
Google und die DSGVO – Der ultimative Guide
Letztes Update: 21.01.2022
Spätestens seit Einführung der DSGVO ist die Nutzung von Google Diensten wie Google Analytics, Google Maps oder Google Drive datenschutztechnisch komplex geworden. In diesem Artikel erfahren Sie, was bezüglich einzelner Google Produkte und Dienste konkret zu tun ist, um datenschutzrechtliche Vorgaben einzuhalten.
Datentransfer in die USA 2022 – per se ein Problem?
Wegfall des Privacy Shields
Bei vielen Google-Dienstleistungen und Services werden personenbezogene Daten wie z.B. die IP-Adresse auf Server in die USA übertragen. Problem dabei ist: Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) das sogenannte EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärt. Das Privacy Shield Abkommen regelte den Schutz personenbezogener Daten, die von Europa in die USA übertragen werden. US-amerikanische Firmen konnten sich selbst nach dem Privacy Shield zertifizieren und verpflichteten sich damit, sich an europäische Datenschutz-Standards wie die DSGVO zu halten. So auch Google.
Diese Verpflichtungserklärung gab deutschen Firmen, die US-amerikanische Dienstleister wie Google & Co. nutzten, die entsprechende Rechtssicherheit. Da diese Rechtssicherheit mit dem Wegfall des Privacy Shields nicht mehr besteht, gelten die USA nach der DSGVO als unsicheres Drittland. Unternehmen, die personenbezogene Daten von Dienstleistern in den USA verarbeiten lassen, müssen auf andere geeignete Garantien (Art. 46 DSGVO) wie zum Beispiel Standardvertragsklauseln zurückgreifen.
Sind Standardvertragsklauseln ausreichend?
Am 4.6.2021 hat die Europäische Kommission eine neue, an die DSGVO angepasste Version, der sogenannten Standardvertragsklauseln (“Standard Contractual Clauses”, kurz SCC) veröffentlicht, die eine rechtskonforme Übermittlung personenbezogener Daten in unsichere Drittländer ermöglichen sollen. Bei bereits bestehenden Verträgen müssen die bereits abgeschlossenen Standardvertragsklauseln bis zum 27.12.2022 durch neue Standardvertragsklauseln ersetzt werden. Bei allen neu geschlossenen Verträgen müssen die Standardvertragsklauseln bereits ab dem 29.9.2021 berücksichtigt werden.
Google hat sich inzwischen vertraglich verpflichtet mit den neuen Standardvertragsklauseln der EU-Kommision das europäische Datenschutzniveau einzuhalten und verweist auf zusätzliche Schutzmaßnahmen wie die Abwehr unberechtigter Behördenanfragen, Verschlüsselungsprozesse usw. Klingt gut bis hierher, aber nun kommt der Haken. Bei der Verwendung der neuen EU-Standardvertragsklauseln ist eine Prüfung und Risikobewertung der Rechtslage im Drittland und ggf. zusätzliche ergänzende Maßnahmen erforderlich, um wieder ein Schutzniveau zu gewährleisten, das dem der DSGVO gleichwertig ist. Ist dies nicht möglich, müssen die Daten-Übermittlungen unterbleiben.
Es wird also aufwändig. Theoretisch müssen Sie sich jeden einzelnen Google Dienst, den Sie nutzen, hernehmen und ihn bewerten. Dabei ist einzubeziehen, ob personenbezogene Daten an Google übertragen werden und wenn ja, welche Art von personenbezogenen Daten übertragen werden. Es macht beispielsweise einen Unterschied, ob die IP-Adresse bei der Nutzung von Google Fonts übertragen oder eine Personalakte in Google Drive gespeichert wird. Wie Sie genau bei der Risikobewertung vorgehen, ist in diesem Blogartikel des Rechtsanwalts Dr. Schwenke sehr gut beschrieben. (Link: https://datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc)
Inzwischen gibt es zudem mit Österreich die erste Datenschutzbehörde in Europa, die erklärt hat, dass die Schutzmaßnahmen von Google für die Nutzung von Google Analytics nicht genügen. Es ist also eher unwahrscheinlich, dass die Standardvertragsklauseln im Ernstfall ausreichend sind.
