Google & DSGVO: Welche Dienste sind datenschutzkonform nutzbar und wie?

[Letztes Update: 19.05.2018 – AMP ergänzt] Als Website-Betreiber, Blogger oder Online-Unternehmer kommt man heutzutage kaum mehr an Google und seinen zahlreichen Diensten vorbei. So finden sich auf fast jeder Website heutzutage eingebettete YouTube-Videos, Karten von Google Maps oder Schriften von Google Fonts und andere Google-Dienste.

Viele dieser Dienste sammeln personenbezogene Daten, weshalb es datenschutzrechtlich einiges bei der Nutzung zu bedenken gibt.

Weitere nützliche Tipps, Listen und Tutorials findest du hier bei Blogmojo in der Kategorie DSGVO & Datenschutz sowie in meiner Facebook-Gruppe DSGVO für Blogger & Online-Unternehmer mit über 7500 Mitgliedern!

Hier möchte ich zum einen Überblick darüber schaffen, welche Google-Dienste DSGVO-konform nutzbar sind und welche nicht, wie weit Google mit seinen Bemühungen diesbezüglich ist und welche Anforderungen Google selbst an die Nutzung seiner Dienste stellt.

Wie viele meiner Artikel zur DSGVO ist auch dieser als Work in Progress zu verstehen. Ich werde ihn regelmäßig updaten, um euch über Neuerungen zu Google-Diensten auf dem Laufenden zu halten. Zudem werde ich im Laufe der Zeit noch weitere Dienste hinzufügen.

Feedback und Ergänzungen sind wie immer herzlich willkommen!

Achtung: Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

1. Blogger

Googles-Dienst Blogger ist aktuell noch nicht 100% DSGVO-konform nutzbar, weil ein AV-Vertrag fehlt. Zudem lassen sich einige Funktionen, bei denen personenbezogene Daten im Hintergrund geladen werden, noch nicht ausstellen.

Wenn man der Standard-Antwort auf Fragen bzgl. der DSGVO im Support-Forum für Blogger Glauben schenken darf, arbeitet Google jedoch schon daran, den Dienst DSGVO-konform zu machen:

You can count on the fact that Google is committed to GDPR compliance across products, including Blogger. We are always working to stay compliant, which helps make compliance easier for your blog. We are also committed to providing robust privacy and security protections built into our services. We know security and privacy are important to you, and they are important to us, too. For Google, it’s a priority that your private information is safe. (Quelle)

Ich sammele gelöste und ungelöste Probleme mit Blogspot in meiner separaten Checkliste Blogspot & DSGVO: Checkliste (und ungelöste Fragen!).

2. Google+

Die Nutzung von Teilen-Buttons (und anderen Social-Plugins) des sozialen Netzwerkes Google+ bringen rechtliche Risiken mit sich.

Das sollte eigentlich mittlerweile jeder Website-Betreiber wissen, denn das war schon lange vor der DSGVO so.

RA Schwenke weist z. B. bereits 2011 darauf hin, dass die Rechtslage bei Teilen-Buttons von Google+ ähnlich ist wie beim Like-Button von Facebook.

Kritisch ist nicht nur, dass eigene Aktivitäten durch Google+ aufgezeichnet werden, wenn man mit dem eigenen Google-Account eingeloggt ist, sondern dass möglicherweise auch Nutzer getrackt werden, die nicht eingeloggt sind oder gar keinen Google-Account haben.

Als Alternative um Teilen-Buttons von Google+ weiterhin zu nutzen, bietet sich eine Zwei-Klick-Lösung, wie z. B. Shariff an, die es auch als WordPress-Plugin gibt.

3. Gmail

Gmail ist in der kostenlosen Version meines Wissens nicht DSGVO-konform nutzbar, da Google keinen Auftragsverarbeitungs-Vertrag bietet. Es ist noch nicht bekannt, ob es einen geben wird oder nicht.

Die einzige Möglichkeit Gmail weiter zu nutzen, besteht derzeit darin, die kostenpflichtige GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt.

4. Google AdSense

Die Nutzung von Google AdSense ist nicht ganz unproblematisch, weil Google Cookies und andere Tracking-Methoden benutzt, um das Nutzerverhalten über die Website hinaus zu verfolgen und dadurch Nutzerprofile zu erstellen. Diese Profile werden dann für das Remarketing oder zur Anzeige personalisierter Werbung verwendet.

Es ist bis jetzt nicht ganz klar, wie Google AdSense DSGVO-konform genutzt werden kann.

