Du möchtest mehr Leser für deinen Blog und mehr Kunden für dein Online-Business?

Dann abonniere unseren kostenlosen Newsletter mit exklusiven Tipps und Angeboten rund um's Bloggen, SEO und Online-Business. Als Willkommensbonus erhältst du unser E-Book Die 12 Gesetze unglaublich erfolgreicher Blogartikel.

Abmeldung jederzeit möglich. Etwa 2 bis 5 E-Mails im Monat. Die Einwilligung umfasst die Hinweise zu Widerruf, Versanddienstleister und Statistik gemäß unserer Datenschutzerklärung.

Die 12 Gesetze unglaublich erfolgreicher Blogartikel

Google & DSGVO: Welche Dienste sind datenschutzkonform nutzbar und wie?

[Letztes Update: 04.06.2018] Als Website-Betreiber, Blogger oder Online-Unternehmer kommt man heutzutage kaum mehr an Google und seinen zahlreichen Diensten vorbei. So finden sich auf fast jeder Website heutzutage eingebettete YouTube-Videos, Karten von Google Maps oder Schriften von Google Fonts und andere Google-Dienste.

Viele dieser Dienste sammeln personenbezogene Daten, weshalb es datenschutzrechtlich einiges bei der Nutzung zu bedenken gibt.

Weitere nützliche Tipps, Listen und Tutorials findest du hier bei Blogmojo in der Kategorie DSGVO & Datenschutz sowie in meiner Facebook-Gruppe DSGVO & Internetrecht mit 10.000+ Mitgliedern!

Hier möchte ich zum einen Überblick darüber schaffen, welche Google-Dienste DSGVO-konform nutzbar sind und welche nicht, wie weit Google mit seinen Bemühungen diesbezüglich ist und welche Anforderungen Google selbst an die Nutzung seiner Dienste stellt.

Wie viele meiner Artikel zur DSGVO ist auch dieser als Work in Progress zu verstehen. Ich werde ihn regelmäßig updaten, um euch über Neuerungen zu Google-Diensten auf dem Laufenden zu halten. Zudem werde ich im Laufe der Zeit noch weitere Dienste hinzufügen.

Feedback und Ergänzungen sind wie immer herzlich willkommen!

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

1. Blogger

Googles-Dienst Blogger ist aktuell noch nicht 100% DSGVO-konform nutzbar, weil ein AV-Vertrag fehlt. Zudem lassen sich einige Funktionen, bei denen personenbezogene Daten im Hintergrund geladen werden, noch nicht ausstellen.

Wenn man der Standard-Antwort auf Fragen bzgl. der DSGVO im Support-Forum für Blogger Glauben schenken darf, arbeitet Google jedoch schon daran, den Dienst DSGVO-konform zu machen:

You can count on the fact that Google is committed to GDPR compliance across products, including Blogger. We are always working to stay compliant, which helps make compliance easier for your blog. We are also committed to providing robust privacy and security protections built into our services. We know security and privacy are important to you, and they are important to us, too. For Google, it’s a priority that your private information is safe. (Quelle)

Ich sammele gelöste und ungelöste Probleme mit Blogspot in meiner separaten Checkliste Blogspot & DSGVO: Checkliste (und ungelöste Fragen!).

2. Google+

Die Nutzung von Teilen-Buttons (und anderen Social-Plugins) des sozialen Netzwerkes Google+ bringen rechtliche Risiken mit sich.

Das sollte eigentlich mittlerweile jeder Website-Betreiber wissen, denn das war schon lange vor der DSGVO so.

RA Schwenke weist z. B. bereits 2011 darauf hin, dass die Rechtslage bei Teilen-Buttons von Google+ ähnlich ist wie beim Like-Button von Facebook.

Kritisch ist nicht nur, dass eigene Aktivitäten durch Google+ aufgezeichnet werden, wenn man mit dem eigenen Google-Account eingeloggt ist, sondern dass möglicherweise auch Nutzer getrackt werden, die nicht eingeloggt sind oder gar keinen Google-Account haben.