Einwilligung via Cookie Consent Tool einholen
Es gibt aber noch ein andere Möglichkeit, zumindest für Google-Dienste, die auf einer Website oder einer App eingebunden sind: Sie können die Einwilligung des Nutzers über ein Cookie Consent Tool einholen. Denn nach DSGVO Art. 49 Abs. 1 lit. a ist eine Übermittlung von personenbezogenen Daten in ein unsicheres Drittland trotzdem möglich, wenn:
die betroffene Person […] in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.
Die Einwilligungen, die Sie über ein Cookie-Consent-Tool einholen, müssen ausdrücklich freiwillig erklärt werden sowie jederzeit widerrufbar und nachweisbar sein. Zudem müssen die Einwilligenden über die möglichen mit der Übermittlung verbundenen Risiken aufgeklärt werden – und das bevor sie den Cookies zustimmen.
Aber für welche Dienste von Google muss eine Einwilligung eingeholt werden und welche Maßnahmen sind gegebenenfalls zusätzlich noch notwendig, um datenschutzrechtliche Vorgaben einzuhalten? Wenden wir uns nun konkret den einzelnen Google-Diensten zu.
Die DSGVO und Google Analytics
1. Google Analytics Universal
Google Analytics Universal hat aktuell einen Marktanteil von ca. 85 %. Es arbeitet in der Standardversion mit First-Party-Cookies, die auf dem Gerät des Nutzers gespeichert werden. Diese übertragen personenbezogene Daten wie die IP-Adresse an Server in den USA. Folgende Maßnahmen müssen Sie umsetzen, um Google Analytics Universal auf Ihrer Website datenschutzkonform einzusetzen.
1.1 Einwilligungserklärung per Cookie Consent Tool
Aufgrund der eingesetzten Cookies sowie des Datentransfers aus den Cookies an Google Server in den USA ist eine Einwilligungspflicht für Google Analytics Universal zwingend vorgeschrieben. Die Einwilligung können Sie über ein Cookie Consent Tool Ihrer Wahl wie z.B. „Usercentrics“ einholen. Wie Sie Ihr Cookie Banner rechtlich einwandfrei aufsetzen, wird in diesem Blog-Beitrag ausführlich beschrieben: https://datenschutz-generator.de/ttdsg-cookies/#Ausgestaltung_des_Einwilligungsverfahrens
1.2 IP-Adresse anonymisieren
Jedes Mal wenn ein Besucher auf Ihre Seite mit eingebundenem Google Analytics Tracking Code kommt, wird neben dem Surfverhalten des Users auch seine IP-Adresse an einen Google Server übertragen. Die IP-Adresse gehört in Deutschland aber zu den personenbezogenen Daten. Damit die mit Google Analytics gesammelten Daten nicht einem einzelnen Nutzer zugeordnet werden können, müssen die IP-Adressen anonymisiert werden. Das geht ganz entspannt mit der Code-Erweiterung AnonymizeIP, die in den Google Analytics Tracking Code eingebunden wird. Wie das funktioniert, wird hier kurz und knapp erklärt. Sie haben keine Programmierkenntnisse und wollen lieber den Google Tag Manager zur Einbindung nutzen? Dann schauen Sie mal hier.
1.3 Anbieten einer Widerspruchsmöglichkeit
Auch wenn Sie die Einwilligung des Nutzers über ein Cookie-Consent-Tool eingeholt haben, müssen Sie sicherstellen, dass Ihre Nutzer die Möglichkeit haben, der Erfassung ihrer Daten durch Google zu widersprechen. Die einfachste Möglichkeit ist, auf die vom Cookie Consent Tool generierte Cookie-Consent Box mit den einzelnen individuellen Datenschutzeinstellungen des Nutzers in der Datenschutzerklärung zu verlinken. Der Nutzer entfernt einfach den Haken bei Google Analytics. Erledigt.
Optional: Browser-Deaktivierungs-Add-On
Google stellt für alle Browser Add-ons zur Deaktivierung von Google Analytics zur Verfügung. Durch die Installation des Add-ons wird verhindert, dass Google Analytics die Daten des Nutzers erfasst und verwendet. Den Link zur Download-Seite der Browser-Add-ons setzen Sie in Ihrer Datenschutzerklärung (siehe auch Muster weiter unten). Dies ist nur als zusätzlicher Service zu verstehen. Ein Link zu den individuellen Datenschutzeinstellungen ist datenschutztechnisch ausreichend.
