Wichtige Informationen zur DSGVO und Möglichkeiten, wie du deren Einhaltung gewährleisten kannst.

Die Datenschutz-Grundverordnung (EU-DSGVO) ist ein europäisches Datenschutzgesetz, das regelt, wie Einzelpersonen und Organisationen personenbezogene Daten von Personen sammeln, verwenden und aufbewahren dürfen.

Nach dem Austritt des Vereinigten Königreichs Großbritannien und Nordirland (UK) aus der Europäischen Union (EU) ist die EU-DSGVO Teil des im UK beibehaltenen EU-Rechts (UK-DSGVO), das zusammen mit dem UK Data Protection Act 2018 (DPA 2018) weiterhin Teil des britischen Rechts ist.

Verweise auf die DSGVO und ihre Bestimmungen in diesem Leitfaden umfassen das Recht, das sowohl für die EU-DSGVO als auch für die UK-DSGVO gilt.

Wenn Personen aus dem Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich oder der Schweiz deine Website oder Acuity-Seite besuchen, behandelt dieser Leitfaden, was du als Squarespace-Benutzer:in wissen solltest. Allgemeine Informationen zum Datenschutz in anderen Teilen der Welt findest du unter Datenschutz und Squarespace.

Hinweis: Diese Anleitung dient lediglich zu Referenzzwecken und darf daher nicht als verbindliche Rechtsauskunft aufgefasst werden. Gemäß unseren Nutzungsbedingungen leistet Squarespace keinerlei Rechtsberatung und spricht auch keine Empfehlungen bezüglich etwaiger Gesetze im Zusammenhang mit deiner Website oder deinem Unternehmen aus.

DSGVO: Bewährte Verfahrensweisen für Squarespace

Auch wenn wir keine Rechtsberatung anbieten können, haben wir dir einige bewährte Verfahrensweisen zusammengestellt, mit denen du die Einhaltung der DSGVO gewährleisten kannst.

Prüfung personenbezogener Daten

Überprüfe deine Website, deinen Terminplaner und andere Squarespace-Produkte und achte auf Bereiche, in denen du personenbezogene Daten erfasst. Berücksichtige dabei die von der DSGVO geänderte Definition davon, was unter „personenbezogenen Daten“ zu verstehen ist.

Einige zu berücksichtigende Fragen:

• Sammelst du personenbezogene Daten über Squarespace-Produkte mithilfe von Drittanbieter-Diensten (z. B. Google Analytics, ein mit Mailchimp und Google Drive verbundener Formular-Block)? Dann solltest du die Datenschutzrichtlinien dieser Dienste lesen.
• Lädst du Daten von deinen Squarespace-Produkten herunter oder exportierst du sie in ein anderes System?
• Kombinierst du die von dir erfassten personenbezogenen Daten mit anderen Datenquellen?
• Sammelst du Informationen, die du nicht benötigst?

Erstelle (oder aktualisiere) deine Datenschutzerklärung

Wenn du deine Datenerfassungsaktivitäten identifiziert hast, verlangt die DSGVO, dass du Personen bestimmte Informationen darüber zur Verfügung stellst, wie du ihre personenbezogenen Daten sammelst und verarbeitest. Die Veröffentlichung einer Datenschutzerklärung gibt Besuchern mehr Klarheit über die Verwendung ihrer Daten. Wir empfehlen dir, eine Datenschutzerklärung für deine Website oder dein Terminvereinbarungstool zu verfassen, die Folgendes dokumentiert:

• Welche Informationen du erfasst. (Du kannst beispielsweise in deinen Bedingungen die Liste der Cookies hinzufügen, die deine Website verwendet.)
• Warum du diese Daten erfasst
• An wen du diese Daten weitergibst
• Wie lange du diese Daten speicherst
• Ob du beabsichtigst, diese Informationen außerhalb des Europäischen Wirtschaftsraums zu übermitteln.
• Alle weiteren gemäß der DSGVO erforderlichen Angaben

Weitere Tipps zur Datenschutzerklärung für Websites findest du unter Richtlinien und Bestimmungen auf deiner Website veröffentlichen und in den Beispieltexten für die Datenschutzerklärung auf deiner Squarespace-Website. Um zu erfahren, wie du ein Acuity-Aufnahmeformular verwendest, um deine Datenschutzerklärung zu deinem Terminplaner hinzuzufügen, besuche Aufnahmeformulare und Vereinbarungen für Kunden in Acuity.

