Squarespace und DSGVO-Cookies: der Konformitätsleitfaden

TL;DR: Squarespace lädt standardmäßig Drittanbieter-Cookies, einschließlich eigener Analyse-Tools und installierter Erweiterungen. Der native Cookie-Hinweis ist keine CMP: Er zeigt ein Banner an, blockiert jedoch keine Skripte vor der Einwilligung. Um DSGVO-konform zu sein und den Anforderungen des BfDI zu entsprechen, benötigen Sie eine externe CMP, die nicht notwendige Tracker blockiert und Einwilligungsnachweise speichert.

Warum die DSGVO-Konformität bei Squarespace komplexer ist, als es scheint

Squarespace bietet seit 2021 einen integrierten Cookie-Hinweis an, der in wenigen Klicks konfiguriert werden kann. Für viele Website-Betreiber scheint das Aktivieren dieser Funktion das Compliance-Problem zu lösen. Das ist nicht der Fall.

Die DSGVO verlangt, dass nicht notwendige Cookies blockiert werden, bis der Nutzer ausdrücklich und vorab eingewilligt hat. Der native Cookie-Hinweis von Squarespace zeigt ein Informationsbanner an, aber Drittanbieter-Skripte laden weiterhin beim Öffnen der Seite, unabhängig von der Nutzerentscheidung. Diese Praxis verstößt gegen Art. 7 DSGVO und das TTDSG und war Grundlage für Bußgeldverfahren der deutschen Datenschutzbehörden.

Dieser Leitfaden erklärt, welche Cookies Squarespace tatsächlich setzt, warum die native Lösung unzureichend ist und wie Sie eine solide DSGVO-Konformität umsetzen können.

Welche Cookies setzt Squarespace?

Squarespace setzt je nach Konfiguration Ihrer Website verschiedene Cookie-Kategorien. Diese zu identifizieren und zu klassifizieren ist der erste Schritt jedes Compliance-Audits.

Funktionale Cookies (einwilligungsbefreit)

Diese Cookies sind technisch notwendig und erfordern gemäß den Leitlinien des BfDI und der Landesdatenschutzbehörden keine Einwilligung:

• ss_cid: Besucherkennung, Laufzeit 2 Jahre
• crumb: CSRF-Schutz für Formulare, nur Sitzungsdauer
• SqSpVisitorInfoCookieKey: Sitzungsdaten des Besuchers
• ss_cpvisit und ss_cvr: interne Sitzungsmetriken

Squarespace-eigene Analyse-Cookies

Squarespace aktiviert standardmäßig eigene Reichweitenmessungs-Tools. Die Cookies ss_cvt und ss_mv erfassen Verhaltensdaten (Seitenaufrufe, Verweildauer, Absprungrate) und übermitteln diese an Squarespace-Server. Diese Cookies fallen nicht unter die Ausnahme für Reichweitenmessung und erfordern eine Einwilligung gemäß DSGVO.

Drittanbieter-Cookies Ihrer Erweiterungen

Jede aktivierte Drittanbieter-Integration fügt eigene Cookies hinzu. Die häufigsten:

• Google Analytics 4: _ga, _gid, _gat (nativ oder via GTM integriert)
• Google Ads / Conversion-Tracking: _gcl_au
• Stripe (Online-Shop): Zahlungs-Session-Cookies
• Meta Pixel / Instagram- oder Facebook-Widgets
• Mailchimp, Klaviyo oder andere E-Mail-Marketing-Tools

Die genaue Liste hängt von Ihren aktiven Modulen ab. Ein Website-Scan liefert das vollständige Inventar der tatsächlich gesetzten Tracker.

Warum das native Squarespace Cookie-Banner nicht ausreicht

Das integrierte Banner weist vier kritische Mängel gemäß der DSGVO auf.

Keine vorherige Blockierung. Drittanbieter-Skripte laden beim Öffnen der Seite, vor jeder Nutzerinteraktion. Die DSGVO verlangt eine vorherige, ausdrückliche Einwilligung.

Keine Kategorienverwaltung. Das native Banner bietet nur einen globalen Button. Die DSGVO und Empfehlungen der Datenschutzbehörden verlangen, dass Nutzer nach Zweck einwilligen oder ablehnen können: Analyse, Marketing, Personalisierung.

Kein Audit-Trail. Aufsichtsbehörden können jederzeit den Nachweis verlangen, dass die Einwilligung ordnungsgemäß eingeholt wurde (genaues Datum, angezeigte Banner-Version, Nutzerauswahl, Gültigkeitsdauer). Squarespace speichert diese Nachweise nicht.

Nicht konformer Ablehnungsfluss. Der Ablehnen-Button muss genauso sichtbar und zugänglich sein wie der Akzeptieren-Button. Dark Patterns wurden von deutschen Datenschutzbehörden explizit sanktioniert.