1.4 Aufklärung der Nutzer über den Einsatz von Google Analytics in der Datenschutzerklärung
Es ist zwingend notwendig, Ihre Websitenutzer in Ihrer Datenschutzerklärung darüber aufzuklären, dass Sie Google Analytics für Ihre Website nutzen.
Folgende Informationen sollten unbedingt mit aufgenommen werden:
- Hinweis auf die Nutzung von Google Analytics und den Auftragsverarbeiter Google Ireland Limited, Gordon House Barrow St, Dublin 4, Irland (Mutterunternehmen: Google Inc., 1600 Amphitheatre Parkway, Moutain View, CA 9403, United States)
- Art der Daten, die übertragen werden
- Nutzungszweck
- Rechtsgrundlage für die Datenübertragung (Einwilligung gemäß Art. 6 Abs 1 lit. a DSGVO)
- Risiken der Datenübertragung ohne Vorliegen eines Angemessenheitsbeschlusses
- Hinweis auf IP-Anonymisierung
- Widerspruchsmöglichkeit durch Link auf individuelle Datenschutzeinstellungen
1.5 Datenverarbeitungsbedingungen zustimmen
Vor dem 25. Mai 2018 musste jeder deutsche Webseitenbetreiber, der Google Analytics zur Analyse seiner Daten einsetzte einen 18-seitigen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser musste inklusive eines rückfrankierten Umschlags an Google Ireland Ltd geschickt werden. Nach Wochen oder manchmal auch Monaten erhielt man dann ein gegengezeichnetes Exemplar von Google zurück.
Die Vorgehensweise ist mit Inkrafttreten der DSGVO deutlich vereinfacht worden. Sie können die Datenverarbeitungsbedingungen („Google Ads Data Processing Terms“) nun direkt in Ihrem Analytics-Konto unter Verwaltung > Kontoeinstellungen zustimmen.
Und so funktioniert’s:
- In Google Analytics unter Verwaltung>Kontoeinstellungen ganz nach unten scrollen und die Rubrik Zusatz zur Datenvereinbarung anklicken.
- Auf Zusatz anzeigen klicken, den Auftragsverarbeitungsvertrag lesen und zustimmen und anschließend auf Fertig klicken.
- Auf Details zum Zusatz zur Datenverarbeitung verwalten klicken.
- Unter Juristische Personen den Namen der Firma eintragen und den oder die entsprechenden Ansprechpartner unter Kontaktpersonen. Der primäre Kontakt (oder „Benachrichtigungs-E-Mail-Adresse“) ist der Kontakt, der Mitteilungen bzgl. der Datenverarbeitungsbedingungen zugeschickt bekommt. Auch ein Datenschutzbeauftragter – falls vorhanden – sollte hier eingetragen werden.
- Noch einmal auf Fertig klicken, um die Kontoeinstellungen zu speichern.
1.6 Aufbewahrungsdauer der Daten festlegen
Unter Verwaltung > Tracking-Information > Datenaufbewahrung sollten Sie festlegen, wie lange Daten von Google Analytics gespeichert werden sollen. Voreingestellt sind standardmäßig 26 Monate.
Die Aufbewahrungsdauer gilt laut Google nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen und Werbe-IDs verknüpft sind und NICHT für die standardmäßig aggregierten Google Analytics-Berichte. Doch Achtung! Sobald Sie Ad-hoc-Analysen, z.B. durch benutzerdefinierte Berichte mit neuen Dimensionskombinationen durchführen, handelt es sich nicht mehr um aggregierte Daten. Auch weitere Reports, wie z.B. die Daten im Multichannel-Trichter oder die Fluss-Berichte basieren nicht auf aggregierten, sondern auf nutzerbezogenen Daten. Wenn Sie also solche Reports nutzen, sollten Sie die Datenaufbewahrung begrenzen. Wir empfehlen Ihnen, bei der Festlegung zwei Aspekte zu beachten:
1) Bei zu restriktiven Einstellungen könnte es sein, dass Sie bei zukünftigen Analysen nicht mehr auf sinnvolle Daten zurückgreifen können, weil Sie dann beispielsweise bei der Erstellung von Segmenten ohne Nutzer- und Ereignisdaten auskommen müssen.
2) Trotzdem sollten Sie die DSGVO-Grundregel der Datensparsamkeit beachten und bei einer längeren Aufbewahrungszeit als 14 Monaten diese im Verzeichnis der Verarbeitungstätigkeiten begründen.
