Webflow und DSGVO-Cookies: der Konformitätsleitfaden

TL;DR

Webflow setzt eigene Cookies und lädt Drittanbieter-Skripte (Google Analytics, Meta Pixel, HubSpot usw.) über Integrationen oder Custom Code. Unter der DSGVO müssen Sie vor dem Laden jedes nicht notwendigen Trackers eine Einwilligung einholen. Ein regelkonformes Cookie-Banner, das Skripte standardmäßig blockiert, ist Pflicht – auch auf Webflow.

Webflow überzeugt durch Design-Flexibilität und verwaltetes Hosting. Diese Flexibilität bringt jedoch Verantwortung mit sich: Webflow-Websites setzen Cookies und können dutzende Drittanbieter-Skripte einbinden. Wenn Ihre Website aus der Europäischen Union abrufbar ist, gilt die DSGVO in vollem Umfang.

Dieser Leitfaden erklärt, welche Cookies Webflow standardmäßig setzt, warum Drittanbieter-Skripte einer Einwilligung bedürfen und wie Sie Ihrer Webflow-Website ein regelkonformes Cookie-Banner hinzufügen.

Welche Cookies setzt Webflow standardmäßig?

Eine Webflow-Website ohne Drittanbieter-Integrationen setzt nur wenige Cookies. Diese nativen Cookies zu kennen ist der erste Schritt einer Compliance-Prüfung.

Webflows native Cookies

1. wf_orderId: Sitzungs-Cookie für die Webflow-E-Commerce-Funktion (sofern aktiviert), nicht persistent
2. webflow-session: Sitzungs-Cookie für Formulare und Interaktionen, nicht persistent
3. HubSpot-Cookies (hubspotutk, __hstc): werden gesetzt, wenn die native HubSpot-Integration aktiv ist

Webflows native Cookies (Sitzung, Formulare) sind in der Regel als funktional einzustufen und können unter Einwilligungsausnahmen fallen – vorbehaltlich einer Einzelfallprüfung. Sobald jedoch Drittanbieter-Skripte hinzukommen (Google Analytics, Meta Pixel, HubSpot, Intercom usw.), greift die Einwilligungspflicht uneingeschränkt.

Um alle aktiven Tracker auf Ihrer Website vollständig zu identifizieren, führen Sie ein vollständiges Cookie-Audit durch.

Ist Webflow standardmäßig DSGVO-konform?

Nein. Webflow stellt Hosting-Infrastruktur und einen visuellen Editor bereit, aber die DSGVO-Konformität Ihrer Website liegt in Ihrer Verantwortung als Website-Betreiber und Verantwortlicher im Sinne der DSGVO. Webflow bietet kein natives Cookie-Banner, das den Anforderungen der DSGVO und des TTDSG genügt.

Wer ist Verantwortlicher?

Sie als Webflow-Website-Betreiber sind der Verantwortliche für die auf Ihrer Website erhobenen Daten. Webflow agiert als Auftragsverarbeiter für das Hosting. Drittanbieter wie Google, Meta oder HubSpot sind je nach Konstellation eigene Auftragsverarbeiter oder eigenständige Verantwortliche.

Wie fügt man Webflow ein regelkonformes Cookie-Banner hinzu?

Die Integration einer CMP (Einwilligungsverwaltungsplattform) in Webflow erfolgt über den Custom Code-Bereich. Die Methode hängt davon ab, ob Drittanbieter-Skripte direkt im Custom Code oder über Google Tag Manager eingebunden werden.

Methode 1: CMP über Custom Code

1. In Webflow zu Project Settings > Custom Code navigieren
2. Den CMP-Snippet (z. B. FlowConsent) in den Bereich 'Head Code' einfügen
3. Alle Drittanbieter-Skripte nach dem CMP-Snippet platzieren oder über Consent-Callbacks bedingen
4. Prüfen, dass Skripte standardmäßig blockiert werden, bevor mit dem Banner interagiert wird
5. Veröffentlichen und im privaten Browsermodus testen

Methode 2: Google Tag Manager und CMP

Wenn Sie Skripte über Google Tag Manager zentralisieren, konfigurieren Sie Ihre CMP so, dass GTM-Tags erst nach Zustimmung zu den entsprechenden Kategorien ausgelöst werden.

Unseren Leitfaden zu Google Consent Mode v2 finden Sie hier.

Häufige Fehler auf Webflow und DSGVO

Google Analytics befindet sich im Head-Custom-Code ohne Bedingung. Das Skript lädt beim Seitenaufruf, bevor das Banner erscheint. Lösung: GTM mit Consent-Konditionierung oder den Skript-Blockiermechanismus der CMP nutzen.

Das native Webflow-Cookie-Consent-Komponente wird allein verwendet. Webflow bietet ein einfaches Cookie-Consent-UI-Element, aber es blockiert keine Drittanbieter-Skripte. Es zeigt einen Hinweis an, konditioniert aber nicht das Laden von Trackern. Ergänzen Sie es durch eine echte CMP.

Webflow-Formulare erfassen Daten ohne Datenschutzerklärungslink. Jedes Formular, das personenbezogene Daten erfasst, erfordert einen klaren Hinweis auf die Verarbeitung. Fügen Sie einen Link zur Datenschutzerklärung ein.

Einwilligung wird nur auf der Startseite, nicht auf allen Seiten verwaltet. Stellen Sie sicher, dass Ihre CMP auf jeder Seite aktiv ist: Blogbeiträge, Landing Pages, E-Commerce-Seiten.

DSGVO-Checkliste für Webflow-Websites

1. Alle Drittanbieter-Skripte im Custom Code (Head und Footer) und in Webflow-Integrationen auflisten
2. Cookie-Audit durchführen, um aktive Tracker vor jeder Interaktion zu identifizieren
3. CMP-Snippet als erstes Element im Custom Code Head einfügen
4. Sicherstellen, dass Drittanbieter-Skripte nach dem CMP-Snippet geladen werden
5. CMP so konfigurieren, dass nicht notwendige Kategorien standardmäßig blockiert sind
6. Im privaten Browsermodus prüfen, dass Skripte vor der Banner-Interaktion nicht laden
7. Datenschutzerklärung schreiben oder aktualisieren (jeden Drittanbieter erwähnen)
8. Datenschutzerklärungslink im Footer und auf Formularen ergänzen
9. Google Consent Mode v2 konfigurieren, sofern Google Analytics oder Google Ads genutzt wird
10. Banner-Verhalten auf Mobilgeräten prüfen
11. Verarbeitungstätigkeiten im Verarbeitungsverzeichnis dokumentieren
12. Halbjährliche Audits einplanen, um neu eingebundene Skripte zu erfassen

Fazit

Webflow ist ein leistungsfähiges Tool zur Website-Erstellung, aber die DSGVO-Konformität liegt in Ihrer Verantwortung. Eine CMP über Custom Code einzubinden ist unkompliziert. Blockieren Sie Skripte standardmäßig, konditionieren Sie sie auf Zustimmung und dokumentieren Sie Ihre Verarbeitungstätigkeiten.

Starten Sie mit einem Scan Ihrer Webflow-Website mit dem FlowConsent Cookie-Scanner, um alle aktiven Tracker zu identifizieren, und konfigurieren Sie Ihr Banner entsprechend.