutlich auch sonst niemand.

Denn die DSGVO ist nach wie vor ein vergleichsweise neues Instrument, das unglaublich weit reicht, und sehr viele konkrete Praxisfälle sind bisher noch nicht gerichtlich aufgegriffen worden. Das bedeutet, dass die Auslegung dieser Regelungen und damit verbunden die Risikolage sich sehr schnell verändern kann.

Der Haupt-Risikofaktor bei Squarespace ist, dass es ein US-Dienstleister ist, und damit seit Juni 2021 unter die EU-Standardvertragsklauseln fällt. Diese kommen zum Einsatz, um ein für eine Drittlandsverarbeitung erforderliches angemessenes Datenschutzniveau zu garantieren, und der Umgang mit ihnen fordert einen gewissen Aufwand (siehe nächste Frage). Das gilt natürlich für alle US-Dienstleister, also zum Beispiel auch für Google Analytics oder MailChimp.

Squarespace hat im Zuge dieser Veränderung seinen Auftragsverarbeitungsvertrag entsprechend angepasst, um die neuen Standardvertragsklauseln einzuhalten. Hier findest du weitere Informationen von Squarespace zur Einhaltung der DSGVO.

Der Rechtsanwalt Thomas Schwenke fasst hier in einem ausführlichen Beitrag über Cookies und Cookie Banner drohende Folgen bei Verstößen gegen die Einwilligungspflicht zusammen – das gibt einen ganz guten Übersicht über die Höhe der potenziellen Bußgelder und Sanktionen in diesem Bereich. 

Bei der grundsätzlichen Risiko-Abwägung einer Software empfehle ich (als Nicht-Fachperson) mit zu bedenken, worauf es im Kern bei diesen Datenschutzfragen ankommt, und dabei nicht in eine kopflose Paragraphen-Panik zu verfallen:

  • Gibt es alternative Anbieter, die meine berechtigten Erwartungen und Bedürfnisse genau so gut erfüllen?
  • Wie gehe ich mit dem Vertrauen meiner Besucher:innen um – passiert etwas mit ihren Daten, was sie unerwartet überraschen würde?
  • Verarbeite ich über diese Software sensible und damit besonders schutzwürdige Daten (zum Beispiel gesundheitsbezogene Daten von Patient:innen) – oder verarbeite ich zum Beispiel nur eine anonymisierte IP-Adresse?
  • Kann ich im Fall des Falles nachweisen, dass ich mich mit dem Thema in einem vertretbaren Umfang beschäftigt und gegebenenfalls entsprechende Konsequenzen gezogen habe?

Darf ich überhaupt einen US-Dienstleister nutzen? Und wenn ja, wie?

Vereinfacht gesagt: Wenn nur ein US-Dienstleister deine Erwartungen an diese Software erfüllt und du dessen Standardvertragsklauseln geprüft hast und nichts weiter dagegen spricht, kannst du vermutlich diesen Anbieter nutzen.

Details dazu findest du in dieser Anleitung zum Prüfen von EU-Standardsvertragsklauseln und hier findest du weitere Informationen und eine Vorlage für die entsprechende Anfrage.

Außerdem finde ich die Hinweise vom Datenschutz-Spezialisten Stephan Hansen-Oest in diesem Zusammenhang super spannend, in denen er erklärt, warum er sich für einen US-amerikanischen Anbieter zum Versenden seines Newsletters entschieden hat. In einem Newsletter von Februar 22 erklärte der Rechtsanwalt Thomas Schwenke außerdem, dass es eventuell im Mai 22 eine neue Rechtsgrundlage für Datentransfers in die USA geben könne, das sogenannte „Privacy Shield 2“ – wenn das stimmt und dieses neue Privacy Shield von den EU-Behörden angenommen wird, würde sich die gesamte Lage wieder deutlich entspannen.

Was sollte ich bei der Nutzung von Squarespace beachten?

