⚡️ Unser neuer ChatGPT-Powerkurs mit 500+ deutschen Prompts ist da!👉 Ja, zeig mir den ChatGPT-Kurs!
Bessere Text mit ChatGPT

27-seitiges E-BOOk für 0 €

14 simple Tipps, mit denen ChatGPT dramatisch bessere Texte schreibt

In unserem E-Book zeigen wir dir, wie du mit kleineren Änderungen oder Ergänzungen in deinen Prompts mit ChatGPT deutlich bessere Texte schreibst.

Google & DSGVO: Welche Dienste sind datenschutzkonform nutzbar und wie?

Google DSGVO
Foto des Autors

Finn Hillebrandt

Zuletzt aktualisiert:

[Letztes Update: 04.06.2018] Als Website-Betreiber, Blogger oder Online-Unternehmer kommt man heutzutage kaum mehr an Google und seinen zahlreichen Diensten vorbei. So finden sich auf fast jeder Website heutzutage eingebettete YouTube-Videos, Karten von Google Maps oder Schriften von Google Fonts und andere Google-Dienste.

Viele dieser Dienste sammeln personenbezogene Daten, weshalb es datenschutzrechtlich einiges bei der Nutzung zu bedenken gibt.

Weitere nützliche Tipps und Hilfe rund um die DSGVO findest du in meiner Facebook-Gruppe DSGVO & Internetrecht mit 10.000+ Mitgliedern!

Hier möchte ich zum einen einenÜberblick darüber schaffen, welche Google-Dienste DSGVO-konform nutzbar sind und welche nicht, wie weit Google mit seinen Bemühungen diesbezüglich ist und welche Anforderungen Google selbst an die Nutzung seiner Dienste stellt.

Wie viele meiner Artikel zur DSGVO ist auch dieser als Work in Progress zu verstehen. Ich werde ihn regelmäßig updaten, um euch über Neuerungen zu Google-Diensten auf dem Laufenden zu halten. Zudem werde ich im Laufe der Zeit noch weitere Dienste hinzufügen.

Feedback und Ergänzungen sind wie immer herzlich willkommen!

Dieser Blogbeitrag ist keine Rechtsberatung! Im Rahmen meiner Arbeit als Blogger und WordPress-Dienstleister habe ich mich zwar intensiv mit den geltenden Datenschutzbestimmungen und der DSGVO beschäftigt, ich bin jedoch weder Jurist noch Datenschutz-Experte. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.

1. Blogger

Googles-Dienst Blogger ist aktuell noch nicht 100% DSGVO-konform nutzbar, weil ein AV-Vertrag fehlt. Zudem lassen sich einige Funktionen, bei denen personenbezogene Daten im Hintergrund geladen werden, noch nicht ausstellen.

Wenn man der Standard-Antwort auf Fragen bzgl. der DSGVO im Support-Forum für Blogger Glauben schenken darf, arbeitet Google jedoch schon daran, den Dienst DSGVO-konform zu machen:

You can count on the fact that Google is committed to GDPR compliance across products, including Blogger. We are always working to stay compliant, which helps make compliance easier for your blog. We are also committed to providing robust privacy and security protections built into our services. We know security and privacy are important to you, and they are important to us, too. For Google, it’s a priority that your private information is safe. (Quelle)

Ich sammele gelöste und ungelöste Probleme mit Blogspot in meiner separaten Checkliste Blogspot & DSGVO: Checkliste (und ungelöste Fragen!).

2. Google+

Die Nutzung von Teilen-Buttons (und anderen Social-Plugins) des sozialen Netzwerkes Google+ bringen rechtliche Risiken mit sich.

Das sollte eigentlich mittlerweile jeder Website-Betreiber wissen, denn das war schon lange vor der DSGVO so.

RA Schwenke weist z. B. bereits 2011 darauf hin, dass die Rechtslage bei Teilen-Buttons von Google+ ähnlich ist wie beim Like-Button von Facebook.

Kritisch ist nicht nur, dass eigene Aktivitäten durch Google+ aufgezeichnet werden, wenn man mit dem eigenen Google-Account eingeloggt ist, sondern dass möglicherweise auch Nutzer getrackt werden, die nicht eingeloggt sind oder gar keinen Google-Account haben.

