505281923004119
 

Die DSGVO und Google – Der ultimative Guide

Google und die DSGVO

Die DSGVO und Google – Der ultimative Guide

Die DSGVO und Google

[Letztes Update: 28.5.2018] Wir wissen nicht, wie es euch geht, aber in unserer Agentur ist Google nicht nur als Suchmaschine allgegenwärtig, auch die Organisation unseres Office-Alltags ist ohne Google undenkbar geworden. Das fängt damit an, dass wir gleich morgens unsere E-Mails mit Gmail checken und schauen, ob Google Calendar einen Termin für uns bereithält. Unsere Zusammenarbeit organisieren wir unter anderem mit den Tools der G Suite und die gemeinsam erstellten Dokumente speichern wir im Cloudspeicher von Google Drive. Auch unsere Website kommt natürlich wie über 90% anderer deutscher Websites ohne Google nicht mehr aus. Wir beschäftigen uns tagtäglich damit, sie in den für uns relevanten Suchergebnissen der Suchmaschine von Google ganz nach oben zu bringen. Damit unsere Kunden einfach zu uns finden, ist eine Karte von Google Maps auf unserer Seite eingebunden. Und von der Analyse mit Google Analytics und der Anzeigenschaltung mit Google Adwords müssen wir gar nicht weiter sprechen.

Nun rückt das Inkrafttreten der neuen EU-Datenschutzgrundverordnung (DSGVO) am 25.5.2018 immer näher und so haben wir im Rahmen unserer Vorbereitungen darauf, natürlich auch alle von uns genutzten Google-Dienste noch einmal datenschutztechnisch auf den Prüfstand gestellt. Dieses Wissen möchten wir gerne mit euch teilen. In diesem Artikel erfahrt ihr, was bezüglich einzelner Google Produkte und Dienste zu beachten und konkret zu tun ist, um die Vorgaben der DSGVO einzuhalten. 

Disclaimer Artikel: DSGVO und Google

 

Die DSGVO und Google Analytics

Um mit Google Analytics im Rahmen der DSGVO auf der sicheren Seite zu sein, müsst ihr folgende Vorkehrungen treffen:

1. IP-Adresse anonymisieren

Jedes Mal wenn ein Besucher auf eure Seite mit eingebundenem Google Analytics Tracking Code kommt, wird neben dem Surfverhalten des Users auch seine IP-Adresse an einen Google Server übertragen. Die IP-Adresse gehört in Deutschland aber zu den personenbezogenen Daten. Damit die mit Google Analytics gesammelten Daten nicht einem einzelnen Nutzer zugeordnet werden können, müssen die IP-Adressen anonymisiert werden. Das geht ganz entspannt mit der Code-Erweiterung AnonymizeIP, die in den Google Analytics Tracking Code eingebunden wird. Wie das funktioniert, wird hier kurz und knapp erklärt. Ihr habt keine Programmierkenntnisse und wollt lieber den Google Tag Manager zur Einbindung nutzen? Dann schaut mal hier.

2. Anbieten einer Widerspruchsmöglichkeit über ein Deaktivierungs-Add-on und eine Opt-Out-Funktion

Ihr müsst sicherstellen, dass eure Nutzer die Möglichkeit haben, der Erfassung ihrer Daten durch Google zu widersprechen. Hierfür gibt es zwei verschiedene Möglichkeiten, die ihr beide in eure Datenschutzerklärung mit aufnehmt.

Browser Deaktivierungs-Add-on

Google stellt für alle Browser Add-ons zur Deaktivierung von Google Analytics zur Verfügung. Durch die Installation des Add-ons wird verhindert, dass Google Analytics die Daten des Nutzers erfasst und verwendet. Den Link zur Download-Seite der Browser-Add-ons setzt ihr in eurer Datenerklärung (siehe auch Muster weiter unten).

Opt-Out-Funktion

Da das Browser-Add-On in mobilen Browsern nicht funktioniert, müsst ihr zusätzlich noch einen Opt-Out-Code in eure Datenschutzerklärung einbauen. Hierfür benötigt ihr zunächst ein kleines Skript, das – und das ist seeeeehr wichtig! – VOR dem Google Analytics Code im Header-Bereich eurer Website eingebunden werden muss.