Generell käme die Nutzung nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht. Als Website-Betreiber hat man ein durchaus berechtigtes Interesse daran, mit der eigenen Website Geld zu verdienen. Die Frage ist, ob Nutzerinteressen in diesem Fall nicht überwiegen. Möglicherweise könnte man das Interesse auf der Nutzerseite abschwächen, indem man auf die Anzeige personalisierter Werbung verzichtet (siehe Punkt 4.2).

Google selbst setzt anscheinend auf die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und verlangt ab dem 25.05 von seinen Publishern ein Opt-In für Google AdSense in die eigene Website oder App zu integrieren (siehe Punkt 4.1). Dies ist auch auf Vorbereitung auf die kommende ePrivacy-Verordnung zu sehen.

4.1 Opt-In

Für die Nutzung von Google AdSense ist es laut AdSense-Programmrichtlinien erforderlich, sich an Googles neue EU User Consent Policy zu halten, die ab dem 25.05 in Kraft tritt. Das heißt, dass du dir als Publisher die Einwilligung von Nutzern einholen musst, bevor diese AdSense-Anzeigen ausgespielt bekommen.

Laut dem Artikel Tools to help publishers comply with the GDPR wird Google bis zum Stichtag diverse Tools zur Verfügung stellen, um diese Einwilligung einzuholen.

Hoffen wir mal, dass Google diese dann auch pünktlich zur Verfügung stellen wird, denn so langsam wird die Zeit knapp. Ein Opt-In ließe sich zur Not jedoch auch mit dem empfehlenswerten Plugin Borlabs Cookie einrichten.

4.2 Personalisierung

Google stellt bereits schon seit längerem die Möglichkeit bereit, die Personalisierung von Anzeige auszuschalten. Dies kann man im eigenen AdSense-Konto unter Anzeigen zulassen und blockieren > Content-Seiten > Alle eigenen Websites > Nutzerbezogene Anzeigen vornehmen.

Allerdings werden dann laut AdSense-Support  immer noch Cookies ersetzt. Zudem wird im Rahmen der kommenden ePrivacy-Verordnung auch immer noch eine Einwilligung erforderlich sein:

Although these ads don’t use cookies for ad personalisation, they do use cookies to allow for frequency capping, aggregated ad reporting, and to combat fraud and abuse. Consent is therefore required to use cookies for those purposes from users in countries to which the ePrivacy Directive’s cookie provisions apply.

4.3 AV-Vertrag

Als Nutzer von Google AdSense benötigt man laut diesem Artikel in der AdSense-Hilfe keinen AV-Vertrag, weil beide Parteien unabhängig voneinander als Datenverantwortliche gelten:

Across our publisher suite (DoubleClick for Publishers (DFP), DoubleClick Ad Exchange, AdMob, and AdSense), both you and Google operate as independent controllers of personal data. We operate as a controller because we regularly make decisions on the data to deliver and improve the product — for example, testing ad serving algorithms, monitoring end-user latency, and ensuring the accuracy of our forecasting system.

5. Google Analytics

Google Analytics ist auch mit der kommenden DSGVO noch datenschutzkonform einsetzbar. Dazu müssen laut Diercks Digital Recht und datenschutzbeauftragter-info.de allerdings mehrere Punkte beachtet werden:

  1. AV-Vertrag mit Google ausdrucken, unterschreiben und nach Irland schicken
  2. Zusatz zur Datenverarbeitung zustimmen (unter Verwaltung > Konto-Einstellungen), bitte Hinweise dazu von RA Schwenke beachten!
  3. IP-Adressen anonymiseren
  4. Widerspruchsmöglichkeit anbieten, z. B. per Plugin oder Erweiterung des Tracking-Codes
  5. Aufbewahrungsdauer der Daten auf 14 Monate begrenzen (unter Verwaltung > Property auswählen > Tracking-Informationen > Datenaufbewahrung)
  6. User ID-Funktion deaktivieren (unter Verwaltung > Property auswählen > Tracking-Informationen > User-ID)
  7. Datenschutzerklärung anpassen

Es ist zudem möglich, dass in Zukunft ein Opt-In für Google Analytics Pflicht werden könnte. Ein Positionspapier der DSK (Datenschutzkonferenz) vom 26.04.2018 legt dies nahe.

5.1 EU User Consent Policy

Google selbst fordert übrigens im Rahmen seiner neuen EU User Consent Policy ein Opt-In zur Nutzung von Google Analytics. Allerdings nur dann, wenn man die Werbefunktionen (Remarketing, Berichte zur Leistung nach demografischen Merkmalen und Interessen etc.) verwendet.

6. Google Drive

Google Drive und alle damit verknüpften Dienste, wie z. B. Google Docs, Google Tabellen, Google Präsentationen, Google Formulare etc. sind in der kostenlosen Version (ähnlich wie bei Gmail) meines Wissens nicht DSGVO-konform nutzbar, weil kein AV-Vertrag zur Verfügung steht.