Als Alternative um Teilen-Buttons von Google+ weiterhin zu nutzen, bietet sich eine Zwei-Klick-Lösung, wie z. B. Shariff an, die es auch als WordPress-Plugin gibt.

3. Gmail

Gmail ist in der kostenlosen Version meines Wissens nicht DSGVO-konform nutzbar, da Google keinen Auftragsverarbeitungs-Vertrag bietet. Es ist noch nicht bekannt, ob es einen geben wird oder nicht.

Die einzige Möglichkeit Gmail weiter zu nutzen, besteht derzeit darin, die kostenpflichtige GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt.

4. Google AdSense

Die Nutzung von Google AdSense ist nicht ganz unproblematisch, weil Google Cookies und andere Tracking-Methoden benutzt, um das Nutzerverhalten über die Website hinaus zu verfolgen und dadurch Nutzerprofile zu erstellen. Diese Profile werden dann für das Remarketing oder zur Anzeige personalisierter Werbung verwendet.

Es ist bis jetzt nicht ganz klar, wie Google AdSense DSGVO-konform genutzt werden kann.

Generell käme die Nutzung nach Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) in Betracht. Als Website-Betreiber hat man ein durchaus berechtigtes Interesse daran, mit der eigenen Website Geld zu verdienen. Die Frage ist, ob Nutzerinteressen in diesem Fall nicht überwiegen. Möglicherweise könnte man das Interesse auf der Nutzerseite abschwächen, indem man auf die Anzeige personalisierter Werbung verzichtet (siehe Punkt 4.2).

Google selbst setzt anscheinend auf die Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und verlangt ab dem 25.05 von seinen Publishern ein Opt-In für Google AdSense in die eigene Website oder App zu integrieren (siehe Punkt 4.1). Dies ist auch auf Vorbereitung auf die kommende ePrivacy-Verordnung zu sehen.

4.1 Opt-In

Für die Nutzung von Google AdSense ist es laut AdSense-Programmrichtlinien erforderlich, sich an Googles neue EU User Consent Policy zu halten, die ab dem 25.05 in Kraft tritt. Das heißt, dass du dir als Publisher die Einwilligung von Nutzern einholen musst, bevor diese AdSense-Anzeigen ausgespielt bekommen.

Laut dem Artikel Tools to help publishers comply with the GDPR wird Google bis zum Stichtag diverse Tools zur Verfügung stellen, um diese Einwilligung einzuholen.

Hoffen wir mal, dass Google diese dann auch pünktlich zur Verfügung stellen wird, denn so langsam wird die Zeit knapp. Ein Opt-In ließe sich zur Not jedoch auch mit dem empfehlenswerten Plugin Borlabs Cookie einrichten.

4.2 Personalisierung

Google stellt bereits schon seit längerem die Möglichkeit bereit, die Personalisierung von Anzeigen auszuschalten. Dies kann man im eigenen AdSense-Konto unter Anzeigen zulassen und blockieren > Content-Seiten > Alle eigenen Websites > Nutzerbezogene Anzeigen vornehmen.

Allerdings werden dann laut AdSense-Support  immer noch Cookies ersetzt. Zudem wird im Rahmen der kommenden ePrivacy-Verordnung auch immer noch eine Einwilligung erforderlich sein:

Although these ads don’t use cookies for ad personalisation, they do use cookies to allow for frequency capping, aggregated ad reporting, and to combat fraud and abuse. Consent is therefore required to use cookies for those purposes from users in countries to which the ePrivacy Directive’s cookie provisions apply.

4.3 AV-Vertrag

Als Nutzer von Google AdSense benötigt man laut diesem Artikel in der AdSense-Hilfe keinen AV-Vertrag, weil beide Parteien unabhängig voneinander als Datenverantwortliche gelten:

Across our publisher suite (DoubleClick for Publishers (DFP), DoubleClick Ad Exchange, AdMob, and AdSense), both you and Google operate as independent controllers of personal data. We operate as a controller because we regularly make decisions on the data to deliver and improve the product — for example, testing ad serving algorithms, monitoring end-user latency, and ensuring the accuracy of our forecasting system.