<script>
var gaProperty = ‚UA-XXXXXX-Y‘;
var disableStr = ‚ga-disable-‚ + gaProperty;
if (document.cookie.indexOf(disableStr + ‚=true‘) > -1) { window[disableStr] = true;
}
function gaOptout() {
document.cookie = disableStr + ‚=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/‘;
window[disableStr] = true; }
</script>

(Quelle: Google)

Den jeweils aktuellen Code findet ihr hier. Die Zeichenfolge „UA-XXXX-Y“ müsst ihr durch eure eigene Google Analytics Property ersetzen. Im zweiten Schritt baut ihr jetzt einen HTML-Link in eure Datenschutzerklärung ein (siehe auch Muster weiter unten), damit der Befehl „function gaOptout()“ ausgeführt werden kann. Das kann z.B. so aussehen:

<a href=“javascript:gaOptout()“Klicke hier, um die Erfassung deiner Daten durch Google Analytics zu verhindern.</a>

Nach dem Klick wird dem User nun in einem kleinen Fenster mitgeteilt, dass Google Analytics bei zukünftigen Besuchen eurer Website keine Nutzerdaten mehr erfasst.

Pop Up Google Analytics Opt Out

Google Analytics Opt-Out-Cookie Erfolgsmeldung

3. Aufklärung der Nutzer über den Einsatz von Google Analytics in der Datenschutzerklärung

Es ist zwingend notwendig, eure Websitenutzer in eurer Datenschutzerklärung darüber aufzuklären, dass ihr Google Analytics für eure Website nutzt. Im Netz gibt es eine Fülle von Textbausteinen, die ihr ergoogeln könnt, z.B. diesen hier:

Diese Website nutzt den Dienst „Google Analytics“, welcher von der Google Inc. (1600 Amphitheatre Parkway Mountain View, CA 94043, USA) angeboten wird, zur Analyse der Websitebenutzung durch Nutzer. Der Dienst verwendet „Cookies“ – Textdateien, welche auf Ihrem Endgerät gespeichert werden. Die durch die Cookies gesammelten Informationen werden im Regelfall an einen Google-Server in den USA gesandt und dort gespeichert.

Auf dieser Website greift die IP-Anonymisierung. Die IP-Adresse der Nutzer wird innerhalb der Mitgliedsstaaten der EU und des Europäischen Wirtschaftsraum gekürzt. Durch diese Kürzung entfällt der Personenbezug Ihrer IP-Adresse. Im Rahmen der Vereinbarung zur Auftragsdatenvereinbarung, welche die Websitebetreiber mit der Google Inc. geschlossen haben, erstellt diese mithilfe der gesammelten Informationen eine Auswertung der Websitenutzung und der Websiteaktivität und erbringt mit der Internetnutzung verbundene Dienstleistungen.

Sie haben die Möglichkeit, die Speicherung des Cookies auf Ihrem Gerät zu verhindern, indem Sie in Ihrem Browser entsprechende Einstellungen vornehmen. Es ist nicht gewährleistet, dass Sie auf alle Funktionen dieser Website ohne Einschränkungen zugreifen können, wenn Ihr Browser keine Cookies zulässt.

Weiterhin können Sie durch ein Browser-Plugin verhindern, dass die durch Cookies gesammelten Informationen (inklusive Ihrer IP-Adresse) an die Google Inc. gesendet und von der Google Inc. genutzt werden. Folgender Link führt Sie zu dem entsprechenden Plugin: https://tools.google.com/dlpage/gaoptout?hl=de
Hier finden Sie weitere Informationen zur Datennutzung durch die Google Inc.: https://support.google.com/analytics/answer/6004245?hl=de

Alternativ verhindern Sie mit einem Klick auf <a onclick=”alert(‘Google Analytics wurde deaktiviert’);” href=”javascript:gaOptout()”> diesen Link</a>, dass Google Analytics innerhalb dieser Website Daten über Sie erfasst. Mit dem Klick auf obigen Link laden Sie ein „Opt-Out-Cookie“ herunter. Ihr Browser muss die Speicherung von Cookies also hierzu grundsätzlich erlauben. Löschen Sie Ihre Cookies regelmäßig, ist ein erneuter Klick auf den Link bei jedem Besuch dieser Website vonnöten.

