Erstgespräch

Ist Webflow DSGVO-konform? Eine ehrliche Einschätzung für 2026

01.06.2026
5
min Lesezeit

Inhaltsverzeichnis

Ist Webflow DSGVO-konform? Diese Frage bekomme ich in fast jedem Erstgespräch gestellt, in dem Webflow als Plattform im Raum steht. Die ehrliche Antwort ist nicht ja oder nein, sondern: es kommt darauf an, wie du es aufsetzt. Webflow als Werkzeug ist nicht von Haus aus rechtswidrig, aber es ist ein US-Anbieter, und das verlangt ein paar bewusste Entscheidungen, damit am Ende eine Seite herauskommt, die du ruhigen Gewissens betreiben kannst.

Bevor ich tiefer einsteige, der übliche Hinweis: Ich bin kein Anwalt. Ich schreibe aus über 100 Projekten und der täglichen Arbeit mit Datenschutzbeauftragten, Mandantenanwälten und Aufsichtsbehörden. Bei konkreten rechtlichen Fragen gehört am Ende immer der Blick einer Fachperson dazu, gerade wenn deine Branche besondere Pflichten kennt.

Was Webflow rechtlich überhaupt ist

Webflow Inc. sitzt in San Francisco. Das Hosting läuft über Amazon Web Services und das Content Delivery Network von Fastly. Webflow bietet inzwischen ausdrücklich auch EU-Hosting an, also Server in Frankfurt, Dublin und Paris. In den Projekt-Einstellungen kannst du beim Aufsetzen einer neuen Seite wählen, dass die Inhalte in der EU ausgeliefert werden. Das ist ein wichtiger Punkt, der vor ein paar Jahren noch nicht möglich war und der vieles erleichtert.

Trotzdem bleibt Webflow ein US-Unternehmen, das die Daten technisch und organisatorisch verwaltet. Damit fällt jede Datenverarbeitung unter die Frage, wie der Transfer in die USA rechtlich abgesichert ist. Webflow bietet einen Auftragsverarbeitungsvertrag direkt im Kundenkonto an, mit Standardvertragsklauseln und einem Verweis auf das Data Privacy Framework. Den AVV ziehst du dir per Klick, unterschreibst ihn digital und legst ihn ab. Ohne diesen Schritt würde ich keine produktive Seite auf Webflow betreiben.

Was 2026 wirklich gilt: TDDDG, Paragraph 25 und das veränderte Data Privacy Framework

Seit Dezember 2021 regelt in Deutschland das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG, was Webseiten dürfen, wenn sie auf Endgeräte zugreifen. Der zentrale Paragraph 25 ist einfach formuliert: Alles, was nicht zwingend notwendig ist, um den vom Nutzer ausdrücklich gewünschten Dienst zu erbringen, braucht eine ausdrückliche Einwilligung. Das betrifft Cookies, aber auch das Auslesen von Geräte-Informationen, das Setzen von Local-Storage-Einträgen und das Laden externer Skripte, die nicht technisch notwendig sind.

Für Webflow heißt das konkret: Die Webflow-eigenen Systemcookies, die für den Betrieb der Seite tatsächlich notwendig sind, brauchen keine Einwilligung. Alles, was du zusätzlich einbaust, von Analytics über Chat-Widgets bis zu YouTube-Embeds, fällt unter Paragraph 25 und muss vor Einwilligung blockiert sein.

Die zweite Ebene betrifft die USA als Drittland. Das Data Privacy Framework, also der Nachfolger des gekippten Privacy Shields, ist nach wie vor in Kraft. Allerdings hat sich die Lage seit Anfang 2025 spürbar verändert. Die neue US-Regierung hat das Privacy and Civil Liberties Oversight Board, kurz PCLOB, durch Entlassungen geschwächt. Genau dieses Gremium war für die EU-Kommission eine zentrale Garantie, dass die Zusagen der USA beim Umgang mit Daten von EU-Bürgern wirksam überwacht werden. Datenschutzverbände und Aufsichtsbehörden in der EU haben deshalb angekündigt, das Framework rechtlich erneut prüfen zu lassen. Auf gut Deutsch: Niemand weiß genau, ob das Data Privacy Framework in zwei Jahren noch trägt.