5. Google Analytics

Google Analytics ist auch mit der kommenden DSGVO noch datenschutzkonform einsetzbar. Dazu müssen laut Diercks Digital Recht und datenschutzbeauftragter-info.de allerdings mehrere Punkte beachtet werden:

  1. AV-Vertrag mit Google ausdrucken, unterschreiben und nach Irland schicken
  2. Zusatz zur Datenverarbeitung zustimmen (unter Verwaltung > Konto-Einstellungen), bitte Hinweise dazu von RA Schwenke beachten!
  3. IP-Adressen anonymiseren
  4. Widerspruchsmöglichkeit anbieten, z. B. per Plugin oder Erweiterung des Tracking-Codes
  5. Aufbewahrungsdauer der Daten auf 14 Monate begrenzen (unter Verwaltung > Property auswählen > Tracking-Informationen > Datenaufbewahrung)
  6. User ID-Funktion deaktivieren (unter Verwaltung > Property auswählen > Tracking-Informationen > User-ID)
  7. Datenschutzerklärung anpassen

Es ist zudem möglich, dass in Zukunft ein Opt-In für Google Analytics Pflicht werden könnte. Ein Positionspapier der DSK (Datenschutzkonferenz) vom 26.04.2018 legt dies nahe.

Google selbst fordert übrigens im Rahmen seiner neuen EU User Consent Policy ein Opt-In zur Nutzung von Google Analytics. Allerdings nur dann, wenn man die Werbefunktionen (Remarketing, Berichte zur Leistung nach demografischen Merkmalen und Interessen etc.) verwendet.

6. Google Drive

Google Drive und alle damit verknüpften Dienste, wie z. B. Google Docs, Google Tabellen, Google Präsentationen, Google Formulare etc. sind in der kostenlosen Version (ähnlich wie bei Gmail) meines Wissens nicht DSGVO-konform nutzbar, weil kein AV-Vertrag zur Verfügung steht.

Die einzige Möglichkeit Google Drive weiter zu nutzen, besteht deshalb ebenfalls nur darin, die kostenpflichtige Google GSuite zu buchen (ab 4 € Monat), mit der sich ein AV-Vertrag schließen lässt oder auf die Speicherung fremder personenbezogener Daten über den Dienst zu verzichten.

Zur Speicherung der eigenen Daten oder Daten, die keinen Personenbezug haben, wie z. B. Blogartikel oder E-Books, die du über Google Docs schreibst, eignet sich Google Drive natürlich nach wie vor.

7. Google Fonts

Die Meinungen darüber, ob sich Google Fonts auf der eigenen Website DSGVO-konform nutzen lassen oder nicht, gehen auseinander.

Laut Google Fonts FAQ werden durch diese keine Cookies gespeichert und geben keine Informationen über von Besucher verwendeten Google-Account weiter. Nutzer-Tracking findet auf diesem Wege also nicht statt.

Was allerdings bis jetzt unklar ist, ob durch Google Fonts IP-Adressen (und möglicherweise andere Informationen wie Betriebssystem, verwendeter Browser, ungefährer Standort des Nutzers oder Referrer) auf Google-Servern gespeichert werden, wodurch wiederum Nutzer-Tracking in der Theorie möglich wäre.

Die Frage ist, ob die Nutzung aufgrund von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) möglich ist oder ob der Schutz der Privatsphäre der Nutzer in diesem Fall überwiegt.

Wenn man dem Muster zur Datenschutzerklärung von eRecht24 Premium Glauben schenken darf, dann überwiegt er nicht:

[…]Die Nutzung von Google Web Fonts erfolgt im Interesse einer einheitlichen und ansprechenden Darstellung unserer Online-Angebote. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO dar.

Dem Argument, dass man recht einfach Google Fonts vom eigenen Server laden könne und dies das berechtige Interesse entkräftige, kann ich auch nicht vollends zustimmen.

Schließlich hat man als Website-Betreiber durchaus Vorteile davon, Google Fonts über Google-Server zu laden: Erstens entlastet dies den eigenen Server und zweitens kann sich dadurch die Ladezeit der eigenen Website verbessern, da sich die genutzten Google Fonts möglicherweise schon im Browser-Cache des Nutzers befinden.

Natürlich kann ich nicht sagen, ob die Nutzung von Google Fonts 100% rechtssicher ist. Aber ich halte das Risiko für sehr gering und denke nicht, dass es wirklich notwendig ist, Google Fonts zu entfernen oder lokal zu speichern.