(Quelle: https://www.datenschutz.org/google-analytics-datenschutz/)

4. Abschluss eines Vertrags über die Auftragsverarbeitung mit Google

Vor dem 25. Mai 2018 musste jeder deutsche Webseitenbetreiber, der Google Analytics zur Analyse seiner Daten einsetzte einen 18-seitigen schriftlichen Vertrag zur Auftragsdatenverarbeitung mit Google abschließen. Dieser musste inklusive eines rückfrankierten Umschlags an Google Ireland Ltd geschickt werden. Nach Wochen oder manchmal auch Monaten erhielt man dann ein gegengezeichnetes Exemplar von Google zurück. Die Vorgehensweise ist mit Inkrafttreten der DSGVO nun deutlich vereinfacht worden. Ihr könnt die Datenverarbeitungsbedingungen nun direkt in eurem Analytics-Konto im Bereich „Verwaltung“ zustimmen. (Achtung: Google Analytics 360-Vertriebspartner und deren Kunden können den Datenverarbeitungsbedingungen nicht auf diese Weise zustimmen. Sie müssen gesonderte Datenverarbeitungsbedingungen mit Google bzw. dem Vertriebspartner vereinbaren.)

Und so funktioniert’s:

  1. In Google Analytics unter Verwaltung>Kontoeinstellungen ganz nach unten scrollen und die Rubrik Zusatz zur Datenvereinbarung anklicken.
  2. Auf Zusatz anzeigen klicken, den Auftragsverarbeitungsvertrag lesen und anschließend auf Fertig klicken.
  3. Auf Details zum Zusatz zur Datenverarbeitung verwalten klicken.
  4. Unter Juristische Personen den Namen der Firma eintragen und den oder die entsprechenden Ansprechpartner unter Kontaktpersonen. Der primäre Kontakt (oder „Benachrichtigungs-E-Mail-Adresse“) ist der Kontakt, der Mitteilungen bzgl. der Datenverarbeitungsbedingungen zugeschickt bekommt. Auch ein Datenschutzbeauftragter – falls vorhanden – sollte hier eingetragen werden.
  5. Nocheinmal auf Fertig klicken, um die Kontoeinstellungen zu speichern.

Hinweis: Seit Kurzem gibt es die Möglichkeit unter Verwaltung > Tracking-Information > Datenaufbewahrung einzustellen, wie lange Daten von Google Analytics gespeichert werden sollen. Die Aufbewahrungsdauer gilt lt. Google nur für Daten auf Nutzer- und Ereignisebene, die mit Cookies, Nutzerkennungen und Werbe-IDs verknüpft sind und NICHT für die standardmäßig aggregierten Google Analytics-Berichte. Doch Achtung! Sobald ihr Ad-hoc-Analysen, z.B. durch benutzerdefinierte Berichte mit neuen Dimensionskombinationen durchführt, handelt es sich nicht mehr um aggregierte Daten. Auch weitere Reports, wie z.B. die Daten im Multichannel-Trichter oder die Fluss-Berichte basieren nicht auf aggregierten, sondern auf nutzerbezogenen Daten. Wenn ihr also solche Reports nutzt, solltet ihr die Datenaufbewahrung begrenzen. Über den Zeitraum der Begrenzung streiten sich die Geister. Letztlich empfehlen wir euch, bei der Festlegung zwei Aspekte zu beachten:

1) Bei zu restriktiven Einstellungen (z.B. 14 Monate) könnte es sein, dass ihr bei zukünftigen Analysen nicht mehr auf sinnvolle Daten zurückgreifen könnt, weil ihr dann beispielsweise bei der Erstellung von Segmenten ohne Nutzer- und Ereignisdaten auskommen müsst.

2) Trotzdem solltet ihr die DSGVO-Grundregel der Datensparsamkeit beachten und bei einer längeren Aufbewahrungszeit als 14 Monaten diese im Verzeichnis der Verarbeitungstätigkeiten begründen.

Wir bei P&M haben uns für eine Aufbewahrungsdauer von 26 Monaten entschieden.