Wer ist von der DSGVO betroffen?

Die DSGVO ist zwar eine in der EU und im Vereinigten Königreich verabschiedete Verordnung, gilt aber auch für Unternehmen in anderen Ländern, wenn diese Dienstleistungen für Bürger in der EU und im Vereinigten Königreich bereitstellen. Sie betrifft Unternehmen, auf die Folgendes zutrifft:

• Mit Sitz in der EU, dem Vereinigten Königreich und der Schweiz
• Außerhalb der EU, des Vereinigten Königreichs und der Schweiz, die Waren oder Dienstleistungen für Einwohner der EU, des Vereinigten Königreichs oder der Schweiz anbieten oder diese überwachen

Was sind personenbezogene Daten?

Laut der DSGVO sind personenbezogene Daten alle Informationen, die einzeln oder in Kombination eine bestimmte lebende Person identifizieren können. Unter diese breit gefasste Definition fallen herkömmliche personenbezogene Daten, wie z. B. Geburtsdaten, Namen, Wohnanschriften, E-Mail-Adressen etc., aber auch Standortdaten, biometrische Daten, Finanzdaten und vieles mehr.

Weitere Informationen darüber, was in der EU und im Vereinigten Königreich als personenbezogene Daten gilt, findest du auf den Informationsseiten der Europäischen Kommission, der Datenschutzkommission von Irland und des Information Commissioner's Office.

Muss ich eine Ergänzung zur Datenverarbeitung (DPA) mit Squarespace unterzeichnen?

Wenn du dich bei Squarespace registrierst, stimmst du unseren Nutzungsbedingungen und unserer DPA zu. Du musst kein separates physisches Dokument anfordern oder unterschreiben. Mehr dazu erfährst du in unserer Datenschutzerklärung.

Cookies und ähnliche Technologien

Cookies sind kleine Datendateien, die von Websites auf einem Gerät gespeichert werden. Cookies können das Benutzererlebnis deiner Besucher verbessern, da sie Websites helfen, sich Präferenzen zu merken und zu verstehen, wie die Besucher verschiedene Funktionen nutzen. Ähnliche Technologien sind u. a. Pixel, Tags, lokale Speicher und Geräte-Fingerabdrücke. Websites nutzen diese Technologien für Folgendes:

• Besucher zu identifizieren
• Die effiziente Funktionsweise der Website zu ermöglichen
• Inhalte zu personalisieren
• Gezielte, verhaltensbezogene Online-Werbung zu ermöglichen

In der EU und im Vereinigten Königreich unterliegen die Cookie-Gesetze derzeit der E-Privacy-Verordnung bzw. den Privacy and Electronic Communications Regulations 2003 (SI 2003/2426) (PECR 2003) in der jeweils gültigen Fassung. PECR 2003 gilt weiterhin im Vereinigten Königreich als beibehaltenes EU-Recht. Die Cookie-Gesetze in der EU und im Vereinigten Königreich verpflichten Website-Inhaber, bestimmte Schritte zu unternehmen, bevor sie nicht notwendige Cookies für Besucher aus der EU/dem Vereinigten Königreich platzieren.

Besucher auf nicht erforderliche Cookies aufmerksam machen 

Websites, die nicht notwendige Cookies platzieren, müssen durch die Verwendung eines Cookie-Banners die folgenden Mindestanforderungen erfüllen:

1. Klare und umfassende Informationen über die Verwendung von Cookies auf der Website bereitstellen;
2. Diese Informationen müssen gut sichtbar angezeigt werden, damit Besucher leicht darauf zugreifen können.
3. Einholen der Zustimmung der Website-Besucher, die nicht erforderlichen Cookies platzieren zu dürfen.