Als Alternative um Teilen-Buttons von Google+ weiterhin zu nutzen, bietet sich eine Zwei-Klick-Lösung, wie z. B. Shariff an, die es auch als WordPress-Plugin gibt.

3. Gmail

Gmail ist in der kostenlosen Version meines Wissens nicht DSGVO-konform nutzbar, da Google keinen Auftragsverarbeitungs-Vertrag bietet. Es ist noch nicht bekannt, ob es einen geben wird oder nicht.

Die einzige Möglichkeit Gmail weiter zu nutzen, besteht derzeit darin, die kostenpflichtige GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt.

4. Google AdSense

Die Nutzung von Google AdSense ist nicht ganz unproblematisch, weil Google Cookies und andere Tracking-Methoden benutzt, um das Nutzerverhalten über die Website hinaus zu verfolgen und dadurch Nutzerprofile zu erstellen. Diese Profile werden dann für das Remarketing oder zur Anzeige personalisierter Werbung verwendet.

Es ist bis jetzt nicht ganz klar, wie Google AdSense DSGVO-konform genutzt werden kann.

Generell käme die Nutzung nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht. Als Website-Betreiber hat man ein durchaus berechtigtes Interesse daran, mit der eigenen Website Geld zu verdienen. Die Frage ist, ob Nutzerinteressen in diesem Fall nicht überwiegen. Möglicherweise könnte man das Interesse auf der Nutzerseite abschwächen, indem man auf die Anzeige personalisierter Werbung verzichtet (siehe Punkt 4.2).

Google selbst setzt anscheinend auf die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und verlangt ab dem 25.05 von seinen Publishern ein Opt-In für Google AdSense in die eigene Website oder App zu integrieren (siehe Punkt 4.1). Dies ist auch auf Vorbereitung auf die kommende ePrivacy-Verordnung zu sehen.

4.1 Opt-In

Für die Nutzung von Google AdSense ist es laut AdSense-Programmrichtlinien erforderlich, sich an Googles neue EU User Consent Policy zu halten, die ab dem 25.05 in Kraft tritt. Das heißt, dass du dir als Publisher die Einwilligung von Nutzern einholen musst, bevor diese AdSense-Anzeigen ausgespielt bekommen.

Laut dem Artikel Tools to help publishers comply with the GDPR wird Google bis zum Stichtag diverse Tools zur Verfügung stellen, um diese Einwilligung einzuholen.

Hoffen wir mal, dass Google diese dann auch pünktlich zur Verfügung stellen wird, denn so langsam wird die Zeit knapp. Ein Opt-In ließe sich zur Not jedoch auch mit dem empfehlenswerten Plugin Borlabs Cookie einrichten.

4.2 Personalisierung

Google stellt bereits schon seit längerem die Möglichkeit bereit, die Personalisierung von Anzeige auszuschalten. Dies kann man im eigenen AdSense-Konto unter Anzeigen zulassen und blockieren > Content-Seiten > Alle eigenen Websites > Nutzerbezogene Anzeigen vornehmen.

Allerdings werden dann laut AdSense-Support  immer noch Cookies ersetzt. Zudem wird im Rahmen der kommenden ePrivacy-Verordnung auch immer noch eine Einwilligung erforderlich sein:

Although these ads don’t use cookies for ad personalisation, they do use cookies to allow for frequency capping, aggregated ad reporting, and to combat fraud and abuse. Consent is therefore required to use cookies for those purposes from users in countries to which the ePrivacy Directive’s cookie provisions apply.