Praktisch bedeutet das für Webflow-Kunden zwei Dinge. Erstens: Solange das Framework gilt, ist der Datentransfer in die USA rechtlich abgesichert, wenn du EU-Hosting nutzt, einen AVV abgeschlossen hast und die Datenschutzerklärung sauber erklärt, was wo passiert. Zweitens: Du solltest beim Aufsetzen einer neuen Seite so wenig wie möglich auf US-Tools setzen, die personenbezogene Daten verarbeiten. Je weniger Drittanbieter aus den USA mitspielen, desto weniger Bauchschmerzen wirst du haben, falls das Framework irgendwann fällt. Genau diese Linie fahre ich in fast allen neuen Projekten.

Webflow Forms: das Hauptproblem und meine Praxislösung

Der Punkt, an dem Webflow für deutsche Kunden tatsächlich kritisch wird, sind die Standardformulare. Wenn du das Webflow-eigene Formular nutzt, werden die Einsendungen direkt bei Webflow gespeichert und per Mail weitergeleitet. Das ist bequem, aber die Daten liegen damit auf Webflow-Servern, je nach Konfiguration auch außerhalb der EU.

Ich löse das in fast jedem Projekt über einen Webhook. Statt die Daten bei Webflow zu speichern, schickt das Formular sie direkt an einen EU-Endpunkt. Drei Wege haben sich bei mir bewährt. Der erste ist Make mit EU-Serverstandort. Make bietet eine eigene EU-Region an, in der die Workflows ausschließlich auf europäischen Servern laufen. Der zweite ist n8n, entweder selbst gehostet auf einem deutschen Server oder über einen europäischen Anbieter. Der dritte ist eine eigene kleine Cloud-Funktion auf einem EU-Server, die das Formular entgegennimmt, validiert und in einer Datenbank in der EU ablegt oder per Mail weiterschickt. Welcher Weg passt, hängt vom Projekt ab, alle drei sind sauber umsetzbar.

Das Schöne daran: Der Besucher merkt davon nichts. Das Formular sieht aus wie ein normales Webflow-Formular, verhält sich auch so, aber die Daten verlassen niemals den europäischen Raum. Für Kanzleien, Steuerberater, Coaches und alle, die mit sensiblen Anfragen arbeiten, ist das in meinen Augen der einzig sinnvolle Weg.

Cookie-Banner, Consent und Drittanbieter sauber aufsetzen

Ein vernünftiges Consent-Tool gehört auf jede Webflow-Seite, die mehr als reinen Eigeninhalt zeigt. Es muss vor dem Laden externer Skripte greifen, Ablehnen genauso einfach machen wie Zustimmen und die Einwilligungen nachvollziehbar protokollieren. Ich setze in den meisten Projekten europäische Consent-Lösungen ein, die für Webflow gut funktionieren und die rechtlichen Vorgaben aus Paragraph 25 TDDDG sauber umsetzen.

Wenn du dich tiefer mit der Frage beschäftigen willst, ob und wie eine Webseite ganz ohne Cookie-Banner möglich ist, habe ich das in meinem Beitrag "DSGVO-konforme Webseite ohne Cookies erstellen" ausführlich aufgeschrieben. Dort geht es um die Strategie, mit der man bei kleinen und mittleren Seiten oft komplett ohne Einwilligungsabfrage auskommt.

Zusätzlich zum Consent-Tool achte ich darauf, dass Schriften selbst gehostet sind, dass YouTube und Maps mit Klick-Lösung eingebunden werden und dass jedes externe Skript erst nach aktiver Zustimmung lädt. Das sind keine großen Schritte, aber zusammen ergeben sie eine Seite, die in einer Prüfung nicht ins Wanken gerät.

