Google und die DSGVO – Der ultima­tive Guide

Letztes Update: 11.08.2020

Wir wissen nicht, wie es Ihnen geht, aber in unserer Agentur ist Google nicht nur als Suchmaschine allgegenwärtig, auch die Organisation unseres Office-Alltags ist ohne Google undenkbar geworden. Das fängt damit an, dass wir gleich morgens unsere E-Mails mit Gmail checken und schauen, ob Google Calendar einen Termin für uns bereithält. Unsere Zusammenarbeit organisieren wir unter anderem mit den Tools der G Suite und die gemeinsam erstellten Dokumente speichern wir im Cloud Speicher von Google Drive. Auch unsere Website kommt, wie über 90% der deutschen Websites, ohne Google nicht mehr aus. Wir beschäftigen uns tagtäglich damit, sie in den für uns relevanten Suchergebnissen der Suchmaschine von Google ganz nach oben zu bringen. Damit unsere Kunden einfach zu uns finden, ist eine Karte von Google Maps auf unserer Seite eingebunden. Zur Analyse unserer Website nutzen wir Google Analytics und Anzeigen schalten wir mit Hilfe von Google Ads.

Nun ist die Nutzung von Google Diensten, so praktisch sie sind, datenschutztechnisch doch recht komplex geworden. In diesem Artikel erfahren Sie, was bezüglich einzelner Google Produkte und Dienste zu beachten und konkret zu tun ist, um datenschutzrechtliche Vorgaben einzuhalten.

 

Google und das Privacy Shield Abkommen

Der EuGH hat das Privacy Shield Abkommen gekippt

Es ist noch recht frisch: Am 16.7.2020 hat der Europäische Gerichtshof (EuGH) das sogenannte EU-US-Datenschutzschild (Privacy Shield) für ungültig erklärt. Das Privacy Shield Abkommen regelte den Schutz personenbezogener Daten, die von Europa in die USA übertragen werden. US-amerikanische Firmen konnten sich selbst nach dem Privacy Shield zertifizieren und verpflichteten sich damit, sich an europäische Datenschutz-Standards zu halten. So auch Google.

Diese Verpflichtungserklärung gab deutschen Firmen, die US-amerikanische Dienstleister wie Google & Co. nutzten, die entsprechende Rechtssicherheit. Diese fällt mit dem Urteil des EuGH nun weg. Begründet wird das Urteil damit, dass in den USA faktisch kein ausreichender Datenschutz, der dem der DSGVO entspreche, bestehe. Zum Beispiel sei der Zugriff von US-Sicherheitsbehörden nicht auf das erforderliche Maß beschränkt. Außerdem bestehe keine Klagemöglichkeit, wenn ein Verdacht auf Missbrauch bei der Verarbeitung der persönlichen Daten bestehe.

Wie hat Google reagiert?

Google selbst hat am 5.8.2020 mit einer E-Mail an Seitenbetreiber reagiert. Das Unternehmen will die Übertragung von personenbezogenen Daten von Europa in die USA ab dem 12.8.2020 auf sogenannte Standardvertragsklauseln stützen, die für das geforderte Datenschutzniveau laut DSGVO sorgen sollen.

Klingt nach einem guten Plan, ist es aber leider nicht, denn die Datenschutzkonferenz der Länder hat ausdrücklich betont, dass die Aufnahme von Standardvertragsklauseln bei der Datenübertragung in die USA für die Datensicherheit keineswegs ausreichend ist. Hintergrund: Standardvertragsklauseln hin oder her – US-Sicherheitsbehörden haben weitreichende Zugriffsrechte auf Daten, die in den USA verarbeitet werden. Nutzer bekommen gar nicht mit, ob auf ihre personenbezogenen Daten zugegriffen wird. Sie können erfasste Daten weder nachträglich in Auskunft bringen, berichtigen oder löschen lassen, geschweige denn rechtlich dagegen vorgehen – egal was in den Standardvertragsklauseln steht.

Und nun? Grundsätzlich erst einmal Ruhe bewahren! Es wird sich in den nächsten Wochen und Monaten sicherlich noch viel auf Seite der Europäischen Kommission und der Datenschutzbehörden tun und das Abmahnrisiko ist momentan gering. Dennoch sollten Sie nicht ganz untätig bleiben.