2. Google Analytics 4 (mit Cookies)
Google Analytics 4 ist die neue Version von Google Analytics und soll zukünftig Google Analytics Universal komplett ablösen. Schon jetzt ist Google Analytics 4 bei einer Neuinstallation als Standard eingestellt. Lesen Sie mehr dazu in unserem separaten Artikel zu Google Analytics 4.
Google Analytics 4 wird von Google selbst als “privacy-centric by design” bezeichnet. So ist die IP-Anonymisierung ein Standard-Feature von Google Analytics 4 und wird automatisch aktiviert.
Zudem gibt es in Google Analytics 4 nur zwei Auswahlmöglichkeiten für die Datenaufbewahrung: 2 Monate oder 14 Monate. Die Datenaufbewahrung hat sich damit im Vergleich zu Google Analytics Universal deutlich verringert. Die Einstellungsmöglichkeiten finden sich unter Verwaltung > Property > Dateneinstellungen > Datenaufbewahrung. Hier gibt es auch die Möglichkeit bestimmte Datensätze zu löschen.
Um die Themen (IP-Anonymisierung und Datenaufbewahrung) müssen Sie sich bei Google Analytics 4 also nicht mehr separat kümmern. Das ist schon mal schön. Da aber Google Analytics 4 im Standard genauso wie Google Analytics Universal mit First-Party-Cookies arbeitet, gilt auch bei dieser Variante von Google Analytics datenschutztechnisch alles was unter “Google Analytics Universal (mit Cookies)” beschrieben wurde.
Langfristig soll Google Analytics 4 dank seiner Machine-Learning-Fähigkeiten datenschutzfreundlicher werden. Hier bereitet sich Google auf das cookieless Tracking vor. Doch wodurch sollen Third-Party-Cookies ersetzt werden? Nachdem „Floc“ (Federated Learning of Cohorts) viel Kritik geerntet hatte, hat Google das Projekt nun endgültig begraben und durch „Topics“ ersetzt. Statt numerischer IDs, mit denen es durchaus möglich gewesen wäre, einzelne Personen zu identifizieren, will Google nun auf themenbezogene IDs setzen. Ein Termin für ein Rollout steht nicht fest.
3. Google Analytics ohne Cookies
Sie können Google Analytics mit dem Tag “storage:none” auch ganz ohne Cookies nutzen. In diesem Fall muss die Client-ID von Ihnen als Website-Betreiber zugeteilt werden. Entweder jedem Nutzer eine eigene ID oder nur Nummern für Arten von Nutzern. Dies ist jedoch nicht ganz trivial. Wenn Sie Google Analytics dann nur zur Reichweitenmessung nutzen (kein Conversion-Tracking) können Sie Google Analytics im Prinzip auch nutzen, ohne die Einwilligung Ihrer Nutzer einzuholen.
Bleibt nur ein Problem: Sie müssen im Fall der Fälle vor Gericht nachweisen können, dass Ihre Nutzer nicht anhand anderer Kriterien von Google identifiziert werden können. Da Sie hier auf Googles Mithilfe angewiesen wäre, könnte der praktische Nachweis schwer fallen. So ist auch beim Einsatz von “Google Analytics ohne Cookies” eine Einwilligung der Nutzer zu empfehlen.
Die DSGVO und Google Workspace ehemals G-Suite (GMail, DRIVE, Google Calendar, Google Meet & mehr)
Für Google Workspace wird von Google ein „Zusatz zur Datenvereinbarung“ angeboten, der auch die neuen EU Standvertragsklauseln beinhaltet. Diesen Zusatz müssen Sie in Ihrem Administratorkonto zustimmen.
Vorgehensweise:
- Mit dem Google Administratorkonto anmelden
- Google Admin Panel unter https://admin.google.com aufrufen
- Auf Account Settings klicken
- Nach unten zu dem Punkt Legal and compliance scrollen.
- Falls noch nicht geschehen neben EU Standardvertragsklauseln für G Suite (EU Model Contract Clauses for Google Workspace) auf check and accept klicken.
- Ganz unten auf I agree klicken.