Was Aufsichtsbehörden 2025 und 2026 sagen

Die Datenschutzkonferenz, also der Zusammenschluss der deutschen Aufsichtsbehörden, hat in den letzten zwei Jahren mehrfach betont, dass die Umsetzung von Paragraph 25 TDDDG genauer geprüft wird. Schwerpunkte sind irreführende Banner, fehlende Blockierung externer Skripte vor Einwilligung und unvollständige Datenschutzerklärungen. Mehrere Landesbehörden haben angekündigt, anlasslose Stichproben durchzuführen, was vorher eher die Ausnahme war.

Die Bußgeldpraxis hat sich ebenfalls verändert. Während Verstöße früher oft mit Hinweisen und Nachbesserungsfristen erledigt wurden, sehen wir inzwischen häufiger direkte Bußgelder, gerade bei wiederholten oder offensichtlichen Problemen. Die Beträge sind für kleine Anbieter selten existenzbedrohend, aber sie sind real, und sie kommen schneller als noch vor drei Jahren. Hinzu kommt die wachsende Welle von Abmahnungen durch Anwaltskanzleien und Verbraucherschutzvereine, die typische Schwachstellen wie nicht selbst gehostete Schriften oder fehlerhafte Cookie-Banner systematisch durchgehen.

Für dich heißt das: Die Toleranz sinkt, und die Wahrscheinlichkeit, dass eine Schwachstelle entdeckt wird, steigt. Wer 2026 noch wartet, bis jemand anklopft, geht ein Risiko ein, das vor fünf Jahren noch theoretisch war.

Wann ich Webflow nicht empfehle

So gerne ich mit Webflow arbeite, es gibt Projekte, bei denen ich offen davon abrate. Der erste Fall sind Kanzleien, die ein Mandantenportal mit echten Aktendaten brauchen. Sobald sensible Mandantenkommunikation, hochgeladene Dokumente oder verschlüsselte Bereiche dazukommen, verlässt das die Liga einer normalen Webseite. Für solche Anforderungen ist ein selbst gehostetes System auf einem deutschen Server in der Regel die bessere Wahl, oft ergänzt durch eine spezialisierte Mandantensoftware.

Der zweite Fall sind Arzt- und Therapiepraxen, die Patientendaten verarbeiten, zum Beispiel über ein Online-Terminbuchungssystem mit medizinischen Vorinformationen oder über Patientenportale. Hier gelten neben der DSGVO besondere Pflichten aus dem Sozialgesetzbuch und ärztlichen Berufsrechten, die mit einem US-Hosting-Anbieter nicht sauber abbildbar sind. Auch hier gehört das System auf einen deutschen Server mit deutschem Hosting-Vertrag.

Der dritte Fall sind öffentliche Stellen, also Kommunen, Behörden und ähnliche Einrichtungen. Viele Länder haben Vorgaben, die Hosting in den USA praktisch ausschließen, selbst mit Data Privacy Framework. Hier ist Webflow keine Option, und das ist auch in Ordnung.

Für alle anderen, also klassische Selbstständige, kleine und mittlere Unternehmen, Berater, Coaches, Handwerker und Dienstleister, ist Webflow mit den richtigen Vorkehrungen aus meiner Sicht eine völlig saubere Wahl.

So setze ich Webflow-Projekte sauber auf

Wenn ich ein neues Webflow-Projekt starte, läuft datenschutzseitig immer dieselbe Checkliste. EU-Hosting auswählen, AVV abschließen, Schriften selbst hosten, ein europäisches Consent-Tool einbauen, externe Skripte blockieren, YouTube und Maps mit Klick-Lösung versehen, Formulare über einen EU-Webhook leiten und am Ende eine Datenschutzerklärung schreiben lassen, die zur Realität der Seite passt. Diese Schritte kosten überschaubaren Mehraufwand und ergeben eine Seite, die du im Ernstfall verteidigen kannst.

Wenn du eine bestehende Webflow-Seite hast und unsicher bist, wo du stehst, schauen wir im Erstgespräch gemeinsam drüber. Ich gebe dir eine ehrliche Einschätzung, welche Punkte kritisch sind, welche eher Kosmetik und was sich mit wenig Aufwand fixen lässt. Du erreichst mich über die Kontaktseite. Kein Druck, kein Verkaufsgespräch, einfach ein ruhiges Gespräch.