Die DSGVO und die G Suite (Gmail, Docs, Drive, Google Calendar)/ Cloud Identity

Auch die G Suite erfüllt die strengen datenschutzrechtlichen Bestimmungen der DSGVO. Schon seit geraumer Zeit hat Google vorgesorgt und nicht nur Konfigurationen zum Schutz personenbezogener Daten zur Verfügung gestellt, sondern zusätzlich zu den EU Standardvertagsklauseln (G Suite Model Contract Clauses) auch einen DSGVO-konformen Zusatz zur Datenverarbeitung veröffentlicht, der elektronisch akzeptiert werden kann.

Vorgehensweise:

  1. Mit dem Google Administratorkonto anmelden
  2. Google Admin Panel unter https://admin.google.com aufrufen
  3. Auf Unternehmensprofil und dann auf Profil klicken
  4. Nach unten zu dem Punkt Zusätzliche Bedingungen zu Sicherheit und Datenschutz scrollen.
  5. Falls noch nicht geschehen neben EU Standardvertragsklauseln für G Suite (EU Model Contract Clauses for G Suite) auf Prüfen und Akzeptieren klicken.
  6. Ganz unten auf Ich stimme zu klicken.
  7. Zurück im Profil nun noch neben Zusatz zur Datenverarbeitung für die G Suite-Vereinbarung und/oder die Vereinbarung für ergänzende Produkte (z.B. Cloud Identity) (Data Processing Amendment to G Suite and/or Complementary Product (e.g. Cloud Identity) Agreement) auf Prüfen und Akzeptieren klicken.
  8. Unten im Dokument auf Ich stimme zu klicken.

Achtung: Solltet ihr neben der G Suite auch die Cloud Platform nutzen, müsst ihr auch hier – falls noch nicht geschehen – den EU Standardvertragsklauseln von Juni 2015 zustimmen. Wie das genau funktioniert, erfahrt ihr auf dieser Seite: https://support.google.com/cloud/answer/6329727

Wie genau Google für Datensicherheit in der G Suite-Umgebung sorgt, könnt ihr hier nachlesen: https://www.google.com/intl/de_at/cloud/security/gdpr/

Und noch genauer hier: https://cloud.google.com/security/security-design/?hl=de

Alle Infos zur Zusatzvereinbarung zur Datenverarbeitung im Rahmen der DSGVO für die G Suite und Cloud Identity findet ihr hier: https://support.google.com/cloudidentity/answer/2888485?hl=de

Hinweis: Solltet ihr Google Drive, Gmail, Google Docs oder Google Calendar in der kostenlosen Version geschäftlich nutzen, gibt es unseres Wissens nach keine DSGVO-konforme Möglichkeit, personenbezogene Daten zu speichern, denn leider bietet Google für die Kostenlosvarianten keinen AV-Vertrag  an. Die einzige Möglichkeit diese Google-Dienste datenschutzkonform weiter zu nutzen, ist auf die G Suite (ab 4 € monatlich) upzugraden.

Die DSGVO und das Einbinden (Embedding) von YouTube Videos

Bei der Einbettung von YouTube Videos auf eurer Website befindet ihr euch datenschutzrechtlich gesehen in einer Grauzone. Es gibt aber ein paar Maßnahmen, die ihr auf jeden Fall ergreifen solltet.

Vorsicht Cookies! 1-Klick-Lösung durch 2-Klick Lösung ersetzen

Nutzt ihr den Standard-HTML Code der YouTube-Seite setzt YouTube bereits beim Aufruf eurer Website (nicht erst beim Starten des Videos!) diverse Cookies beim User. So werden bestimmte Grunddaten wie z.B. die IP-Adresse an YouTube übermittelt. Zudem wird eine Verbindung zum Google Werbenetzwerk Double Click aufgenommen. YouTube wird so in die Lage versetzt, bereits vorhandene Daten des Nutzers mit denen Daten, die aus dem Besuch eurer  Website entstanden sind, zu verknüpfen.

Es gibt zwei Lösungen, die das Setzen dieser Cookies verhindern:

Lösung 1: Den erweiterterten Datenschutzmodus aktivieren

Vor Kopieren des HTML-Codes auf der YouTube-Seite aktiviert ihr den erweiterten Datenschutz. Das geht so:

  1. Direkt beim Video auf YouTube auf Teilen klicken.
  2. In dem Fenster, das sich anschließend öffnet, auf Einbetten klicken.
  3. Ganz unten die Checkbox Erweiterten Datenschutz aktivieren anhäkeln.
  4. HTML Code herauskopieren und auf eurer Website einbinden.