4.3 AV-Vertrag

Als Nutzer von Google AdSense benötigt man laut diesem Artikel in der AdSense-Hilfe keinen AV-Vertrag, weil beide Parteien unabhängig voneinander als Datenverantwortliche gelten:

Across our publisher suite (DoubleClick for Publishers (DFP), DoubleClick Ad Exchange, AdMob, and AdSense), both you and Google operate as independent controllers of personal data. We operate as a controller because we regularly make decisions on the data to deliver and improve the product — for example, testing ad serving algorithms, monitoring end-user latency, and ensuring the accuracy of our forecasting system.

5. Google Analytics

Google Analytics ist auch mit der kommenden DSGVO noch datenschutzkonform einsetzbar. Dazu müssen laut Diercks Digital Recht und datenschutzbeauftragter-info.de allerdings mehrere Punkte beachtet werden:

  1. AV-Vertrag mit Google ausdrucken, unterschreiben und nach Irland schicken
  2. Zusatz zur Datenverarbeitung zustimmen (unter Verwaltung > Konto-Einstellungen), bitte Hinweise dazu von RA Schwenke beachten!
  3. IP-Adressen anonymiseren
  4. Widerspruchsmöglichkeit anbieten, z. B. per Plugin oder Erweiterung des Tracking-Codes
  5. Aufbewahrungsdauer der Daten auf 14 Monate begrenzen (unter Verwaltung > Property auswählen > Tracking-Informationen > Datenaufbewahrung)
  6. User ID-Funktion deaktivieren (unter Verwaltung > Property auswählen > Tracking-Informationen > User-ID)
  7. Datenschutzerklärung anpassen

Es ist zudem möglich, dass in Zukunft ein Opt-In für Google Analytics Pflicht werden könnte. Ein Positionspapier der DSK (Datenschutzkonferenz) vom 26.04.2018 legt dies nahe.

5.1 EU User Consent Policy

Google selbst fordert übrigens im Rahmen seiner neuen EU User Consent Policy ein Opt-In zur Nutzung von Google Analytics. Allerdings nur dann, wenn man die Werbefunktionen (Remarketing, Berichte zur Leistung nach demografischen Merkmalen und Interessen etc.) verwendet.

6. Google Drive

Google Drive und alle damit verknüpften Dienste, wie z. B. Google Docs, Google Tabellen, Google Präsentationen, Google Formulare etc. sind in der kostenlosen Version (ähnlich wie bei Gmail) meines Wissens nicht DSGVO-konform nutzbar, weil kein AV-Vertrag zur Verfügung steht.

Die einzige Möglichkeit Google Drive weiter zu nutzen, besteht deshalb ebenfalls nur darin, die kostenpflichtige Google GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt oder auf die Speicherung fremder personenbezogener Daten über den Dienst zu verzichten.

Zur Speicherung der eigenen Daten oder Daten, die keinen Personenbezug haben, wie z. B. Blogartikel oder E-Books, die du über Google Docs schreibst, eignet sich Google Drive natürlich nach wie vor.

7. Google Fonts

Die Meinungen darüber, ob sich Google Fonts auf der eigenen Website DSGVO-konform nutzen lassen oder nicht, gehen auseinander.

Laut Google Fonts FAQ werden durch diese keine Cookies gespeichert und geben keine Informationen über von Besucher verwendeten Google-Account weiter. Nutzer-Tracking findet auf diesem Wege also nicht statt.

Was allerdings bis jetzt unklar ist, ob durch Google Fonts IP-Adressen (und möglicherweise andere Informationen wie Betriebssystem, verwendeter Browser, ungefährer Standort des Nutzers oder Referrer) auf Google-Servern gespeichert werden, wodurch wiederum Nutzer-Tracking in der Theorie möglich wäre.

Die Frage ist, ob die Nutzung aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) möglich ist oder ob der Schutz der Privatsphäre der Nutzer in diesem Fall überwiegt.

Wenn man dem Muster zur Datenschutzerklärung von eRecht24 Premium Glauben schenken darf, dann überwiegt er nicht:

[…]Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Dem Argument, dass es man recht einfach Google Fonts vom eigenen Server laden könne und dies das berechtige Interesse entkräftige, kann ich auch nicht vollends zustimmen.