Die DSGVO hat das Konzept der erforderlichen Zustimmung der Besucher verändert. Vor Einführung der DSGVO stützten sich Websites auf eine stillschweigende Zustimmung, bei der die fortgesetzte Nutzung der Website als hinreichend eingestuft wurde, um nicht essentielle Cookies platzieren zu dürfen. Jetzt ist es erforderlich, dass Besucher eine ausdrückliche Zustimmung für die Verwendung von nicht essenziellen Cookies bestätigen müssen. Die Zustimmung der Besucher muss vor dem Setzen nicht essenzieller Cookies auf ihrem Gerät eingeholt werden. Die Website muss den Besuchern auch erlauben, die Cookie-Einstellungen verwalten zu können.

Um mehr über Cookies und ähnliche Technologien zu erfahren, lies diesen Leitfaden des britischen Information Commissioner's Office.

Wie hilft mir Squarespace bei der Einhaltung der DSGVO- und EU-/UK-Cookie-Richtlinien für meine Website?

Standardmäßig verwenden wir Cookies, um deine Website zu betreiben und Besucherinformationen für Squarespace Analytics zu erhalten. Damit wir dich bei der Einhaltung der gesetzlichen Anforderungen in der EU und im Vereinigten Königreich unterstützen können, kannst du Folgendes tun:

• Deaktiviere das Aktivitätsprotokoll, damit du keine IP-Adressen oder andere personenbezogenen Daten erfasst oder einsehen kannst.
• Deaktiviere die Squarespace Analytics-Cookies, damit diese nicht essentiellen Cookies nicht in den Browsern von Besuchern platziert werden.
• Zeige ein anpassbares Cookie-Banner an, damit Besucher der Verwendung von Cookies zustimmen können.

Mit den Bearbeitungstools von Squarespace kannst du deine eigenen rechtlichen Bestimmungen oder Datenschutzrichtlinien veröffentlichen. Du kannst beispielsweise Folgendes tun:

• Füge Inhalte hinzu, die deine Besucher darüber informieren, wann und wie du Daten an beliebigen Orten sammelst, und füge einen eigenen Text mit Text-Blöcken hinzu.
• Versehe den Newsletter-Block mit einem Haftungsausschluss.
• Hol dir die Zustimmung für den Versand von Marketing-E-Mails ein.
• Füge ein Cookie-Banner mit eigenem Text für die Zustimmung und einen Link zu deinen Richtlinien hinzu.

Weitere Informationen, wie du diese zu deiner Website hinzufügen kannst, findest du unter Richtlinien und Bestimmungen auf deiner Website veröffentlichen.

Hinweis: Wir haben Tools entwickelt, mit denen du die Cookies verwalten kannst, die deine Squarespace-Website verwendet. Allerdings haben wir keine Kontrolle über Drittanbieter-Services, die du über verbundene Konten, Produktintegrationen oder codebasierte Änderungen verwendest. Prüfe die Richtlinien aller Dienste, die mit deiner Squarespace-Website verbunden sind, um die Cookie-Verwendung deiner Website zu kennen.

Wie hilft mir Acuity Scheduling, die DSGVO einzuhalten?

Acuity verfügt über Tools, um die Datenschutzgesetze der US-Bundesstaaten einzuhalten, aber die Einhaltung liegt letztendlich bei dir. Wie du dein Konto verwendest und konfigurierst und welche Daten du von Kunden erhebst, wird deine Einhaltung berücksichtigen. In Acuity ist Folgendes möglich:

• Die Allgemeinen Geschäftsbedingungen in deinen Anweisungen zur Terminvereinbarung anzeigen.
• Einwilligungsersuchen in Aufnahmeformulare einfügen. Du kannst auch verlangen, dass Kunden deinen Bedingungen zustimmen, bevor sie ein Paket kaufen oder ein Abonnement abschließen.
• Kundeninformationen in der Kundenliste löschen, inaktive Kunden bzw. mehrere Kunden auf einmal löschen.
• Kundendaten exportieren, um der Anforderung eines Kunden zur Datenübertragbarkeit nachzukommen.