Problem: Die Aktivierung des erweiterten Datenschutzes bewirkt laut YouTube, dass Cookies erst beim Aufruf des Videos gesetzt werden und nicht schon beim Besuch der Seite. Hört sich gut an. Allerdings zeigt die Praxis, dass trotz des erweiterten Datenschutzes immer noch diverse Verbindungen zu Google-Servern aufgebaut werden. Sogar ein Cookie wird noch gesetzt, dass aber laut Finn von blogmojo.de nur sehr wenige Information beinhaltet. Die Verbindung zu Double Click wird aber auf jeden Fall nicht mehr hergestellt. Die Lösung ist also schon mal besser als gar nix.

Lösung 2: 2-Klick-Lösung implementieren

Wer es besser machen will, implementiert eine 2-Klick-Lösung, 2 . Für WordPress gibt es vier Plugins, die wir empfehlen können. Weiterer Vorteil neben dem Datenschutz: Ihr müsst die Videos auf eurer Seite nicht alle manuell austauschen, denn die Plugins erkennen die eingebetteten Videos automatisch.

YouTube Lyte: Das Plugin bewirkt, dass bei Aufruf der Website nicht mehr das ganze Video vom YouTube-Server geladen wird, sondern nur das Vorschaubild. Das Video selbst wird erst nach Klick auf den Play-Button geladen. Nachteil: Leider funktioniert das Plugin nur, wenn ihr die Kurz-URL eingebunden habt und nicht mit dem embedded Code von YouTube. Mehr zu YouTube Lyte

Embed videos and respect Privacy: Auch dieses Plugin lädt das Video erst nach Klick auf den Play-Button, hat aber gegenüber YouTube Lyte den Vorteil, dass es das Vorschaubild vom eigenen Server lädt. Es wird hier also bei Aufruf der Website keine Verbindung mehr zu einem YouTube-Server aufgebaut. Von daher besser als YouTube Lyte, aber leider mit dem selben Nachteil: Funktioniert nur mit Kurz-URLs. Mehr zu Embed videos and respect Privacy

Lazy Load for Videos: Vorteil: Dieses WordPress Plugin berücksichtigt auch Vimeo Videos. Auch hier werden erst Daten übertragen, wenn der User auf den Play-Button drückt, allerdings wieder mit derselben Einschränkung wie bei den vorher beschriebenen Plugins: Das Ganze funktioniert nur mit dem Teilen-Link / Kurz-URL. Mehr zu Lazy Load für Videos

Extra Privacy for Elementor: Extra Privacy for Elementor ist eine Speziallösung für alle, die WordPress mit dem Page-Builder Elementor nutzen. Auch dieses Plugin arbeitet mit einer 2-Klick-Lösung. Zusätzlich habt ihr aber noch die Möglichkeit, einen Text einzubinden, mit dem ihr eure Websitenutzer darauf hinweisen könnt, dass bei Klick auf das Video personenbezogene Daten an YouTube gesendet werden. Auch eure Datenschutzerklärung könnt ihr verlinken. Das ist fast die ideale Lösung, denn ein zentraler Bestandteil der DSGVO ist die Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten. Mehr zu Extra Privacy for Elementor

Vorsicht Intransparenz!

Ein nach jetzigem Stand nicht zu lösendes Problem ist, dass YouTube seine Datenverarbeitungsprozesse leider alles andere als offen legt. Welche personenbezogenen Daten genau von YouTube gespeichert und verarbeitet werden, weiß nur YouTube selbst. Als Websitebetreiber müsst ihr aber laut DSGVO für Transparenz sorgen. Websitenutzer müssen darüber informiert werden, welche ihrer Daten wohin übertragen werden und was genau mit Ihnen dort passiert UND Sie müssen in die Übertragung einwilligen. Eine informierte Einwilligung seitens des Nutzers ist aber gar nicht möglich, da die nötigen Informationen fehlen. So bewegt ihr euch selbst bei der Einbettung von YouTube-Videos über eine 2-Klick-Lösung inklusive einer Einwilligung des Nutzers in die Datenübertragung noch in einer datenschutzrechtlichen Grauzone.