Die einzige Möglichkeit Google Drive weiter zu nutzen, besteht deshalb ebenfalls nur darin, die kostenpflichtige Google GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt oder auf die Speicherung fremder personenbezogener Daten über den Dienst zu verzichten.

Zur Speicherung der eigenen Daten oder Daten, die keinen Personenbezug haben, wie z. B. Blogartikel oder E-Books, die du über Google Docs schreibst, eignet sich Google Drive natürlich nach wie vor.

7. Google Fonts

Die Meinungen darüber, ob sich Google Fonts auf der eigenen Website DSGVO-konform nutzen lassen oder nicht, gehen auseinander.

Laut Google Fonts FAQ werden durch diese keine Cookies gespeichert und geben keine Informationen über von Besucher verwendeten Google-Account weiter. Nutzer-Tracking findet auf diesem Wege also nicht statt.

Was allerdings bis jetzt unklar ist, ob durch Google Fonts IP-Adressen (und möglicherweise andere Informationen wie Betriebssystem, verwendeter Browser, ungefährer Standort des Nutzers oder Referrer) auf Google-Servern gespeichert werden, wodurch wiederum Nutzer-Tracking in der Theorie möglich wäre.

Die Frage ist, ob die Nutzung aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) möglich ist oder ob der Schutz der Privatsphäre der Nutzer in diesem Fall überwiegt.

Wenn man dem Muster zur Datenschutzerklärung von eRecht24 Premium Glauben schenken darf, dann überwiegt er nicht:

[…]Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Dem Argument, dass es man recht einfach Google Fonts vom eigenen Server laden könne und dies das berechtige Interesse entkräftige, kann ich auch nicht vollends zustimmen.

Schließlich hat man als Website-Betreiber durchaus Vorteile davon, Google Fonts über Google-Server zu laden: Erstens entlastet dies den eigenen Server und zweitens kann sich dadurch die Ladezeit der eigenen Website verbessern, da sich die genutzten Google Fonts möglicherweise schon im Browser-Cache des Nutzers befinden.

Natürlich kann ich nicht sagen, ob die Nutzung von Google Fonts 100% rechtssicher ist. Aber ich halte das Risiko für sehr gering und denke nicht, dass es wirklich notwendig ist, Google Fonts zu entfernen oder lokal zu speichern.

8. Google Maps

Das Einbetten von Google Maps in eine Website sehe ich als datenschutzrechtlich bedenklich an, da dadurch ein sogenanntes NID-Cookie auf dem Rechner des Nutzers gespeichert wird:

Laut Googles eigenen Angaben wird dies nicht nur dafür benutzt, um bevorzugte Einstellungen für die Google-Suche zu speichern (wie z. B. Sprache und Google SafeSearch-Filter), sondern auch um Werbung in Google-Produkten wie der Google-Suche individuell anzupassen.

Zusätzlich durch das Einbetten Google Fonts geladen und im Hintergrund diverse andere Verbindungen zu Google-Servern aufgebaut, durch welche IP-Adressen und andere Daten, wie z. B. Browser und Betriebssystem, an Google übermittelt werden. Das ist jedoch bei einer Verbindung zu einem Drittdienst zu erwarten.

Allerdings arbeitet Google anscheinend noch daran, Google Maps DSGVO-konform zu machen, wie man einem Post im Maps-Hilfeforum entnehmen kann:

Du kannst dich darauf verlassen, dass Google sich der Einhaltung der EU-Datenschutzrichtlinien für alle Produkte verschrieben hat, auch für die Google Maps API. Wir arbeiten ständig daran, die Richtlinien einzuhalten, was auch die Einhaltung für dich vereinfacht. Wir verpflichten uns auch, robuste Datenschutz- und Sicherheitsmaßnahmen in unsere Dienste zu integrieren. Wir wissen, dass Sicherheit und Privatsphäre für dich und viele Nutzer wichtig sind, sowie auch für uns. Für Google ist es eine Priorität, dass private Informationen sicher sind.

Ich persönlich werde Karten von Google Maps komplett von meinen Websites nehmen oder so einbinden, dass diese erst laden, nachdem der Nutzer dies per Klick bestätigt hat.

Umsetzen lässt sich dies mit z. B. mit dem Plugin Extra Privacy for Elementor, falls du den Page-Builder Elementor benutzt, oder mit dem Borlabs Cookie, das eine nützliche Zusatzfunktion bietet, mit dem sich jeder beliebige iframe erst nach dem Klick öffnet.

Am datensparsamsten ist es, einen einfachen Textlink zur entsprechenden Karte nutzen. Bitte beachte dabei, dass es urheberrechtlich problematisch sein kann, einen Screenshot von Google Maps einzubinden!

