Was macht WIX?
Wix ist eine Cloud-basierte Online-Plattform, mit der Unternehmen ihre eigene Webseite erstellen können. Wix bietet Usern dafür ein Baukasten-System. Mit diesem können sie selbst entscheiden, welche Funktionen und Designs sie für ihre Seite verwenden möchten. Was ist bei der Verwendung von Wix datenschutzrechtlich relevant?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Wix datenschutzrechtlich relevant?
Je nachdem, wie Seitenbetreiber Wix für ihre Webpräsenz nutzen, erheben sie verschiedene Daten ihrer Webseitenbesucher. Das können zum Beispiel Daten wie
- Name,
- E-Mail,
- Adresse,
- IP-Adresse und
- Telefonnummer sein.
Dabei handelt es sich um personenbezogene Daten. Seitenbetreiber müssen daher bestimmte Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) beachten.
Und: Wix speichert die Daten der Webseitenbesucher an verschiedenen Orten. Das können Rechenzentren in der EU, in den USA, Irland, Südkorea, Taiwan und Israel sein. Wix selbst gibt an, dass es Daten nur in den Ländern verarbeitet und speichert, in denen laut der EU-Kommission auf Grundlage einer Angemessenheitsentscheidung ein angemessenes Schutzniveau herrscht. Seitenbetreiber müssen für den internationalen Datentransfer dennoch weitere datenschutzrechtliche Pflichten erfüllen.
So können Seitenbetreiber Wix datenschutzkonform verwenden
Damit Unternehmen Wix gemäß den datenschutzrechtlichen Anforderungen verwenden, müssen sie auf diese Vorgaben achten:
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen erheben über Wix personenbezogene Daten. Sie geben diese an den Anbieter der Software zur weisungsgebundenen Verarbeitung weiter. Dafür müssen sie mit Wix einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht schreibt ihnen Art. 28 DSGVO vor. Für die Praxis bedeutet das: Unternehmen müssen in dem Vertrag festhalten,
- warum Wix personenbezogene Daten erfasst,
- um welche Daten es sich dabei genau handelt,
- wie lange es diese Daten speichern will und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen erheben personenbezogene Daten ihrer Webseitenbesucher und geben diese an Wix weiter. Das müssen sie in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie darauf hinweisen, dass sie dafür mit Wix einen AV-Vertrag geschlossen haben. Im Detail sollten Unternehmen in der Datenschutzerklärung aufführen,
- warum sie die personenbezogenen Daten an Wix weitergeben,
- wie lange sie die Daten speichern wollen,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. f DSGVO) und
- dass User der Datenerhebung und Datenspeicherung jederzeit widersprechen können.
Um Webseitenbesuchern einen Einblick in die konkrete Datenverarbeitung von Wix zu geben, sollten Unternehmen zudem auf die Datenschutzbestimmungen und Nutzungsbedingungen von Wix hinweisen. Nutzer können dann selbst überprüfen, was mit ihren Daten bei Wix passiert.
Standardvertragsklauseln prüfen
Wix verwendet Standardvertragsklauseln, um die Daten seiner Kunden von der EU in andere Länder wie die USA, Südkorea und Israel zu versenden. Unternehmen müssen diese Klauseln mit Wix abschließen.
Zusätzlich müssen Unternehmen eine Risikoabschätzung vornehmen. Das bedeutet: Sie müssen prüfen und dokumentieren,
- welchem Risiko die Nutzerdaten an den anderen Serverstandorten ausgesetzt sind,
- welche Art von Daten sie in welche Länder übermitteln,
- welche Rechtsvorschriften in den jeweiligen Ländern zum Datenschutz gelten und
- ob Wix selbst neben den Standardvertragsklauseln weitere Maßnahmen ergreift, um Userdaten zu schützen.
Rechtsprechung zu Wix
Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu Wix vor. Unternehmen sollten jedoch sicherstellen, dass sie mit dem Anbieter einen AV-Vertrag geschlossen haben. Denn: Datenschutzbehörden haben bereits Strafen für fehlende AV-Verträge ausgesprochen:
Datenschutzbehörde Hamburg zum AV-Vertrag
Unternehmen, die personenbezogene Daten zur weisungsgebundenen Verarbeitung an Dritte weitergeben, müssen mit diesen einen AV-Vertrag schließen. Kommen sie dieser Pflicht nicht nach, droht ihnen ein Bußgeld. Dies kann bei bis zu 10 Millionen Euro oder 2 Prozent ihres Jahresumsatzes betragen. Die Datenschutzbehörde Hamburg sprach in diesem Kontext ein Bußgeld gegen ein Versandunternehmen aus. Dies musste 5.000 Euro Strafe zahlen, da es keinen AV-Vertrag mit einem beauftragten Dienstleister geschlossen hatte.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Mehrere tausend Daten seiner Mitglieder gab der Fußball-Bundesligaclub VfB Stuttgart an Dienstleister weiter, um diese weisungsgebunden verarbeiten zu lassen. Dabei verpasste es der Verein jedoch, mit den Dritten einen AV-Vertrag einzugehen. Dafür sprach die Datenschutzbehörde Baden-Württemberg im März 2021 eine Strafe von 300.000 Euro aus. Dabei hätte das Bußgeld noch deutlich höher ausfallen können, ließ die Behörde wissen. Sie beließ es jedoch bei dem Betrag, da der Verein proaktiv an der Aufklärung des Vorgangs mitgewirkt hatte.