Häufig gestellte Fragen

Ist Webflow grundsätzlich DSGVO-konform nutzbar?
Ja, mit den richtigen Vorkehrungen lässt sich Webflow für die allermeisten Webseiten sauber betreiben. Du brauchst EU-Hosting, einen abgeschlossenen Auftragsverarbeitungsvertrag mit Webflow, ein vernünftiges Consent-Tool und die typischen Maßnahmen wie selbst gehostete Schriften und Klick-Lösungen für externe Inhalte. Wer das von Anfang an mitdenkt, hat keine größeren Probleme. Wer einfach loslegt und auf Standardeinstellungen vertraut, hat in der Regel mehrere offene Punkte.
Was ist mit dem Data Privacy Framework und der politischen Lage in den USA?
Das Framework ist derzeit gültig und deckt den Datentransfer in die USA rechtlich ab. Allerdings haben Veränderungen in den US-Aufsichtsstrukturen seit Anfang 2025 dazu geführt, dass Datenschützer in Europa das Framework erneut prüfen lassen wollen. Ein gerichtliches Verfahren ist nicht ausgeschlossen. Praktisch heißt das, dass ich bei neuen Projekten so wenig US-Tools wie möglich einsetze und Formulardaten konsequent über EU-Endpunkte leite, damit eine eventuelle Änderung der Rechtslage dich nicht überrumpelt.
Was ist mit den Webflow-Standardformularen, sind die ein Problem?
Die Standardformulare speichern die Einsendungen bei Webflow, also potenziell in den USA. Für unkritische Anfragen kann das mit dem entsprechenden Datenschutzhinweis funktionieren. Sobald sensible Daten ins Spiel kommen, etwa bei Kanzleien, Beratern oder Coaches, leite ich die Formulare über einen Webhook an einen EU-Endpunkt. Das kann eine Automatisierungsplattform mit EU-Standort sein oder eine eigene kleine Funktion auf einem deutschen Server. So bleibt der gewohnte Komfort, ohne dass Daten in die USA wandern.
Welche Rolle spielt ein Cookie-Banner bei Webflow?
Sobald deine Webflow-Seite Tools einsetzt, die nicht technisch notwendig sind, brauchst du nach Paragraph 25 TDDDG eine ausdrückliche Einwilligung. Ein vernünftiges Consent-Tool blockiert diese Skripte vor der Einwilligung und protokolliert die Zustimmung. Bei sehr schlanken Seiten ohne Analytics, ohne eingebettete Videos und ohne externe Karten kannst du oft ganz auf den Banner verzichten. Mehr dazu in meinem Beitrag zur Webseite ohne Cookies.
Für welche Projekte ist Webflow nicht geeignet?
Ich rate von Webflow ab, wenn echte Mandantenportale mit Aktendaten in Kanzleien gebraucht werden, wenn Patientendaten in Praxen über Online-Buchung oder Portale verarbeitet werden und wenn die Seite für eine öffentliche Stelle wie eine Kommune oder Behörde entsteht. In diesen Fällen gehört das System auf einen deutschen Server mit deutschem Hosting-Vertrag, oft ergänzt um eine branchenspezifische Fachsoftware. Für klassische Unternehmens- und Selbstständigen-Seiten ist Webflow dagegen sauber nutzbar.
Kannst du meine bestehende Webflow-Seite auf Datenschutz prüfen?
Ja, das mache ich regelmäßig im Erstgespräch. Ich schaue mir an, welche Tools auf deiner Seite laufen, wie der Banner konfiguriert ist, wo die Formulardaten landen und ob die Datenschutzerklärung zur Realität passt. Du bekommst eine ehrliche Einschätzung aus Entwicklersicht, keine Rechtsberatung. Wenn juristische Klärung nötig ist, sage ich das offen und empfehle, einen Anwalt oder Datenschutzbeauftragten dazuzuziehen.

Dein Erfolg beginnt hier – Starte jetzt!

In einem unverbindlichen Gespräch besprechen wir deine Ziele und nächste Schritte.

Besprechung & Planung
Besprechung & Planung
Umsetzung
Verkaufsorientierte Webseite