Was Websitebetreiber tun können

Websitebetreiber, die auf der sicheren Seite sein möchten, bleibt momentan nur die Möglichkeit, die Einwilligung des Nutzers für die Verarbeitung seiner personenbezogenen Daten auf ein unsicheres Drittland auszuweiten. Nach  DSGVO Art. 49 Abs. 1 lit. a ist eine Übermittlung in ein unsicheres Drittland trotzdem möglich, wenn:

die betroffene Person [… in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt [hat], nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

Sprich: Sie müssen nicht nur die Einwilligung des Nutzers einholen, wenn Sie personenbezogene Daten an Google übertragen, Sie müssen den Nutzer gleichzeitig auch darüber informieren, welche Risiken damit verbunden sind. Und zwar schon bei der Einwilligungserklärung und zusätzlich noch einmal in der Datenschutzerklärung. Sämtliche Hinweise auf das Privacy Shield Abkommen sollten zudem entfernt werden.

Bei welchen Diensten von Google das notwendig ist und welche weiteren Datenschutzmaßnahmen Sie für die einzelnen Google Dienste konkret auf Ihrer Website ergreifen müssen, können Sie im Folgenden nachlesen.

 

Die DSGVO und Google Analytics

 

1. Einwilligung über Cookie-Consent Tool einholen

Spätestens seit dem Cookie-Urteil des EuGH vom 28.05.2020 sollten Sie für die Nutzung von Google Analytics eine Einwilligung des Nutzers einholen. Nur dann sind Sie datenschutztechnisch auf der sicheren Seite. Dies gilt für alle Tracking-Tools von Drittanbietern. Für die Einholung der Einwilligung bietet sich ein sogenanntes Cookie-Consent Tool an. Mit einem Cookie-Consent Tool können Sie eine Cookie Box generieren, in der Sie den Nutzer über alle Cookies von Drittanbietern informieren. Der Nutzer kann dann selbst entscheiden, welche Cookies er zulässt und welche nicht.

Cookie-Consent Tools gibt es inzwischen jede Menge. Sie sind in der Regel aber nicht ganz einfach zu implementieren, sodass Sie sich hier eventuell, je nach Vorwissen, professionelle Unterstützung suchen sollten. Wir selbst nutzen für unsere WordPress-Website das Plugin WP DSGVO Tools (GDPR).

 

2. IP-Adresse anonymisieren

Jedes Mal wenn ein Besucher auf Ihre Seite mit eingebundenem Google Analytics Tracking Code kommt, wird neben dem Surfverhalten des Users auch seine IP-Adresse an einen Google Server übertragen. Die IP-Adresse gehört in Deutschland aber zu den personenbezogenen Daten. Damit die mit Google Analytics gesammelten Daten nicht einem einzelnen Nutzer zugeordnet werden können, müssen die IP-Adressen anonymisiert werden. Das geht ganz entspannt mit der Code-Erweiterung AnonymizeIP, die in den Google Analytics Tracking Code eingebunden wird. Wie das funktioniert, wird hier kurz und knapp erklärt. Sie haben keine Programmierkenntnisse und wollen lieber den Google Tag Manager zur Einbindung nutzen? Dann schauen Sie mal hier.

 

3. Anbieten einer Widerspruchsmöglichkeit

Auch wenn Sie die Einwilligung des Nutzers über ein Cookie-Consent-Tool eingeholt haben, müssen Sie  sicherstellen, dass Ihre Nutzer die Möglichkeit haben, der Erfassung ihrer Daten durch Google zu widersprechen. Hierfür gibt es zwei verschiedene Möglichkeiten, von der Sie eine in Ihre Datenschutzerklärung mit aufnehmen.

Möglichkeit 1: Link zu den Datenschutzeinstellungen

Diese Möglichkeit ist die einfachste. Wenn Sie ein Cookie-Consent Tool nutzen, haben Sie die Möglichkeit auf die vom Tool generierte Cookie-Consent Box mit den einzelnen individuellen Datenschutzeinstellungen des Nutzers in der Datenschutzerklärung zu verlinken. Der Nutzer entfernt einfach den Haken bei Google Analytics. Erledigt.