Fazit: Wollt ihr ganz sicher gehen, müsst ihr alle eingebetteten YouTube-Videos von eurer Seite entfernen und stattdessen zu YouTube verlinken. Das will aber natürlich keiner… Wenn ihr nicht auf die Einbindung auf YouTube-Videos verzichten wollt, raten wir euch folgendes: Nutzt auf JEDEN FALL eine 2-Klick-Lösung (am besten mit zusätzlicher Einwilligung des Nutzers in die Datenübertragung wie bei „Extra Privacy for Elementor“) UND und informiert eure User umfassend über eure Vorgehensweise in der Datenschutzerklärung. Dann seid ihr schon ziemlich gut aufgestellt.

Die DSGVO und die Nutzung von Google Fonts

Die schlechte Nachricht ist: Auch wenn ihr das allseits beliebte Google Fonts für eure Website nutzt, müsst ihr tätig werden, denn bei jedem Aufruf eurer Website wird der Google Server kontaktiert und die IP-Adresse des Nutzers übertragen. Die gute Nachricht ist: Ihr könnt verhindern, dass Daten an Google übertragen werden, indem ihr die Google Anfragen blockiert und die Web Fonts auf eurem eigenen Server speichert.

Hierzu gibt es schon einige sehr gute Anleitungen im Netz, wie z.B. diese hier:

https://wp-ninjas.de/wordpress-google-fonts (für WordPress-Nutzer)

https://t3n.de/news/google-fonts-selber-hosten-751438/

https://die-netzialisten.de/wordpress/google-fonts-ueber-den-eigenen-server-einbinden/

Die DSGVO und Google Adwords

Die DSGVO-Datenschutzbestimmungen für Google Adwords  sind in den Bedingungen für Werbetreibende integriert, die ihr – wenn ihr es nicht schon längst getan habt – in eurem Adwords-Account unter Einrichtung>Einstellungen>Kontoeinstellungen>Regeln und Bedingungen akzeptieren könnt.

Ansonsten besteht für euch – wenn ihr nicht gerade Adwords Customer Match oder Adwords Store Sales Direct nutzt – bezüglich Adwords und der DSGVO momentan kein Handlungsbedarf, denn für die Ausspielung der Adwords-Anzeigen nutzt Google seine eigenen personenbezogen Daten und nicht eure und fungiert entsprechend selbst als Datenverantwortlicher.

Ausnahme: Ihr nutzt Google Adwords mit Conversion Tracking. In diesem Fall müsste ihr eure Websitebesucher darüber in eurer Datenschutzerklärung aufklären, z.B. so:

Diese Website verwendet Google AdWords. AdWords ist ein Online-Werbeprogramm der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States (“Google”).

Im Rahmen von Google AdWords nutzen wir das so genannte Conversion-Tracking. Wenn Sie auf eine von Google geschaltete Anzeige klicken wird ein Cookie für das Conversion-Tracking gesetzt. Bei Cookies handelt es sich um kleine Textdateien, die der Internet-Browser auf dem Computer des Nutzers ablegt. Diese Cookies verlieren nach 30 Tagen ihre Gültigkeit und dienen nicht der persönlichen Identifizierung der Nutzer. Besucht der Nutzer bestimmte Seiten dieser Website und das Cookie ist noch nicht abgelaufen, können Google und wir erkennen, dass der Nutzer auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurde.

Jeder Google AdWords-Kunde erhält ein anderes Cookie. Die Cookies können nicht über die Websites von AdWords-Kunden nachverfolgt werden. Die mithilfe des Conversion-Cookies eingeholten Informationen dienen dazu, Conversion-Statistiken für AdWords-Kunden zu erstellen, die sich für Conversion-Tracking entschieden haben. Die Kunden erfahren die Gesamtanzahl der Nutzer, die auf ihre Anzeige geklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen. Wenn Sie nicht am Tracking teilnehmen möchten, können Sie dieser Nutzung widersprechen, indem Sie das Cookie des Google Conversion-Trackings über ihren Internet-Browser unter Nutzereinstellungen leicht deaktivieren. Sie werden sodann nicht in die Conversion-Tracking Statistiken aufgenommen.