8. Google Maps

Das Einbetten von Google Maps in eine Website sehe ich als datenschutzrechtlich bedenklich an, da dadurch ein sogenanntes NID-Cookie auf dem Rechner des Nutzers gespeichert wird:

Google Maps Cookie

Laut Googles eigenen Angaben wird dies nicht nur dafür benutzt, um bevorzugte Einstellungen für die Google-Suche zu speichern (wie z. B. Sprache und Google SafeSearch-Filter), sondern auch um Werbung in Google-Produkten wie der Google-Suche individuell anzupassen.

Zusätzlich werden durch das Einbetten Google Fonts geladen und im Hintergrund diverse andere Verbindungen zu Google-Servern aufgebaut, durch welche IP-Adressen und andere Daten, wie z. B. Browser und Betriebssystem, an Google übermittelt werden. Das ist jedoch bei einer Verbindung zu einem Drittdienst zu erwarten.

Allerdings arbeitet Google anscheinend noch daran, Google Maps DSGVO-konform zu machen, wie man einem Post im Maps-Hilfeforum entnehmen kann:

Du kannst dich darauf verlassen, dass Google sich der Einhaltung der EU-Datenschutzrichtlinien für alle Produkte verschrieben hat, auch für die Google Maps API. Wir arbeiten ständig daran, die Richtlinien einzuhalten, was auch die Einhaltung für dich vereinfacht. Wir verpflichten uns auch, robuste Datenschutz- und Sicherheitsmaßnahmen in unsere Dienste zu integrieren. Wir wissen, dass Sicherheit und Privatsphäre für dich und viele Nutzer wichtig sind, sowie auch für uns. Für Google ist es eine Priorität, dass private Informationen sicher sind.

Ich persönlich werde Karten von Google Maps komplett von meinen Websites nehmen oder so einbinden, dass diese erst laden, nachdem der Nutzer dies per Klick bestätigt hat.

Umsetzen lässt sich dies z. B. mit dem Plugin Borlabs Cookie, das eine nützliche Zusatzfunktion bietet, mit dem sich jeder beliebige iframe erst nach dem Klick öffnet. Falls du den Page-Builder Elementor benutzt, kommt dafür auch das kostenlose Plugin Extra Privacy for Elementor in Frage.

Am datensparsamsten ist es, einen einfachen Textlink zur entsprechenden Karte zu nutzen. Bitte beachte, dass es urheberrechtlich problematisch sein kann, einen Screenshot von Google Maps einzubinden!

Als Alternative zu Google Maps bieten sich auch OpenStreetMap oder Leaflet an.

Soweit ich feststellen konnte, gilt die EU User Consent Policy für einfache eingebettete Karten von Google Maps nicht. Zumindest habe ich keinen Hinweis darauf in den Google Maps APIs Terms of Services oder in den Zusätzlichen Nutzungsbedingungen für Google Maps/Google Earth gefunden.

Allerdings muss man sich laut Punkt 9.3 der Google Maps APIs Terms of Services an die EU User Consent Policy halten und ein Opt-In bereitstellen, wenn man die API von Google Maps zur Einbindung nutzt und die Karten Access Cookies oder andere Daten auf dem Rechner des Nutzers speichern:

Cookies. As noted in the Documentation, certain Maps API(s) store and access cookies and other information on end users’ devices. If you use any of these cookie-enabled Maps API(s) in your Maps API Implementation, then for end users in the European Union, you must comply with the EU User Consent Policy.

9. Google Search Console

Die Google Search Console ist nach meinem jetzigen Stand uneingeschränkt mit der DSGVO nutzbar, da durch diese keine personenbezogenen Daten auf der eigenen Website gespeichert werden oder für den Nutzer einsehbar sind.

10. YouTube

Ähnlich wie bei Google Maps, ist auch das Einbetten von YouTube-Videos in die eigene Website nicht ganz unproblematisch.

Denn durch das Einbetten werden diverse Verbindungen zu Google-Servern aufgebaut, durch welche mehrere Cookies im Browser deiner Leser gespeichert und Informationen über diese an YouTube und Googles-Werbedienst DoubleClick gesendet werden:

Standard YouTube-Embed in den Chrome Developer Tools

Wie du YouTube-Videos dennoch nutzen kannst, erfährst du in meinem ausführlichen Guide YouTube & DSGVO: Videos datenschutzkonform einbetten.