Als Alternative zu Google Maps bieten sich möglicherweise OpenStreetMap oder Leaflet an.

8.1 EU User Consent Policy

Soweit ich feststellen konnte, gilt die EU User Consent Policy für einfache eingebettete Karten von Google Maps nicht. Zumindest habe ich keinen Hinweis darauf in den Google Maps APIs Terms of Services oder in den Zusätzlichen Nutzungsbedingungen für Google Maps/Google Earth gefunden.

Allerdings muss man sich laut Punkt 9.3 der Google Maps APIs Terms of Services an die EU User Consent Policy halten und ein Opt-In bereitstellen, wenn man die API von Google Maps zur Einbindung nutzt und die Karten Access Cookies oder andere Daten auf dem Rechner des Nutzers speichern:

Cookies. As noted in the Documentation, certain Maps API(s) store and access cookies and other information on end users’ devices. If you use any of these cookie-enabled Maps API(s) in your Maps API Implementation, then for end users in the European Union, you must comply with the EU User Consent Policy.

9. Google Search Console

Die Google Search Console ist nach meinem jetzigen Stand uneingeschränkt mit der DSGVO nutzbar, da durch diese keine personenbezogenen Daten auf der eigenen Website gespeichert werden oder für den Nutzer einsehbar sind.

10. YouTube

Ähnlich wie bei Google Maps, ist auch das Einbetten von YouTube-Videos in die eigene Website nicht ganz unproblematisch.

Denn durch das Einbetten werden diverse Verbindungen zu Google-Servern aufgebaut, durch welche mehrere Cookies im Browser deiner Leser gespeichert und Informationen über diese an YouTube und Googles-Werbedienst DoubleClick gesendet werden:

Wie du YouTube-Videos dennoch nutzen kannst, erfährst du in meinem ausführlichen Guide YouTube & DSGVO: Videos datenschutzkonform einbetten.

10.1 EU User Consent Policy

In Punkt 9.2 der YouTube API Services Terms of Service findet sich ein Passus, in dem auf die EU User Consent Policy hingewiesen wird:

Notice to EU Users. For users in the European Union, you and your API Client(s) must comply with the EU User Consent Policy currently located at http://www.google.com/about/company/user-consent-policy.html.

Leider geht daraus nicht explizit hervor, ob dies auch für Videos gilt, die ohne API-Key (also mit der normalen Einbetten-Funktion) auf der eigenen Website eingebunden werden. Da man auf YouTube darauf hingewiesen wird, dass man beim Einbetten den YouTube-API-Nutzungsbedingungen zustimmt, könnte das allerdings sehr gut sein.

11. AMP

Ob Accelerated Mobile Pages (AMP), durch das Websites in der mobilen Google-Suche abgespeckt und dadurch schneller geladen werden, DSGVO-konform nutzbar ist, ist aktuell noch unklar.

Theoretisch benötigt man für AMP einen AV-Vertrag, da die eigene Website über das AMP-CDN und nicht über den eigenen Server geladen werden. Ein solcher steht jedoch nicht zur Verfügung.

Positiv zu beurteilen ist, dass über Google geladene AMP-Seiten laut meinen eigenen Recherchen keine Cookies auf dem Rechner des Nutzers speichern und dementsprechend auf diesem Wege nicht zum Tracking verwendet werden.

Zudem stellt Google bereits ein Consent-Tool für AMP zur Verfügung, das dazu verwendet werden kann, Opt-Ins für Google-Werbedienste einzublenden.

46 Gedanken zu “Google & DSGVO: Welche Dienste sind datenschutzkonform nutzbar und wie?

  1. Hey Finn!
    Danke dir für den grandiosen Artikel mal wieder!
    (Ich hangle mich an der ganzen Serie – wie viele vermutlich hier auch – entlang.)
    Bezüglich Google Fonts bist du der Erste, auf den ich stoße, der meint, dass das kein Problem wäre. Das würde mir natürlich jetzt eine Menge kurzfristiger Arbeit ersparen (einer der letzten Punkte auf meiner Liste, glaube ich zumindest).
    Kann ich dementsprechend die Google Fonts guten Gewissens da lassen, wo sie derzeit sind?

    Liebe Grüße
    Jenni

    • Ich kann natürlich keine hundertprozentige Rechtssicherheit garantieren (am sichersten ist es immer noch, sie nicht zu nutzen). 😉

      Aber es klingt für mich ganz nach berechtigtem Interesse, wenn:

      1. Dadurch die eigene Website mitunter schneller lädt und der eigene Server entlastet wird.
      2. Man selbst wenig Ahnung von der Technik hat und es dadurch viel Zeit und Mühe kostet, Google Fonts zu entfernen oder lokal zu laden.