Ich empfehle bei Squarespace (und auch sonst) eindeutig dem Prinzip der Datensparsamkeit zu folgen, also nur die Daten zu verarbeiten, die du auch wirklich benötigst.

Besonders greifbar wird das Thema bei den Statistiken: Ich habe es sooo oft schon erlebt, dass Menschen meinen, sie brauchen ganz dringend detaillierte Statistiken zu den Besucher:innen ihrer Website. Wenn ich dann aber später nachfrage, wofür und wie sie die verwenden, stellt sich meistens heraus, dass die Statistiken seit Monaten nicht mal angeschaut wurden. Das ist ein typischer Fall von unnötigem Datenhunger.

Zurzeit empfehle ich bei Squarespace weder die Verwendung ihres eigenen Newsletter-Dienstes noch der Shop-Funktionen (Squarespace Commerce), da ich bei beidem nicht überzeugt davon bin, dass die datenschutzrechtlich in Europa zulässig sind.

Ansonsten empfehle ich aktuell folgende Schritte:

Die Statistik-Cookies bei Squarespace ausschalten

Hier findest du einen Artikel von mir, der dir zeigt, wie du die Cookies von Squarespace Analytics ausschaltest – also die Cookies, die nicht funktionell und unbedingt erforderlich sind. Dann siehst du in dem Statistik-Bereich deiner Seite zwar immer noch Zahlen, die sind dann aber deutlich weniger präzise.

Falls du wirklich-wirklich-wirklich detaillierte Statistiken verwenden möchtest, empfehle ich dir ein Werkzeug wie Fathom – diese Alternative zu Google Analytics ist so sehr auf einen sicheren Umgang mit Daten getrimmt, dass du dafür (laut dem Anbieter selber) nicht mal einen Cookie-Banner benötigst. Fathom lässt sich sehr einfach mit einer Zeile Javascript in deine Squarespace-Seite einbetten. Falls du bei dieser Umsetzung Unterstützung brauchst, helfe ich dir gerne in den Sprechstunden für Kund:innen des Selbstlernkurses oder im Co-Working damit.

Die Schriften bei Squarespace lokal einbinden

Squarespace arbeitet zum Bereitstellen der Schriften mit dem Anbieter Google Fonts zusammen und hat deshalb eine sehr große Auswahl toller Schriften parat – Google Fonts übermittelt allerdings beim Anzeigen der Schriften die IP-Adresse der Website-Besucher:innen an Google in die USA. Da diese somit potenziell einem heimlichen Zugriff durch Geheimdienste ausgesetzt sind, gilt auch das als ein Datenschutz-Risiko.

Um das Risiko zu senken, kannst du bei Squarespace die von dir verwendeten Schriften selber hochladen, wie in dieser Anleitung beschrieben.

Auch hier gilt natürlich: Falls du bei dieser Umsetzung Unterstützung brauchst, helfe ich dir gerne in den Sprechstunden für Kund:innen des Selbstlernkurses oder im Co-Working damit.

Deine Datenschutz-Unterlagen erstellen oder anpassen

Dazu habe ich dir in dem Artikel DSGVO für Selbständige: Eine unhysterische Kurzanleitung die wichtigsten Punkte zusammen gefasst.

Und ansonsten gilt: Melde dich gerne für meine Briefe an, in denen ich unregelmäßig über meine neuen Funde und Erkenntnisse im Bereich Datenschutz (und die damit verbunden Aufgaben) berichte. Der restliche Inhalt der Briefe ist dafür meist deutlich freudvoller :)



Melde dich hier an für weitere Artikel, Briefe und besondere Angebote im (etwa) 2-Wochen-Takt:


Ich nutze für den Versand dieser Mails den Anbieter ConvertKit, der deine Daten auf sicheren Servern in den USA verarbeitet. Weitere Details dazu, sowie Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, der Protokollierung der Anmeldung und deinen Widerrufsrechten kannst du hier in meinen Datenschutz-Hinweisen lesen. Abmelden kannst du dich natürlich jederzeit mit einem Klick.