Squarespace ist ein großartiges Werkzeug zum Erstellen der eigenen Website – es ist einfach zu bedienen, hat gut durchdachte und schöne Vorlagen als Startpunkte, ist mobil gut nutzbar, sicher gegen Hacker und enthält viele praktische Funktionen. (Deshalb empfehle ich es Laien deutlich lieber als Wordpress.)
Ein etwas umstrittener Punkt bei Squarespace ist allerdings der europäische Datenschutz. Die Datenschutzgrundverordnung DSGVO stellt (zum Glück) strenge Anforderungen mit (leider) oft sehr unklaren Auswirkungen, die oft nicht wirklich in der tatsächlich gängigen Website-Praxis verankert sind.
In diesem Artikel findest du einige Punkte, auf die du deshalb bei der Nutzung von Squarespace achten solltest. Ich bin keine Fachperson, und dieser Artikel ist keine Rechtsberatung und ersetzt natürlich keine. Dieser Artikel enthält Umsetzungshinweise aus meiner Web-Design-Praxis mit Hunderten von Kund:innen und ihren Squarespace-Seiten. Ich kann keinerlei Haftung übernehmen für die Richtigkeit und Vollständigkeit dieser Tipps – falls du sehr risikoscheu bist in solchen Themen, solltest du dich unbedingt von einer Fachperson dazu beraten lassen, und eventuell lieber mit einem deutschen Website-System arbeiten, zum Beispiel mit Jimdo.
Das kann ich dir leider nicht genau sagen, und vermutlich auch sonst niemand.
Denn die DSGVO ist nach wie vor ein vergleichsweise neues Instrument, das unglaublich weit reicht, und sehr viele konkrete Praxisfälle sind bisher noch nicht gerichtlich aufgegriffen worden. Das bedeutet, dass die Auslegung dieser Regelungen und damit verbunden die Risikolage sich sehr schnell verändern kann.
Der Haupt-Risikofaktor bei Squarespace ist, dass es ein US-Dienstleister ist, und damit seit Juni 2021 unter die EU-Standardvertragsklauseln fällt. Diese kommen zum Einsatz, um ein für eine Drittlandsverarbeitung erforderliches angemessenes Datenschutzniveau zu garantieren, und der Umgang mit ihnen fordert einen gewissen Aufwand (siehe nächste Frage). Das gilt natürlich für alle US-Dienstleister, also zum Beispiel auch für Google Analytics oder MailChimp.
Squarespace hat im Zuge dieser Veränderung seinen Auftragsverarbeitungsvertrag entsprechend angepasst, um die neuen Standardvertragsklauseln einzuhalten. Hier findest du weitere Informationen von Squarespace zur Einhaltung der DSGVO.
Der Rechtsanwalt Thomas Schwenke fasst hier in einem ausführlichen Beitrag über Cookies und Cookie Banner drohende Folgen bei Verstößen gegen die Einwilligungspflicht zusammen – das gibt einen ganz guten Übersicht über die Höhe der potenziellen Bußgelder und Sanktionen in diesem Bereich.
Bei der grundsätzlichen Risiko-Abwägung einer Software empfehle ich (als Nicht-Fachperson) mit zu bedenken, worauf es im Kern bei diesen Datenschutzfragen ankommt, und dabei nicht in eine kopflose Paragraphen-Panik zu verfallen:
Vereinfacht gesagt: Wenn nur ein US-Dienstleister deine Erwartungen an diese Software erfüllt und du dessen Standardvertragsklauseln geprüft hast und nichts weiter dagegen spricht, kannst du vermutlich diesen Anbieter nutzen.
Details dazu findest du in dieser Anleitung zum Prüfen von EU-Standardsvertragsklauseln und hier findest du weitere Informationen und eine Vorlage für die entsprechende Anfrage.
Außerdem finde ich die Hinweise vom Datenschutz-Spezialisten Stephan Hansen-Oest in diesem Zusammenhang super spannend, in denen er erklärt, warum er sich für einen US-amerikanischen Anbieter zum Versenden seines Newsletters entschieden hat.