Möglichkeit 2: Opt-Out-Funktion einbinden

Falls Sie kein Cookie-Consent Tool nutzen, müssen Sie ein Opt-Out für Google Analytics in eure Datenschutzerklärung einbauen. Hierfür benötigen Sie zunächst ein kleines Skript, das – und das ist seeeeehr wichtig! – VOR dem Google Analytics Code im Header-Bereich Ihrer Website eingebunden werden muss.

<script>

var gaProperty = ‚UA-XXXXXX-Y‘;

var disableStr = ‚ga-disable-‚ + gaProperty;

if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true;

}

function gaOptout() {

document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;

window[disableStr] = true; }

</script>

(Quelle: Google)

Den jeweils aktuellen Code finden Sie hier. Die Zeichenfolge „UA-XXXX-Y“ müssen Sie durch Ihre eigene Google Analytics Property ersetzen. Im zweiten Schritt bauen Sie jetzt einen HTML-Link in Ihre Datenschutzerklärung ein (siehe auch Muster weiter unten), damit der Befehl „function gaOptout()“ ausgeführt werden kann. Das kann z.B. so aussehen:

<a href=“javascript:gaOptout()“Klicke hier, um die Erfassung deiner Daten durch Google Analytics zu verhindern.</a>

Nach dem Klick wird dem User nun in einem kleinen Fenster mitgeteilt, dass Google Analytics bei zukünftigen Besuchen Ihrer Website keine Nutzerdaten mehr erfasst.

Optional: Browser-Deaktivierungs-Add-On

Google stellt für alle Browser Add-ons zur Deaktivierung von Google Analytics zur Verfügung. Durch die Installation des Add-ons wird verhindert, dass Google Analytics die Daten des Nutzers erfasst und verwendet. Den Link zur Download-Seite der Browser-Add-ons setzen Sie in Ihrer Datenschutzerklärung (siehe auch Muster weiter unten). Dies ist nur als zusätzlicher Service zu verstehen. Ein Link zu den individuellen Datenschutzeinstellungen oder die Opt-Out-Funktion in der Datenschutzerklärung ist datenschutztechnisch ausreichend.

 

4. Aufklärung der Nutzer über den Einsatz von Google Analytics in der Datenschutzerklärung

Es ist zwingend notwendig, Ihre Websitenutzer in Ihrer Datenschutzerklärung darüber aufzuklären, dass Sie Google Analytics für Ihre Website nutzen.

Folgende Informationen sollten unbedingt mit aufgenommen werden:

• Hinweis auf die Nutzung von Google Analytics und den Auftragsverarbeiter Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
• Art der Daten, die übertragen werden
• Nutzungszweck
• Rechtsgrundlage für die Datenübertragung (Einwilligung gemäß Art. 6 Abs 1 lit. a DSGVO)
• Risiken der Datenübertragung ohne Vorliegen eines Angemessenheitsbeschlusses
• Hinweis auf IP-Anonymisierung
• Widerspruchsmöglichkeit durch Link auf individuelle Datenschutzeinstellungen und/oder Opt-Out-Möglichkeit

 

5. Datenverarbeitungsbedingungen zustimmen

Vor dem 25. Mai 2018 musste jeder deutsche Webseitenbetreiber, der Google Analytics zur Analyse seiner Daten einsetzte einen 18-seitigen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser musste inklusive eines rückfrankierten Umschlags an Google Ireland Ltd geschickt werden. Nach Wochen oder manchmal auch Monaten erhielt man dann ein gegengezeichnetes Exemplar von Google zurück.

Die Vorgehensweise ist mit Inkrafttreten der DSGVO deutlich vereinfacht worden. Sie können die Datenverarbeitungsbedingungen nun direkt in Ihrem Analytics-Konto unter Verwaltung > Kontoeinstellungen zustimmen.

(Achtung: Google Analytics 360-Vertriebspartner und deren Kunden können den Datenverarbeitungsbedingungen nicht auf diese Weise zustimmen. Sie müssen gesonderte Datenverarbeitungsbedingungen mit Google bzw. dem Vertriebspartner vereinbaren.)