- Zurück im Profil nun noch neben Zusatz zur Datenverarbeitung für die G Suite-Vereinbarung und/oder die Vereinbarung für ergänzende Produkte (z.B. Cloud Identity) (Data Processing Amendment to G Suite and/or Complementary Product (e.g. Cloud Identity) Agreement) auf check and accept klicken.
- Unten im Dokument auf I agree klicken.
Achtung: Sollten Sie neben Google Workspace (G Suite) auch die Cloud Platform nutzen, müssen Sie auch hier einer Vereinbarung zur Übermittlung der Daten, die die EU Standardvertragsklauseln beinhaltet, zustimmen. Wie das genau funktioniert, erfahren Sie auf dieser Seite: https://support.google.com/cloud/answer/6329727
Wie genau Google für Datensicherheit in der Google Workspace-Umgebung sorgt, können Sie hier nachlesen: https://cloud.google.com/security/security-design/?hl=de
Alle Infos zur Zusatzvereinbarung zur Datenverarbeitung im Rahmen der DSGVO für Google Workspace (G Suite) und Cloud Identity finden Sie hier: https://support.google.com/cloudidentity/answer/2888485?hl=de
Hinweis: Sollten Sie Google Drive, Gmail, Google Meet, Google Docs, Google Hangouts oder Google Calendar in der kostenlosen Version geschäftlich nutzen, gibt es unseres Wissens nach keine DSGVO-konforme Möglichkeit, personenbezogene Daten zu speichern, denn leider bietet Google für die Kostenlosvarianten keine Datenvereinbarung an. Die einzige Möglichkeit diese Google-Dienste datenschutzkonform weiter zu nutzen, ist auf die Google Workspace (ab ca. 5 € monatlich) upzugraden.
Die DSGVO und YouTube Videos
Die Einbettung von YouTube Videos auf Ihrer Website ist datenschutzrechtlich gesehen tricky. YouTube selbst bietet zwei verschiedene Möglichkeiten der Einbettung an:
1. Einbettung von YouTube Videos per Standard-HTML-Code
Nutzen Sie den Standard-HTML Code von YouTube, dann setzt YouTube bereits beim Aufruf ihrer Website (nicht erst beim Starten des Videos!) diverse Cookies beim User. So werden bestimmte Grunddaten wie z.B. die IP-Adresse an YouTube übermittelt. Zudem wird eine Verbindung zum Google Werbenetzwerk Double Click hergestellt. YouTube wird so in die Lage versetzt, bereits vorhandene Daten des Nutzers mit den Daten, die aus dem Besuch ihrer Website entstanden sind, zu verknüpfen. Das ist geht datenschutztechnisch also gar nicht.
2. Einbettung von YouTube Videos mit erweitertem Datenschutzmodus
Wenn Sie die Videos mit dem sogenannten “erweitertem Datenschutz” einbinden, ist das schon mal besser. Das geht so:
- Direkt beim Video auf YouTube, das Sie einbinden möchten, auf Teilen klicken.
- In dem Fenster, das sich anschließend öffnet, auf Einbetten klicken.
- Ganz unten die Checkbox Erweiterten Datenschutz aktivieren.
- HTML Code herauskopieren und auf Ihrer Website einbinden.
Leider gibt es aber auch bei dieser Vorgehensweise Probleme: Die Aktivierung des erweiterten Datenschutzes bewirkt laut YouTube, dass Cookies erst beim Aufruf des Videos gesetzt werden und nicht schon beim Besuch der Seite. Hört sich gut an und kann als freiwillige, aktive Nutzereinwilligung gesehen werden. Der Nutzer müsste in diesem Fall aber auch in der Datenschutzerklärung und unter dem YouTube-Frame über die Konsequenzen einer Einwilligung informiert werden. Denn die die Praxis zeigt, dass trotz des erweiterten Datenschutzes immer noch diverse Verbindungen zu Google-Servern aufgebaut werden. Sogar ein Cookie wird noch gesetzt, das aber laut Finn von blogmojo.de nur sehr wenige Informationen beinhaltet. Auch die Verbindung zu Double Click wird weiterhin hergestellt.
Außerdem muss der Kunde die Möglichkeit haben, seine Einwilligung zu widerrufen und die gesetzten Cookies wieder zu deaktivieren. Dies ist mit dem erweiterten Datenschutzmodus von YouTube nicht möglich.
Fazit: Der erweiterte Datenschutzmodus ist schonmal besser als die Standard-HTML-Einbindung, bietet aber auch keine rechtskonforme Lösung.