Schließlich hat man als Website-Betreiber durchaus Vorteile davon, Google Fonts über Google-Server zu laden: Erstens entlastet dies den eigenen Server und zweitens kann sich dadurch die Ladezeit der eigenen Website verbessern, da sich die genutzten Google Fonts möglicherweise schon im Browser-Cache des Nutzers befinden.

Natürlich kann ich nicht sagen, ob die Nutzung von Google Fonts 100% rechtssicher ist. Aber ich halte das Risiko für sehr gering und denke nicht, dass es wirklich notwendig ist, Google Fonts zu entfernen oder lokal zu speichern.

8. Google Maps

Das Einbetten von Google Maps in eine Website sehe ich als datenschutzrechtlich bedenklich an, da dadurch ein sogenanntes NID-Cookie auf dem Rechner des Nutzers gespeichert wird:

Google Maps Cookie

Laut Googles eigenen Angaben wird dies nicht nur dafür benutzt, um bevorzugte Einstellungen für die Google-Suche zu speichern (wie z. B. Sprache und Google SafeSearch-Filter), sondern auch um Werbung in Google-Produkten wie der Google-Suche individuell anzupassen.

Zusätzlich durch das Einbetten Google Fonts geladen und im Hintergrund diverse andere Verbindungen zu Google-Servern aufgebaut, durch welche IP-Adressen und andere Daten, wie z. B. Browser und Betriebssystem, an Google übermittelt werden. Das ist jedoch bei einer Verbindung zu einem Drittdienst zu erwarten.

Allerdings arbeitet Google anscheinend noch daran, Google Maps DSGVO-konform zu machen, wie man einem Post im Maps-Hilfeforum entnehmen kann:

Du kannst dich darauf verlassen, dass Google sich der Einhaltung der EU-Datenschutzrichtlinien für alle Produkte verschrieben hat, auch für die Google Maps API. Wir arbeiten ständig daran, die Richtlinien einzuhalten, was auch die Einhaltung für dich vereinfacht. Wir verpflichten uns auch, robuste Datenschutz- und Sicherheitsmaßnahmen in unsere Dienste zu integrieren. Wir wissen, dass Sicherheit und Privatsphäre für dich und viele Nutzer wichtig sind, sowie auch für uns. Für Google ist es eine Priorität, dass private Informationen sicher sind.

Ich persönlich werde Karten von Google Maps komplett von meinen Websites nehmen oder so einbinden, dass diese erst laden, nachdem der Nutzer dies per Klick bestätigt hat.

Umsetzen lässt sich dies mit z. B. mit dem Plugin Borlabs Cookie, das eine nützliche Zusatzfunktion bietet, mit dem sich jeder beliebige iframe erst nach dem Klick öffnet. Falls du den Page-Builder Elementor benutzt, kommt dafür auch das kostenlose Plugin Extra Privacy for Elementor in Frage.

Am datensparsamsten ist es, einen einfachen Textlink zur entsprechenden Karte nutzen. Bitte beachte, dass es urheberrechtlich problematisch sein kann, einen Screenshot von Google Maps einzubinden!

Als Alternative zu Google Maps bieten sich auch OpenStreetMap oder Leaflet an.

8.1 EU User Consent Policy

Soweit ich feststellen konnte, gilt die EU User Consent Policy für einfache eingebettete Karten von Google Maps nicht. Zumindest habe ich keinen Hinweis darauf in den Google Maps APIs Terms of Services oder in den Zusätzlichen Nutzungsbedingungen für Google Maps/Google Earth gefunden.