      LG

      Finn

  2. Was passiert eigentlich technisch, wenn der User den Cookies weder zustimmt oder diese ablehnt? Was bedeutet das? Ist eine nicht erteilte Zustimmung dann eine Ablehnung?

  3. Hallo Finn,
    herzlichen Dank für deine DSGVO-Infos. Nun habe ich eine spezielle Frage bzw. ein Problem zur Analytics-Anonymisierung.

    Ich habe schon for langer Zeit in den footer des child-themes den Google-Analytics-Code mit den folgenden Zeilen eingetragen:

    ga(‚create‘, ‚xxxx‘, ‚auto‘);
    ga(’set‘, ‚anonymizeIP‘, true);
    ga(’send‘, ‚pageview‘);

    Jetzt habe ich getestet, ob die Anonymisierung überhaupt läuft (über Entwicklertools in Chrome geschaut, ob „aip:1“ angezeigt wird).

    „Aip:1“ wird nicht angezeigt! Ist die Anonymisierung dann tatsächlich nicht aktiv? Hast du eventuell einen Ansatzpunkt, woran dies liegen könnte?

    Noch einmal danke für deine klasse Infos hier auf der Seite

    • Und ich habe doch noch die Lösung gefunden:

      Aus anonymizeIP habe ich anonymizeIp gemacht. Also einfach aus dem großen P ein kleines p. Es lag nur an der Schreibweise.

      Ich dachte, dass wäre egal.

  4. Hi Finn, durch deinem Beitrag hier bin ich nun ein GSuite Nutzer 🙂 Es ging mir weniger um die geschäftliche E-Mail-Adresse, sondern eherum die datenschutzkonforme Nutzung von Google Drive. Aktuell schaufel ich alle Dokumente von der kostenlosen Drive Version zur Guite Version rüber 🙂

    Ich möchte gleich ein großes Lob an das Vertriebsteam von GSuite aussprechen. Sobald man ein GSuite Konto hat, wird empfohlen sich eine geschäftliche E-Mail-Adresse zuzulegen. (Hier geht das Team vonGSuite irgendwie aus, dass man keine Möglichkeit hat, über den Webhoster zu versenden. )

    Nachdem ich an dem Punkt angekommen bin meine geschäftliche E-Mail-Adresse anzulegen, fiel mir auf, dass diese wirklich sehr verständliche Schritt-für-Schritt-Anleitung (perfekt für Dummies geeignet) vorschlägt, alle MX-Einträge beim Weboster zu löschen und die Daten von Google einzutragen.
    In dem Moment klingelte es mir! Garantiert lösche ich keine Einträge und trage irgendwas von Google ein.
    Kurzerhand schnappte ich mir das Telefon und hatte mit einen sehr kompetenten Menschen ein angenehmes Telefonat geführt. Nachdem ich erklärte, dass ich keine geschäftliche E-Mail-Adresse brauche, sondern GSuite nur nutzen möchte wegen Drive, führte dieser mich durch den letzten Schritt der Einrichtung.
    Ebenfalls erklärte mir der Herr vom Support wo ich den ADV Vertrag finde.

    Ich finde die 4 Euro monatlich (die ersten 14 Tage sind kostenfrei – quasi zum ausprobieren, ob man damit klarkommt) gut investiert sind. 30 GB Speicher reichen meines Erachtens erst einmal aus 😉 Und falls nicht, kann ich jederzeit aufstocken..

    LG Tina

    • Hi Tina,

      vielen Dank für deinen ausführlichen Erfahrungsbericht! 😉

      Ich selbst bin auch vor kurzem zu GSuite gewechselt (auch mit meinen E-Mail-Adressen, nicht für Google Drive) und bin bisher sehr zufrieden damit. Habe auch den Tarif für 4 € im Monat.

      Die Dokumentation finde ich manchmal ein bisschen verwirrend und ab und zu scheint es ein paar Bugs zu geben, aber damit kann ich leben.

      LG

      Finn

    • Hi Mandy,

      keine Ahnung, ehrlich gesagt.

      Kannst du mir mal ein Beispiel zeigen oder erklären, wie Podcasts bei Feedburner funktionieren?

  5. Danke für deine Arbeit! Du hast mir damit sehr geholfen.

    Leider ist alles so kompliziert, dass bald keiner mehr durchblickt. Es müsste eine grundlegende Lösung her und nicht noch mehr Bürokratie durch Verordnungen.