Verwendung von Squarespace mit Diensten von Drittanbietern

Die DSGVO wirkt sich nicht nur darauf aus, wie deine verwendeten Squarespace-Produkte personenbezogene Daten verarbeiten, sondern auch darauf, wie andere Dienste Daten in deinem Auftrag verarbeiten. Du kannst über standardmäßig vorhandene Integrationen die Squarespace-Produkte mit Drittanbieter-Diensten verbinden sowie andere Methoden zur Integration zusätzlicher Dienste verwenden, darunter:

• Verbundene Konten
• Code-Block
• Code einfügen (Zur Nutzung von Diensten wie Google AdSense)
• Einbettungs-Blocks
• Meta-Pixel
• Formular-Block-Speicherung (E-Mail, Google Drive, Mailchimp)
• Google Analytics
• Zahlungsdienstleister (Stripe oder PayPal)
• Social-Media-Blöcke
• Spezifische Integrationen oder Blöcke (z. B. Acuity, ChowNow, Mailchimp)
• Squarespace-Erweiterungen

In der Regel akzeptieren Drittanbieter-Dienste Daten von deiner Website oder betten Inhalte in deine Website oder andere Squarespace-Produkte ein, wobei Squarespace als Durchgangsstelle für diese Daten oder angezeiten Inhalte fungiert. Diese Dienste haben möglicherweise ihre eigenen Nutzungsbedingungen, Datenschutzrichtlinien und andere Vorgehensweisen, die von unseren abweichen. Es ist wichtig, dass du die Richtlinien aller Dienste, die mit deinen Squarespace-Produkten verbunden sind, eingehend prüfst.

Wie überträgt Squarespace die Daten von Kunden und Besuchern außerhalb der EU und des Vereinigten Königreichs?

Die DSGVO erfordert bestimmte Schutzmaßnahmen, wenn es personenbezogene Daten von außerhalb des EWR, des Vereinigten Königreichs und der Schweiz in „Drittländer“ (also alle Länder außerhalb dieser Schutzgebiete, einschließlich der Vereinigten Staaten) übermittelt. Squarespace verpflichtet sich, personenbezogene Daten aus dem EWR, dem Vereinigten Königreich und der Schweiz sowie andernorts auf der ganzen Welt auf sichere und datenschutzgerechte Art und Weise zu behandeln und bei der Datenverarbeitung die Standardvertragsklauseln der Europäischen Kommission und des Vereinigten Königreichs einzuhalten.

Standardvertragsklauseln

Squarespace verwendet die Standardvertragsklauseln (auch als Mustervertragsklauseln bezeichnet) der Europäischen Kommission und das britische International Data Transfer Addendum (UK-Ergänzung) als Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittstaaten, einschließlich der Vereinigten Staaten.

Die Europäische Kommission hat die Standardvertragsklauseln am 4. Juni 2021 aktualisiert, um Folgendes widerzuspiegeln:

• Wie die Datenverarbeitung in der modernen Welt abläuft.
• Die Anforderungen der EU-DSGVO.
• Empfehlungen des Europäischen Datenschutzausschusses Das Schrems II-Urteil des Gerichtshofs der Europäischen Union.

Am 21. März 2022 traten die aktualisierten Anforderungen des britischen Information Commissioner's Office in Bezug auf Datenübertragungen außerhalb des Vereinigten Königreichs, einschließlich der Verwendung eines internationalen Datenübertragungsabkommens und der UK-Ergänzung zu den aktualisierten Standardvertragsklauseln, in Kraft.