Und so funktioniert’s:

1. In Google Analytics unter Verwaltung>Kontoeinstellungen ganz nach unten scrollen und die Rubrik Zusatz zur Datenvereinbarung anklicken.
2. Auf Zusatz anzeigen klicken, den Auftragsverarbeitungsvertrag lesen und zustimmen und anschließend auf Fertig klicken.
3. Auf Details zum Zusatz zur Datenverarbeitung verwalten klicken.
4. Unter Juristische Personen den Namen der Firma eintragen und den oder die entsprechenden Ansprechpartner unter Kontaktpersonen. Der primäre Kontakt (oder “Benachrichtigungs-E-Mail-Adresse”) ist der Kontakt, der Mitteilungen bzgl. der Datenverarbeitungsbedingungen zugeschickt bekommt. Auch ein Datenschutzbeauftragter – falls vorhanden – sollte hier eingetragen werden.
5. Nocheinmal auf Fertig klicken, um die Kontoeinstellungen zu speichern.

 

5. Aufbewahrungsdauer der Daten festlegen

Unter Verwaltung > Tracking-Information > Datenaufbewahrung sollten Sie festlegen, wie lange Daten von Google Analytics gespeichert werden sollen. Voreingestellt sind standardmäßig 26 Monate.

Die Aufbewahrungsdauer gilt laut Google nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen und Werbe-IDs verknüpft sind und NICHT für die standardmäßig aggregierten Google Analytics-Berichte. Doch Achtung! Sobald Sie Ad-hoc-Analysen, z.B. durch benutzerdefinierte Berichte mit neuen Dimensionskombinationen durchführen, handelt es sich nicht mehr um aggregierte Daten. Auch weitere Reports, wie z.B. die Daten im Multichannel-Trichter oder die Fluss-Berichte basieren nicht auf aggregierten, sondern auf nutzerbezogenen Daten. Wenn Sie also solche Reports nutzen, sollten Sie die Datenaufbewahrung begrenzen. Wir empfehlen Ihnen, bei der Festlegung zwei Aspekte zu beachten:

1) Bei zu restriktiven Einstellungen könnte es sein, dass Sie bei zukünftigen Analysen nicht mehr auf sinnvolle Daten zurückgreifen können, weil Sie dann beispielsweise bei der Erstellung von Segmenten ohne Nutzer- und Ereignisdaten auskommen müssen.

2) Trotzdem sollten Sie die DSGVO-Grundregel der Datensparsamkeit beachten und bei einer längeren Aufbewahrungszeit als 14 Monaten diese im Verzeichnis der Verarbeitungstätigkeiten begründen.

 

Die DSGVO und die G Suite (Gmail, Docs, Drive, Google Calendar)

Google stellt für die Nutzung der G Suite nicht nur Konfigurationen zum Schutz personenbezogener Daten zur Verfügung, sondern hat zusätzlich zu den EU Standardvertagsklauseln (EU Model Contract Clauses for G Suite) auch einen Zusatz zur Datenverarbeitung (Data Processing Amendment to G Suite and/or Complementary Product (e.g. Cloud Identity) Agreement) veröffentlicht, der elektronisch akzeptiert werden kann.

Vorgehensweise:

1. Mit dem Google Administratorkonto anmelden
2. Google Admin Panel unter https://admin.google.com aufrufen
3. Auf Account settings und dann auf Legal and compliance klicken
4. Nach unten zu dem Punkt Security and Privacy Additional Terms scrollen.
5. Falls noch nicht geschehen unter EU Model Contract Clauses for G Suite auf review and accept klicken.
6. Falls noch nicht geschehen unter Data Processing Amendment to G Suite and/or Complementary Product (e.g. Cloud Identity) Agreement auf review and accept klicken.
7. Falls Sie Patientendaten verarbeiten müssen Sie auch noch bei G Suite/Cloud Identity HIPPAA Business Associate Amendment auf review and accept klicken.
8. Unten im Dokument auf DONE klicken.

