Webflow & DSGVO: Custom Code, Fonts und Tracking prüfen
Webflow gibt Designern viel Freiheit: Custom Code, Animationen, Formular-Integrationen und Marketing-Skripte lassen sich schnell einbauen. Genau diese Flexibilität macht einen technischen Datenschutz-Check wichtig, besonders vor Launches und nach Kampagnen.
Hinweis: Dieser Artikel ist eine technische Orientierung für Website-Betreiber und ersetzt keine Rechtsberatung. Für die Bewertung deiner konkreten Situation solltest du fachkundigen Rat einholen.
Warum Webflow-Projekte oft versteckte Datenflüsse haben
In Webflow entstehen Websites häufig in mehreren Schichten: Designer bauen Layout und Interaktionen, Marketing ergänzt Tracking, externe Dienstleister fügen Snippets ein. Nach einigen Iterationen weiß niemand mehr genau, welcher Code noch aktiv ist.
Datenschutzrelevant ist nicht nur der sichtbare Embed. Auch Tracking-Container, A/B-Testing, Chat-Widgets, Formular-Weiterleitung und externe Schrift- oder Icon-Assets können Requests an Dritte auslösen.
Custom Code zuerst inventarisieren
- Head- und Footer-Skripte: Prüfe globale Code-Bereiche und seitenbezogenen Custom Code. Alte Kampagnen-Tags bleiben dort oft liegen.
- Embed-Elemente: Suche nach HTML-Embeds für Videos, Karten, Kalender, Chat, CRM und Formulare. Sie laden häufig zusätzliche Skripte nach.
- Tag Manager: Ein Tag Manager ist kein neutraler Platzhalter. Entscheidend ist, welche Tags er vor und nach Consent tatsächlich feuert.
- Drittanbieter-Assets: Fonts, Iconsets und externe Bibliotheken sollten geprüft werden, weil sie beim Laden IP-Adressen übertragen können.
Consent und Marketing sauber koppeln
Bei Webflow-Projekten liegt Consent oft außerhalb der Plattform, etwa über einen eingebundenen Consent-Manager. Prüfe deshalb nicht nur das Banner, sondern die Kopplung: Starten Google Analytics, Meta Pixel, LinkedIn Insight Tag oder Heatmap-Tools erst nach Zustimmung?
Wenn du einen Tag Manager nutzt, sollte der Default-Zustand restriktiv sein. Nicht notwendige Tags sollten nicht feuern, solange keine passende Einwilligung vorliegt oder Besucher ablehnen.
Formulare, CRM und Automationen
Webflow-Formulare werden oft mit CRM-, Newsletter- oder Automationsdiensten verbunden. Dabei entstehen personenbezogene Datenflüsse, die transparent beschrieben und auf das notwendige Maß begrenzt sein sollten.
Prüfe Formularfelder, Pflichtangaben und versteckte Felder. UTM- oder Kampagnenwerte können sinnvoll sein, sollten aber nicht unbemerkt mehr Daten sammeln als für den Zweck erforderlich.
Fonts und Assets: Designer-Komfort mit Nebenwirkungen
Webflow macht es im Designer sehr leicht, Schriften einzubinden — unter anderem über eine direkte Google-Fonts-Integration. Je nach Projekteinstellung werden Schriften dann von externen Servern oder als hochgeladene Dateien über das Hosting deiner Website ausgeliefert. Der Unterschied ist datenschutzrelevant: Bei extern geladenen Schriften wird die IP-Adresse deiner Besucher an den Schrift-Anbieter übertragen.
Prüfe deshalb im Netzwerk-Tab, von welchen Hosts deine Schriften, Icons und JavaScript-Bibliotheken tatsächlich kommen. Wenn du Schriften selbst hochlädst statt sie extern zu referenzieren, verschwindet eine ganze Kategorie von Fragen — der Ratgeber Google Fonts lokal einbinden erklärt das Prinzip im Detail.
Webflow-Formulare: wohin die Daten fließen
Webflow-Formulare speichern Einsendungen im Webflow-Projekt und verschicken Benachrichtigungen per E-Mail. Häufig kommen Verbindungen zu CRM-, Newsletter- oder Automatisierungsdiensten hinzu, die jede Einsendung an weitere Systeme weiterreichen. Jeder dieser Schritte ist eine Verarbeitung personenbezogener Daten, die in der Datenschutzerklärung nachvollziehbar sein sollte.
Da Webflow ein US-Anbieter ist, solltest du außerdem den Drittlandbezug im Blick haben und transparent beschreiben, wo Formulardaten landen. Praktisch hilft eine einfache Liste: Welche Formulare gibt es, welche Felder fragen sie ab, wer bekommt die Daten und über welche Zwischenstationen laufen sie?
Ein praktischer Webflow-Audit in vier Schritten
Erstens: Verschaffe dir die Seitenliste. Neben den statischen Seiten gehören CMS-Collection-Seiten, Landingpages und Utility-Seiten (Suche, 404, Passwortschutz) dazu — jede kann eigene Embeds oder seitenbezogenen Custom Code tragen.
Zweitens: Lade eine repräsentative Auswahl im privaten Fenster und dokumentiere pro Seite die externen Hosts in drei Zuständen — keine Consent-Auswahl, Ablehnen, Akzeptieren. Drittens: Inventarisiere den Custom Code an allen Stellen, an denen Webflow ihn erlaubt: projektweit, pro Seite und in Embed-Elementen. Ordne jedem Snippet Zweck und Verantwortlichen zu.
Viertens: Gleiche das Ergebnis mit der Datenschutzerklärung ab und notiere Abweichungen als konkrete Aufgaben — „Pixel X an Consent koppeln", „Schrift Y lokal einbinden", „Dienst Z aus dem Text streichen". So wird aus dem Audit eine abarbeitbare Liste statt eines vagen Befundes.