    Warum ich hauptsächliche schreibe:

    Kann es sein, dass die IP-Anonymisierung nicht korrekt auf deiner Webseite umgesetzt ist. Hier dein Scripte:

    ga(‚create‘, ‚UA-23904738-XY‘, ‚auto‘);
    ga(’send‘, ‚pageview‘);
    ga(’set‘, ‚anonymizeIp‘, true);

    muss ga(’set‘, ‚anonymizeIp‘, true); nicht vor ga(’send‘, ‚pageview‘); erfolgen ???

    Viele Grüße, Chris

    • Gerne, freut mich, wenn ich helfen kann! 😉

      Du hast vollkommen Recht, ga(’set‘, ‚anonymizeIp‘, true); muss vor ga(’send‘, ‚pageview‘); erfolgen. Vielen Dank für den Hinweis, ist korrigiert! 😉

      LG

      Finn

  6. Hey Finn,
    vielen lieben Dank für diese hiflreiche und detaillierte Ausführung. Ich arbeite mich Stück für Stück da durch. So geht es wohl vielen 🙂
    Liebe Grüße, Carla

    • Gern! Ja, so geht es mir übrigens auch. Ich habe 8 Tage vor Anwendung der DSGVO auch noch einige Baustellen 😉

    • Für den Tag Manager brauchst du auf jeden Fall auch einen AV-Vertrag. Und musst einen Zusatz zur IP-Anonymisierung einfügen, wenn du ihn für Google Analytics nutzt.

  7. Hallo Finn,

    herzlichen Dank für den wirklich informativen Artikel und vor allem die Mühe, die du dir mit dem Lesen und auswerten der umfangreichen Angaben von Google machst. Klar: die stehen jedem zur Verfügung, jeder kann und darf sie lesen. Aber das kostet Zeit.

    Es ist erschreckend, dass die DSGVO bereits am 25.05.2016 beschlossen wurde und Unternehmen wie Google also 2 Jahre (!) Zeit hatten, sich damit zu beschäftigen. Dass viele kleine und mittelständische Unternehmen das nicht 2 Jahre im Voraus wissen und/oder erst relativ kurzfristig agieren, kann man noch nachvollziehen. Dass ein Unternehmen mit einem Jahresumsatz von zig Milliarden und einem Börsenwert, der 3x so hoch ist wie der von Daimler Benz 10 Tage vor Inkrafttreten der DSGVO immer noch dabei ist, das Seepferdchen zu machen und im Zickzack schwimmt, ist peinlich.

    Genauso wie das Gebare, die Benutzer (auch die in Deutschland) per englischsprachiger E-Mail zu informieren und – wenn überhaupt – erst Tage oder Wochen später eine deutschsprachige Information hinterherzuschicken. Okay, ja, ich habe keine Probleme mit Englisch. Aber nicht jeder ist darin fit und es sind ja auch viele „kleine“ Webseitenbetreiber betroffen. Kann sich Google keine Übersetzer leisten die zeitnah agieren?

    Wer so viel Umsatz macht, sollte auch liefern. Und das nicht erst auf den letzten Drücker. Google schadet sich letztendlich damit ja auch selbst. Auch wir werden vorerst (unter anderem) Google Maps von den Kunden-Websites entfernen, Google AdSense nicht mehr personalisiert einsetzen usw. Das bedeutet weniger kostbare Daten für Google aber auch weniger Werbeeinnahmen. Zumindest, wenn das viele Webseitenbetreiber und Agenturen so machen.

  8. Danke für diese ausführlich Auflistung. Das hat sicher viel Mühe gemacht.

    2 Hinweise noch. Mit „Google Funding Choices“ ist das Einwilligungs-Tool von Google mittlerweile online. Aber da ergeben sich aktuell auch viele neue Fragen, weshalb ich auf AdSense erstmal verzichten werde. Zumindest ist die Möglichkeit spannend, damit statt Werbeanzeigen ein „Pay to View“ umzusetzen.

    Zudem noch der Hinweis, dass es nur dann wichtig ist, ob ein Tool DS-GVO konform ist, wenn man fremde personenbezogene Daten damit verarbeitet. Google Drive und Google Docs kann man z.B. weiter nutzen, solange man dort keine fremden personenbezogenen Daten speichert. Wer also z.B. eigene Blog-Artikel oder ein eBook mit Docs schreibt, kann das problemlos weiter tun.

    • Hi Peer,

      danke für die Info, dass Funding Choices mittlerweile online ist. Werde mich gleich mal anmelden und das Tool ausprobieren! 😉

      Den Hinweis darauf, dass man Google Drive weiter nutzen kann, wenn man keine fremden personenbezogenen Daten dort speichert, habe ich gerade ergänzt. Danke, dass du mich darauf aufmerksam gemacht hast! 😀

      LG

      Finn

  9. Hallo Finn,

    Hast du in diesem Zusammenhang auch etwas zu Google Captcha gefunden? Eigentlich ja hilfreich gegen Spam und Hacker, aber vermutlich werden auch Daten vom Nutzer nach USA übertragen, schätze ich?