Wir schützen deine personenbezogenen Daten und haben angemessene technische und organisatorische Sicherheitsvorkehrungen getroffen, um diese Standards zu erfüllen. Um mehr zu erfahren, besuche unsere Seite zum Thema Sicherheitsmaßnahmen.

Datenschutzrahmen

Gemäß Artikel 45 der DSGVO wurde ein Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework, das Swiss-U.S. Data Privacy Framework und die UK-Erweiterung zu den EU-U.S. Data Privacy Frameworks (jeweils einzeln und gemeinsam die „Datenschutzrahmen“) erlassen.

Squarespace, Inc. hält sich an die Datenschutzrahmen als Rechtsgrundlage für die Übertragung personenbezogener Daten aus dem EWR, der Schweiz und Großbritannien/Nordirland an Squarespace, Inc. in den USA. Squarespace, Inc. bescheinigt die Einhaltung der Datenschutzrahmen durch entsprechende Zertifizierung. Unsere Zertifizierung findest du hier. Um mehr über die Datenschutzrahmen und die DPF-Prinzipien zu erfahren, besuche die Website des Data Privacy Framework Program.

Sonstige Übertragungsvoraussetzungen

In den Artikeln 45 bis 50 der DSGVO wurden die verschiedenen Anforderungen für die rechtmäßige Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen festgelegt, die ein angemessenes Schutzniveau bieten. Dazu gehören:

Angemessenheit

Drittländer, bestimmte Sektoren innerhalb von Drittländern oder internationale Organisationen gelten als angemessen, wenn die EU-Kommission festgestellt hat, dass sie ein angemessenes Datenschutzniveau bieten.

Wenn kein Angemessenheitsbeschluss vorliegt, lässt die DSGVO eine Übertragung zu, wenn die Verantwortlichen oder die Auftragsverarbeiter „angemessene Sicherheitsvorkehrungen“ getroffen haben, die Folgendes umfassen können:

• Anerkannte Verhaltenskodizes oder genehmigte Zertifizierungsmechanismen
• Verbindliche Unternehmensregeln
• Standardvertragsklauseln

Ausnahmen

Ausnahmen erlauben Übertragungen in bestimmten Situationen, z. B. wenn die Zustimmung eingeholt wird, oder:

• Zur Erfüllung oder für den Abschluss eines Vertrages
• Zur Ausübung von Rechtsansprüchen
• Zum Schutz der grundlegenden Interessen der betroffenen Person, wenn diese keine Einwilligung geben kann oder aus Gründen des öffentlichen Interesses

Weitere Informationen findest du in den Leitfäden des Europäischen Datenschutzausschusses oder des Information Commissioner's Office für das Vereinigte Königreich.

Wir können andere Übertragungsmechanismen verwenden, um einen angemessenen Datenschutz zu gewährleisten. Wir werden gegebenenfalls weitere Informationen bereitstellen, wenn andere Übertragungsmechanismen für die rechtmäßige Übermittlung personenbezogener Daten in Drittländer verwendet werden.

Wo bekomme ich weitere Informationen über die DSGVO?

Regulierungsbehörden in der EU und dem Vereinigten Königreich bieten konkrete Hilfestellung zur DSGVO und Cookies. Du kannst die Richtlinien hier einsehen:

• Agencia Española de Protección de Datos (Spanien)
• Bundesministerium des Innern (Deutschland)
• Commission Nationale de l’Informatique et des Libertés (Frankreich)
• Data Protection Commission (Irland)
• Volltext der DSGVO
• Information Commissioner’s Office (UK)
• Offizielle EU-Website zur DSGVO
• Der Europäische Datenschutzausschuss (EDPB)

Tipp: Wenn es sich bei deiner Firma um einen großen Konzern oder ein Unternehmen handelt, das nach erstklassigem Premium-Support sucht, benötigst du ggf. eine maßgeschneiderte Lösung, die deine Anforderungen im Hinblick auf Vertragsabschluss, Zahlung und Kundenservice erfüllt. Weitere Informationen findest du auf unserer Enterprise-Seite.