Achtung: Sollten Sie neben der G Suite auch die Cloud Platform nutzen, müssen Sie auch hier – falls noch nicht geschehen – den EU Standardvertragsklauseln von Juni 2015 zustimmen. Wie das genau funktioniert, erfahren Sie auf dieser Seite: https://support.google.com/cloud/answer/6329727

Wie genau Google für Datensicherheit in der G Suite-Umgebung sorgt, können Sie hier nachlesen: https://www.google.com/intl/de_at/cloud/security/gdpr/

Und noch genauer hier: https://cloud.google.com/security/gdpr

Alle Infos zur Zusatzvereinbarung zur Datenverarbeitung im Rahmen der DSGVO für die G Suite und Cloud Identity finden Sie hier: https://support.google.com/cloudidentity/answer/2888485?hl=de

Hinweis: Sollten Sie Google Drive, Gmail, Google Docs oder Google Calendar in der kostenlosen Version geschäftlich nutzen, gibt es unseres Wissens nach keine DSGVO-konforme Möglichkeit, personenbezogene Daten zu speichern, denn leider bietet Google für die Kostenlosvarianten keinen AV-Vertrag  an. Die einzige Möglichkeit diese Google-Dienste datenschutzkonform weiter zu nutzen, ist auf die G Suite (ab 4 € monatlich) upzugraden.

 

Die DSGVO und das Einbinden (Embedding) von YouTube Videos

Die Einbettung von YouTube Videos auf Ihrer Website ist datenschutzrechtlich gesehen tricky. YouTube selbst bietet zwei verschiedene Möglichkeiten der Einbettung an:

1. Einbettung von YouTube Videos per Standard-HTML-Code

Nutzen Sie den Standard-HTML Code von YouTube, dann setzt YouTube bereits beim Aufruf ihrer Website (nicht erst beim Starten des Videos!) diverse Cookies beim User. So werden bestimmte Grunddaten wie z.B. die IP-Adresse an YouTube übermittelt. Zudem wird eine Verbindung zum Google Werbenetzwerk Double Click hergestellt. YouTube wird so in die Lage versetzt, bereits vorhandene Daten des Nutzers mit den Daten, die aus dem Besuch ihrer Website entstanden sind, zu verknüpfen. Das ist geht datenschutztechnisch also gar nicht.

2. Einbettung von YouTube Videos mit erweitertem Datenschutzmodus

Wenn Sie die Videos mit dem sogenannten “erweitertem Datenschutz” einbinden,  ist das schon mal besser. Das geht so:

1. Direkt beim Video auf YouTube, das Sie einbinden möchten, auf Teilen klicken.
2. In dem Fenster, das sich anschließend öffnet, auf Einbetten klicken.
3. Ganz unten die Checkbox Erweiterten Datenschutz aktivieren.
4. HTML Code herauskopieren und auf Ihrer Website einbinden.

Leider gibt es aber auch bei dieser Vorgehensweise Probleme: Die Aktivierung des erweiterten Datenschutzes bewirkt laut YouTube, dass Cookies erst beim Aufruf des Videos gesetzt werden und nicht schon beim Besuch der Seite. Hört sich gut an und kann als freiwillige, aktive Nutzereinwilligung gesehen werden. Der Nutzer müsste in diesem Fall aber auch in der Datenschutzerklärung und unter dem YouTube-Frame über die Konsequenzen einer Einwilligung informiert werden. Denn die die Praxis zeigt, dass trotz des erweiterten Datenschutzes immer noch diverse Verbindungen zu Google-Servern aufgebaut werden. Sogar ein Cookie wird noch gesetzt, das aber laut Finn von blogmojo.de nur sehr wenige Informationen beinhaltet. Auch die Verbindung zu Double Click wird weiterhin hergestellt.

Außerdem muss der Kunde die Möglichkeit haben, seine Einwilligung zu widerrufen und die gesetzten Cookies wieder zu deaktivieren. Dies ist mit dem erweiterten Datenschutzmodus von YouTube nicht möglich.

Fazit: Der erweiterte Datenschutzmodus ist schonmal besser als die Standard-HTML-Einbindung, bietet aber auch keine rechtskonforme Lösung.

Rechtskonforme Einbettung von YouTube Videos per Cookie-Consent-Tool

YouTube setzt also auch im erweiterten Datenschutzmodus Cookies. Bedeutet, Sie kommen nicht darum herum, die Einwilligung der Nutzer über ein Cookie-Consent Tool einzuholen. Zudem muss der Nutzer beim Geben seiner Einwilligung und in der Datenschutzerklärung über die Intransparenz der Datenverarbeitung durch Google und die damit verbundenen Risiken informiert werden.