  10. Danke für die Auflistung.

    Eine Frage zu Google Drive.

    Wenn ich z.B. ein PDF erstellt habe und lade es zu Google Drive hoch und gebe den Link zum lesen und herunterladen auf meiner Webseite frei, bezieht Google schon Daten? Wäre DSGVO unkonform, weil der Besucher auf das PDF zugreifen kann?

    Danke für die schnelle Antwort
    Viele Grüße
    Pierre

    • Wenn du nur den Link teilst, sollte das in Ordnung sein. Durch den Link an sich wird ja nichts von Google geladen. Erst nachdem jemand darauf klickt 😉

  11. Guten Tag,

    vielen Dank für den tollen Artikel! Wie sieht es denn aus, wenn man als Kanalbetreiber bei YouTube aktiv ist (ohne eigene Webseite). Bei YouTube ist nämlich ebenfalls ein Analytic-Tool eingebunden, muss man sich auch hier um einen AV-Vertrag mit Google kümmern?

    Vielen Dank im Voraus!

    • Hi Simon,

      gute Frage! 😉

      Das ist davon abhängig, ob YouTube ein Auftragsverarbeiter ist oder ob YouTube und Kanalbetreiber unabhängig voneinander als Datenverantwortliche gelten.

      Letzteres ist wohl eher der Fall. Google selbst stellt meines Wissen auch keine AV-Verträge für YouTube bereit.

      LG

      Finn

  12. Danke für die Übersicht. Mich betrifft insbesondere Adsense und wenn ich da sehe wie ein Internetgigant wie Google schwimmt, frag ich mich ob es überhaupt vernünftig umsetzbar ist. Zwei Jahre gilt die EU-DSGVO nun schon und am 25.5.2018 läuft die Übergangsfrist endgültig ab. Wie kann es da sein das Google aktuell noch immer keine wirklichen Lösungen hat. Wer soll da noch was umsetzen. Über Opt-In Zustimmung ist für mich ein Witz. Wer stimmt da zu? „Ja ich möchte das meine Daten in den USA gesammelt, zusammengeführt, mein Standort lokalisiert und alles verknüpft wird damit ich personalisierte Werbung betrachten darf“. Weniger Infos wird auch nicht gehen, denn der User ist umfassend zu informieren. Meiner Meinung nach kann man personalisierte Werbung abschalten und noch besser wäre es Google jede Art von Cookie zu verbieten.

    • Ja, ich finde die Umsetzung der DSGVO bei Google AdSense auch schwierig.

      Ich habe für mich selbst noch keine zufriedenstellende Lösung gefunden und fühle mich da von Google auch ein bisschen im Stich gelassen.

      Ich habe mich gerade für die Funding Choices (Googles eigenes Consent-Tool) angemeldet. Mal schauen, vielleicht ist das ja brauchbar. 😉

  13. Hi Finn, vielen Dank für die ausführliche Übersicht. Weißt du wie es mit Google Hangouts aussieht?(Ich habe einen G-Suit Account). Ich unterrichte online und möchte das gern DSGVO-Konform machen 🙂

    Lieben Gruß,
    Daniela

    • Ich bin mir nicht zu 100% sicher, habe mich mit Google Hangouts noch nicht im Detail befasst.

      Da es einen AV-Vertrag mit GSuite gibt, ist das auf jeden Fall rechtlich deutlich sicherer als die kostenlose Variante.

      Du musst aber auf jeden Fall auch der Informations- und Dokumentationspflicht nachkommen. Also Google Hangouts muss auf jeden Fall ins Verzeichnis der Verarbeitungstätigkeiten und in die Datenschutzerklärung (oder ggf. auch an andere Stellen, wenn das nicht nur über deine Website läuft). Als Rechtsgrundlage kann man wahrscheinlich gut Art. 6 Abs. 1 lit. b DSGVO nehmen.

      Hoffe, das gibt dir zumindest ein paar Anhaltspunkte 😉

      LG

      Finn

  14. Danke für die sehr informativen Artikel zur DSGVO, absolut hilfreich!

    Bezüglich Google Maps habe ich allerdings recherchieren können, dass ein Screenshot definitiv gegen Urheberrechte verstößt – bitte führt doch OpenStreetMaps als Alternative auf. Screenshots von dort sind mit entsprechender Kennzeichnung erlaubt und auf Klick könnte der User wahlweise eben OSM oder Google Maps in ein iFrame laden (oder halt im neuen Fenster).