Dazu kommt, dass US-Präsident Biden im Oktober 2022 eine so genannte Durchführungsverordnung unterzeichnet hat, mit der die USA beabsichtigen, die Anforderungen der DSGVO zu erfüllen und deren Massenüberwachung von EU-Bürgern einzuschränken. Wenn dieser Nachfolger des Privacy Shield von den EU-Behörden angenommen wird (womit Expert:innen Mitte 2023 rechnen), würde sich die gesamte Lage wieder deutlich entspannen.
Ich empfehle bei Squarespace (und auch sonst) eindeutig dem Prinzip der Datensparsamkeit zu folgen, also nur die Daten zu verarbeiten, die du auch wirklich benötigst.
Besonders greifbar wird das Thema bei den Statistiken: Ich habe es sooo oft schon erlebt, dass Menschen meinen, sie brauchen ganz dringend detaillierte Statistiken zu den Besucher:innen ihrer Website. Wenn ich dann aber später nachfrage, wofür und wie sie die verwenden, stellt sich meistens heraus, dass die Statistiken seit Monaten nicht mal angeschaut wurden. Das ist ein typischer Fall von unnötigem Datenhunger.
Zurzeit empfehle ich bei Squarespace weder die Verwendung ihres eigenen Newsletter-Dienstes noch des Buchungssystems oder der Shop-Funktionen (Squarespace Commerce), da ich bei all dem nicht überzeugt davon bin, dass die datenschutzrechtlich in Europa zulässig sind.
Ansonsten empfehle ich aktuell folgende Schritte:
Hier findest du einen Artikel von mir, der dir zeigt, wie du die Cookies von Squarespace Analytics ausschaltest – also die Cookies, die nicht funktionell und unbedingt erforderlich sind. Dann siehst du in dem Statistik-Bereich deiner Seite zwar immer noch Zahlen, die sind dann aber deutlich weniger präzise.
Falls du wirklich-wirklich-wirklich detaillierte Statistiken verwenden möchtest, empfehle ich dir ein Werkzeug wie Fathom – diese Alternative zu Google Analytics ist so sehr auf einen sicheren Umgang mit Daten getrimmt, dass du dafür (laut dem Anbieter selber) nicht mal einen Cookie-Banner benötigst. Fathom lässt sich sehr einfach mit einer Zeile Javascript in deine Squarespace-Seite einbetten. Falls du bei dieser Umsetzung Unterstützung brauchst, helfe ich dir gerne in den Sprechstunden für Kund:innen des Selbstlernkurses oder im Co-Working damit.
Squarespace arbeitet zum Bereitstellen der Schriften mit dem Anbieter Google Fonts zusammen und hat deshalb eine sehr große Auswahl toller Schriften parat – Google Fonts übermittelt allerdings beim Anzeigen der Schriften die IP-Adresse der Website-Besucher:innen an Google in die USA. Da diese somit potenziell einem heimlichen Zugriff durch Geheimdienste ausgesetzt sind, gilt auch das als ein Datenschutz-Risiko.
Um das Risiko zu senken, kannst du bei Squarespace die von dir verwendeten Schriften selber hochladen, wie ich es in dieser verlinkten Anleitung beschreibe.
Auch hier gilt natürlich: Falls du bei dieser Umsetzung Unterstützung brauchst, helfe ich dir gerne in den Sprechstunden für Kund:innen des Selbstlernkurses oder im Co-Working damit.
Dazu habe ich dir in dem Artikel DSGVO für Selbständige: Eine unhysterische Kurzanleitung die wichtigsten Punkte zusammen gefasst.
Und ansonsten gilt: Melde dich gerne für meine Briefe an, in denen ich unregelmäßig über meine neuen Funde und Erkenntnisse im Bereich Datenschutz (und die damit verbunden Aufgaben) berichte. Der restliche Inhalt der Briefe ist dafür meist deutlich freudvoller :)
Melde dich hier an für weitere Artikel, Briefe und besondere Angebote im (etwa) 2-Wochen-Takt:
Ich nutze für den Versand dieser Mails den Anbieter ConvertKit, der deine Daten auf sicheren Servern in den USA verarbeitet. Weitere Details dazu, sowie Hinweise zu der von der Einwilligung mitumfassten Erfolgsmessung, der Protokollierung der Anmeldung und deinen Widerrufsrechten kannst du hier in meinen Datenschutz-Hinweisen lesen. Abmelden kannst du dich natürlich jederzeit mit einem Klick.