In Punkt 9.2 der YouTube API Services Terms of Service findet sich ein Passus, in dem auf die EU User Consent Policy hingewiesen wird:

Notice to EU Users. For users in the European Union, you and your API Client(s) must comply with the EU User Consent Policy currently located at http://www.google.com/about/company/user-consent-policy.html.

Leider geht daraus nicht explizit hervor, ob dies auch für Videos gilt, die ohne API-Key (also mit der normalen Einbetten-Funktion) auf der eigenen Website eingebunden werden. Da man auf YouTube darauf hingewiesen wird, dass man beim Einbetten den YouTube-API-Nutzungsbedingungen zustimmt, könnte das allerdings sehr gut sein.

11. AMP

Ob Accelerated Mobile Pages (AMP), durch das Websites in der mobilen Google-Suche abgespeckt und dadurch schneller geladen werden, DSGVO-konform nutzbar ist, ist aktuell noch unklar.

Theoretisch benötigt man für AMP einen AV-Vertrag, da die eigene Website über das AMP-CDN und nicht über den eigenen Server geladen wird. Ein solcher steht jedoch nicht zur Verfügung.

Positiv zu beurteilen ist, dass über Google geladene AMP-Seiten laut meinen eigenen Recherchen keine Cookies auf dem Rechner des Nutzers speichern und dementsprechend auf diesem Wege nicht zum Tracking verwendet werden.

Zudem stellt Google bereits ein Consent-Tool für AMP zur Verfügung, das dazu verwendet werden kann, Opt-Ins für Google-Werbedienste einzublenden.

Finn Hillebrandt

Über den Autor

Finn Hillebrandt ist der Gründer von Blogmojo und Blogmojo.ai, SEO-Experte mit 13+ Jahren Erfahrung und KI-Nerd.

Er hilft Online-Unternehmern mehr Kunden über Google zu bekommen und ihre Prozesse mit KI-Tools zu vereinfachen und zu automatisieren.

Finn teilt sein Wissen hier auf dem Blog in 170+ Fachartikeln zu KI-Tools, WordPress und SEO sowie über seinen ChatGPT-Kurs und den SEO-Kurs New Level SEO mit zusammengenommen 600+ Teilnehmern.

Erfahre mehr über Finn und das Team, folge Blogmojo auf Instagram, tritt seiner Facebook-Gruppe zu ChatGPT, OpenAI & KI-Tools bei oder mache es wie 17.500+ andere und abonniere seinen KI-Newsletter mit Tipps, News und Angeboten rund um KI-Tools und Online-Business

🤩 Noch mehr genialer Content? Unsere Angebote für 0 €!

Gesetze erfolgreicher Blogartikel

14 Gesetze unglaublich erfolgreicher Blogartikel

Lerne, wie du Blogartikel schreibst, die tausende Besucher im Monat bekommen und tausendfach geteilt werden.

SEO-Fehler

10 SEO-Fehler, die dich in 2023 deine Rankings kosten

Du willst in 2023 mehr Kunden und Leser über Google bekommen? Dann solltest du diese 10 Fehler vermeiden.

Instagram Case Study

Case Study: Von 2K auf 100K Instagram-Follower in nur 3 Monaten

Wir zeigen dir, wie wir es geschafft haben, in nur 3 Monaten von 2K auf 100K Instagram-Follower zu kommen.

Online-Business Case Study

Case Study: 250.000 € Umsatz mit Online-Kursen

Wir zeigen dir, wie wir über 250.000 € Umsatz mit Online-Kursen gemacht haben. Ohne Ads, ohne Social Media und ohne Kaltakquise.

Bessere Texte mit ChatGPT

14 simple Tipps, mit denen ChatGPT dramatisch bessere Texte schreibt

ChatGPTs Schreibstil ist von Haus aus eher mittelmäßig. Texte enthalten z. B. Wiederholungen oder klingen monoton.

In unserem E-Book zeigen wir dir, wie das Tool mit kleineren Änderungen deutlich bessere Texte schreibt. 💪

👉 Ja, zeig mir das E-Book!