Denn YouTube legt seine Datenverarbeitungsprozesse leider alles andere als offen. Welche personenbezogenen Daten genau von YouTube gespeichert und verarbeitet werden, weiß nur YouTube selbst. Als Websitebetreiber müssen Sie aber laut DSGVO für Transparenz sorgen. Sie müssen Ihre Nutzer darüber informieren, welche ihrer Daten wohin übertragen werden und was genau mit Ihnen dort passiert. Zudem haben Ihre Nutzer ein Auskunftsrecht, ein Löschrecht und ein Klagerecht, das in diesem Fall nicht gewährleistet werden kann. Und seitdem der EuGH das Privacy Shield Abkommen für ungültig erklärt hat, erst recht nicht mehr.

Siehe hierzu auch: Google und das Privacy Shield Abkommen

 

Die DSGVO und die Nutzung von Google Fonts

Auch wenn Sie das allseits beliebte Google Fonts im Online-Modus für Ihre Website nutzen, werden personenbezogene Daten wie verschiedene Browser- und Gerätedaten und die IP-Adresse an Google Server in den USA übertragen. Hinzu kommt, dass Google Fonts schon beim ersten Aufruf der Website geladen wird, sodass Sie nicht die Einwilligung über ein Cookie-Consent-Tool einholen können, bevor die IP-Adresse übermittelt wird. Auch ein Widerspruchsrecht lässt sich in diesem Fall kaum umsetzen.

Google selbst betont, dass die übertragenen Daten lediglich zur Darstellung der Schriftarten genutzt werden und auch nicht mit Daten aus anderen Google-Diensten zusammengeführt werden. Lediglich um zu schauen, welche Schriftarten am beliebtesten sind, werden aggregierte Daten von Google ausgewertet. Siehe hierzu die Google FAQS zu Google Fonts: https://developers.google.com/fonts/faq

Was also tun? Es gibt zwei Möglichkeiten:

1. Berechtigtes Interesse als Rechtsgrundlage

Wenn Sie Google Fonts im Online-Modus nutzen, können Sie sich auf ein berechtigtes Interesse im Sinne einer individuellen, einheitlichen und ansprechenden Darstellung der Website stützen (Art. 6 Abs. 1 lit. f DSGVO). Auch bessere Ladezeiten, eine geräteübergreifende einheitliche Darstellung und ein geringerer administrativer Aufwand könnten als berechtigtes Interesse aufgeführt werden. Nehmen Sie in diesem Fall einen entsprechenden Paragraphen in Ihre Datenschutzerklärung auf.

Falls Sie so vorgehen, bleibt allerdings ein gewisses datenschutzrechtliches Restrisiko. Sicherer ist es, wenn Sie Variante 2 umsetzen und Google Fonts im Offline-Modus nutzen.

2. Google Fonts lokal speichern (Offline-Modus)

Sie können verhindern, dass Daten an Google übertragen werden, indem Sie die Google Anfragen blockieren und die Web Fonts auf Ihrem eigenen Server speichern. Eindeutiger Vorteil hierbei ist: Sie sind datenschutztechnisch komplett safe. Nachteil ist allerdings: Ihre Ladezeiten verschlechtern sich und Sie müsst die Schriftarten nun selbst aktualisieren.

Dazu wie Sie Google Analytics auf Ihrem eigenen Server einbinden können, gibt es schon einige sehr gute Anleitungen im Netz, wie z.B. diese hier:

https://wp-ninjas.de/wordpress-google-fonts (für WordPress-Nutzer)

https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/

 

Die DSGVO und Google Ads

Wenn Sie mit Google einen Direktkundenvertrag abgeschlossen oder bereits den Google Analytics 360-Nutzungsbedingungen zugestimmt haben, können Sie die DSGVO-Datenschutzbestimmungen für Google Ads (Google Ads Data Processing Terms) direkt in Ihrem Google Analytics Account unter Verwaltung >  Zusatz zur Datenverarbeitung akzeptieren.

Ansonsten besteht für Sie momentan – wenn Sie nicht gerade Ads Customer Match oder Ads Store Sales Direct nutzen – bezüglich Ads und der DSGVO kein Handlungsbedarf. Lediglich die Anpassungen in der Datenschutzerklärung, die aufgrund des Wegfalls des Privacy Shields vonnöten sind, müssen natürlich umgesetzt werden. Für die Ausspielung der Anzeigen nutzt Google seine eigenen personenbezogen Daten und nicht Ihre und fungiert dementsprechend selbst als Datenverantwortlicher.