Rechtskonforme Einbettung von YouTube Videos per Cookie-Consent-Tool
YouTube setzt also auch im erweiterten Datenschutzmodus Cookies. Bedeutet, Sie kommen nicht darum herum, die Einwilligung der Nutzer einzuholen. Hierfür bieten sich sogenannte Contentblocker an. Dem Video wird eine Schaltfläche mit Informationen zu Cookies, Datenübertragung, Risiko der Datenübertragung und Widerrufsmöglichkeit vorgeschaltet. Erst nach Klick auf „Akzeptieren“ wird das Video angezeigt. Alternativ kann die Einwilligung auch vorab über ein Cookie Consent Tool eingeholt werden. Viele Tools bieten auch integrierte Contentblocker an.
Die DSGVO und die Nutzung von Google Fonts
Auch wenn Sie das allseits beliebte Google Fonts im Online-Modus für Ihre Website nutzen, werden personenbezogene Daten wie verschiedene Browser- und Gerätedaten und die IP-Adresse an Google Server in den USA übertragen. Hinzu kommt, dass Google Fonts schon beim ersten Aufruf der Website geladen wird, sodass Sie nicht die Einwilligung über ein Cookie-Consent-Tool einholen können, bevor die IP-Adresse übermittelt wird. Auch ein Widerspruchsrecht lässt sich in diesem Fall kaum umsetzen.
Google selbst betont, dass die übertragenen Daten lediglich zur Darstellung der Schriftarten genutzt werden und auch nicht mit Daten aus anderen Google-Diensten zusammengeführt werden. Lediglich um zu schauen, welche Schriftarten am beliebtesten sind, werden aggregierte Daten von Google ausgewertet. Siehe hierzu die Google FAQS zu Google Fonts: https://developers.google.com/fonts/faq
Was also tun?
Es gibt zwei Möglichkeiten, wie Sie in diesem Fall auf die aktuelle Rechtslage reagieren können.
1. Berechtigtes Interesse als Rechtsgrundlage
Wenn Sie Google Fonts im Online-Modus nutzen, können Sie sich auf ein berechtigtes Interesse im Sinne einer individuellen, einheitlichen und ansprechenden Darstellung der Website stützen (Art. 6 Abs. 1 lit. f DSGVO). Auch bessere Ladezeiten, eine geräteübergreifende einheitliche Darstellung und ein geringerer administrativer Aufwand könnten als berechtigtes Interesse aufgeführt werden. Nehmen Sie in diesem Fall einen entsprechenden Paragraphen in Ihre Datenschutzerklärung auf.
Falls Sie so vorgehen, bleibt allerdings alleine ein gewisses datenschutzrechtliches Restrisiko. Sicherer ist es, wenn Sie Variante 2 umsetzen und Google Fonts im Offline-Modus nutzen.
2. Google Fonts lokal speichern (Offline-Modus)
Sie können verhindern, dass Daten an Google übertragen werden, indem Sie die Google Anfragen blockieren und die Web Fonts auf Ihrem eigenen Server speichern. Eindeutiger Vorteil hierbei ist: Sie sind datenschutztechnisch komplett safe. Nachteil ist allerdings: Ihre Ladezeiten verschlechtern sich und Sie müsst die Schriftarten nun selbst aktualisieren.
Dazu wie Sie Google Analytics auf Ihrem eigenen Server einbinden können, gibt es schon einige sehr gute Anleitungen im Netz, wie z.B. diese hier:
https://wp-ninjas.de/wordpress-google-fonts (für WordPress-Nutzer)
https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/
Die DSGVO und Google Ads
Wenn Sie mit Google einen Direktkundenvertrag abgeschlossen oder bereits den Google Analytics 360-Nutzungsbedingungen zugestimmt haben, können Sie den Auftragsdatenverarbeitungsbedingungen („Google Ads Data Processing Terms“) direkt in Ihrem Google Analytics Account unter Verwaltung > Zusatz zur Datenverarbeitung akzeptieren.
Ansonsten besteht für Sie momentan – wenn Sie nicht gerade Ads Customer Match oder Ads Store Sales Direct nutzen – bezüglich Ads und der DSGVO kein Handlungsbedarf. Lediglich die Anpassungen in der Datenschutzerklärung, die aufgrund des Wegfalls des Privacy Shields vonnöten sind, müssen natürlich umgesetzt werden. Für die Ausspielung der Anzeigen nutzt Google seine eigenen personenbezogen Daten und nicht Ihre und fungiert dementsprechend selbst als Datenverantwortlicher.