Allerdings muss man sich laut Punkt 9.3 der Google Maps APIs Terms of Services an die EU User Consent Policy halten und ein Opt-In bereitstellen, wenn man die API von Google Maps zur Einbindung nutzt und die Karten Access Cookies oder andere Daten auf dem Rechner des Nutzers speichern:

Cookies. As noted in the Documentation, certain Maps API(s) store and access cookies and other information on end users’ devices. If you use any of these cookie-enabled Maps API(s) in your Maps API Implementation, then for end users in the European Union, you must comply with the EU User Consent Policy.

9. Google Search Console

Die Google Search Console ist nach meinem jetzigen Stand uneingeschränkt mit der DSGVO nutzbar, da durch diese keine personenbezogenen Daten auf der eigenen Website gespeichert werden oder für den Nutzer einsehbar sind.

10. YouTube

Ähnlich wie bei Google Maps, ist auch das Einbetten von YouTube-Videos in die eigene Website nicht ganz unproblematisch.

Denn durch das Einbetten werden diverse Verbindungen zu Google-Servern aufgebaut, durch welche mehrere Cookies im Browser deiner Leser gespeichert und Informationen über diese an YouTube und Googles-Werbedienst DoubleClick gesendet werden:

Standard YouTube-Embed in den Chrome Developer Tools

Wie du YouTube-Videos dennoch nutzen kannst, erfährst du in meinem ausführlichen Guide YouTube & DSGVO: Videos datenschutzkonform einbetten.

10.1 EU User Consent Policy

In Punkt 9.2 der YouTube API Services Terms of Service findet sich ein Passus, in dem auf die EU User Consent Policy hingewiesen wird:

Notice to EU Users. For users in the European Union, you and your API Client(s) must comply with the EU User Consent Policy currently located at http://www.google.com/about/company/user-consent-policy.html.

Leider geht daraus nicht explizit hervor, ob dies auch für Videos gilt, die ohne API-Key (also mit der normalen Einbetten-Funktion) auf der eigenen Website eingebunden werden. Da man auf YouTube darauf hingewiesen wird, dass man beim Einbetten den YouTube-API-Nutzungsbedingungen zustimmt, könnte das allerdings sehr gut sein.

11. AMP

Ob Accelerated Mobile Pages (AMP), durch das Websites in der mobilen Google-Suche abgespeckt und dadurch schneller geladen werden, DSGVO-konform nutzbar ist, ist aktuell noch unklar.

Theoretisch benötigt man für AMP einen AV-Vertrag, da die eigene Website über das AMP-CDN und nicht über den eigenen Server geladen werden. Ein solcher steht jedoch nicht zur Verfügung.

Positiv zu beurteilen ist, dass über Google geladene AMP-Seiten laut meinen eigenen Recherchen keine Cookies auf dem Rechner des Nutzers speichern und dementsprechend auf diesem Wege nicht zum Tracking verwendet werden.

Zudem stellt Google bereits ein Consent-Tool für AMP zur Verfügung, das dazu verwendet werden kann, Opt-Ins für Google-Werbedienste einzublenden.

Finn Hillebrandt

Über den Autor

Finn ist Gründer von Blogmojo und seit 2011 als Internet-Unternehmer selbstständig. Er ist WordPress-Fan und absoluter SEO-Nerd, der mindestens 2 Case Studys gleichzeitig am Laufen hat, um zu sehen, was bei Google gerade funktioniert. Er liebt Espresso und Schokolade, die so dunkel ist, dass er sie mit niemandem teilen muss (90% und aufwärts).

Werbehinweis für Links mit Sternchen (*)

Es handelt sich um einen Affiliate-Link, das heißt, wenn du auf der verlinkten Website etwas kaufst, erhalten wir eine Provision. Dies hat keinerlei Einfluss darauf, wie wir ein Tool oder einen Anbieter bewerten. Wir empfehlen nur Tools bzw. Anbieter, hinter denen wir auch wirklich stehen. Für dich entstehen dadurch natürlich keine zusätzlichen Kosten! Du hilfst jedoch uns und diesem Projekt. Danke! ❤