So machen Sie Ihre Squarespace-Website DSGVO-konform

Die DSGVO-Konformität bei Squarespace erfordert vier Schritte in einer bestimmten Reihenfolge.

Schritt 1: Cookies prüfen

Bevor Sie etwas konfigurieren, listen Sie alle von Ihrer Website gesetzten Cookies und Tracker auf. Nutzen Sie den FlowConsent-Scanner. Notieren Sie für jeden Cookie: Zweck, Laufzeit und betroffenen Drittanbieter. Dieses Inventar ist die Grundlage Ihrer Datenschutzerklärung.

Schritt 2: Nicht-konforme native Integrationen deaktivieren

Wenn Sie Google Analytics direkt über das Squarespace-Dashboard aktiviert haben (Einstellungen > Erweitert > Google Analytics), deaktivieren Sie diese native Integration. Sie lädt GA4 vor jedem Einwilligungsmechanismus. Verwenden Sie stattdessen den Google Tag Manager, der den Consent Mode v2 unterstützt.

Schritt 3: Externe CMP über Code-Injection integrieren

Squarespace ermöglicht die Code-Injection im Header jeder Seite über Einstellungen > Erweitert > Code-Injection (Kopfzeile). Hier platzieren Sie das Snippet Ihrer CMP. FlowConsent bietet ein einsatzbereites, Squarespace-kompatibles Snippet, das nicht notwendige Skripte vor der Einwilligung blockiert, ein konformes Banner mit Kategorienverwaltung anzeigt und Einwilligungsnachweise speichert.

Schritt 4: Consent Mode v2 für Google Ads konfigurieren

Wenn Ihre Squarespace-Website Google Ads verwendet, ist der Consent Mode v2 seit März 2024 verpflichtend, um die Conversion-Modellierung aufrechtzuerhalten. Er muss vor jedem Google-Tag über GTM mit einem Einwilligungssignal Ihrer CMP initialisiert werden.

Häufige Fehler bei Squarespace

Den nativen Cookie-Hinweis aktivieren und die Compliance als erledigt betrachten. Dieses Banner ist ein Informationshinweis, kein Einwilligungsmechanismus. Es blockiert nichts und speichert keine Nachweise.

Google Analytics direkt über das Dashboard integrieren. Diese Methode lädt GA4 vor jeder Einwilligung. Die einzige konforme Lösung ist GTM mit Consent Mode v2.

Stripe- und E-Commerce-Cookies vergessen. Wenn Sie einen Squarespace-Shop haben, setzt Stripe funktionale Cookies für die Zahlungsabwicklung. Sie sind einwilligungsbefreit, müssen aber in Ihrer Datenschutzerklärung aufgeführt sein.

Die Konfiguration nach dem Hinzufügen einer Erweiterung nicht aktualisieren. Jede neue Integration kann nicht deklarierte Tracker hinzufügen. Planen Sie nach jeder Konfigurationsänderung eine erneute Prüfung ein.

Eine CMP im Soft-Opt-in-Modus verwenden. Weiteres Surfen gilt nicht als Einwilligung gemäß DSGVO und TTDSG. Die Einwilligung muss eine positive, ausdrückliche Handlung sein.

DSGVO-Compliance-Checkliste für Squarespace

1. Alle Cookies über einen Scanner prüfen
2. Native Google Analytics-Integration im Dashboard deaktivieren
3. Google Tag Manager mit Consent Mode v2 integrieren
4. Externe CMP øber Code-Injection (Kopfzeile) installieren
5. Blockierung nicht notwendiger Skripte vor der Einwilligung konfigurieren
6. Cookie-Kategorien einrichten: Analyse, Marketing, Funktional
7. Sicherstellen, dass der Ablehnen-Button genauso sichtbar ist wie Akzeptieren
8. Einwilligungsnachweise aktivieren (Audit-Trail)
9. Datenschutzerklärung mit allen deklarierten Trackern aktualisieren
10. Banner auf Mobilgeräten und wichtigsten Browsern testen
11. Stripe-Kompatibilität prüfen, falls Online-Shop vorhanden
12. Alle 6 Monate oder nach jeder Konfigurationsänderung erneut prüfen

Fazit

Squarespace ist eine zugängliche Plattform, aber die DSGVO-Konformität erfordert mehr als das, was die Plattform nativ bietet. Der integrierte Cookie-Hinweis ist keine CMP. Um nicht notwendige Skripte zu blockieren, Einwilligungen nach Kategorien einzuholen und die von den Behörden geforderten Nachweise aufzubewahren, benötigen Sie ein dediziertes Tool.

Beginnen Sie mit einem kostenlosen Scan Ihrer Squarespace-Website, um alle gesetzten Cookies zu identifizieren und Ihren aktuellen Compliance-Stand zu bewerten.