Ausnahmen: Google Ads Conversion Tracking & Remarketing
Nutzen Sie allerdings Google Ads mit Conversion Tracking und/oder Remarketing sieht das Ganze anders aus. Google schreibt in seinen FAQs:
Gemäß unserer Richtlinie zur EU-Nutzereinwilligung müssen Werbetreibende, die für Zielgruppenlisten zum Kundenabgleich Remarketing-Tags implementieren oder Datendateien hochladen, die Nutzereinwilligung zur Erhebung von Daten für personalisierte Anzeigen einholen. Außerdem ist beim Einsatz von Conversion-Tags zu Analysezwecken eine Einwilligung zur Verwendung von Cookies erforderlich.
(Quelle: https://ads.google.com/intl/de_de/home/faq/gdpr/)
Sie müssen demnach für beide Funktionen die Einwilligung des Nutzer einholen. Hinzu kommt natürlich wie immer ein Paragraph in der Datenschutzerklärung, in dem Sie auf beide Funktionen hinweisen mit Beschreibung der erhobenen Daten, Rechtsgrundlage für die Datenerhebung, Widerspruchsmöglichkeit etc.
Die DSGVO und Google Adsense
Obwohl streng genommen Google als Datensammler verantwortlich wäre, wälzt der Internetriese beim Thema Google Adsense die Verantwortung auf Sie als Webmaster ab. Wollen Sie weiterhin personalisierte Anzeigen auf Ihrer Website ausspielen, müssen Sie dafür sorgen, dass Ihre Websitenutzer der Datenweitergabe an Google zu Werbezwecken explizit zustimmen und über ein Cookie-Consent Tool deren aktive Einwilligung einholen.
Wichtig: Auch über die Nutzung von Google Adsense müssen Sie natürlich einen ausführlichen Paragraphen in Ihrer Datenschutzerklärung inklusive Hinweis auf die Risiken der Datenübertragung bereitstellen. Siehe Google das Privacy Shield Abkommen.
Die DSGVO und die Einbindung von Google Maps
Auch wer eine Karte von Google Maps bei sich auf der Website einbindet, überträgt bei Aufruf der Website personenbezogene Daten von Usern wie z.B. die IP-Adresse an Google. Zudem platziert Google Werbecookies auf den Rechnern der Nutzer. Sprich, auch hier müssen Sie über ein Cookie-Consent Tool die jederzeit widerrufbare Einwilligung Ihrer Nutzer einholen.
Die DSGVO und der Google Tag Manager
Mit dem Google Tag Manager können Tags von Drittanbietern auf Ihrer Website implementiert und über eine Oberfläche verwaltet werden.
Ob Sie eine Einwilligung der Nutzer einholen müssen, kommt darauf an, ob die Tags, die Sie mit dem Tag Manager implementieren selbst einer Einwilligung bedürfen oder nicht. Ist mit dem Google Tag Manager beispielsweise ein Tag für Google Analytics eingebunden, bedarf es einer Einwilligung für den Tag Manager. Sind mit dem Tag Manager nur Tags eingebunden, die nicht einwilligungspflichtig sind, ist keine Einwilligung erforderlich. Ebenso nicht, wenn der Tag Manager ohne Funktion läuft, also gar keine Tags eingebunden sind.
Einen kurzen Hinweis über die Nutzung des Google Tag Managers sollten Sie aber in jedem Fall in Ihrer Datenschutzerklärung unterbringen.
Update 21.01.2022
Inhaltliche Überarbeitung EU-Standvertragsklauseln, Google Analytics, Einbindung von YouTube Videos
Update 25.06.2021
Inhaltliche Überarbeitung: neue EU-Standardvertragsklauseln (4.6.2021), Google Analytics 4, Google Analytics ohne Cookies, Google Tag Manager
Update 04.03.2020
Inhaltliche Überarbeitung hinsichtlich der Social Media Einbindung und dem Thema Google Adwords bzw. Google Ads.
Update 11.08.2020
Umfassende inhaltliche Überarbeitung: Privacy Shield Abkommen, Cookie Consent Tools, Google Tag Manager