Ausnahmen: Google Ads Conversion Tracking & Remarketing

Nutzen Sie allerdings Google Ads mit Conversion Tracking und/oder Remarketing sieht das Ganze anders aus. Google schreibt in seinen FAQs:

Gemäß unserer Richtlinie zur EU-Nutzereinwilligung müssen Werbetreibende, die für Zielgruppenlisten zum Kundenabgleich Remarketing-Tags implementieren oder Datendateien hochladen, die Nutzereinwilligung zur Erhebung von Daten für personalisierte Anzeigen einholen. Außerdem ist beim Einsatz von Conversion-Tags zu Analysezwecken eine Einwilligung zur Verwendung von Cookies erforderlich.

(Quelle: https://ads.google.com/intl/de_de/home/faq/gdpr/)

Sie müssen demnach für beide Funktionen die Einwilligung des Nutzer einholen. Hinzu kommt natürlich wie immer ein Paragraph in der Datenschutzerklärung, in dem Sie auf beide Funktionen hinweisen mit Beschreibung der erhobenen Daten, Rechtsgrundlage für die Datenerhebung, Widerspruchsmöglichkeit etc.

 

Die DSGVO und Google Adsense

Obwohl streng genommen Google als Datensammler verantwortlich wäre, wälzt der Internetriese beim Thema Google Adsense die Verantwortung auf Sie als Webmaster ab. Wollen Sie weiterhin personalisierte Anzeigen auf Ihrer Website ausspielen, müssen Sie dafür sorgen, dass Ihre Websitenutzer der Datenweitergabe an Google zu Werbezwecken explizit zustimmen und über ein Cookie-Consent Tool deren aktive Einwilligung einholen.

Wichtig: Auch über die Nutzung von Google Adsense müssen Sie natürlich einen ausführlichen Paragraphen in Ihrer Datenschutzerklärung inklusive Hinweis auf die Risiken der Datenübertragung bereitstellen. Siehe Google das Privacy Shield Abkommen

 

Die DSGVO und die Einbindung von Google Maps

Auch wer eine Karte von Google Maps bei sich auf der Website einbindet, überträgt bei Aufruf der Website personenbezogene Daten von Usern wie z.B. die IP-Adresse an Google. Zudem platziert Google Werbecookies auf den Rechnern der Nutzer. Sprich, auch hier müssen Sie über ein Cookie-Consent Tool die jederzeit widerrufbare Einwilligung Ihrer Nutzer einholen.

Denken Sie auch hier unbedingt an den entsprechenden Hinweis in der Datenschutzerklärung auf Risiken der Datenübertragung. Siehe Google das Privacy Shield Abkommen.

 

Die DSGVO und der Google Tag Manager

Mit dem Google Tag Manager können Tags von Drittanbietern auf Ihrer Website implementiert und über eine Oberfläche verwaltet werden. Der Google Tag Manager implementiert die Tags aber lediglich. Bedeutet: Es werden keine Cookies gesetzt und keine personenbezogenen Daten erfasst oder verarbeitet. Der Google Tag Manager löst zwar andere Tags aus, die wiederum gegebenenfalls Daten erfassen, greift aber selber nicht auf diese Daten zu. Sie benötigen also keine Einwilligung der Nutzer, wenn Sie mit dem Google Tag Manager arbeiten. Einen kurzen Hinweis über die Nutzung sollten Sie aber dennoch in eurer Datenschutzerklärung unterbringen.

Als Rechtsgrundlage können Sie ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO angeben.

 

Update 04.03.2020

Inhaltliche Überarbeitung hinsichtlich der Social Media Einbindung und dem Thema Google Adwords bzw. Google Ads.

Update 11.08.2020

Umfassende inhaltliche Überarbeitung: Privacy Shield Abkommen, Cookie Consent Tools, Google Tag Manager

► Sie haben Interesse an weiteren informativen Artikeln? Hier geht es zu den Themen “Was kostet eine App?“, “Gute Startseiten gestalten” und “Wie gestalte ich sichere EUGH Cookie Banner?“.