Die Speicherung von “Conversion-Cookies” erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an der Analyse des Nutzerverhaltens, um sowohl sein Webangebot als auch seine Werbung zu optimieren.

Mehr Informationen zu Google AdWords und Google Conversion-Tracking finden Sie in den Datenschutzbestimmungen von Google: https://www.google.de/policies/privacy/.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browser aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

Die DSGVO und Google Adsense

Obwohl streng genommen Google als Datensammler verantwortlich wäre, wälzt der Internetriese beim Thema Google Adsense die Verantwortung auf euch als Webmaster ab. Wollt ihr weiterhin personalisierte Anzeigen auf eurer Website ausspielen, müsst ihr dafür sorgen, dass eure Websitenutzer der Datenweitergabe an Google zu Werbezwecken explizit zustimmen und ein Opt-In auf eurer Website integrieren.

Auf https://fundingchoices.google.com/ bietet Google inzwischen ein Tool an, mit dem ihr das Opt-In relativ einfach umsetzen könnt.

Das Tool bietet für die Erstellung des Opt-Ins zwei Auswahlmöglichkeiten:

  1. Der User hat die Auswahl zwischen personalisierten Anzeigen und nicht personalisierten Anzeigen
  2. Der User hat die Auswahl zwischen personalisierten Anzeigen und dem Kauf eines Passes zum generellen Entfernen von Anzeigen über Google Contributor

Eine Step-by-Step-Anleitung findet ihr hier: https://support.google.com/fundingchoices/answer/7681665?hl=de&ref_topic=7679681

Wichtig: Über die Nutzung von Google Adsense müsst ihr natürlich einen ausführlichen Paragraphen in eurer Datenschutzerklärung bereitstellen.

Die DSGVO und die Einbindung von Google+ Social Plugins

Ähnlich wie bei YouTube-Videos werden auch bei einem eingebundenen Google+ Social Plugin schon beim Besuch der Website personenbezogene Daten wie die IP-Adresse an Google übertragen. Wir empfehlen euch daher eine eventuell vorhandene Follow-Box (Pendant zur Facebook Like Box) von euer Seite zu entfernen und über eine schön gestaltete Grafik auf euer Google+ Profil zu verlinken.

Für Share-Buttons sieht es ein bisschen anders aus. Hier sind wir bei der Recherche zumindest auf EINE DSGVO-konforme Lösung, die von Heise entwickelte sogenannte Shariff-Lösung, gestoßen. Obwohl nur ein Klick notwendig ist, stellt ein Shariff-Button den direkten Kontakt zu Google erst her, wenn der User aktiv auf den Share-Button klickt. Natürlich gibt es diese Open Source Lösung nicht nur für Google+, sondern auch für alle weiteren gängigen Share-Buttons von Facebook, Twitter &  Co. Die Shariff-Button können mit relativ wenig Aufwand eingebunden werden. Die Basis-Komponente setzt sich aus CSS und JavaScript zusammen und muss lediglich in den Quelltext integriert werden. Die Server-Komponente bietet Heise in PHP, Perl und Node.js an. Ihr findet Shariff einschließlich der Quelltexte, Backend in PHP, Perl und Node.js sowie Anleitungen zum Einbinden auf GitHub zum Download.

Einen Hinweis in der Datenschutzerklärung inklusive einer genauen Beschreibung der eingesetzten Lösung ist auch bei den Social Plugins von Google+ natürlich Pflicht.

Die DSGVO und die Einbindung von Google Maps

Auch wer eine Karte von Google Maps bei sich auf der Website einbindet, überträgt bei Aufruf der Website mindestens die IP-Adresse seiner Nutzer an Google. Leider gibt es bis dato keine DSGVO-konforme Lösung für die Integration von Google Maps-Karten. Wer hier ganz sicher gehen will, muss entweder die Google Maps-Karten von seiner Website entfernen und durch einen Link ersetzen oder eine 2-Klick-Lösung implementieren. Mögliche WordPress Plugins hierfür: Borlabs oder Ginger Cookie Law.

Denkt auch hier unbedingt an den entsprechenden Hinweis in der Datenschutzerklärung.

P&M Agentur – Softwareentwicklung & IT Consulting