Die Staging-Domain nicht vergessen
Jedes Webflow-Projekt hat eine Staging-Subdomain unter webflow.io, die öffentlich erreichbar ist. Dort liegt oft ein älterer oder experimenteller Stand deiner Website — inklusive Formularen, Tracking-Snippets und Embeds. Für Suchmaschinen lässt sich die Indexierung dieser Subdomain in den Projekteinstellungen unterbinden; prüfe, ob das bei dir aktiv ist.
Nimm die Staging-Domain auch in deine Datenschutz-Inventur auf: Ein vergessenes Test-Formular, das echte Anfragen entgegennimmt, oder ein altes Analytics-Tag auf der Staging-Seite sind klassische blinde Flecken.
Consent-Management in Webflow nachrüsten
Webflow bringt von Haus aus kein vollständiges Consent-Management mit — in der Praxis wird ein externes Consent-Tool per Snippet eingebunden. Dabei entscheidet die Reihenfolge über die Wirkung: Das Consent-Skript sollte laden, bevor Tracking-Tags starten können, sonst feuern die ersten Requests, bevor jemand überhaupt eine Wahl hatte.
Prüfe außerdem den Blocking-Ansatz deines Tools. Manche Lösungen blockieren Skripte automatisch, bis eine Einwilligung vorliegt; andere setzen voraus, dass du jedes Tag einzeln umbaust oder über den Tag Manager an Consent-Signale koppelst. Welche Variante du hast, siehst du nicht in der Tool-Beschreibung, sondern im Netzwerk-Tab: Lade die Seite ohne Auswahl und sieh nach, was trotzdem startet.
Dokumentiere am Ende die Kopplung pro Dienst: Tag, Kategorie, Auslöser. Diese kleine Tabelle macht aus dem Consent-Setup ein prüfbares System statt einer Hoffnung — und sie ist die Grundlage, auf der jeder spätere Test in Minuten erledigt ist.
Launch-Check für Webflow
- Vor dem Launch: Custom Code exportieren oder dokumentieren, Testseite im privaten Fenster laden und alle externen Hosts notieren.
- Nach dem Consent-Test: Ablehnen und Akzeptieren getrennt prüfen, besonders bei Tag Manager, Analytics und Pixeln.
- Nach CMS-Änderungen: Neue Collection-Seiten können eigene Embeds enthalten. Prüfe Blog, Landingpages und Formularseiten separat.
- Nach Kampagnen: Temporäre Snippets wieder entfernen und die Datenschutzerklärung anpassen, wenn Dienste hinzukommen oder entfallen.
konfora hilft bei der Browser-Inventur: Der Scan erkennt viele Tracker, Cookies, externe Schriften, Embeds und Formulare auf der geprüften URL. Er liest keinen Webflow-Workspace aus und ersetzt keine Kontrolle deines Custom Codes.
Der vollständige Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo) und zeigt konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.
Kurz zusammengefasst
- Webflow-Flexibilität erhöht die Chance auf alte oder verstreute Tracking-Snippets.
- Custom Code, Embeds und Tag Manager sollten vor jedem Launch inventarisiert werden.
- Formular- und CRM-Flows gehören in den Datenschutztext und sollten datenminimiert sein.
- Prüfe Consent technisch, nicht nur optisch.
- Die öffentlich erreichbare Staging-Domain gehört mit in die Inventur — inklusive Indexierungs-Einstellung und alter Formulare.
Dieser Beitrag liefert allgemeine technische Hinweise und ersetzt keine Rechtsberatung. Für verbindliche Fragen zu deiner konkreten Website wendest du dich an Datenschutzbeauftragte, Rechtsberatung oder andere fachkundige Stellen.
Häufige Fragen
- Ist Custom Code in Webflow ein DSGVO-Risiko?
- Nicht automatisch. Riskant wird es, wenn der Code nicht notwendige Dienste lädt, personenbezogene Daten überträgt oder vor einer erforderlichen Einwilligung aktiv wird.
- Kann ein Tag Manager in Webflow ohne Einwilligung geladen werden?
- Das hängt von Konfiguration und Zweck ab. Wichtig ist, welche Tags wirklich feuern und ob nicht notwendige Messung erst nach passender Einwilligung startet.
- Prüft konfora Webflow-CMS-Inhalte?
- konfora prüft die konkret aufgerufene öffentliche URL. Wenn ein CMS-Artikel eigene Embeds enthält, sollte genau diese URL zusätzlich gescannt werden.
- Ich habe ein Webflow-Projekt übernommen — wo fange ich an?
- Mit der Custom-Code-Inventur: projektweite Skripte, seitenbezogener Code und Embed-Elemente. Bei übernommenen Projekten weiß oft niemand mehr, welche Snippets aktiv sind. Danach folgt der Browser-Test in den drei Consent-Zuständen und der Abgleich mit der Datenschutzerklärung.
- Muss die Staging-Domain in die Datenschutzerklärung?
- Die Staging-Domain ist eine eigene öffentliche Website und sollte entweder konsequent gepflegt oder vor Indexierung geschützt und ohne aktive Formulare betrieben werden. Wenn dort Besucherdaten verarbeitet werden, gelten dieselben Transparenzanforderungen wie für die Hauptdomain.
- Brauche ich für jedes Webflow-Projekt ein Consent-Tool?
- Nur, wenn einwilligungspflichtige Dienste laufen. Ein Portfolio ohne Tracking, mit lokal eingebundenen Schriften und ohne Drittanbieter-Embeds kann ohne Banner auskommen. Sobald Analytics, Pixel oder direkte Embeds dazukommen, brauchst du eine technische Kopplung an die Einwilligung.