  15. Hi Finn!

    Danke für deine viele Arbeit, die du dir hier machst. Deine Beiträge sind sehr hilfreich. Eine Sache ist allerdings meines Wissens problematisch aus urheberrechtlichen Gründen. Du schreibst:

    „Wer es noch sich noch einfacher machen möchte, kann auch einen Screenshot von der einzubindenden Karte in die Website integrieren und auf Google Maps verlinken…“

    Ein Screenshot ist laut Google böse und keine gute Idee. Google bietet dafür ja extra sie Google Maps Static API an. Aber dann habe wir wieder das Datenschutzproblem. Ich habe darum auf meine Kundenseiten erst einmal nur Googlemaps-Links gesetzt mit einem kleinen Hinweis zur DSGVO.

    LG Walter

  16. Es ist eh ein Unding, Google Fonts von extern zu laden, stand schon mal im WP LETTER: https://kittpress.com/warum-ein-theme-keine-google-fonts-verwenden-sollte/

    zum anderen sind die Hintergründe, warum man sie nicht von extern laden sollte im Sinne der DSGVO hier gut beschrieben: https://www.7media.de/wp-coaching/dsgvo-neue-datenschutz-anforderungen/ Es werden zwar keine Cookies gesetzt, aber es ist nicht klar, ob Besucher-ID, Browser und derlei Dinge nicht gespeichert werden.

    • Sehe ich nicht ganz so (siehe meinen Absatz dazu im Artikel). Denke eher, dass zu viel Aufhebens um Google Fonts gemacht wird 😉

  17. Bzgl. 4.1 Opt-In – Es würde ja schon reichen, dass Google selbst eine Art Opt-Lösung anbieten könnte. Denn derzeit scheinen die meisten Plugins ja dahingehend zu funktionieren, dass sie sagen „Entweder Analytics oder keine Analytics“. Aber das scheint ja absolut nicht nötig. Deswegen wäre es ja gut, wenn man sagen könnte „Entweder Analytics (nach Art. 6 Abs. 1 lit. f DSGVO) oder Analytics ohne personenbezogene Daten“. Und wenn google da, einen kleinen Codezusatz auf dem Weg bringt, ähnlich wie die Anonymisierung der IPs. Wäre das ja schon mal ein Schritt. Blogger und Co. wollen doch nur eine kleine, aber dennoch genaue Übersicht über die Nutzer. Also, nicht nur aus eigenem Interesse, sondern auch für MediaKits und Co. Viele Funktionen sind ja auch echt groß. Vielleicht wäre es für google auch gut, wenn sie einfach eine Art google Analytics Lite anzubieten, die dann in jedem Fall konform sein könnte.

    Wenn Google selbst noch an vielen Ecken arbeiten, ist es vielleicht auch nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, zu warten bis die technischen Möglichkeiten vorhanden sind. Denn ich hatte gelesen, dass in der DSGVO steht, dass man nach den gegebenen Möglichkeiten agieren soll. Es macht ja kein Sinn, wenn ich erst einmal zich Plugins installiere und einige Wochen später, alles wieder rückgängig machen muss, weil die Plugins nutzlos geworden sind. Zumal man ja laut DSGVO auch die Daten schützen soll, was aber mit jedem neu installierten Plugin schwieriger wird. Den jedes Plugin könnte Schwachstellen haben und WordPress insgesamt anfälliger machen. Und wenn man sieht, dass eigentlich nur Blogger so krasse Änderungen durchführen, sollte man evtl. dazu raten, einen Gang zurück zu schalten. Denn wenn jemand bemüht ist, dann doch die Bloggerszene. 😀

    • Hi Pascal,

      du meinst AdSense und nicht Analytics oder? 😉

      Aber ja, ich stimme dir vollkommen zu. Google lässt sein Publisher gerade echt ein bisschen zittern. Es wundert mich ehrlich gesagt, dass Lösungen nicht schon vor einigen Monaten zur Verfügung gestanden haben.

      Und es kann mir niemand erzählen, dass es super schwierig ist, eine Lösung anzubieten, bei der man den Nutzer entscheiden lassen kann, ob er personalisierte Werbung angezeigt bekommen möchte oder nicht.

      Ich persönlich habe auch keine Lust jetzt tausende Plugins zu kaufen und zu installieren, um dann wieder alles rückgängig zu machen. Aber ich rechne damit, dass Google in den nächsten Tagen seine Consent-Tools noch fertig bekommt.

      LG

      Finn

Schreibe einen Kommentar

Hinweis: Aufgrund der aktuellen Kommentarflut zu meinen DSGVO-Artikeln kann es unter Umständen einige Tage dauern, bis ich auf eure Kommentare antworte. Wenn ich einmal einen Kommentar übersehe, lasst es mich wissen, indem ihr auf diesen erneut antwortet. Danke für euer Verständis!